Γράφουν οι Χρήστος Μακρής και Φωτεινή Κακαβά*

Τα πρώτα μας γενέθλια ήταν πάντοτε τα πιο σημαντικά. Μέσα σε ένα χρόνο ζωής, οι περισσότεροι από εμάς βιώσαν τεράστιες αλλαγές. Άλλοι περπάτησαν, άλλοι μίλησαν, όλοι γέλασαν και όλοι έκλαψαν.

Κάπως έτσι πρέπει να αξιολογήσουμε και το «θεσμικό τέκνο» που προέκυψε από μια δυσλειτουργική σχέση ετών μεταξύ ΕΕ και ΗΠΑ: την απόφαση επάρκειας του άρθρου 45 του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ) που αφορά την διατλαντική διαβίβαση των προσωπικών μας δεδομένων ως Ευρωπαίοι πολίτες. Το Data Privacy Framework (DPF) συμπλήρωσε ένα έτος ζωής στις 10 Ιουλίου 2024 και έτσι οι «γονείς» αποφάσισαν να μαζευτούν στις 18-19 Ιουλίου 2024 στην Ουάσιγκτον, προκειμένου να αξιολογήσουν την πορεία ανάπτυξης του τέκνου τους.

Προκειμένου δε να καθησυχάσουν το κοινό τους ότι όλα πάνε ή θα πάνε καλά, αποφάσισαν να συντάξουν μία έκθεση ελέγχου των πεπραγμένων, με βάση στοιχεία που παρείχαν οι αρμόδιες υπηρεσίες της κυβέρνησης των Ηνωμένων Πολιτειών και με την συμμετοχή διάφορων αμερικανικών ΜΚΟ που προασπίζονται τα ανθρώπινα δικαιώματα σε θέματα ψηφιακών δικαιωμάτων και όχι μόνο.

Το αποτέλεσμα ήταν ένα κείμενο 21 σελίδων, το οποίο υποβλήθηκε στις 9 Οκτωβρίου 2024 από την Ευρωπαϊκή Επιτροπή στο Ευρωπαϊκό Κοινοβούλιο και στο Ευρωπαϊκό Συμβούλιο προς αξιολόγηση.

Ας κάνουμε όμως εδώ μία παύση, για να φρεσκάρουμε λίγο την μνήμη μας. Το Data Privacy Framework (DPF) δεν είναι το μοναδικό τέκνο ΕΕ και ΗΠΑ. Έχουν προηγηθεί δύο ατελέσφορες προσπάθειες:  EU–US Safe Harbor Principles και Privacy Shield Framework. Γιατί ατελέσφορες; Γιατί και οι δύο αντίστοιχα ακυρώθηκαν από το Ευρωπαϊκό Δικαστήριο μετά από προσφυγή σε αυτό του υπέρμαχου για τα προσωπικά δεδομένα και το δικαίωμα στην ιδιωτικότητα, Max Schrems.

Η παράνομη απενεργοποίηση των ανεξάρτητων εποπτικών Αρχών από την αξιολόγηση της ορθής εφαρμογής των αποφάσεων επάρκειας, η επί της ουσίας κατάργηση του θεμελιώδους δικαιώματος για προστασία των δεδομένων μας με βάση το άρθρο 8 της Ευρωπαϊκής Χάρτας Θεμελιωδών Δικαιωμάτων, καθώς και η αδυναμία πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στις ΗΠΑ, αποτέλεσαν θεμέλιους λίθους στο σκεπτικό των αποφάσεων που έκριναν την ακύρωση των δύο προηγούμενων αποφάσεων επάρκειας.

Τι διαφορετικό όμως έχει η παρούσα απόφαση επάρκειας σε σχέση με τις προηγούμενες; Από που απορρέει η νομιμότητα της και τι είναι αυτό που την καθιστά στο απυρόβλητο; Οι απαντήσεις κρύβονται στην πολυαναμενόμενη ετήσια έκθεση ελέγχου της Ευρωπαϊκής Επιτροπής που δημοσιεύθηκε στις 9 Οκτωβρίου 2024 και η οποία κρίνει (κατά πολύ) την μελλοντική πορεία της απόφασης επάρκειας.

