Νομικό Περιοδικό Αρ. 69 – Μάρτιος 2024.

Ασφάλεια δεδομένων, κυβερνοαπειλές: τρέχουσα κατάσταση και κατευθυντήριες γραμμές.

Αρκετοί οργανισμοί δημοσιεύουν τις εκθέσεις τους σχετικά με την κατάσταση της απειλής στον κυβερνοχώρο στις αρχές του τρέχοντος έτους: μια ευκαιρία για απολογισμό των κινδύνων και συμβουλές για την προστασία των προσωπικών δεδομένων.

Ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) δημοσίευσε την έκθεσή του σχετικά με τις απειλές στον κυβερνοχώρο έως το 2030.

Η έκθεση προσδιορίζει ως ιδιαίτερα ανησυχητικές απειλές που σχετίζονται με εξαρτήσεις λογισμικού και εκστρατείες παραπληροφόρησης, καθώς και εκείνες που σχετίζονται με ανθρώπινο λάθος.

Μεταξύ των μακροπρόθεσμων απειλών, ο οργανισμός επισημαίνει τις ελλείψεις δεξιοτήτων και τις αποτυχίες των παρόχων υπηρεσιών, καθώς και την αύξηση των απειλών που σχετίζονται με την Τεχνητή Νοημοσύνη.

Η πρωτοβουλία «δράση κατά του εγκλήματος στον κυβερνοχώρο» παρουσιάζει επίσης την ανάλυσή της για την κατάσταση της απειλής στη Γαλλία με την ευκαιρία της δημοσίευσης της ετήσιας έκθεσης δραστηριοτήτων της. 

Το ηλεκτρονικό ψάρεμα (phishing) παραμένει η κύρια απειλή: διαφοροποιείται και γίνεται πιο εξελιγμένο. Οι κύριες μορφές ηλεκτρονικού "ψαρέματος" περιλαμβάνουν παραβάσεις του Κώδικα Οδικής Κυκλοφορίας, παιδική πορνογραφία ή ψεύτικη τεχνική υποστήριξη.

Επιπλέον, οι απάτες που αφορούν ψεύτικους τραπεζικούς συμβούλους παραμένουν σε υψηλό και σταθερό επίπεδο.

Η παραβίαση λογαριασμών είναι μια άλλη σημαντική απειλή, με συνέπειες που μπορούν να οδηγήσουν σε κλοπή ταυτότητας και οικονομική ζημία.

Τέλος, οι επιθέσεις ransomware και το κακόβουλο λογισμικό (ιοί) αποτελούν σημαντικές και αυξανόμενες αιτίες αιτημάτων βοήθειας των θυμάτων.

Στις 27 Μαρτίου, η CNIL δημοσίευσε μια έκθεση σχετικά με τις παραβιάσεις ασφαλείας τα τελευταία πέντε χρόνια.

Σημειώνει ότι ο ιδιωτικός τομέας είναι υπεύθυνος για περίπου τα δύο τρίτα των δηλώσεων παραβιάσεων στην CNIL, συμπεριλαμβανομένων 39 % από ΜΜΕ.

Εν τω μεταξύ, ο δημόσιος τομέας αντιπροσωπεύει το 22% των κοινοποιήσεων.

Όσον αφορά την κατανομή ανά δραστηριότητα, οι δημόσιες διοικήσεις αντιπροσωπεύουν το 18% των κοινοποιήσεων.

Οι εξειδικευμένες, επιστημονικές και τεχνικές δραστηριότητες αντιπροσωπεύονται περισσότερο στον ιδιωτικό τομέα, ακολουθούμενες από τις χρηματοοικονομικές και ασφαλιστικές δραστηριότητες.

Οι δραστηριότητες που σχετίζονται με την ανθρώπινη υγεία αντιπροσωπεύουν επίσης 12 % των κοινοποιήσεων.

Σε αυτό το πλαίσιο, και για να ληφθούν υπόψη οι νέοι κίνδυνοι για τα δεδομένα, η CNIL ενημέρωσε τον οδηγό ασφάλειας δεδομένων της στα τέλη Μαρτίου.

