Ο ΓΚΠΔ, η Οδηγία 2016/680 και οι εφαρμοστικές εθνικές νομοθεσίες δέχονται την επεξεργασία προσωπικών δεδομένων για οποιονδήποτε σκοπό αρκεί να είναι «καθορισμένος», «σαφής» και «νόμιμος». Αυτό σημαίνει ότι, κατ’ αρχήν, το κράτος μπορεί να αποφασίζει τη συλλογή προσωπικών δεδομένων των πολιτών και στη συνέχεια να χρησιμοποιεί αυτά τα δεδομένα ορίζοντας με νόμο[1] τον σκοπό, κατά το δοκούν.
Καμία κυβέρνηση δεν είναι αφελής να περιγράψει αυτό τον σκοπό στο νόμο της με τρόπο που να τον καθιστά προφανώς αθέμιτο. Αν, π.χ., θελήσει να επιβάλλει μια γενική παρακολούθηση πολιτών, η περιγραφή στο νόμο θα αφορά τη «δημόσια τάξη» ή τη «δημόσια ασφάλεια», σκοπούς δηλαδή που δεν αμφισβητούνται. Αν πάλι θελήσει να απαλλαγεί από προσωπικό στις δημόσιες υπηρεσίες (ή ακόμη και από τις ίδιες τις υπηρεσίες αυτές, π.χ. καταστήματα εφοριών, ταχυδρομείων, ΚΕΠ, κ.λπ.), ο νόμος θα προβάλλει ως σκοπό τον «εκσυγχρονισμό» και την «αποτελεσματικότητα», μέσω της ψηφιοποίησης που προϋποθέτει ευρεία επεξεργασία προσωπικών δεδομένων των χρηστών. Ποιος μπορεί να έχει αντίρρηση, με τους όρους του ΓΚΠΔ;
Ανάλογα ισχύουν για τις μεγάλες ιδιωτικές επιχειρήσεις. Οι τράπεζες ή οι εταιρείες τηλεπικοινωνιών ή οι εταιρείες ενέργειας, εύκολα μπορούν να δημιουργήσουν συλλογές προσωπικών δεδομένων από μεγάλες ομάδες του πληθυσμού (αν όχι από ολόκληρο τον πληθυσμό), που τις υποβάλλουν σε οποιαδήποτε χρήση, πρακτικά ανέλεγκτη από τους πολίτες (το πολύ με την πρόβλεψη μιας -αντίθετης, κατ’ αρχήν, στον ΓΚΠΔ- επιλογής opt-out, βλ. την πολιτική των cookies). Κι όμως ο σκοπός είναι «άγιος», αφού αφορά υπηρεσίες που όλους μας εξυπηρετούν και των οποίων βέβαια δεν αμφισβητείται η νομιμότητα.
Αν είναι τόσο εύκολα τα πράγματα για το κράτος και για τους ιδιώτες επιχειρηματίες, ποια είναι η πρακτική εγγύηση που προστατεύει την ιδιωτικότητά μας; Θα πει κάποιος: ο ΓΚΠΔ, βέβαια! Αλλά ο ΓΚΠΔ δεν ασχολείται με τους σκοπούς της επεξεργασίας, τον ενδιαφέρει το «από εκεί και πέρα». Τότε όμως συνήθως είναι πολύ αργά, αν πάρουμε υπ’ όψη την ταχύτητα της εξέλιξης της τεχνολογίας. Με απλά λόγια: από τη στιγμή που ανοίγουμε την πόρτα στην επεξεργασία, εν όψει του «νόμιμου σκοπού», απλώς τρέχουμε ασθμαίνοντας να προλάβουμε πιθανές παραβιάσεις δεδομένων μας, προσπαθώντας να τα βάλουμε με κολοσσούς!
Όλα λοιπόν κρίνονται στον έλεγχο του σκοπού. Και η «νομιμότητα» του τελευταίου δεν σημαίνει βέβαια ότι αρκεί να τον προβλέπει ένας κανόνας δικαίου, που εμπνεύστηκε ο οποιοσδήποτε απίθανος «μοδάτος» υπουργός. Σημαίνει ότι ο σκοπός αυτός πρέπει να είναι σύμφωνος με το Σύνταγμα.
Έτσι, αν υποθέσουμε ότι με μια «έξυπνη» εφαρμογή της αστυνομίας είναι δυνατή η άμεση ταυτοποίηση πολιτών όπου κι αν βρίσκονται (σε μια δημόσια εκδήλωση, σε μια διαδήλωση, σε ένα νοσοκομείο ή σε έναν οίκο ανοχής) και στη συνέχεια η δημιουργία προφίλ για την «πρόληψη της εγκληματικότητας»[2], ο σκοπός αντιβαίνει στην προστασία της προσωπικότητας και της ιδιωτικότητας. Δεν είναι δηλαδή ο όγκος των δεδομένων και η αναλογία με το σκοπό το πρόβλημα εδώ, είναι ο ίδιος ο σκοπός της επεξεργασίας (: η πρόληψη της εγκληματικότητας με αυτόν τον τρόπο) αντίθετος με το Σύνταγμα. Το ίδιο ισχύει με την παρακολούθηση (ίσως και την «κοινωνική βαθμολόγηση»[3]) των πολιτών από τον εντοπισμό της δραστηριότητάς τους στα social media, στις συναλλαγές ή αλλού.
