Με την ανάπτυξη της τεχνητής νοημοσύνης σε όλους τους τομείς και εν αναμονή της ψήφισης της Πράξης για την τεχνητή νοημοσύνη, ανακύπτουν διάφορα ερωτήματα κατά την εφαρμογή της, μεταξύ των οποίων η συμβατότητα ή μη της χρήσης της τεχνητής νοημοσύνης με την τήρηση των προβλεπομένων στον Κανονισμό Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «GDPR»).

Προσφάτως, η Ιταλική Αρχή για την προστασία των δεδομένων προσωπικού χαρακτήρα, η Garante per la protezione dei dati personali (εφεξής «Garante»), επέβαλε πρόστιμο ύψους 50.000€, στον Δήμο του Trento, λόγω χρήσης συστημάτων τεχνητής νοημοσύνης για παρακολούθηση, με την οποία παραβίασε – κατά την κρίση της –  τον GDPR.

• Τι αφορά συνοπτικά η υπόθεση:

Η Garante, ερεύνησε το νέο σύστημα τεχνητής νοημοσύνης που εφήρμοσε το Trento και αφορούσε την παρακολούθηση της οδηγικής συμπεριφοράς των δημοτών. Για τον λόγο αυτό, ο Δήμος χρησιμοποίησε τρία συστήματα τεχνητής νοημοσύνης, με την ονομασία «Marvel», «Precrisis» και «Protector», συλλέγοντας δεδομένα από δημόσιους χώρους του Δήμου, μέσω καμερών και μικροφώνων με σκοπό την πρόληψη πιθανών επικίνδυνων καταστάσεων που θα μπορούσαν να λάβουν χώρα στον Δήμο.

Το σύστημα «Marvel», αποσκοπεί στην ανάπτυξη ενός αυτόματου συστήματος ανάλυσης οπτικοακουστικών δεδομένων, σε πραγματικό χρόνο, προκειμένου να ανιχνεύει ζητήματα ασφάλειας. Οι εικόνες που συγκεντρώνονται από τις κάμερες που έχουν τοποθετηθεί στους δρόμους, ανωνυμοποιούνται και επεξεργάζονται από τον οργανισμό που έχει αναλάβει την τοποθέτησή των καμερών. Το σύστημα «Protector» αποσκοπούσε στην ενίσχυση της ασφάλειας γύρω από χώρους λατρείας, προκειμένου να αποφευχθούν εγκλήματα μίσους και ρατσιστικές επιθέσεις. Αυτό που έκανε το σύστημα αυτό, είναι να συλλέγει αφενός οπτικά δεδομένα από τις περιοχές πέριξ των χώρων λατρείας και αφετέρου δεδομένα κειμένων που προέρχονται από σχόλια που αναρτώνται σε μέσα κοινωνικής δικτύωσης. Όλα αυτά τα δεδομένα, μετά αναλύονται με την τεχνητή νοημοσύνη, προκειμένου να ανιχνευθούν πιθανοί κίνδυνοι. Τέλος, το σύστημα «Precrisis», ήταν ακόμη σε προ- ερευνητικό στάδιο.

• Τι ισχυρίσθηκε το Trento:

Ότι η νομική βάση για τα τρία αυτά projects, ήταν το άρθρο 6 παρ. 1 περίπτωση (ε) του GDPR, που αναφέρει ότι η επεξεργασία είναι σύννομη όταν είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Τέλος, επικαλέσθηκαν το άρθρο 89 του GDPR, με βάση το οποίο η επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς υπόκειται σε κατάλληλες εγγυήσεις.

• Συνοπτικά τί ανέφερε η απόφαση:
  
  – Όσον αφορά τα δύο πρώτα έργα (Marvel και Protector), παρόλο που ήταν ακόμη σε πειραματικό στάδιο και δεν χρησιμοποιήθηκαν δεδομένα για πραγματικούς σκοπούς πρόληψης του εγκλήματος, ο υπεύθυνος επεξεργασίας εξακολουθούσε να επεξεργάζεται προσωπικά δεδομένα σχετικά με ποινικές καταδίκες και αδικήματα βάσει του άρθρου 10 του GDPR. Στην πραγματικότητα, οι αλγόριθμοι εκπαιδεύτηκαν σε δεδομένα που συλλέχθηκαν από τις κάμερες που υπάρχουν ήδη στο Trento
  – Ο υπεύθυνος επεξεργασίας δεν μπορούσε να ισχυριστεί καλή τη πίστει ότι δεν είχε πραγματοποιηθεί ακόμη πραγματική επεξεργασία, επειδή τα έργα εξακολουθούσαν να είναι πειραματικά, καθώς ο ίδιος υπέδειξε τους ρόλους, τους σκοπούς και τη νομική βάση αυτής της επεξεργασίας.
  – Το Trento είπε ότι υιοθέτησε τεχνικές ανωνυμοποίησης αμέσως μετά τη συλλογή των δεδομένων που περιελάμβαναν την αλλαγή των φωνητικών ήχων στις φωνητικές ηχογραφήσεις και το θάμπωμα των προσώπων των ανθρώπων στα βίντεο. Η Garante θεώρησε ότι αυτές οι τεχνικές ήταν ανεπαρκείς, καθώς δεν εγγυόνταν την πλήρη ανωνυμοποίηση των προσωπικών δεδομένων που συλλέγονται. Επίσης, όσον αφορά τα δεδομένα που συλλέχθηκαν από πλατφόρμες μέσων κοινωνικής δικτύωσης, τα δεδομένα ήταν απλώς ψευδώνυμα και όχι ανώνυμα, επομένως η επεξεργασία τους έπρεπε να είναι σύμφωνη με τον GDPR.
  – Η επεξεργασία των δεδομένων ήταν αντίθετη με τις αρχές της νομιμότητας, της δικαιοσύνης και της διαφάνειας σύμφωνα με το άρθρο 5 παράγραφος 1 στοιχείο (α) του GDPR. Επιπλέον, τα υποκείμενα των δεδομένων δεν έχουν λάβει τις κατάλληλες πληροφορίες σχετικά με τον τρόπο επεξεργασίας των δεδομένων τους ως μέρος αυτών των έργων.
  – Το Trento είχε παραβιάσει το άρθρο 35 του GDPR καθώς απέτυχε να πραγματοποιήσει σωστά μια DPIA (μελέτη εκτίμησης αντικτύπου) και δεν είχε συμβουλευτεί την Garante πριν από την επεξεργασία για να εκπληρώσει τις υποχρεώσεις της βάσει του άρθρου 36 του GDPR, καθώς τα έργα περιλάμβαναν δημόσια επιτήρηση μεγάλης κλίμακας.

Μαρία Αικατερίνη Δ. Παπαδοπούλου
Δικηγόρος
Δ.Μ.Σ Ιστορίας και Θεωρίας Δικαίου, Νομική Σχολή Αθηνών, ΕΚΠΑ
Δ.Μ.Σ Αστικού δικαίου, Νομική Σχολή Αθηνών, ΕΚΠΑ
Δ.Μ.Σ Εμπορικού Δικαίου, Νομική Σχολή Δημοκριτείου Πανεπιστημίου Θράκης