Εισαγωγή
Κατά την τελευταία δεκαετία, η ΕΕ υιοθέτησε ένα σύνολο κανονισμών για την ψηφιακή οικονομία, ένα ψηφιακό κανονιστικό corpus (Digital Rulebook) που ρυθμίζει τις αναδυόμενες ψηφιακές τεχνολογίες, την κυβερνοασφάλεια, τις διαδικτυακές πλατφόρμες και τις ηλεκτρονικές επικοινωνίες. Οι νομοθετικές αυτές πρωτοβουλίες, ως έκφραση και επιβεβαίωση της κανονιστικής ισχύος της Ευρώπης, απέκτησαν παγκόσμια απήχηση στον ψηφιακό χώρο[1]. Από τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ) του 2016 έως την Πράξη για τις Ψηφιακές Αγορές (DMA), την Πράξη για τις Ψηφιακές Υπηρεσίες (DSA) και, πιο πρόσφατα, την Πράξη για την Τεχνητή Νοημοσύνη (AI Act), η ΕΕ έχει οικοδομήσει ένα ευρύ κανονιστικό οικοδόμημα, ένα ψηφιακό κεκτημένο που θεμελιώνει τις συνταγματικές βάσεις της ψηφιακής κοινωνίας[2].
Οι νομοθετικές αυτές πρωτοβουλίες δεν αποτελούν απλώς μία σειρά από τομεακές ρυθμίσεις. Αντιπροσωπεύουν την ευρωπαϊκή φιλοσοφία ψηφιακής διακυβέρνησης, που στο επίκεντρό της τοποθετεί τα θεμελιώδη δικαιώματα, τη δημοκρατία και το κράτος δικαίου. Ωστόσο, καθώς το ψηφιακό κεκτημένο επεκτείνεται, ανακύπτει ένα εξίσου σημαντικό ερώτημα: πώς εφαρμόζεται αποτελεσματικά στην πράξη; Κι εδώ εντοπίζεται το κρίσιμο πρόβλημα.
Θεσμική πολυπλοκότητα
Η θεσμική αρχιτεκτονική του ψηφιακού κεκτημένου της ΕΕ χαρακτηρίζεται από αδιαμφισβήτητη πολυπλοκότητα. Κάθε μείζον κανονιστικό κείμενο εισάγει τον δικό του μηχανισμό εφαρμογής, δημιουργώντας ένα πλέγμα αρμοδιοτήτων που συχνά αλληλεπικαλύπτονται.
Χαρακτηριστικό παράδειγμα αποτελεί ο Κανονισμός (ΕΕ) 2016/679 για την προστασία των προσωπικών δεδομένων (GDPR), ο οποίος συνδυάζει στοιχεία κεντρικού συντονισμού με αποκεντρωμένη επιβολή. Ο Κανονισμός αναθέτει την κυρίως ευθύνη εφαρμογής του στις εθνικές Αρχές Προστασίας Προσωπικών Δεδομένων, οι οποίες λειτουργούν ως οι βασικοί φορείς εποπτείας και επιβολής της εφαρμογής του σε εθνικό επίπεδο. Ταυτόχρονα, για την αντιμετώπιση υποθέσεων που λαμβάνουν χώρα σε περισσότερες της μιας δικαιοδοσίες, εισάγει τον μηχανισμό μίας στάσης, one-stop-shop, στο πλαίσιο του οποίου η «επικεφαλής εποπτική αρχή» του κράτους μέλους της κύριας εγκατάστασης της επιχείρησης συντονίζει τη διαδικασία. Ο συντονισμός αυτός ενισχύεται περαιτέρω μέσω του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB), το οποίο διασφαλίζει τη συνεκτική εφαρμογή του Κανονισμού σε επίπεδο Ένωσης. Με τον τρόπο αυτό, το κανονιστικό μοντέλο του GDPR αντανακλά μια ευρύτερη τάση του ενωσιακού ψηφιακού δικαίου να συνδυάζει την ενίσχυση της αποκεντρωμένης επιβολής μέσω εθνικών αρχών με μηχανισμούς ευρωπαϊκού συντονισμού.
Η Πράξη για τις Ψηφιακές Αγορές (DSA) αναθέτει την εποπτεία των πολύ μεγάλων πλατφορμών στην Ευρωπαϊκή Επιτροπή, ενώ οι Εθνικοί Συντονιστές Ψηφιακών Υπηρεσιών επιβλέπουν τους λοιπούς παρόχους[3].
Η Πράξη για την Τεχνητή Νοημοσύνη (AI Act), προβλέπει εθνικές αρχές εποπτείας αγοράς με παράλληλη αρμοδιότητα του Γραφείου Τεχνητής Νοημοσύνης της ΕΕ για την τεχνητή νοημοσύνη γενικής χρήσης.