Με την ίδια λογική, εφαρμογές της εφορίας, των ταχυδρομείων, των τραπεζών, των εταιρειών τηλεπικοινωνιών κ.λπ. που επιβάλλουν την συμπλήρωση προσωπικών δεδομένων σε πλατφόρμες, προκειμένου να παρέχονται αναγκαίες υπηρεσίες στους πολίτες, ελέγχονται ως προς τη συνταγματικότητα του σκοπού τους, αν θέτουν σε διακινδύνευση την προσωπικότητα και ιδίως την ιδιωτικότητα: η «αποτελεσματική» παροχή υπηρεσιών δεν «ξεπλένει» τον κίνδυνο από την ένταξη του προφίλ μας σε κάποιο cloud, εδώ ή στο εξωτερικό. Επί πλέον τέτοιου είδους εφαρμογές ελέγχονται με βάση το Σύνταγμα, όταν πρακτικά οδηγούν σε αποκλεισμό όσους δεν είναι εξοικειωμένοι με την τεχνολογία ή ευάλωτες ομάδες (π.χ. ηλικιωμένους): γιατί αυτοί περιορίζονται στην πράξη από την άσκηση θεμελιωδών δικαιωμάτων τους καταλήγοντας να αντιμετωπίζονται άνισα σε σχέση με τους υπόλοιπους.
Παιδιά που αναγκάστηκαν να παρακολουθήσουν «μάθημα» στην περίοδο της πανδημίας μέσω της υποχρεωτικής online εφαρμογής του υπουργείου Παιδείας, στερήθηκαν ουσιαστικά το θεμελιώδες δικαίωμα του άρθρου 16 Σ., είτε επειδή δεν είχαν στοιχειώδη εξοπλισμό είτε επειδή οι δάσκαλοί τους δεν είχαν επαρκείς γνώσεις χρήσης της τεχνολογίας. Ο σκοπός της επεξεργασίας των προσωπικών τους δεδομένων (εικόνα, παρουσία στο «μάθημα», έκφραση πεποιθήσεων) ήταν ο ίδιος αντίθετος με το άρθρο αυτό του Συντάγματος, αλλά και με την προστασία της προσωπικότητας και της ιδιωτικότητάς τους. Αυτό δεν θα συνέβαινε προφανώς, αν το κράτος είχε εγκαίρως εξασφαλίσει χώρους και προσωπικό για να μη διαταραχθεί η εκπαίδευση στις έκτακτες συνθήκες (όπως έκαναν άλλα κράτη τότε).
Η «άδεια» που επιβλήθηκε σε όλους τους πολίτες την ίδια περίοδο να κυκλοφορούν με αποστολή στοιχείων και «δηλώσεων» σε μορφή sms, αντέβαινε επίσης ως σκοπός επεξεργασίας προσωπικών δεδομένων στα δικαιώματά μας της προσωπικότητας και της ιδιωτικότητας. Πέρα από το ότι ο «υποκείμενος» σκοπός της αποφυγής μετάδοσης της ασθένειας μπορούσε να εξυπηρετηθεί με επιτόπιους ελέγχους, χωρίς την επεξεργασία δεδομένων, κανείς έκτοτε δεν γνωρίζει την τύχη αυτής της ογκώδους συλλογής και τις εγγυήσεις ασφάλειας του περιεχομένου της.
Συμπερασματικά: Ο έλεγχος του σκοπού της επεξεργασίας προσωπικών δεδομένων με βάση το Σύνταγμα και τα διεθνή κείμενα προστασίας των θεμελιωδών δικαιωμάτων είναι το κλειδί για την προστασία τους. Αν αυτός δεν διεκδικείται συγκεκριμένα και τεκμηριωμένα από τους πολίτες, αν απενεργοποιηθεί αυτό το φίλτρο για χάρη μιας χαζοχαρούμενης γενικευμένης τεχνολατρείας (που, όπως συνήθως, καλλιεργείται από και εξυπηρετεί επιτήδειους στο κράτος και στην αγορά), είναι αργά για ό,τι ακολουθεί μετά, κι ας λέει ο ΓΚΠΔ…
Τάκης Βιδάλης
Μέλος European Group on Ethics in Science and New Technologies (Ευρωπαϊκή Επιτροπή)
[1] Έστω τυπικό, αν και αυτό δεν φαίνεται αναγκαίο κατά τον ΓΚΠΔ.
[2] Αποδεκτής πρακτικής κατά τον ΓΚΠΔ. Βλ. άρθ. 23.
[3] Πρακτική του κράτους για την οποία συνήθως κατηγορείται η Κίνα. Ωστόσο η Δύση έχει ήδη εξοικειωθεί με πρακτικές ιδιωτικών εταιρειών (eBay, Uber, κ.λπ.). Βλ. Ν. Kobie, “The complicated truth about China’s social credit system”, Wired UK 7, 2019.