Εν τέλει, ως συντάκτες του άρθρου, μπήκαμε στον κόπο να την διαβάσουμε από κοινού και να μεταφέρουμε την προσωπική μας άποψη σε σχέση με τα μέχρι σήμερα πεπραγμένα, ξεκινώντας πάντα από δύο απλές παραδοχές: (α) οι ΗΠΑ δεν έχουν κωδικοποιημένη νομοθεσία αντίστοιχη με τον ΓΚΠΔ και την Ευρωπαϊκή Χάρτα Θεμελιωδών Δικαιωμάτων, και επομένως δεν χωρεί νομοθετική αντιπαραβολή και (β) είναι τόσες οι Επιτροπές, Υποεπιτροπές, Υπηρεσίες, Γραφεία και Πάνελ Ειδικών στην δαιδαλώδη κυβέρνηση των Ηνωμένων Πολιτείων, που σε πιάνει πονοκέφαλος όταν προσπαθείς να βάλεις σε μία σειρά ποιος είναι υπεύθυνος για τι.

Προσπερνώντας λοιπόν τα ως άνω, η ανάγνωση της έκθεσης ελέγχου δεν ήταν τόσο δύσκολη. Ήταν απλά γεμάτη με ευχές από την Ευρωπαϊκή Επιτροπή να μεγαλώσει το παιδί με σωστές αρχές και να πάρει το δρόμο τον σωστό, βγάζοντάς μας ασπροπρόσωπους στην κοινωνία (βέβαια εκ των πραγμάτων από την ανάγνωση του DPF την πλήρη επιμέλεια του τέκνου την διατηρούν οι ΗΠΑ – με ό,τι σημαίνει αυτό, και απλά έχουν από κοινού την γονική μέριμνα με την ΕΕ).

Από κανένα σημείο της έκθεσης ελέγχου δεν προέκυψε πως προστατεύονται τα θεμελιώδη δικαιώματα των Ευρωπαίων πολιτών από πρακτικές επιτήρησης των Υπηρεσιών Ασφαλείας των ΗΠΑ, παρά μόνο εκφράστηκαν ανησυχίες από τις ΜΚΟ που συμμετείχαν στην διαβούλευση ότι οι Υπηρεσίες Ασφαλείας πλέον αγοράζουν δεδομένα πολιτών από εταιρείες του ιδιωτικού τομέα στα πλαίσια των πρακτικών παρακολούθησης. Το κείμενο της έκθεσης ελέγχου επικεντρώνει κυρίως σε εντατικές προσπάθειες επιμόρφωσης των Αμερικανών πρακτόρων των Υπηρεσιών Ασφαλείας, προκειμένου να ενημερωθούν για το πλαίσιο συμφωνίας της απόφασης επάρκειας και να συμμορφώνονται οικειοθελώς (;!) με τις αρχές της ελαχιστοποίησης των δεδομένων και της αναλογικότητας με βάση τον σκοπό της επεξεργασίας. Κοινώς, δεοντολογικά ευχολόγια.

Επιπλέον, σε σχέση με τις πολύ μεγάλες πλατφόρμες (Google, Meta), οι οποίες έχουν βρεθεί στο επίκεντρο της διαμόρφωσης των αποφάσεων επάρκειας μεταξύ ΕΕ-ΗΠΑ, γίνεται αναφορά ότι δημοσιοποιούν τα στοιχεία των αιτημάτων που έχουν δεχθεί από τις Υπηρεσίες Ασφαλείας κατά την διάρκεια του έτους στα πλαίσια διαφάνειας των εν λόγω διεργασιών. Παρ’ όλα αυτά, όταν μπήκαμε στην αντίστοιχη σελίδα της Google ανακαλύψαμε  ότι η λεγόμενη διαφάνεια εκτεινόταν σε απλά στατιστικά νούμερα και με ένα προοίμιο ότι «Σε αυτή την αναφορά αιτημάτων εθνικής ασφάλειας των ΗΠΑ, αναφέρουμε ξεχωριστά τα αιτήματα από φορείς των ΗΠΑ που χρησιμοποιούν τη νομοθεσία εθνικής ασφάλειας επειδή αυτή η νομοθεσία περιορίζει τόσο τον όγκο των πληροφοριών που επιτρέπεται να κοινοποιούμε εμείς και άλλες εταιρείες πληροφοριών όσο και τη χρονική στιγμή που μπορούμε να τις κοινοποιήσουμε». Επομένως, άνθρακες ο θησαυρός.