Αυτή η νέα έκδοση αναδιαρθρώνει τον οδηγό σε πέντε μέρη: χρήστες, εξοπλισμός, έλεγχος δεδομένων, ετοιμότητα για συμβάντα και τέλος, εστίαση σε ιδιαίτερα τρέχοντα ζητήματα.

Το CNIL εισάγει νέα ενημερωτικά δελτία, ιδίως σχετικά με την τεχνητή νοημοσύνη (AI), τις εφαρμογές για κινητά, το cloud computing και τις διεπαφές προγραμματισμού εφαρμογών (API).

Ο οδηγός περιλαμβάνει επίσης ενημερωτικά δελτία σχετικά με την ανάλυση κινδύνου και την κρυπτογράφηση.

Στο τέλος του εγγράφου, μια λίστα ελέγχου σάς επιτρέπει να εξετάσετε τα μέτρα που έλαβε ο υπεύθυνος και να αξιολογήσετε το επίπεδο ασφάλειάς του.

Μεταξύ των συνιστώμενων μέτρων προστασίας, ο πολυπαραγοντικός έλεγχος ταυτότητας (MFA) αναφέρεται συχνά και συνιστάται ολοένα και περισσότερο για την προστασία των βάσεων δεδομένων από δόλιες προσπάθειες πρόσβασης.

Η CNIL μόλις ξεκίνησε δημόσια διαβούλευση σχετικά με τη συμμόρφωση των λύσεων που χρησιμοποιούν το AMF με τον GDPR.

Ένα πρόσφατο παράδειγμα επιβεβαιώνει την ανάγκη διευκρίνισης του πλαισίου χρήσης AMF: στην Ισπανία, μια εταιρεία καταδικάστηκε στο δικαστήριο επειδή επέβαλε AMF στους υπαλλήλους της στα ιδιωτικά τους τηλέφωνα, ενώ ο νόμος απαιτούσε να τους παρέχει εταιρικά κινητά τηλέφωνα για τον σκοπό αυτό.

Στη σύστασή της, η CNIL εξετάζει τον καθορισμό νομικής βάσης, την ελαχιστοποίηση των δεδομένων που συλλέγονται, τις περιόδους διατήρησης και τον σεβασμό της άσκησης των δικαιωμάτων από τα ενδιαφερόμενα πρόσωπα.

Παρέχει πρακτικά παραδείγματα εφαρμογής πολυπαραγοντικής επαλήθευσης ταυτότητας που σέβεται την ιδιωτικότητα.

 

      

Η Γαλλική Αρχή Ανταγωνισμού επέβαλε πρόστιμο 250 εκατομμυρίων ευρώ στην Google στις 20 Μαρτίου για μη τήρηση των δεσμεύσεών της και για χρήση άρθρων του Τύπου για την εκπαίδευση του συστήματος τεχνητής νοημοσύνης της (Bard/Gemini). 

Αυτή η απόφαση, η 4η που λαμβάνεται σε αυτήν την υπόθεση μέσα σε τέσσερα χρόνια, εντάσσεται στο πλαίσιο της ψήφισης του νόμου της 24ης Ιουλίου 2019 περί συγγενικών δικαιωμάτων, ο οποίος στοχεύει στη δημιουργία των συνθηκών για μια ισορροπημένη διαπραγμάτευση μεταξύ εκδοτών, πρακτορείων τύπου και ψηφιακών πλατφορμών.

Στις 8 Απριλίου, η CNIL δημοσίευσε συστάσεις για τη χρήση της Τεχνητής Νοημοσύνης με τρόπο που να σέβεται τα προσωπικά δεδομένα.

Στόχος τους είναι να παρέχουν συγκεκριμένες απαντήσεις, επεξηγούμενες με παραδείγματα, στις νομικές και τεχνικές προκλήσεις που σχετίζονται με την εφαρμογή του ΓΚΠΔ στην Τεχνητή Νοημοσύνη.