Η εφαρμογή του GDPR αποτελεί το πιο χαρακτηριστικό παράδειγμα των εγγενών αδυναμιών του συστήματος. Οι διασυνοριακές υποθέσεις, ιδίως εκείνες που αφορούν τις μεγάλες τεχνολογικές εταιρίες, έχουν αποκαλύψει σημαντικές δυσλειτουργίες: καθυστερήσεις ετών πριν από την έκδοση αποφάσεων, ασυνέπεια μεταξύ εθνικών αρχών, ανεπαρκείς πόροι για τη διεξαγωγή σύνθετων ερευνών. Αρκεί να παρατηρήσει κανείς την ιρλανδική Αρχή Προστασίας Προσωπικών Δεδομένων (DPC), ως αρχή στον τόπο κύριας εγκατάστασης για την πλειονότητα των αμερικανικών τεχνολογικών εταιρειών, η οποίαέχει επανειλημμένα κατηγορηθεί για βραδύτητα στη διεκπεραίωση υποθέσεων[4]. Αντιθέτως, αρχές όπως η γαλλική CNIL, η ιταλική Garante και η ολλανδική AP έχουν επιδείξει εντονότερη δραστηριότητα. Αυτή η ανισότητα υπονομεύει την ομοιόμορφη εφαρμογή του ενωσιακού δικαίου και θέτει σοβαρά ερωτήματα ως προς την effet utile του GDPR[5].
Επιπτώσεις στην προστασία των προσωπικών δεδομένων
Η προστασία των προσωπικών δεδομένων όμως δεν είναι απλώς ζήτημα κανονιστικής συμμόρφωσης. Κατοχυρώνεται ως αυτοτελές θεμελιώδες δικαίωμα στο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ, διακριτό από το δικαίωμα σεβασμού της ιδιωτικής ζωής του άρθρου 7, όπως και στο ελληνικό συνταγματικό πλαίσιο, η προστασία των προσωπικών δεδομένων προβλέπεται ρητά στο άρθρο 9Α του Συντάγματος.
Η προβληματική εφαρμογή του ψηφιακού κεκτημένου έχει άμεσες επιπτώσεις στην ουσιαστική απόλαυση αυτού του δικαιώματος. Όταν οι αρμόδιες εθνικές αρχές εφαρμόζουν τις διατάξεις του Κανονισμού με διαφορετική ένταση, προτεραιότητες ή διοικητικές πρακτικές, οι πολίτες της Ευρωπαϊκής Ένωσης δεν απολαμβάνουν ουσιαστικά το ίδιο επίπεδο προστασίας των προσωπικών τους δεδομένων. Ως αποτέλεσμα, η πρακτική προστασία των δικαιωμάτων τους ενδέχεται να διαφοροποιείται ανάλογα είτε με τον τόπο κατοικίας τους είτε με το κράτος μέλος στο οποίο έχει την κύρια εγκατάστασή της η εταιρεία που επεξεργάζεται τα δεδομένα τους.
Ένα από τα σοβαρότερα παράπλευρα αποτελέσματα αυτής της ασύμμετρης και διαφοροποιημένης επιβολής της εφαρμογής της νομοθεσίας είναι το φαινόμενο του “forum shopping” όπου οι εταιρείες επιλέγουν έδρα σε κράτη-μέλη με χαλαρότερη εποπτεία, αποφεύγοντας έτσι αυστηρότερους ελέγχους. Αυτό όχι μόνο στρεβλώνει τον ανταγωνισμό, αλλά υποβαθμίζει ουσιαστικά την προστασία των δεδομένων για εκατομμύρια Ευρωπαίους πολίτες.
Η Πράξη για την Τεχνητή Νοημοσύνη (AI Act) εισάγει ένα νέο επίπεδο πολυπλοκότητας στην αρχιτεκτονική της ψηφιακής νομοθεσίας της ΕΕ αφού επιμερίζει την εποπτεία μεταξύ εθνικών αρχών εποπτείας αγοράς και του νεοσύστατου Γραφείου ΤΝ της ΕΕ, ενώ για συστήματα ΤΝ υψηλού κινδύνου που επεξεργάζονται προσωπικά δεδομένα, απαιτείται στενός συντονισμός με τις Αρχές Προστασίας Προσωπικών Δεδομένων.
