Εβδομάδα Μόδας Metaverse στο Decentraland, ένας από τους πιο δημοφιλείς εικονικούς κόσμους.

Νομική Παρακολούθηση Αρ. 48 – Ιούνιος 2022

Θαυμαστός Νέος ΚόσμοςΤον Μάρτιο του 2022, η εκδήλωση Metaverse Fashion Week πραγματοποιήθηκε στο Decentraland, έναν από τους πιο δημοφιλείς εικονικούς κόσμους.

Μια διαδικτυακή συναυλία που μεταδόθηκε ζωντανά στην πλατφόρμα παιχνιδιών Fortnite προσέλκυσε πρόσφατα 12 εκατομμύρια θεατές.

Ένας εικονικός κόσμος αναπτύσσεται σήμερα, χωρίς ακόμη να έχουν κατανοηθεί πλήρως οι ανθρώπινες, οικονομικές και κοινωνικές του επιπτώσεις.

Η πρόσφατα δημοσιευμένη έκθεση του Ευρωπαϊκού Κοινοβουλίου σχετικά με αυτό το θέμα αναφέρει ότι έως το 2026, το 25% των ανθρώπων θα περνούν τουλάχιστον μία ώρα την ημέρα στο μετασύμπαν για εργασία, ψώνια, εκπαίδευση, κοινωνικές δραστηριότητες ή/και ψυχαγωγία.

Πολλές εμπορικές εταιρείες έχουν αρχίσει να αναπτύσσουν τις δικές τους πλατφόρμες εκεί, ακόμη και όταν οι δραστηριότητές τους έχουν μόνο μια πολύ απομακρυσμένη σύνδεση με την ψηφιακή τεχνολογία.

Το Metaverse μπορεί να περιγραφεί ως ένας καθηλωτικός, συνεχής τρισδιάστατος εικονικός κόσμος στον οποίο οι άνθρωποι αλληλεπιδρούν μέσω ενός avatar για να απολαύσουν ψυχαγωγία, να πραγματοποιήσουν αγορές και συναλλαγές ή να εργαστούν χωρίς να φύγουν από το σπίτι τους.

Το οικονομικό οικοσύστημα μετασύμπαντος αξιοποιεί τεχνολογίες blockchain και κρυπτονομισμάτων, όπως τα μη ανταλλάξιμα tokens (NFT), για τη δημιουργία εσόδων από συναλλαγές στο ψηφιακό περιβάλλον.

Αυτή η εξέλιξη του διαδικτύου εγείρει πολλά ερωτήματα, ιδίως όσον αφορά την εφαρμογή του νόμου.

Πώς μπορούμε πρακτικά να ρυθμίσουμε τις διαδικτυακές συγχωνεύσεις και εξαγορές, την παρενόχληση, τις λίγο-πολύ νόμιμες συναλλαγές που πραγματοποιούνται σε κρυπτονομίσματα, τη μαζική συλλογή δεδομένων σχετικά με τη συμπεριφορά των ατόμων μέσω των avatar τους ή ακόμα και την επιτήρηση ατόμων στο διαδίκτυο από τις αρχές επιβολής του νόμου;

Τα διακυβεύματα είναι υψηλά όσον αφορά τον ΓΚΠΔ, όπως επισημαίνεται σε πρόσφατο άρθρο που δημοσιεύθηκε στις 20 Μαΐου στην εφημερίδα Le Monde, και όπως επισημαίνει το Ευρωπαϊκό Κοινοβούλιο, δεδομένης της πρωτοφανούς ποιότητας και ποσότητας των δεδομένων που συλλέγονται.

Αυτά μπορεί να περιλαμβάνουν εκφράσεις του προσώπου, χειρονομίες ή άλλους τύπους σωματικών ή συναισθηματικών αντιδράσεων που μπορεί να προκαλέσει ένα avatar κατά τη διάρκεια αλληλεπιδράσεων, σε πραγματικό χρόνο και χωρίς να το συνειδητοποιεί.

Έτσι, μπορούν να συλλεχθούν ευαίσθητα δεδομένα, όπως βιομετρικά δεδομένα.

Αυτές οι πληροφορίες θα επιτρέψουν, για παράδειγμα, στις εταιρείες να κατανοήσουν καλύτερα τη συμπεριφορά των χρηστών και να προσαρμόσουν τις διαφημιστικές καμπάνιες με ιδιαίτερα στοχευμένο τρόπο.