Τα σημεία που εξετάζονται σε αυτές τις αρχικές συστάσεις καθιστούν δυνατό, ιδίως, τον προσδιορισμό του εφαρμοστέου νομικού καθεστώτος, την νομική επάρκεια των φορέων, τη διενέργεια ανάλυσης επιπτώσεων, όπου είναι σκόπιμο, και την ενσωμάτωση της προστασίας δεδομένων από το στάδιο του σχεδιασμού του συστήματος (ιδιωτικότητα εκ σχεδιασμού).

 

Ευρωπαϊκά θεσμικά όργανα και οργανισμοί

Στις 11 Μαρτίου, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) διαπίστωσε ότι η Ευρωπαϊκή Επιτροπή είχε παραβιάσει αρκετούς βασικούς κανόνες προστασίας δεδομένων κατά τη χρήση του Microsoft 365.

Συγκεκριμένα, «η Επιτροπή δεν έχει παράσχει κατάλληλες εγγυήσεις για να διασφαλίσει ότι τα προσωπικά δεδομένα που διαβιβάζονται εκτός ΕΕ/ΕΟΧ απολαμβάνουν επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό που εγγυάται στην ΕΕ/ΕΟΧ».

Επιπλέον, στη σύμβασή της με τη Microsoft, η Επιτροπή δεν διευκρίνισε επαρκώς ποια είδη προσωπικών δεδομένων θα έπρεπε να συλλέγονται και για ποιους σαφείς και ακριβείς σκοπούς κατά τη χρήση του Microsoft 365 (...).

Το ΕΣΠΔ επέβαλε διορθωτικά μέτρα στην Επιτροπή, συμπεριλαμβανομένης της αναστολής, από τις 9 Δεκεμβρίου 2024, όλων των ροών δεδομένων που προκύπτουν από τη χρήση του Microsoft 365 προς τη Microsoft και τις θυγατρικές και υπεργολάβους της που βρίσκονται σε χώρες εκτός ΕΕ/ΕΟΧ και δεν καλύπτονται από απόφαση επάρκειας.

Ενώ η απόφαση αυτή αφορά τα ευρωπαϊκά θεσμικά όργανα, η συλλογιστική του ΕΕΠΔ έχει πολύ ευρύτερο πεδίο εφαρμογής και θα μπορούσε να έχει επιπτώσεις στη χρήση του Microsoft 365 στα κράτη μέλη της ΕΕ.

Στις 15 Μαρτίου, η Ευρωπαία Διαμεσολαβήτρια απέστειλε επιστολή στην Ευρωπαϊκή Επιτροπή για να ρωτήσει πώς χρησιμοποιεί την Τεχνητή Νοημοσύνη στη διαδικασία λήψης αποφάσεων.

Ο Συνήγορος του Πολίτη σημείωσε ότι «ενώ οι ραγδαίες εξελίξεις στην Τεχνητή Νοημοσύνη μπορούν να βελτιώσουν την ποιότητα και την αποτελεσματικότητα της εργασίας, θέτουν σημαντικές προκλήσεις όσον αφορά την ακρίβεια, την πιθανή μεροληψία, την εξηγησιμότητα και τον ανθρώπινο έλεγχο».

Τόνισε επίσης ότι οι δημόσιες διοικήσεις πρέπει να διασφαλίζουν ότι η Τεχνητή Νοημοσύνη βοηθά μόνο τη λήψη αποφάσεων από τον άνθρωπο και όχι την αντικαθιστά.

Οι ερωτήσεις επικεντρώνονται στη χρήση της Τεχνητής Νοημοσύνης σε τρεις συγκεκριμένους τομείς: ανάλυση των σχολίων του κοινού, ανακάλυψη πιθανών παραβιάσεων των κανόνων ανταγωνισμού της ΕΕ και χειρισμός καταγγελιών.

Ενώ το Ευρωπαϊκό Κοινοβούλιο μόλις ψήφισε τον κανονισμό για την Τεχνητή Νοημοσύνη, οι κανονισμοί που αφορούν τις ψηφιακές αγορές (DMA) και τις ψηφιακές υπηρεσίες (DSA) έχουν τεθεί σε ισχύ και η Επιτροπή έχει ήδη κινήσει αρκετές διαδικασίες βάσει αυτών των δύο κειμένων.