Η εν λόγω πολυεπίπεδη διακυβέρνηση γεννά αναπόφευκτες εντάσεις. Ένα σύστημα ΤΝ που χρησιμοποιείται σε αποφάσεις πρόσβασης σε κοινωνικές παροχές, π.χ., εμπίπτει ταυτόχρονα στις διατάξεις για τα συστήματα υψηλού κινδύνου του AI Act και στο πεδίο εφαρμογής του ΓΚΠΔ. Ποια αρχή φέρει την κύρια αρμοδιότητα; Πώς κατανέμεται το βάρος της έρευνας; Οι απαντήσεις σε αυτά τα ερωτήματα παραμένουν σε μεγάλο βαθμό ανοιχτές.
Ακόμη και στη χώρα μας ορίστηκαν τέσσερις αρχές για την εποπτεία εφαρμογής του Κανονισμού: (α) η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), (β) ο Συνήγορος του Πολίτη (ΣτΠ), (γ) η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) και (δ) η Εθνική Επιτροπή για τα Δικαιώματα του Ανθρώπου (ΕΕΔΑ). Το γεγονός αυτό εγείρει επιπλέον ερωτήματα ως προς τη συνταγματική θέση της νέας αρχής έναντι των λοιπών, καθώς και ως προς την κατανομή των δημοσιονομικών πόρων[6].
Απέναντι σε αυτές τις προκλήσεις, η ακαδημαϊκή συζήτηση έχει αρχίσει να διαμορφώνει μια πιο συστηματική προσέγγιση· επιδιώκεται πλέον η ανάπτυξη ενός πλαισίου επιβολής που να υπερβαίνει τις τομεακές λύσεις των επιμέρους κανονισμών και να αντιμετωπίζει το ζήτημα ως συνταγματικό πρόβλημα εντός του πολυεπίπεδου νομικού συστήματος της ΕΕ.
Η προσέγγιση αυτή εδράζεται στο άρθρο 2 ΣΕΕ και στην αρχή του κράτους δικαίου. Η επιβολή του ψηφιακού κεκτημένου δεν συνιστά απλώς ζήτημα αποτελεσματικότητας, αλλά ζήτημα συνταγματικής νομιμότητας: η κατακερματισμένη, άνιση και απρόβλεπτη εφαρμογή του υπονομεύει τις ίδιες τις αξίες που το ψηφιακό κεκτημένο αποσκοπεί να προστατεύσει.
Θέματα που χρήζουν μεταρρύθμισης
Στο πλαίσιο αυτό αναδύονται τέσσερις βασικές κατευθύνσεις έρευνας και μεταρρύθμισης.
Πρώτον, η εφαρμογή της αρχής της ειλικρινούς συνεργασίας (principe de coopération sincère) μεταξύ εποπτικών αρχών, η οποία χρήζει νομοθετικής εξειδίκευσης. Δεύτερον, η αποσαφήνιση των ορίων της επικουρικότητας και της αναλογικότητας, ώστε κάθε κεντρικοποίηση να σταθμίζεται έναντι της αυτονομίας των κρατών μελών. Τρίτον, η ενίσχυση του δικαστικού ελέγχου για την επίλυση συγκρούσεων αρμοδιότητας, με την πρόσφατη απόφαση του ΔΕΕ στην υπόθεση C-97/23 P, WhatsApp Ireland κατά EDPB, να αναδεικνύεται ως κρίσιμο ορόσημο όσον αφορά τη δυνατότητα των ιδιωτών να προσβάλλουν απευθείας τις αποφάσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB)[7]. Τέταρτον, η ουσιαστική ανεξαρτησία των εποπτικών αρχών, οι οποίες πρέπει να διαθέτουν επαρκείς πόρους και τεχνογνωσία για να ανταποκριθούν στις σύνθετες υποθέσεις τεχνητής νοημοσύνης και επεξεργασίας δεδομένων που έρχονται.
Παράλληλα, η ανάπτυξη πρακτικών μηχανισμών συνεργασίας μεταξύ ρυθμιστικών αρχών όπως το Digital Clearinghouse[8], πλατφόρμα που έχει σχεδιαστεί για τη βελτίωση της συνεργασίας και της ανταλλαγής πληροφοριών μεταξύ των αρχών που είναι αρμόδιες για την επιβολή των ψηφιακών κανόνων, μπορεί να συμβάλει στη βελτίωση του συντονισμού μεταξύ διαφορετικών κανονιστικών πλαισίων που επηρεάζουν την επεξεργασία δεδομένων, όπως το δίκαιο προστασίας δεδομένων, το δίκαιο ανταγωνισμού και η ρύθμιση των ψηφιακών πλατφορμών.
