Σκοτεινά Μοτίβα: Αυτά που πάντα θέλατε να μάθετε αλλά φοβόσασταν να ρωτήσετε...

Νομικό Περιοδικό Αρ. 45 – Μάρτιος 2022.

Αυτός ο δύσκολος στη μετάφραση αγγλικός όρος βρίσκεται σε πολλές δημοσιεύσεις που αφορούν την τεχνολογία των πληροφοριών. 

Σχετικά με την «παρότρυνση» (nudging), η οποία στοχεύει να ενθαρρύνει διακριτικά τους χρήστες του Διαδικτύου να υιοθετήσουν την επιθυμητή συμπεριφορά, τα «σκοτεινά μοτίβα» επιδιώκουν τον ίδιο στόχο μέσω του σχεδιασμού διεπαφών ιστού.

Στις 14 Μαρτίου, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ενέκρινε κατευθυντήριες γραμμές σχετικά με τα «σκοτεινά μοτίβα» στις διεπαφές των πλατφορμών κοινωνικής δικτύωσης. 

Το έγγραφο, το οποίο υπόκειται σε δημόσια διαβούλευση, απευθύνεται στους χρήστες για να τους βοηθήσει να εντοπίσουν αυτές τις τεχνικές, καθώς και στους σχεδιαστές, στους οποίους προσφέρει βέλτιστες πρακτικές για τη διευκόλυνση της συμμόρφωσης με τον ΓΚΠΔ. 

Το έγγραφο απαριθμεί, σε κάτι που μοιάζει με απογραφή τύπου Prévert, διαφορετικές πρακτικές: 

• Υπερφόρτωση πληροφοριών φέρνει τον χρήστη αντιμέτωπο με μια χιονοστιβάδα δεδομένων ή επιλογών (για παράδειγμα, μια ατελείωτη λίστα παραληπτών cookie), οδηγώντας τον να μοιραστεί περισσότερες πληροφορίες από όσες επιθυμεί. 

• Παράλειψη οδηγεί τον χρήστη να ξεχάσει να ελέγξει ορισμένες προϋποθέσεις χρήσης των δεδομένων του, για παράδειγμα στρέφοντας την προσοχή του αλλού.

• Ανακάτεμα επηρεάζει τις επιλογές των χρηστών παίζοντας με τα συναισθήματά τους (για παράδειγμα, για να τους ενθαρρύνει να μην διαγραφούν από ένα κοινωνικό δίκτυο)

• Παρεμπόδιση (παρακώλυση) εμποδίζει τους χρήστες του Διαδικτύου να κάνουν τις επιλογές τους, μέσω μη λειτουργικών συνδέσμων, πληροφοριών που είναι εκτενέστερες από ό,τι είναι απαραίτητο ή παραπλανητικές.

• Ασυνέπεια σχεδιασμού (ασταθής) θα δυσκολέψει την πλοήγηση στα εργαλεία ελέγχου, μέσω μιας αποκομμένης από τα συμφραζόμενα ή μη ιεραρχικής παρουσίασης των πληροφοριών.

• Τέλος, ο σχεδιασμός μπορεί να αφήσει τον χρήστη του Διαδικτύου στο σκοτάδι, χρήση αντικρουόμενων, διφορούμενων πληροφοριών (κουμπιά διαφορετικού χρώματος ενεργοποιημένα ή απενεργοποιημένα από προεπιλογή) ή ασυνέχεια στις γλώσσες που χρησιμοποιούνται (μετάβαση από γαλλικά σε αγγλικά).

Κάποιος σχεδόν θα έμενε άναυδος από τέτοιες τεχνικές και φαντασία, αν αυτές οι πρακτικές δεν ήταν παράνομες επειδή αντίκεινται στην αρχή της πίστης που ορίζεται στο Άρθρο 5(1)(α) του ΓΚΠΔ, καθώς και στις αρχές της διαφάνειας, της ελαχιστοποίησης των δεδομένων, της λογοδοσίας, του σκοπού και της εγκυρότητας της συγκατάθεσης.