Στις 25 Μαρτίου, ξεκίνησε διαδικασίες βάσει DMA κατά των Alphabet, Apple και Meta.

Όσον αφορά την Apple και την Alphabet, η Επιτροπή σκοπεύει να διαπιστώσει εάν τα μέτρα που εφαρμόστηκαν σε σχέση με τις υποχρεώσεις τους σχετικά με τα καταστήματα εφαρμογών αντίκεινται στον νόμο περί δημοσίων συμβάσεων, ο οποίος απαιτεί από τους ελεγκτές να επιτρέπουν στους προγραμματιστές εφαρμογών να «κατευθύνουν» τους καταναλωτές δωρεάν σε προσφορές που δεν αναφέρονται στα καταστήματα εφαρμογών τους.

Όσον αφορά το Meta, η Επιτροπή έχει κινήσει διαδικασία για να διαπιστώσει εάν το πρόσφατα εισαχθέν μοντέλο «πληρωμής ή συναίνεσης» για τους χρήστες στην ΕΕ συμμορφώνεται με τη νομοθεσία περί προστασίας δεδομένων, η οποία απαιτεί από τους θεματοφύλακες να λαμβάνουν τη συγκατάθεση των χρηστών όταν σκοπεύουν να συνδυάσουν ή να χρησιμοποιήσουν διασταυρούμενα τα προσωπικά τους δεδομένα.

Αυτή η τελευταία διαδικασία έρχεται να προστεθεί σε εκείνη που ξεκίνησε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων για το ίδιο θέμα.

Η Επιτροπή κίνησε επίσης επίσημη διαδικασία βάσει του Νόμου περί Ψηφιακών Υπηρεσιών στις 14 Μαρτίου για να διαπιστώσει εάν η AliExpress είχε παραβιάσει τον Νόμο περί Ψηφιακών Υπηρεσιών σε τομείς που σχετίζονται με τη διαχείριση και τον μετριασμό των κινδύνων, τον έλεγχο περιεχομένου και τον εσωτερικό μηχανισμό χειρισμού παραπόνων, τη διαφάνεια των συστημάτων διαφήμισης και συστάσεων, την ιχνηλασιμότητα των εμπόρων και την πρόσβαση σε δεδομένα για τους ερευνητές.

Την ίδια ημερομηνία, απέστειλε επίσης αίτημα παροχής πληροφοριών στο LinkedIn σχετικά με πιθανώς στοχευμένη διαφήμιση βασισμένη σε ευαίσθητα δεδομένα.

Στις 4 Μαρτίου, η Ευρωπαϊκή Επιτροπή φιλοξένησε την πρώτη συνάντηση «υψηλού επιπέδου» σχετικά με τις διασυνοριακές ροές δεδομένων.

Στη συνάντηση παρευρέθηκαν ο Επίτροπος Δικαιοσύνης, ο Πρόεδρος του ΕΣΠΔ, καθώς και υπουργοί και επικεφαλής αρχών προστασίας δεδομένων από 15 χώρες και εδάφη για τα οποία η ΕΕ έχει εκδώσει απόφαση επάρκειας.

Στόχος είναι η προώθηση της ενισχυμένης συνεργασίας μεταξύ αυτών των συμμετεχόντων στον τομέα της προστασίας δεδομένων.

Σε απόφαση της 7ης Μαρτίου, το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) επιβεβαίωσε ότι η συμβολοσειρά TC («συμβολοσειρά TC») που χρησιμοποιείται από τους διαφημιζόμενους για την κωδικοποίηση των προτιμήσεων των χρηστών «περιέχει πληροφορίες σχετικά με έναν αναγνωρίσιμο χρήστη και ως εκ τούτου συνιστά προσωπικά δεδομένα κατά την έννοια του ΓΚΠΔ».

