Τα πνευματικά δικαιώματα στην ανωτέρω φωτογραφία ανήκουν στην Any IP Ltd .
της Θεοδώρας Φιρίγγου.*
Σημείωση: Το πρωτότυπο άρθρο είναι δημοσιευμένο στα αγγλικά. Η παρούσα εκδοχή είναι μεταφρασμένη στα ελληνικά από την ομάδα εθελοντών της Homo Digitalis.
Χρησιμοποιώντας τις διάφορες ηλεκτρονικές υπηρεσίες, δεν μπορούμε παρά να μην παρατηρήσουμε ότι βομβαρδιζόμαστε διαρκώς από προτάσεις για διαδικτυακό περιεχόμενο της αρεσκείας μας, προϊόντα, αλλά και υπηρεσίες διαφόρων διαφημιστών.
Το YouTube και το Netflix, για παράδειγμα, προβάλλουν προτεινόμενα βίντεο, το Spotify παρέχει βοήθεια για την ανακάλυψη νέας μουσικής με το Spotify Radar, ενώ το Facebook και άλλες πλατφόρμες διαφημίζουν προϊόντα σύμφωνα με τις προηγούμενες αναζητήσεις των χρηστών τους. Κοινός παρανομαστής για τη χρήση τέτοιων αλγοριθμικών συστημάτων από τους διάφορους παρόχους ηλεκτρονικών υπηρεσιών είναι η επιθυμία τους να “ικανοποιούν” το χρήστη, ενισχύοντας την εξατομικευμένη του ψηφιακή εμπειρία.
Ωστόσο, είναι αυτή η απόπειρα να εξατομικευθεί η αλληλεπίδρασή σου με την εκάστοτε υπηρεσία πράγματι τόσο αθώα και πώς ένας αλγόριθμος αποφασίζει για το τι θα σου άρεσε να δεις ή να ακούσεις;
Ίσως να σου έχει συμβεί: γνωρίζεις κάποιον, και έπειτα λαμβάνεις ξαφνικά πρόταση από το Facebook να κάνεις αίτημα φιλίας σε αυτό το άτομο· ή συζητάς για ένα προϊόν στην εφαρμογή Messenger και το ίδιο προϊόν ύστερα διαφημίζεται στην αρχική σου σελίδα στο Facebook. Δεν είναι τρομακτικό; Και τι θα συμβεί εάν τα πράγματα γίνουν πιο σοβαρά, πχ. στην περίπτωση που ένας χρήστης καταλήξει εγκλωβισμένος σε μια φιλτραρισμένη φούσκα περιορισμένης θεώρησης του κόσμου, ή εάν υπάρξει θύμα διακριτικής μεταχείρισης κατά την προσφορά μιας προτεινόμενης θέσης εργασίας;
Όντας προβληματισμένη από μία σειρά αναπάντητων ερωτημάτων, επεδίωξα να διεκπεραιώσω μια έρευνα αναφορικά με το δικαίωμα αιτιολόγησης. Πέντε μήνες αργότερα και έχοντας διεξάγει εμπειρική έρευνα ασκώντας το δικαίωμα μου κατά παρόχων ηλεκτρονικών υπηρεσιών, έλαβα βραβείο για τη διατριβή μου στην αλγοριθμική λογοδοσία και το δικαίωμα αιτιολόγησης. Με αυτό το άρθρο θα ήθελα να μοιραστώ κάποιες από τις διαπιστώσεις μου μαζί με το κοινό της Homo Digitalis.
Εντοπισμός του προβλήματος
Εξαιτίας της πολυσύνθετης και αδιαφανούς φύσης των αλγοριθμικών συστημάτων, η εκτεταμένη χρήση τους στην αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, έχει προξενήσει ερωτήματα σχετικά με θέματα διαφάνειας και λογοδοσίας. Οι αλγόριθμοι νοούνται ως ένα “μαύρο κουτί” και έτσι επιβραδύνουν κάθε απόπειρα αξιολόγησης της διαδικασίας λήψης αποφάσεων και των αποτελεσμάτων αυτής.
Ταυτόχρονα, οι διατάξεις της Ευρωπαϊκής νομοθεσίας για την προστασία των προσωπικών δεδομένων, όπως εκείνες του Γενικού Κανονισμού για την Προστασία Δεδομένων (“GDPR”), προβλέπουν την αρχή της διαφανούς επεξεργασίας και την αρχή της λογοδοσίας οι οποίες δεσμεύουν τον υπεύθυνο επεξεργασίας και θέτουν τις αναγκαίες εγγυήσεις για την τήρηση των αρχών αυτών. Μία από τις εγγυήσεις αυτές, είναι το δικαίωμα αιτιολόγησης, η ύπαρξη και το πεδίο εφαρμογής του οποίου έχει, ωστόσο, κινήσει μία εκτενή ακαδημαϊκή συζήτηση.