Οι κατευθυντήριες γραμμές του EDPB παρέχουν παραδείγματα για κάθε τύπο τεχνικής και συμβουλές για την απλοποίηση των επιλογών των χρηστών. 

Οι καλές πρακτικές περιλαμβάνουν: 

• Χρήση συντομεύσεων για την ενεργοποίηση γρήγορων ενεργειών (διαγραφή από έναν λογαριασμό).

• Η χρήση banner ή αναδυόμενων παραθύρων σε περίπτωση αλλαγής ή συγκεκριμένου κινδύνου (για παράδειγμα, παραβίαση ασφαλείας).

• Η χρήση απλής και συνεπούς γλώσσας.

• Μια λίστα ορισμών.

• Η χρήση παραδειγμάτων.

• Εξήγηση των συνεπειών των διαφόρων προτεινόμενων επιλογών.

• Η συστηματική εμφάνιση του χάρτη της τοποθεσίας και ένα κουμπί «πίσω» που επιτρέπει στον χρήστη να συνεχίσει την πλοήγησή του.

Πρέπει να σημειωθεί ότι οι αποφάσεις της CNIL τον περασμένο Ιανουάριο κατά της Google και του Facebook, οι οποίες επέβαλαν πρόστιμα 150 και 60 εκατομμυρίων ευρώ αντίστοιχα σε αυτές τις εταιρείες, τιμωρούν τη χρήση σκοτεινών μοτίβων στη χρήση των cookies: οι διεπαφές προσέφεραν μια απλή επιλογή για την ενεργοποίηση των cookies, με ένα κλικ, ενώ ήταν απαραίτητες αρκετές ενέργειες για την απόρριψη όλων των cookies. 

Ενώ η προσοχή των εποπτικών αρχών μέχρι στιγμής είχε επικεντρωθεί στα cookies, τώρα διακυβεύεται ένα ευρύτερο σύνολο πρακτικών. Ο ρόλος των σχεδιαστών διεπαφών καθίσταται ολοένα και πιο κρίσιμος.

Και επίσης

Γαλλία:

Δικαστική έρευνα έχει ξεκινήσει από το τμήμα κυβερνοεγκλήματος της εισαγγελίας του Παρισιού σχετικά με μια μαζική διαρροή ιατρικών δεδομένων. 

Η διαρροή δεδομένων πιστεύεται ότι επηρέασε περίπου 500.000 άτομα και προήλθε από περίπου τριάντα εργαστήρια ιατρικής βιολογίας. Έρευνες διεξάγονται επίσης από την ANSSI και την CNIL, σε συνεργασία με τον εκδότη του λογισμικού διαχείρισης που χρησιμοποιείται από τα εργαστήρια.

Μια ακόμη μαζική διαρροή δεδομένων ώθησε το Εθνικό Ταμείο Ασφάλισης Υγείας να εκδώσει δήλωση στις 17 Μαρτίου, δηλώνοντας ότι οι λογαριασμοί τουλάχιστον 19 επαγγελματιών υγείας στην πύλη Amelipro είχαν παραβιαστεί από χάκερ.  

Τα στοιχεία ταυτότητας και οι αριθμοί κοινωνικής ασφάλισης περίπου 500.000 ασφαλισμένων επηρεάζονται από αυτήν την κυβερνοεπίθεση.

Στον τομέα της υγείας, το κοινόχρηστο ιατρικό αρχείο (DMP) ενσωματώθηκε στον ψηφιακό χώρο υγείας (ENS ή «Ο χώρος υγείας μου») τον Ιανουάριο του 2022.  

Η CNIL παρέχει υπενθύμιση στον ιστότοπό της για τον τρόπο λειτουργίας αυτών των δύο συστημάτων και τα δικαιώματα των ενδιαφερόμενων ατόμων.

Στις 28 Ιουνίου 2022, η CNIL θα διοργανώσει την πρώτη Ημέρα Έρευνας για την Ιδιωτικότητα στο Παρίσι., ένα διεθνές συνέδριο αφιερωμένο στην έρευνα στον τομέα της ιδιωτικότητας και της προστασίας των προσωπικών δεδομένων.