Όταν οι πληροφορίες που περιέχονται σε μια συμβολοσειρά TC σχετίζονται με ένα αναγνωριστικό, όπως, μεταξύ άλλων, τη διεύθυνση IP της συσκευής του χρήστη, αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν για τη δημιουργία ενός προφίλ αυτού του χρήστη και την αναγνώρισή του. 

Επιπλέον, η IAB Europe πρέπει να θεωρείται «κοινός υπεύθυνος επεξεργασίας» κατά την έννοια του ΓΚΠΔ. (...)

Ο σύνδεσμος φαίνεται να ασκεί επιρροή στις λειτουργίες επεξεργασίας δεδομένων όταν οι προτιμήσεις συγκατάθεσης των χρηστών καταγράφονται σε μια συμβολοσειρά TC και να καθορίζει, από κοινού με τα μέλη του, τόσο τους σκοπούς αυτών των λειτουργιών όσο και τα μέσα που τις υποστηρίζουν. 

Το ΔΕΕ αποφάνθηκε στις 7 Μαρτίου επί της έφεσης κατά απόφασης του Δικαστηρίου της ΕΕ σχετικά με την έννοια των προσωπικών δεδομένων.

 Έκρινε ότι ο αναγνωρίσιμος χαρακτήρας δεν συνδέεται με το γεγονός ότι ένας «μέσος αναγνώστης» μπορεί να αναγνωρίσει ένα άτομο, αλλά εξαρτάται από την κατοχή ή μη «πρόσθετων παραγόντων... απαραίτητων για την αναγνώριση... [αυτών των παραγόντων] μπορεί να είναι προσβάσιμοι σε πρόσωπο διαφορετικό από τον υπεύθυνο επεξεργασίας (βλ. C-582/14, σκέψεις 39 και 41)».

Το Δικαστήριο έσφαλε επίσης υποστηρίζοντας ότι τα «μέσα που είναι εύλογα πιθανό» να χρησιμοποιηθούν για την αναγνώριση ενός εμπλεκόμενου προσώπου ήταν περιορισμένα.

Το δικαστήριο θα έπρεπε να είχε λάβει υπόψη το κόστος και τον χρόνο που απαιτήθηκαν για την αναγνώριση του ενάγοντος, ώστε να διαπιστώσει εάν ο τελευταίος μπορούσε να αναγνωριστεί με «εύλογα μέσα».

Η απόφαση αυτή αφορούσε την εφαρμογή του κανονισμού για την προστασία δεδομένων που ισχύει για τα ευρωπαϊκά θεσμικά όργανα, του οποίου οι ορισμοί είναι πανομοιότυποι με εκείνους του ΓΚΠΔ.

Στον ιστότοπο της Kaizener θα βρείτε μια σειρά από πίνακες που απαριθμούν τις πολλές ευρωπαϊκές κανονιστικές πρωτοβουλίες στον ψηφιακό τομέα, καθώς και την κατάσταση εφαρμογής τους. 

 

Νέα από τις χώρες μέλη της Ευρώπης.

Η Βελγική Αρχή Προστασίας Δεδομένων δημοσίευσε στις 15 Μαρτίου απόφαση σχετικά με τη νομική βάση για την επεξεργασία δεδομένων που χρησιμοποιούνται για την εκπαίδευση μοντέλων Τεχνητής Νοημοσύνης και την επακόλουθη, ξεχωριστή χρήση αυτών των μοντέλων για εμπορικούς σκοπούς. 

Η APD έκρινε ότι ο υπεύθυνος επεξεργασίας δεν μπορούσε να ισχυριστεί συμβατή χρήση (άρθρο 6(4) του ΓΚΠΔ), επειδή ο στόχος της εκπαίδευσης δεν είχε καθοριστεί σαφώς εξαρχής.

Η περαιτέρω χρήση απαιτούσε επίσης τη δική της νομική βάση.

Ο υπεύθυνος επεξεργασίας δεδομένων πρέπει επίσης να παρέχει στους πελάτες του το δικαίωμα να αντιταχθούν στη χρήση δεδομένων για την εκπαίδευση μοντέλων.