Το εάν η όχι η εφαρμογή του δικαιώματος αιτιολόγησης στην πράξη, αντικατοπτρίζει τον θεμελιώδη σκοπό του, υπήρξε το βασικό θέμα έρευνας της διατριβής μου. Στο πλαίσιο αυτό χρησιμοποίησα την ακόλουθη μεθοδολογία: Πρώτον, προκειμένου να προσδιορίσω το σκοπό του δικαιώματος, επικεντρώθηκα στην χαρτογράφηση και ανάλυση του ευρωπαϊκού νομοθετικού πλαισίου και της σχετικής βιβλιογραφίας.
Στη συνέχεια, χρησιμοποίησα εμπειρική έρευνα προκειμένου να αντιληφθώ πως λειτουργεί στη πράξη το δικαίωμα αιτιολόγησης. Συγκεκριμένα, άσκησα το εν λόγω δικαίωμα κατά πέντε (5) παρόχων επιγραμμικών υπηρεσιών, ρωτώντας τους αναφορικά με τον τρόπο λειτουργίας των αλγοριθμικών συστημάτων που χρησιμοποιούνται τόσο για προτάσεις εξατομικευμένου διαδικτυακού περιεχομένου όσο και για στοχευμένη διαφήμιση.
Το νομοθετικό πλαίσιο
Παρά την έλλειψη ενός συγκεκριμένου άρθρου για το δικαίωμα στην αιτιολόγηση τόσο στην Οδηγία 95/46 όσο και στον GDPR, το δικαίωμα απορρέει από το Άρθρο 22 και το σημείο 71 των διατάξεων του GDPR σχετικά με τις εγγυήσεις κατά της αυτοματοποιημένης λήψης αποφάσεων, και τα Άρθρα 13(2)(στ), 14(2)(ζ), και 15(1)(η) του GDPR όπως και το Άρθρο 12 της Οδηγίας 95/46.
Ειδικότερα, σύμφωνα με το Άρθρο 22 του GDPR ‘οι υπεύθυνοι επεξεργασίας οφείλουν να λαμβάνουν τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων, των ελευθεριών τους και των εννόμων συμφερόντων τους, τουλάχιστον το δικαίωμά εξασφάλισης ανθρώπινης παρέμβασης έναντι των υπεύθυνων, για να εκφράσουν τη δική τους οπτική γωνία και να προσβάλλουν την απόφαση.
Εξάλλου, όπως αποτυπώνεται στο Άρθρο 13-15 του GDPR, το υποκείμενο των δεδομένων πρέπει να έχει πρόσβαση στα προσωπικά δεδομένα και τις πληροφορίες σχετικά με ‘την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, ουσιώδης πληροφορία για τη λογική που επικρατεί, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες μιας τέτοιας διαδικασίας για το υποκείμενο των δεδομένων’. Τέλος, σύμφωνα με το Άρθρο 12 της Οδηγίας Προστασίας Δεδομένων οι υπεύθυνοι οφείλουν να παρέχουν στα υποκείμενα των δεδομένων ΄γνώσεις για τη λογική που επικρατεί’ σε οποιαδήποτε αυτοματοποιημένη λήψη αποφάσεων.
Πεδίο και δυνατότητα εφαρμογής του δικαιώματος στην αιτιολόγηση
Μέσω της ανάλυσης των σχετικών νομοθετικών διατάξεων, της ακαδημαϊκής συζήτησης γύρω από αυτές, και των αντιφάσεων της επιχειρηματολογίας κατά του δικαιώματος στην αιτιολόγηση, κατέστη δυνατό να προσδιοριστεί ο σκοπός και το πεδίο εφαρμογής του δικαιώματος αυτού.
Ειδικότερα, από την ανάλυση αποδείχθηκε ότι το δικαίωμα στην αιτιολόγηση συνεπάγεται την παροχή σημαντικών πληροφοριών σχετικά με τη λογική που ακολουθείται, και η σημασία των παρεχόμενων πληροφοριών θα πρέπει να ερμηνεύεται με ευέλικτο τρόπο. Η πληροφορία μπορεί ενδεχομένως να αναφέρεται είτε στη λειτουργία του συστήματος, είτε σε μία συγκεκριμένη απόφαση και μπορεί να αποτελέσει είτε εκ των προτέρων είτε εκ των υστέρων αιτιολόγηση σε σχέση με το χρόνο κατά τον οποίο λήφθηκε η απόφαση.