Ευρώπη: 

Μια συμφωνία βρίσκεται επί τάπητος μεταξύ Ευρώπης και Ηνωμένων Πολιτειών σχετικά με τη μεταφορά προσωπικών δεδομένων. 

Η Ούρσουλα φον ντερ Λάιεν και ο Τζο Μπάιντεν ανακοίνωσαν πολιτική συμφωνία επί του θέματος στις 25 Μαρτίου, μια ανακοίνωση που διευκρίνισε ο Ευρωπαίος Επίτροπος Δικαιοσύνης Ντιντιέ Ρέιντερς, ο οποίος υπέδειξε ότι επρόκειτο για συμφωνία επί των «αρχών» μιας μελλοντικής διατλαντικής συμφωνίας. 

Το νέο νομικό πλαίσιο θα διαδεχθεί τις «Αρχές Ασφαλούς Λιμένα» και την «Ασπίδα Προστασίας Προσωπικών Δεδομένων», οι οποίες κηρύχθηκαν παρωχημένες από το Ευρωπαϊκό Δικαστήριο λόγω μη συμμόρφωσης με τις ευρωπαϊκές αρχές προστασίας δεδομένων. 

Η προτεινόμενη από την Ευρωπαϊκή Επιτροπή επέκταση των κανονισμών για τα πιστοποιητικά Covid (EUDCC) βρίσκεται στο στόχαστρο των αρχών προστασίας δεδομένων. 

Ο ΕΕΠΔ και το ΕΣΠΔ εξέφρασαν επιφυλάξεις σχετικά με την έλλειψη εκτίμησης επιπτώσεων πριν από τις προτάσεις της Επιτροπής για ανανέωση αυτών των πιστοποιητικών για ένα έτος.  

Ωστόσο, η Επιτροπή και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων αναγνώρισαν ότι η επέκταση των τύπων δοκιμών που γίνονται δεκτές και η συμπερίληψη στο πιστοποιητικό του αριθμού των χορηγούμενων δόσεων δεν άλλαξαν ουσιαστικά τις ισχύουσες διατάξεις.

Στα μέσα Μαρτίου, οι υπάλληλοι της Amazon υπέβαλαν μαζικό αίτημα πρόσβασης σε δεδομένα που διατηρεί η εταιρεία για αυτούς, προκειμένου να επαληθεύσουν τις συνθήκες επιτήρησης στους χώρους εργασίας τους.  

Οι αιτούντες, από τη Γερμανία, το Ηνωμένο Βασίλειο, την Ιταλία, την Πολωνία και τη Σλοβακία, υπέβαλαν το αίτημά τους βάσει του άρθρου 15 του ΓΚΠΔ σε συνεργασία με την Παγκόσμια Ένωση Εργαζομένων (UNI) και τη ΜΚΟ NOYB.  

Εκτός από τις οδηγίες του σχετικά με τα «σκοτεινά μοτίβα» στα μέσα κοινωνικής δικτύωσης, Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ενέκρινε κατευθυντήριες γραμμές σχετικά με την εφαρμογή του άρθρου 60 του ΓΚΠΔ όσον αφορά τη συνεργασία μεταξύ των αρχών προστασίας δεδομένων κατά τη συνεδρίαση ολομέλειάς του στις 14 Μαρτίου. 

Το παρόν έγγραφο αποσκοπεί στη βελτίωση της εφαρμογής των διατάξεων του ενιαίου παραθύρου. 

Το σύστημα προβλέπει μια αρχή επικοινωνίας για εταιρείες εγκατεστημένες στην Ευρωπαϊκή Ένωση με βάση τον κύριο τόπο εγκατάστασής τους, καθώς και μια διαδικασία συνεργασίας με όλες τις άλλες εμπλεκόμενες αρχές λόγω καταγγελιών ή προσαρτημένων εγκαταστάσεων στη χώρα τους. 