Η Βελγική Αρχή Προστασίας Δεδομένων έκρινε επίσης ότι ένας υπεύθυνος επεξεργασίας δεδομένων είχε παραβιάσει το άρθρο 5(1) του ΓΚΠΔ, μη διαγράφοντας εγκαίρως τον λογαριασμό ηλεκτρονικού ταχυδρομείου ενός πρώην υπαλλήλου.

Η APD ανέφερε ότι το γραμματοκιβώτιο θα πρέπει να απενεργοποιείται την τελευταία εργάσιμη ημέρα και ότι η αυτόματη απάντηση θα πρέπει να απενεργοποιείται εντός ενός μήνα ή τριών μηνών σε ορισμένες εξαιρέσεις.

Σε παρόμοιο πλαίσιο, η Ιταλική Αρχή Προστασίας Δεδομένων (APD) έκρινε ότι ο υπεύθυνος επεξεργασίας δεδομένων είχε παραβιάσει την αρχή της ελαχιστοποίησης των δεδομένων, επειδή δεν απενεργοποίησε τον λογαριασμό ηλεκτρονικού ταχυδρομείου ενός πρώην υπαλλήλου, επικαλούμενος την ανάγκη ανακατεύθυνσης των πελατών σε άλλο λογαριασμό.

Στον υπεύθυνο επεξεργασίας επιβλήθηκε πρόστιμο 15.000 ευρώ.

Η Ιταλική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 800.000 ευρώ σε υπεργολάβο για πρόσληψη δευτερεύοντος υπεργολάβου χωρίς προηγούμενη άδεια από τον υπεύθυνο επεξεργασίας δεδομένων και για καθυστερημένη ειδοποίηση παραβίασης δεδομένων στον υπεύθυνο επεξεργασίας.

Επέβαλε επίσης πρόστιμο σε πέντε εταιρείες που χρησιμοποιούσαν αναγνώριση προσώπου για την παρακολούθηση της παρουσίας στον χώρο εργασίας.

Η αρχή διαπίστωσε ότι τα μέτρα προστασίας δεδομένων ήταν ανεπαρκή, ότι οι άνθρωποι δεν είχαν λάβει τις απαιτούμενες πληροφορίες και ότι θα μπορούσε να είχε χρησιμοποιηθεί ένα λιγότερο παρεμβατικό σύστημα.

Η Ιταλική Αρχή Προστασίας Δεδομένων (APD) ξεκίνησε επίσης έρευνα στις 8 Μαρτίου κατά της OpenAI, η οποία ανακοίνωσε την κυκλοφορία ενός νέου μοντέλου τεχνητής νοημοσύνης που ονομάζεται «Sora».

Αυτό το μοντέλο θα ήταν ικανό να δημιουργεί δυναμικές, ρεαλιστικές και ευφάνταστες σκηνές από μερικές οδηγίες κειμένου.

Η APD ζήτησε από την OpenAi να παράσχει μια σειρά διευκρινίσεων ενόψει των επιπτώσεων που θα μπορούσε να έχει το «Sora» στην επεξεργασία των προσωπικών δεδομένων των χρηστών στην Ευρωπαϊκή Ένωση και ειδικότερα στην Ιταλία.

Στις 25 Μαρτίου, η Πορτογαλική Αρχή Προστασίας Δεδομένων (APD) αποφάσισε να διατάξει το Ίδρυμα Worldcoin να περιορίσει προσωρινά τη συλλογή βιομετρικών δεδομένων από την «Orb» σε εθνικό έδαφος, προκειμένου να διαφυλάξει τα δικαιώματα των πολιτών, ιδίως των ανηλίκων.

Η απόφαση επιβάλλει επείγον προσωρινό μέτρο στο Worldcoin Foundation, ως υπεύθυνο επεξεργασίας δεδομένων, μέχρι την ολοκλήρωση της διαδικασίας έρευνας.

Η Ισπανία έχει λάβει παρόμοια απόφαση.