Είναι οι υπάρχοντες κανόνες προσαρμοσμένοι σε αυτό το νέο σύμπαν;

Πώς μπορούμε να λάβουμε τη συγκατάθεση των ατόμων για τη συλλογή δεδομένων αυτού του είδους και ποιος είναι υπεύθυνος για τη συλλογή, σε ένα περιβάλλον όπου οι ρόλοι είναι πολλαπλοί και όπου είναι ακόμη πιο δύσκολο να εντοπιστεί ο υπεύθυνος επεξεργασίας δεδομένων;

Πώς να διαχειριστούμε τις αλληλεπιδράσεις με την τεχνητή νοημοσύνη, που είναι εγγενείς στη λειτουργία του Metaverse, και τις αυτοματοποιημένες αποφάσεις που προκύπτουν από αυτήν;

Διερευνώνται αρκετές δυνατότητες, με βάση όχι μόνο τον ΓΚΠΔ, αλλά και τους προτεινόμενους ευρωπαϊκούς κανονισμούς σχετικά με την τεχνητή νοημοσύνη και τη διακυβέρνηση δεδομένων.

Ας αναφέρουμε τον ρόλο των μεσαζόντων δεδομένων, οι οποίοι θα μπορούσαν να συγκεντρώσουν τις εξουσιοδοτήσεις των χρηστών σχετικά με τη χρήση των δεδομένων τους.

Ο προτεινόμενος κανονισμός για τη διακυβέρνηση δεδομένων προβλέπει την προστασία των χώρων προσωπικών δεδομένων ή χαρτοφυλακίων δεδομένων, ρυθμίζοντας την κοινοποίηση δεδομένων και ελέγχοντας τη συγκατάθεση των ατόμων.

Ωστόσο, στο βαθμό που οι ενδιάμεσοι χρησιμοποιούν τεχνητή νοημοσύνη στη διαχείριση δεδομένων, είναι απαραίτητες οι διασφαλίσεις για την αποτροπή υπεξαίρεσης και κατάχρησης.

Υπενθυμίζεται ότι αυτοί οι δύο προτεινόμενοι κανονισμοί έχουν αποτελέσει αντικείμενο σχολίων από τον Ευρωπαίο Επόπτη και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, τα οποία επιμένουν στον σεβασμό της αρχής του σκοπού κατά τη χρήση των δεδομένων και ζητούν μέτρα που προβλέπουν περισσότερους ελέγχους και εγγυήσεις για το υποκείμενο των δεδομένων, για παράδειγμα κώδικες δεοντολογίας ή μηχανισμούς πιστοποίησης.

Οι αρχές έχουν επίσης επιφυλάξεις σχετικά με την κοινωνική βαθμολόγηση στο πλαίσιο των κοινωνικών δικτύων γενικότερα, και ακόμη περισσότερο στο Metaverse.

Ιδιαίτερη προσοχή θα πρέπει επίσης να δοθεί στην προστασία των ευάλωτων ομάδων, ιδίως των παιδιών, προκειμένου να επαληθεύεται η ηλικία τους και να αποθαρρύνεται η παροχή των προσωπικών τους δεδομένων.

Κάποιοι υποστηρίζουν περαιτέρω ένα ανοιχτό και αποκεντρωμένο Metaverse, το οποίο ελέγχεται από τους ίδιους τους χρήστες με τη μορφή αποκεντρωμένων αυτόνομων οργανισμών (DAO).

Σε αυτό το είδος μοντέλου, διαφορετικό από ένα κεντρικό επιχειρηματικό μοντέλο, οι χρήστες θα έχουν μεγαλύτερο έλεγχο στα δεδομένα τους και στην κοινή χρήση τους.

Και εδώ, εκτός από τις κανονιστικές κατευθυντήριες γραμμές, οι κώδικες δεοντολογίας και οι μηχανισμοί πιστοποίησης θα συνέβαλαν σε μεγαλύτερη ασφάλεια δικαίου.

Μερικές απαντήσεις σε ένα μεγάλο αριθμό ερωτημάτων...

Σε κάθε περίπτωση, η εφαρμογή του νόμου δεν θα επιτευχθεί χωρίς μεγαλύτερη λογοδοσία από τους εμπλεκόμενους φορείς.

Και επίσης

Γαλλία:

Στις 7 Ιουνίου, η CNIL δημοσίευσε ερωτήσεις και απαντήσεις σχετικά με τη χρήση του Google Analytics.