Επιπλέον, προκειμένου να αξιολογηθεί κατά πόσο μια αιτιολόγηση είναι ή όχι ουσιαστική, η πληροφορία που παρέχεται πρέπει να εξετάζεται υπό το φως της λειτουργικής της αξίας (ιδίως σχετικά με το εάν δίνει τη δυνατότητα στα υποκείμενα των δεδομένων να ασκήσουν τα δικαιώματά τους). Επιπροσθέτως, η επεξήγηση πρέπει να αποβλέπει στην εξατομικευμένη διαφάνεια, υπό την έννοια της προσωπικής κατανόησης της πληροφορίας σε ουσιαστικό βάθος.
Η πληροφορία πρέπει επίσης να είναι κατανοητή και να παρέχεται σε σαφή και απλή γλώσσα, προκειμένου ένα σύνηθες υποκείμενο δεδομένων (π.χ. συνήθως ένας χρήστης χωρίς εξειδίκευση σε τεχνολογικής φύσεως θέματα) να μπορεί να την αντιληφθεί πλήρως. Όσον αφορά στα κριτήρια εφαρμογής του δικαιώματος, πρέπει να λαμβάνει χώρα μία αυτοματοποιημένη λήψη απόφασης (συμπεριλαμβανομένης και της κατάρτισης προφίλ), η οποία πάρθηκε χωρίς καμία ανθρώπινη παρέμβαση.
Επιπλέον, η αυτοματοποιημένη απόφαση πρέπει να έχει έννομα ή εξίσου σημαντικά αποτελέσματα, τα οποία ωστόσο πρέπει να ερμηνεύονται υπό ευρεία έννοια, συμπεριλαμβανομένων υποθέσεων κατά τις οποίες οι ελευθερίες και τα δικαιώματα του υποκειμένου των δεδομένων απειλούνται ή ακόμα της υπόθεσης στοχευμένης διαφήμισης που στηρίζεται στην ανάλυση προφίλ.
Τέλος, το δικαίωμα στην επεξήγηση πρέπει να είναι σεβαστό ανεξάρτητα από εμπορικά απόρρητα και δικαιώματα διανοητικής ιδιοκτησίας. Αυτό σημαίνει ότι τα εμπορικά απόρρητα και τα δικαιώματα διανοητικής ιδιοκτησίας δεν μπορούν να δικαιολογήσουν την άρνηση παροχής πληροφοριών και ότι το δικαίωμα προστασίας δεδομένων υπερισχύει του αυτών.
Ζητήματα συμμόρφωσης που ανακύπτουν
Λαμβάνοντας υπόψη το πεδίο και τη δυνατότητα εφαρμογής του δικαιώματος αιτιολόγησης, η εμπειρική μου έρευνα εστίασε στην εξέταση του κατά πόσο το δικαίωμα αυτό πληροί τους σκοπούς του όταν ασκείται στην πράξη.
Συγκεκριμένα, κατέθεσα έναν αριθμό αιτημάτων αιτιολόγησης που αφορούσαν προτεινόμενο διαδικτυακό περιεχόμενο και στοχευμένη διαφήμιση σε πέντε φορείς ηλεκτρονικών υπηρεσιών, ήτοι Facebook, YouTube, LinkedIn, Spotify και Netflix. Δεν εκπλήσσει το γεγονός ότι τα αποτελέσματα της ανάλυσης της εμπειρικής έρευνας φανέρωσαν έναν μεγάλο αριθμό ζητημάτων συμμόρφωσης και χάσμα μεταξύ θεωρίας και πράξης.
Tόσο η υποβολή των αιτημάτων όσο και η λήψη ουσιωδών πληροφοριών από τους παρόχους αποδείχθηκε ιδιαίτερα απαιτητική ως διαδικασία: απαιτούσε νομικές γνώσεις επί του θέματος, οργάνωση, επιμονή και υπομονή. Με άλλα λόγια, είναι αμφίβολο κατά πόσο ένα σύνηθες υποκείμενο δεδομένων -ένας κανονικός άνθρωπος δηλαδή, χωρίς εξειδικευμένες γνώσεις- θα μπορούσε να διαχειριστεί επαρκώς την άσκηση των δικαιωμάτων του/της αντιμετωπίζοντας τέτοια εμπόδια.