Η Φινλανδική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 856.000 ευρώ σε έναν λιανοπωλητή πληροφορικής επειδή δεν καθόρισε την περίοδο διατήρησης των δεδομένων των πελατών της.

Η APD έλαβε επίσης υπόψη ότι Η επεξεργασία προσωπικών δεδομένων που σχετίζονται με μία μόνο ηλεκτρονική αγορά δεν απαιτεί τη δημιουργία λογαριασμού πελάτη.

Στη Γερμανία, δικαστήριο του Βερολίνου έκρινε ότι ο υπεύθυνος επεξεργασίας δεδομένων δεν μπορεί να περιοριστεί, απαντώντας σε αίτημα πρόσβασης, στην παροχή μιας συνοπτικής επισκόπησης της επεξεργασίας.

Ο αξιωματούχος είχε επικαλεστεί δυσανάλογες προσπάθειες.

Σύμφωνα με το δικαστήριο, αυτά μπορούν να επικαλεστούν μόνο σε πολύ εξαιρετικές περιπτώσεις.

Η Ισλανδική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο στην Stjörnuna ύψους 10.059,92 ευρώ (1.500.000 ISK). ο φορέας εκμετάλλευσης της Subway στην Ισλανδία, για παράνομη παρακολούθηση των εργαζομένων της χωρίς να τους ενημερώνει επαρκώς.

Στην Αυστρία, το Ανώτατο Διοικητικό Δικαστήριο έκρινε ότι ένας αλγόριθμος Ο προσδιορισμός της πιθανότητας πρόσληψης υποψηφίων για εργασία συνιστά αυτοματοποιημένη λήψη αποφάσεων κατά την έννοια του άρθρου 22 του ΓΚΠΔ, ακόμη και αν το αποτέλεσμα χρησιμοποιείται αποκλειστικά από δημόσιο φορέα για την παροχή στοχευμένων συμβουλών απασχόλησης στους αιτούντες εργασία.

 

Η βρετανική κυβέρνηση δημοσίευσε τον Μάρτιο έναν οδηγό για την υπεύθυνη απόκτηση και ανάπτυξη Τεχνητής Νοημοσύνης στον τομέα του ανθρώπινου δυναμικού και των προσλήψεων.

Στις 21 Μαρτίου, ο ΟΗΕ ενέκρινε ένα ολοκληρωμένο ψήφισμα για την Τεχνητή Νοημοσύνη.

Ο οργανισμός αναγνωρίζει ότι η Τεχνητή Νοημοσύνη μπορεί να βοηθήσει στην επιτάχυνση της επίτευξης των 17 Στόχων Βιώσιμης Ανάπτυξης και τονίζει την επείγουσα ανάγκη «επίτευξης παγκόσμιας συναίνεσης για ασφαλή, προστατευμένα και αξιόπιστα συστήματα τεχνητής νοημοσύνης».

Το ψήφισμα ενθαρρύνει τα κράτη μέλη να υιοθετήσουν κανονισμούς και πολιτικές για την Τεχνητή Νοημοσύνη σε διάφορα θέματα, συμπεριλαμβανομένης της προστασίας της ιδιωτικής ζωής.

Η Συνέλευση κάλεσε όλα τα κράτη μέλη και τα ενδιαφερόμενα μέρη «να απέχουν ή να παύσουν να χρησιμοποιούν συστήματα τεχνητής νοημοσύνης που δεν μπορούν να λειτουργήσουν σύμφωνα με το διεθνές δίκαιο ανθρωπίνων δικαιωμάτων ή που παρουσιάζουν υπερβολικούς κινδύνους για την απόλαυση των ανθρωπίνων δικαιωμάτων».

Σύμφωνα με άρθρο του Techcrunch στις 26 Μαρτίου, ένα ομοσπονδιακό δικαστήριο στην Καλιφόρνια δημοσίευσε διάφορα έγγραφα στο πλαίσιο ομαδικής αγωγής που κατέθεσαν καταναλωτές εναντίον του Meta.