Η Επιτροπή διέταξε αρκετούς οργανισμούς να συμμορφωθούν με τον ΓΚΠΔ, καθώς καμία από τις πρόσθετες διασφαλίσεις που της παρουσιάστηκαν δεν ήταν επαρκής για να αποτρέψει τις υπηρεσίες πληροφοριών των ΗΠΑ από την πρόσβαση στα προσωπικά δεδομένα Ευρωπαίων χρηστών.

Μια λύση που επιτρέπει τη χρήση ενός διακομιστή μεσολάβησης για την αποφυγή οποιασδήποτε άμεσης επαφής μεταξύ του τερματικού του χρήστη του Διαδικτύου και των διακομιστών του εργαλείου μέτρησης θα μπορούσε, σύμφωνα με την ίδια, να είναι εφικτή, εάν αυτός ο διακομιστής πληροί ένα σύνολο κριτηρίων που σέβονται τις συστάσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB), οι οποίες δημοσιεύθηκαν στις 18 Ιουνίου 2021.

Το Συμβούλιο της Επικρατείας επιβεβαίωσε ότι η CNIL ήταν αρμόδια να επιβάλλει κυρώσεις εκτός του ευρωπαϊκού μηχανισμού ενιαίας θυρίδας.

Η εν λόγω περίπτωση αφορά την εταιρεία Amazon online France, η οποία διατηρεί εγκατάσταση σε γαλλικό έδαφος και επεξεργάζεται δεδομένα ατόμων που διαμένουν στη Γαλλία.

Το πρόστιμο των 35 εκατομμυρίων ευρώ που επιβλήθηκε το 2020, το οποίο τιμωρεί τη χρήση cookies χωρίς τη συγκατάθεση του χρήστη, έχει επομένως επιβεβαιωθεί.

Στις 30 Ιουνίου, το CNIL επέβαλε πρόστιμο 1 εκατομμυρίου ευρώ στην εταιρεία Total Energies Electricité et Gaz de France. ιδίως για μη τήρηση των υποχρεώσεων σχετικά με την εμπορική αναζήτηση κοιτασμάτων και τα δικαιώματα των ατόμων.

Στις 13 Ιουνίου, η CNIL ξεκίνησε μια μελέτη σχετικά με τα δεδομένα γεωγραφικής τοποθεσίας που συλλέγονται από εφαρμογές για κινητά.

Όπως ανακοινώθηκε στο στρατηγικό της σχέδιο για την περίοδο 2022-2024, η CNIL επιθυμεί να ευαισθητοποιήσει το κοινό και τους επαγγελματίες σχετικά με τα ζητήματα που συνδέονται με τη συλλογή δεδομένων γεωγραφικής τοποθεσίας από εφαρμογές για κινητά.

Πρόκειται επίσης για επαλήθευση της συμμόρφωσης με τον ΓΚΠΔ από τους επαγγελματίες στον τομέα της εμπορικής αναζήτησης πελατών.

Ευρώπη:

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ) εκφράζει τις ανησυχίες του σχετικά με τις τροποποιήσεις του κανονισμού για την Ευρωπόλ, ο οποίος τέθηκε σε ισχύ στις 28 Ιουνίου 2022.

Ο ΕΕΠΔ τονίζει ότι αποδυναμώνουν το θεμελιώδες δικαίωμα στην προστασία των δεδομένων, δεν διασφαλίζουν την κατάλληλη εποπτεία του οργανισμού και διευρύνουν σημαντικά την εντολή της Ευρωπόλ όσον αφορά την ανταλλαγή δεδομένων προσωπικού χαρακτήρα με ιδιώτες, τη χρήση τεχνητής νοημοσύνης και την επεξεργασία μεγάλων συνόλων δεδομένων.

Στις 14 Ιουνίου, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) δημοσίευσε την απάντησή του στο Διαβούλευση της Ευρωπαϊκής Επιτροπής σχετικά με τη δημιουργία ενός ψηφιακού ευρώ.

Στις 16 Ιουνίου, τοΕΣΠΔ υιοθέτησε κατευθυντήριες γραμμές σχετικά με πιστοποίηση ως εργαλείο για τη μεταφορά προσωπικών δεδομένων σε τρίτες χώρες που δεν παρέχουν επαρκές επίπεδο προστασίας.

Το συνέδριο που διοργανώθηκε τον Ιούνιο από τηνΕΕΠΔ, που παρακολουθήθηκε διαδικτυακά και αυτοπροσώπως από περισσότερα από 2.000 άτομα, ολοκληρώθηκε με κρίσιμες παρατηρήσεις σχετικά με το Ευρωπαϊκή συνεργασία στις έρευνες.