Εν τέλει, κανείς δεν μπορεί να απαντήσει το κρισιμότερο ερώτημα όλων: πως μπορεί ένας Ευρωπαίος πολίτης να ασκήσει στις ΗΠΑ το κατοχυρωμένο δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας του άρθρου 79 ΓΚΠΔ; Απλά, δεν μπορεί. Το Data Protection Review Court (DPRC) (η σύσταση του οποίου συμφωνήθηκε μεταξύ ΕΕ – ΗΠΑ για να εκπληρωθεί το δικαίωμα δικαστικής προσφυγής) δεν είναι δικαστήριο, είναι μία διαδικασία δύο επιπέδων, όπως περιγράφεται στον ιστότοπο του Υπουργείο Δικαιοσύνης των ΗΠΑ, το οποίο μπορεί να επιβάλει την κατάλληλη αποκατάσταση (appropriate remediation) σε βάρος των εταιρειών που παραβιάζουν την απόφαση επάρκειας. Άμεση αποκατάσταση της παραβίασης δικαιωμάτων σε βάρος των υποκειμένων επεξεργασίας δεν υπάρχει. Δικαιώματα όπως αυτό της πρόσβασης, της λήθης, της διόρθωσης, του περιορισμού της επεξεργασίας και της εναντίωσης,  δεν μπορούν να εξασκηθούν πέραν από τα διοικητικά όρια της ΕΕ. Επομένως, καμία έκθεση ελέγχου και κανένα στατιστικό δεδομένο δεν μπορούν να δώσουν λύσεις στα καίρια αυτά προβλήματα.  Όποιος από εσάς θέλει, μπορεί να διαβάσει την εν λόγω έκθεση ελέγχου εδώ.

Χωρίς να θέλουμε να υποτιμήσουμε την προσπάθεια όλων όσων συμμετείχαν στην σύνταξη του εν λόγω εγγράφου, δεν μπορούμε να βρούμε κάτι ουσιαστικό σε αυτό που να χρήζει περαιτέρω αναφοράς. Η ισχύουσα απόφαση επάρκειας συνεχίζει να «μπάζει νερά». Νομίζουμε ότι είμαστε κοντά σε μία ακόμη «επίθεση» από πλευράς NOYB και Max Schrems για την ακύρωση της εν λόγω απόφασης (και κατά την άποψή μας, όχι αδικαιολόγητη). Η νέα εκλογή Προέδρου στις ΗΠΑ δείχνει κατά πολύ την κατεύθυνση που θα πάρει η επερχόμενη κυβέρνηση σε θέματα Εθνικής Ασφαλείας. Ήδη ο Ντόναλντ Τραμπ την ημέρα της ορκωμοσίας του κατάργησε ένα μεγάλο σύνολο ομοσπονδιακών νομοθετημάτων της κυβέρνησης Μπάιντεν, ειδικά όσα αφορούν την προστασία θεμελιωδών δικαιωμάτων και διακρίσεων. Οι ΗΠΑ βαδίζουν αδιαμφισβήτητα προς μία πολιτική εσωστρέφειας και περιορισμών στην διεκδίκηση των θεμελιωδών δικαιωμάτων.

Επειδή λοιπόν πολλοί θα θεωρήσουν ότι είμαστε ενάντια σε κάθε προσπάθεια συμφωνίας μεταξύ ΕΕ-ΗΠΑ σε θέματα διατλαντικών διαβιβάσεων δεδομένων, θα τους προλάβουμε δηλώνοντας το ακριβώς αντίθετο. Η ασφαλής μεταφορά δεδομένων στην άλλη άκρη του Ατλαντικού αποτελεί ίσως το κρισιμότερο ζήτημα βιωσιμότητας της καινοτομίας και της εξέλιξης των νέων τεχνολογιών, που θα προσφέρουν στην ανθρωπότητα λύσεις σε θεμελιώδεις τομείς όπως ενδεικτικά στην προαγωγή της κλινικής έρευνας, σε εύρεση θεραπειών για χρόνιες νόσους και στην ορθή κατανομή παγκόσμιων πόρων για την αντιμετώπιση φαινομένων υποσιτισμού και αδυναμίας περίθαλψης. Όχι όμως σε βάρος των θεμελιωδών δικαιωμάτων του ανθρώπου. Τα δεδομένα μας είναι ο νέος χρυσός αλλά ας επωφεληθούμε όλοι από αυτό.

* Ο Χρήστος Μακρής είναι Δικηγόρος με 15ετή εμπειρία, κάτοχος μεταπτυχιακού τίτλου στο Ευρωπαϊκό και Διεθνές Δίκαιο, μεταπτυχιακός φοιτητής στο πρόγραμμα Law & Technology του Πανεπιστημίου του Τίλμπουργκ (Tilburg University, the Netherlands) και ακαδημαϊκός ερευνητής σε θέματα Τεχνητής Νοημοσύνης και Προστασίας Δεδομένων.

Η Φωτεινή Κακαβά είναι Data Protection & Privacy legal expert, με 6ετή εμπειρία, κάτοχος μεταπτυχιακού τίτλου στο πρόγραμμα Law & Technology του Πανεπιστημίου του Τίλμπουργκ (Tilburg University, the Netherlands) και κάτοχος πιστοποίησης CIPM (Certified Information Privacy Management).