Συμπέρασμα
Τα μέτρα αυτά μπορούν να ενισχύσουν τη συνοχή και την αποτελεσματικότητα της ευρωπαϊκής ψηφιακής ρύθμισης, παραμένοντας παράλληλα συνεπή με τις αρχές της επικουρικότητας και της αναλογικότητας, όπως κατοχυρώνονται στο άρθρο 5 παρ. 3 και 4 της Συνθήκης για την Ευρωπαϊκή Ένωση. Με επίκεντρο τον βελτιωμένο θεσμικό συντονισμό, τη σαφέστερη κατανομή αρμοδιοτήτων και τα αποτελεσματικότερα εργαλεία επιβολής, η Ευρωπαϊκή Ένωση δύναται να αντιμετωπίσει τις προκλήσεις που απορρέουν από τον κατακερματισμό της επιβολής, διασφαλίζοντας την ομοιόμορφη εφαρμογή του ΓΚΠΔ και την ουσιαστική προστασία των δεδομένων προσωπικού χαρακτήρα στην ψηφιακή ενιαία αγορά.
Για την Ελλάδα, η πρόκληση αυτή συνδέεται άρρηκτα με τη βαθύτερη δέσμευση του ελληνικού συνταγματισμού στην ουσιαστική –και όχι απλώς τυπική– κατοχύρωση των δικαιωμάτων. Τούτο συνεπάγεται ότι η συζήτηση για την εφαρμογή του ψηφιακού κεκτημένου οφείλει να διεξαχθεί ως συζήτηση για τη φύση και το μέλλον των θεμελιωδών δικαιωμάτων στην ψηφιακή εποχή.
Παναγιώτης Κίτσος, νομικός, μεταδιδακτορικός ερευνητής στο Πανεπιστήμιο Μακεδονίας, μέλος ΣΕΠ στο Ελληνικό Ανοικτό Πανεπιστήμιο
[1] Η έννοια της «Κανονιστικής Δύναμης της Ευρώπης» (Normative Power Europe) του Ian Manners αναφέρεται στην ιδέα ότι η European Union επηρεάζει τη διεθνή πολιτική κυρίως μέσω της προώθησης και διάχυσης κανόνων και αξιών, όπως η δημοκρατία, τα ανθρώπινα δικαιώματα και το κράτος δικαίου και όχι μέσω παραδοσιακών μορφών στρατιωτικού ή οικονομικού εξαναγκασμού. Βλ. Manners, I. (2002). Normative power Europe: A contradiction in terms? Journal of Common Market Studies, 40(2), 235–258. https://doi.org/10.1111/1468-5965.00353.
[2] Αnu Bradford, Europe‘s Digital Constitution (2023), 64 Va. J. Int’l L. 1. Διαθέσιμο σε: https://scholarship.law.columbia.edu/faculty_scholarship/4.
[3] Στην Ελλάδα, με τον Ν.5099/2024 (ΦΕΚ 48/Α/05-04-2024) o ρόλος του «Συντονιστή Ψηφιακών Υπηρεσιών» ανατέθηκε στην ΕΕΤΤ.
[4] Domínguez de Olazábal, I. (2025, January 22). Why Ireland is the Achilles Heel of the EU’s fightback against Big Tech. EUobserver. https://euobserver.com/4860/why-ireland-is-the-achilles-heel-of-the-eus-fightback-against-big-tech/.
[5] Για την έννοια του effet utile βλ. Šadl, U. (2015). The role of effet utile in preserving the continuity and authority of European Union law: Evidence from the citation web of the pre-accession case law of the Court of Justice of the EU. European Journal of Legal Studies, 8(1), 18–45. Διαθέσιμο σε: https://hdl.handle.net/1814/38651.
[6] Υπουργείο Ψηφιακής Διακυβέρνησης. (2024, Νοέμβριος). Οι αρχές προστασίας των θεμελιωδών δικαιωμάτων σε σχέση με την εφαρμογή του Κανονισμού για την τεχνητή νοημοσύνη στην Ελλάδα. Διαθέσιμο σε: https://www.mindigital.gr/archives/6901.
[7] CJEU Judgment, Case C-97/23 P, WhatsApp Ireland v EDPB, 10 February 2026, Διαθέσιμο σε: https://www.courthousenews.com/wp-content/uploads/2026/02/whatsapp-ireland-v-european-data-protection-board-cjeu-judgment.pdf. Για τις επιπτώσεις της απόφασης αυτής στην ψηφιακή οικονομία βλ. VinciWorks. (2026, February 12). WhatsApp v the EDPB: Why this €225m GDPR case matters for every business. https://vinciworks.com/blog/whatsapp-v-the-edpb-why-this-e225m-gdpr-case-matters-for-every-business/.
[8] European Data Protection Supervisor. (2025, January 15). Towards a digital clearinghouse 2.0 (Concept note) https://www.edps.europa.eu/data-protection/our-work/publications/other-documents/2025-01-15-towards-digital-clearinghouse-20_en?utm_source=chatgpt.com.