Για τον ΕΕΠΔ, κάθε καλό μοντέλο θα πρέπει να περιλαμβάνει ισχυρούς μηχανισμούς συλλογικότητας, ενώ οι στρατηγικές έρευνες θα μπορούσαν να διεξάγονται σε κεντρικό επίπεδο, γεγονός που θα ξεπερνούσε «προβλήματα που προκύπτουν από ασύμβατες εθνικές νομοθεσίες ή άνισες προσπάθειες εναρμόνισης».

Ο Συμβούλιο της Ευρώπης δημοσιεύει μια μελέτη για την Κατασκοπευτικό λογισμικό Pegasus και τον αντίκτυπό του στα θεμελιώδη δικαιώματα. Θα πρέπει να υπενθυμιστεί ότι αυτό το κατασκοπευτικό λογισμικό αποτελεί επίσης αντικείμενο έρευνας από το Ευρωπαϊκό Κοινοβούλιο.

Ο Δίκτυο Συνεργασίας για την Προστασία των Καταναλωτών (ΕΠΚ), σε συνεργασία με τις αρχές προστασίας δεδομένων, ενέκρινε 5 βασικές αρχές για ένα δίκαιη διαφήμιση για παιδιάμικρό.

Ο Ελβετικός Ομοσπονδιακός Επίτροπος Προστασίας Δεδομένων και Πληροφοριών (FDPIC) συμβούλευσε την Suva (Ελβετικό Εθνικό Ταμείο Ασφάλισης Ατυχημάτων, το οποίο παρέχει κάλυψη υγειονομικής περίθαλψης στους υπαλλήλους της) να να επανεξετάσει την απόφασή της να αναθέσει την επεξεργασία των προσωπικών της δεδομένων στις Ηνωμένες Πολιτείεςs – πιο συγκεκριμένα στην υπηρεσία cloud της Microsoft, παρόλο που τα δεδομένα φιλοξενούνται σε έναν διακομιστή της MS στην Ελβετία.

Οι μεταγραφές εκτός Ευρώπης βρίσκονται επίσης στο επίκεντρο της πρόσφατης απόφασης του... Συμβούλιο της Επικρατείας του Βελγίου, το οποίο ανέστειλε την απόφαση επιλογής Αμερικανού αναδόχου στο πλαίσιο διαδικασίας σύναψης δημόσιας σύμβασης, με το σκεπτικό ότι η εν λόγω αρχή δεν εξέτασε επαρκώς εάν ο ανάδοχος συμμορφώθηκε με τις απαιτήσεις του ΓΚΠΔ, ιδίως με τις διατάξεις που αφορούν τις μεταβιβάσεις.

Η απόφαση θέτει επίσης υπό αμφισβήτηση την περαιτέρω επεξεργασία από μια άλλη εταιρεία, την Smart Analytics, με έδρα τη Ρωσία (μέσω του GDPRhub).

Δέκα ενώσεις καταναλωτών, υπό τον συντονισμό του Ευρωπαϊκός Οργανισμός Καταναλωτών (BEUC), ανακοίνωσε στις 30 Ιουνίου ότι λαμβάνει μέτρα για να διασφαλίσει ότι η Google συμμορφώνεται με τον νόμο: ο τεχνολογικός γίγαντας θα κατευθύνει τους καταναλωτές στο σύστημα παρακολούθησης όταν εγγράφονται για έναν λογαριασμό Google, αντί να παρέχει προστασία στα δεδομένα τους εξ ορισμού και εκ κατασκευής, όπως απαιτείται από τον ΓΚΠΔ.

Η μεταρρύθμιση της νομοθεσίας του Ηνωμένου Βασιλείου για την προστασία δεδομένων μετά το Brexit έφτασε σε νέο ορόσημο στις 17 Ιουνίου με την τελική απάντηση της κυβέρνησης στη δημόσια διαβούλευσή της.

Το έγγραφο περιλαμβάνει αρκετές μεταρρυθμίσεις, όπως η κατάργηση της απαίτησης διορισμού υπευθύνου προστασίας δεδομένων, η αντικατάσταση της απαίτησης συγκατάθεσης με το δικαίωμα αντίρρησης στην παρακολούθηση των χρηστών του διαδικτύου και αλλαγές στη λειτουργία του Γραφείου του Επιτρόπου Πληροφοριών.