Το 2016, το Facebook φέρεται να ξεκίνησε ένα μυστικό έργο με στόχο την υποκλοπή και αποκρυπτογράφηση της δικτυακής κίνησης μεταξύ ατόμων που χρησιμοποιούν την εφαρμογή Snapchat και τους διακομιστές της.

Ο στόχος ήταν να κατανοηθεί η συμπεριφορά των χρηστών και να βοηθηθεί το Facebook να ανταγωνιστεί το Snapchat.

Το Υπουργείο Δικαιοσύνης και το FBI ανακοίνωσαν στις 25 Μαρτίου ότι εκατομμύρια διαδικτυακοί λογαριασμοί Αμερικανών ενεπλάκησαν σε σχέδιο κινεζικής πειρατείας.

Επτά Κινέζοι υπήκοοι κατηγορούνται για την πραγματοποίηση μιας μεγάλης κλίμακας εκστρατείας κυβερνοεπίθεσης.

Το Υπουργείο Δικαιοσύνης δήλωσε ότι οι χάκερ στόχευσαν Αμερικανούς και ξένους επικριτές της Κίνας, επιχειρήσεις και πολιτικούς.

Στις 25 Μαρτίου, ο Ρεπουμπλικάνος κυβερνήτης της Φλόριντα υπέγραψε νομοσχέδιο που απαγορεύει την πρόσβαση στα μέσα κοινωνικής δικτύωσης για παιδιά κάτω των 14 ετών.

Οι ανήλικοι ηλικίας 14 ή 15 ετών θα πρέπει να λάβουν ρητή γονική συναίνεση για να δημιουργήσουν λογαριασμό.

Όταν οι κανόνες τεθούν σε ισχύ την 1η Ιουλίου 2024, εταιρείες όπως το Facebook, το Instagram και το TikTok θα υποχρεούνται κατ' αρχήν να τερματίσουν τους υπάρχοντες λογαριασμούς που δεν πληρούν αυτές τις απαιτήσεις και να διαγράψουν όλα τα αντίστοιχα προσωπικά δεδομένα.

Αυτό το μέτρο έχει επικριθεί και αναμένεται να αμφισβητηθεί στο δικαστήριο βάσει των συνταγματικών δικαιωμάτων στην ελευθερία της έκφρασης.

Εν τω μεταξύ, οι Ηνωμένες Πολιτείες εξετάζουν το ενδεχόμενο απαγόρευσης του TikTok σε εθνικό επίπεδο.

Στις 13 Μαρτίου, η Βουλή των Αντιπροσώπων ψήφισε τον λεγόμενο «Νόμο για την Προστασία των Αμερικανών από Ελεγχόμενες Αιτήσεις από Ξένους Αντιπάλους».

Εάν εγκριθεί από τη Γερουσία και τεθεί σε ισχύ, το TikTok θα πρέπει να διαχωρίσει την πλατφόρμα βίντεο από την κινεζική μητρική της εταιρεία ByteDance ή να αφαιρέσει την πρόσβαση των Αμερικανών στην εφαρμογή.

Στις 18 Μαρτίου, στην τρίτη σύνοδο κορυφής για τη δημοκρατία στη Σεούλ, η Νότια Κορέα, η Φινλανδία, η Γερμανία, η Ιρλανδία, η Ιαπωνία, η Πολωνία και η Δημοκρατία της Κορέας συντάχθηκαν με τις Ηνωμένες Πολιτείες σε κοινή δήλωση σχετικά με τις προσπάθειες για την καταπολέμηση της διάδοσης και της κατάχρησης του εμπορικού κατασκοπευτικού λογισμικού.

Οι χώρες δεσμεύονται να εργαστούν εντός των εθνικών τους συστημάτων για να θεσπίσουν ισχυρές δικλείδες ασφαλείας για την αντιμετώπιση της διάδοσης και της κατάχρησης αυτής της τεχνολογίας επιτήρησης.

Στο Κουβέιτ, η Ρυθμιστική Αρχή Τεχνολογιών Πληροφορικής και Επικοινωνιών (CITRA) δημοσίευσε έναν νέο νόμο για την προστασία των προσωπικών δεδομένων.