Παρόλο που οι πολιτικές απορρήτου ήταν εύκολα προσβάσιμες, συχνά ήταν προβληματικές από πλευράς πληρότητας και σαφήνειας. Ο προσδιορισμός των κατάλληλων μέσων επικοινωνίας με τους υπεύθυνους επεξεργασίας ήταν ακόμα πιο δύσκολος. Ωστόσο, τα πιο ανησυχητικά ευρήματα προέκυψαν από την επικοινωνία με τους υπευθύνους. Ποικίλες δυσλειτουργίες, όπως η αποφυγή διοικητικού φόρτου εργασίας, έλλειψη γνώσης, η άγνοια, και άρνηση ικανοποίησης των αιτημάτων καθιστούσαν τη διαδικασία πολύπλοκη.
Επιπλέον, οι εξηγήσεις που δόθηκαν δεν ήταν ικανοποιητικές. Δόθηκαν γενικές, αποσπασματικές και παραπλανητικές πληροφορίες, οι οποίες δεν μπορούσαν να εκπληρώσουν τον σκοπό του δικαιώματος στην αιτιολόγηση, δεδομένου ότι δεν θα μπορούσαν να θεωρηθούν ως ουσιώδεις πληροφορίες.
Κάποιοι υπεύθυνοι επεξεργασίας αρνήθηκαν να δώσουν πλήρη εξήγηση και δικαιολόγησαν τη στάση τους είτε χρησιμοποιώντας λόγους εμπορικού απορρήτου ή υποστήριξαν ότι το Άρθρο 22 του GDPR και συνεπώς το Άρθρο 15 (1)(η), δεν εφαρμόζονται καθώς η αυτοματοποιημένη διαδικασία δεν παράγει έννομα ή εξίσου σημαντικά αποτελέσματα. Βέβαια, κανένα από αυτά τα επιχειρήματα δεν αποτελούν βάσιμες δικαιολογίες στις οποίες οι υπεύθυνοι θα μπορούσαν να βασιστούν ώστε να αποφύγουν να παρέχουν εξήγηση στο υποκείμενο των δεδομένων.
Συνοψίζοντας, το πόρισμα μου από την εμπειρική έρευνα σε έναν περιορισμένο αριθμό φορέων ηλεκτρονικών υπηρεσιών απέδειξε ότι το δικαίωμα στην αιτιολόγηση δεν πληροί το πεδίο εφαρμογής του σύμφωνα με τις διατάξεις της Ευρωπαϊκής νομοθεσίας περί προστασίας προσωπικών δεδομένων όταν ασκείται στη πράξη κατά των υπεύθυνων επεξεργασίας. Το πιο ανησυχητικό είναι το γεγονός ότι επιβεβαιώθηκε ότι τα δικαιώματα των υποκειμένων των δεδομένων καταστρατηγούνται σε μεγάλο βαθμό στο διαδικτυακό περιβάλλον.
Τελικά, μάλλον πρέπει να σκεφτόμαστε διπλά πριν πανηγυρίσουμε αυτή τη γενναιόδωρα ‘ενισχυμένα προσωποποιημένη εμπειρία’ καθώς οι νομικές εγγυήσεις που μας προστατεύουν από δυσμενή επεξεργασία των προσωπικών μας δεδομένων, ειδικά κατά τη διάρκεια της αυτοματοποιημένης λήψης αποφάσεων και της κατάρτισης προφίλ, δεν φαίνεται να εφαρμόζονται από υπεύθυνους επεξεργασίας με δεσπόζουσα θέση στην αγορά. Είναι επομένως αμφίβολο ότι η επεξεργασία των προσωπικών μας δεδομένων γίνεται σύμφωνα με τις αρχές της διαφάνειας και της λογοδοσίας.
*Η Θεοδώρα Φιρίγγου είναι δικηγόρος με εξειδίκευση στο Ποινικό Δίκαιο (LL.M, University of Hamburg) και στο Δίκαιο Διανοητικής Ιδιοκτησίας, Πληροφορίας, Επικοινωνιών και Τεχνολογίας (LL.M IP/ICT Law, KUL). Επικεντρώνει την έρευνα και το ενδιαφέρον της στο δίκαιο προστασίας της ιδιωτικότητας και των προσωπικών δεδομένων και κυρίως στα ζητήματα που ανακύπτουν από τη χρήση νέων τεχνολογιών όπως η μηχανική εκμάθηση και η τεχνητή νοημοσύνη.