Φινλανδική Επίσημη Αναπτυξιακή Δράση (ODA) διέταξε ένα νοσοκομείο να διαγράψει το ιστορικό των εργαζομένων, τα αρχεία καταγραφής τοποθεσίας και άλλα προσωπικά δεδομένα που δημιουργούνται από την προεπιλεγμένη λειτουργία καταγραφής τοποθεσίας στα Windows 10.

Αυτή η ρύθμιση παραβίαζε την αρχή της «προστασίας δεδομένων εξ ορισμού» του άρθρου 25(2) του ΓΚΠΔ (μέσω του GDPRhub). 

Η ιταλική αρχή προστασίας δεδομένων επέβαλε πρόστιμο 70.000 ευρώ σε ένα νοσοκομείο για κοινοποίηση σε τρίτους των παραληπτών δύο ιατρικών ενημερωτικών δελτίων. αντί του CCI, αποκαλύπτοντας τα προσωπικά τους δεδομένα (συμπεριλαμβανομένων των δεδομένων υγείας) σε όλους τους παραλήπτες χωρίς νομική βάση (μέσω του GDPRhub).

Για το ίδιο θέμα, η Επίσημη Αναπτυξιακή Βοήθεια της Ρουμανίας επέβαλε επίσης πρόστιμο 1.000 ευρώ σε έναν υπεργολάβο που ήταν υπεύθυνος για την υλοποίηση μιας διαφημιστικής καμπάνιας επειδή έστειλε ένα διαφημιστικό email σε 27 άτομα χωρίς να αποκρύψει τις διευθύνσεις email τους.

Ας το θυμόμαστε αυτό Το Βέλγιο αποφάνθηκε στις 29 Απριλίου σε παρόμοια υπόθεση ότι η αποστολή ενός τέτοιου email δεν συνιστούσε παραβίαση ασφαλείας όταν εμπλέκονταν λιγότερα από 16 άτομα.

Διεθνές:

Ρωσία: Δικαστήριο της Μόσχας επέβαλε πρόστιμο 15 εκατομμυρίων ρουβλίων στην Google για επανειλημμένη μη συμμόρφωση με τον κανόνα τοπικοποίησης δεδομένων.

Η Google είχε ήδη υποβληθεί σε διοικητική κύρωση το 2021 για παραβίαση της ίδιας αρχής του ρωσικού νόμου περί προσωπικών δεδομένων, ο οποίος υποχρεώνει τις εταιρείες να αποθηκεύουν τα προσωπικά δεδομένα Ρώσων πολιτών στο έδαφος της Ρωσικής Ομοσπονδίας..

ΗΝΩΜΕΝΕΣ ΠΟΛΙΤΕΙΕΣ: Οι επιπτώσεις της απόφασης Roe εναντίον Wade του Ανωτάτου Δικαστηρίου επεκτείνονται και σε ζητήματα απορρήτου δεδομένων. 

Το ερώτημα αφορά τη στάση των τεχνολογικών γιγάντων απέναντι στην πρόσβαση των αρχών σε δεδομένα γονιμότητας.

Αυτά τα δεδομένα μπορούν να αποκαλυφθούν μέσω πηγών όπως το ιστορικό του προγράμματος περιήγησης, οι αναζητήσεις, τα αρχεία καταγραφής email και μηνυμάτων, η χρήση εφαρμογών γονιμότητας και άλλων εμπορικών προϊόντων με τα οποία πολλοί χρήστες αλληλεπιδρούν καθημερινά.

Αυτού του είδους οι πληροφορίες έχουν ήδη χρησιμοποιηθεί από τις αρχές επιβολής του νόμου ως αποδεικτικά στοιχεία σε υποθέσεις που σχετίζονται με αμβλώσεις, όπως αναφέρει το The Register.

Κίνα: Οι New York Times δημοσιεύουν έρευνα που επικαλείται εκατοντάδες έγγραφα που περιγράφουν λεπτομερώς λογισμικό που αγόρασε η Κίνα για να το εξετάσει στις τεράστιες βάσεις δεδομένων παρακολούθησης, ώστε να προβλέψει ποιος θα γίνει ύποπτος ή πιθανός ταραχοποιός.

Στον Καναδά, Από τις 16 Ιουνίου, ένας Χάρτης Ψηφιακών Δικαιωμάτων προστατεύει τα δικαιώματα των καταναλωτών και τα προσωπικά δεδομένα και ρυθμίζει την τεχνητή νοημοσύνη..

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.