Η Ιταλική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο 20.000.000 ευρώ στην Clearview IA στις 10 Φεβρουαρίου. για χρήση συστημάτων βιομετρικής αναγνώρισης σε δημόσιες διαδικτυακές πηγές κατά παράβαση του ΓΚΠΔ. Διέταξε τη διαγραφή των δεδομένων. Η Αρχή Προστασίας Δεδομένων του Ηνωμένου Βασιλείου επέβαλε πρόστιμο 117.000 ευρώ σε δικηγορικό γραφείο στις 28 Φεβρουαρίου. για παραβίαση των άρθρων 5(1)(στ) και 32 του ΓΚΠΔ και ιδίως για μη εφαρμογή κατάλληλων μέτρων ασφαλείας. 

Η Ισπανία ενέκρινε κώδικα δεοντολογίας στις 17 Φεβρουαρίου σχετικά με την προστασία δεδομένων στο πλαίσιο κλινικών δοκιμών και φαρμακοεπαγρύπνησης.

Η Ιρλανδική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο 17 εκατομμυρίων ευρώ στην Meta (πρώην Facebook) στις 15 Μαρτίου μετά από αρκετές παραβιάσεις ασφαλείας. Η εποπτική αρχή έκρινε ότι η εταιρεία δεν είχε λάβει τα απαιτούμενα τεχνικά και οργανωτικά μέτρα για την ασφάλεια των δεδομένων. 

Η απόφαση ελήφθη κατόπιν διαδικασίας συνεργασίας με τις άλλες ευρωπαϊκές εποπτικές αρχές που εμπλέκονται στην υπόθεση (άρθρο 60 του ΓΚΠΔ).

Στη Γερμανία, η Αρχή Προστασίας Δεδομένων της Βρέμης επέβαλε πρόστιμο 1.900.000 ευρώ σε μια εταιρεία διαχείρισης ακινήτων (Brebau GmbH) στις 3 Μαρτίου για παράνομη επεξεργασία ευαίσθητων δεδομένων. που αφορά περισσότερους από 9.500 υποψήφιους ενοικιαστές. 

Το χρώμα του δέρματος, η θρησκεία, ο σεξουαλικός προσανατολισμός, η κατάσταση της υγείας, το χτένισμα και η οσμή του σώματος ήταν μεταξύ των δεδομένων που υποβλήθηκαν σε επεξεργασία.

Διεθνές: 

Σε διαταγή συμβιβασμού με ημερομηνία 4 Μαρτίου, Η Ομοσπονδιακή Επιτροπή Εμπορίου των Ηνωμένων Πολιτειών απαιτεί από την WW International (Weight Watchers) να καταστρέψει αλγόριθμους ή μοντέλα τεχνητής νοημοσύνης που έχουν σχεδιαστεί με χρήση προσωπικών δεδομένων ανηλίκων. χωρίς προηγούμενη γονική συναίνεση. 

Στην εταιρεία επιβλήθηκε επίσης πρόστιμο 1,5 εκατομμυρίου δολαρίων και διατάχθηκε να καταστρέψει τα παράνομα συλλεγμένα δεδομένα. 

Αυτή είναι η τρίτη φορά που η FTC απαιτεί την καταστροφή ενός αλγορίθμου τεχνητής νοημοσύνης σε μια διαταγή διακανονισμού.  

Ο Σρι Λάνκα ψήφισε νόμο για την προστασία των προσωπικών δεδομένων στις 19 Μαρτίου 2022.

Η Nokia, η οποία ανακοίνωσε ότι σταματά τις δραστηριότητές της στη Ρωσία λόγω του πολέμου στην Ουκρανία, κατηγορείται ότι άφησε πίσω της ένα τηλεπικοινωνιακό σύστημα που επέτρεπε την παρακολούθηση του ρωσικού πληθυσμού. 

Σύμφωνα με εσωτερικά έγγραφα που αποκάλυψαν οι New York Times, η Nokia προμηθεύει τη Ρωσία με εξοπλισμό και υπηρεσίες για περισσότερα από πέντε χρόνια για τη σύνδεση του ρωσικού συστήματος επιτήρησης SORM (Σύστημα Επιχειρησιακών Ερευνητικών Δραστηριοτήτων) με τη μεγαλύτερη υπηρεσία τηλεπικοινωνιών της Ρωσίας, την MTS.

Άννα Κριστίν Λακόστ  Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.