Ο τραπεζικός τομέας, η υγειονομική περίθαλψη, η φορολογία, η ασφάλιση και η διαφήμιση είναι μόνο ορισμένα παραδείγματα τομέων όπου καταρτίζονται προφίλ χρηστών
Κατευθυντήριες γραμμές για την εφαρμογή των διατάξεων του νέου Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) αναφορικά με την αυτοματοποιημένη ατομική λήψη αποφάσεων και την κατάρτισης προφίλ (profiling), εξέδωσε η Ομάδα Εργασίας του άρθρου 29 (WP29)*.
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων περιλαμβάνει ειδική αναφορά (άρθρο 22) στην την αυτοματοποιημένη ατομική λήψη αποφάσεων και την κατάρτιση προφίλ (profiling).
Το ζήτημα είναι εξαιρετικά επίκαιρο, καθώς η κατάρτιση προφίλ και η αυτοματοποιημένη λήψη αποφάσεων χρησιμοποιούνται σε έναν αυξανόμενο αριθμό τομέων, τόσο σε ιδιωτικό όσο και δημόσιο επίπεδο.
Ο τραπεζικός και χρηματοοικονομικός τομέας, η υγειονομική περίθαλψη, η φορολογία, η ασφάλιση, το μάρκετινγκ και η διαφήμιση είναι μόνο ορισμένα από τα παραδείγματα τομέων στους οποίους καταρτίζονται προφίλ χρηστών, προκειμένου να λαμβάνονται πιο εύστοχες αποφάσεις.
Τι είναι αυτοματοποιημένη ατομική λήψη αποφάσεων και η κατάρτιση προφίλ
Σύμφωνα με τον Κανονισμό, ως «κατάρτιση προφίλ» θεωρείται οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου.
Η πρόοδος στην τεχνολογία, με τις δυνατότητες που παρέχει η ανάλυση των big data, η τεχνητή νοημοσύνη και η μηχανική μάθηση, έχει καταστήσει ευκολότερη τη δημιουργία προφίλ και τη λήψη αυτοματοποιημένων αποφάσεων.
Οι δυνατότητες αυτές, ωστόσο, επηρεάζουν σε μεγάλο βαθμό τα δικαιώματα και τις ελευθερίες των ατόμων.
Η ευρύτατη διαθεσιμότητα δεδομένων προσωπικού χαρακτήρα στο διαδίκτυο, αλλά και μέσω συσκευών διασυνδεδεμένων συσκευών στο Διαδίκτυο των πραγμάτων (IoT), σε συνδυασμό με την αυξημένη δυνατότητα εύρεσης συσχετισμών μεταξύ των δεδομένων, μπορεί να οδηγήσει στον καθορισμό, την ανάλυση και τελικώς την πρόβλεψη πτυχών της προσωπικότητας ενός ατόμου ή της συμπεριφοράς, των ενδιαφερόντων και των συνηθειών του.
Η κατάρτιση προφίλ και η αυτοματοποιημένη λήψη αποφάσεων μπορεί να είναι χρήσιμη για τα υποκείμενα των δεδομένων, τους οργανισμούς καθώς και για την οικονομία και την κοινωνία ως σύνολο, παρέχοντας οφέλη όπως η αυξημένη αποτελεσματικότητα και η εξοικονόμηση πόρων.
Οι διαδικασίες αυτές μπορεί να έχουν πολλές εμπορικές εφαρμογές, όπως για παράδειγμα να χρησιμοποιηθούν για την καλύτερη κατανομή των αγορών και την προσαρμογή των υπηρεσιών και των προϊόντων στις ατομικές ανάγκες των καταναλωτών. Οι τομείς της ιατρικής, της εκπαίδευσης, της υγειονομικής περίθαλψης και των μεταφορών μπορούν επίσης να επωφεληθούν από την κατάρτιση προφίλ και την αυτοματοποιημένη λήψη αποφάσεων.
Ωστόσο, οι διαδικασίες αυτές απαιτούν την ύπαρξη των κατάλληλων ασφαλιστικών δικλείδων, καθώς μπορούν να δημιουργήσουν σημαντικούς κινδύνους για τα δικαιώματα των ατόμων και τις ελευθερίες τους.
Ένας από τους σοβαρούς κινδύνους της κατάρτισης προφίλ και της αυτοματοποιημένης λήψης αποφάσεων είναι πως ενδέχεται να λαμβάνουν χώρα χωρίς διαφάνεια.
Τα υποκείμενα των δεδομένων μπορεί να μην γνωρίζουν ότι τα στοιχεία που παρέχουν οδηγούν στην κατάρτιση προφίλ σχετικά με αυτά, ή να μην κατανοούν πλήρως τι συνεπάγεται αυτό.
Παράλληλα, η κατάρτιση προφίλ μπορεί να συμβάλει στη διαιώνιση των υπαρχόντων στερεότυπων και τον κοινωνικό διαχωρισμό.
Μπορεί επίσης να «κλειδώσει» ένα άτομο σε μία συγκεκριμένη κατηγορία και να το περιορίσει σε συγκεκριμένες προτεινόμενες προτιμήσεις. Αυτό μπορεί να υπονομεύσει την ελευθερία της επιλογής τους, για παράδειγμα μεταξύ προϊόντων ή υπηρεσιών, όπως βιβλία, μουσική ή η ενημέρωσή τους.
Σε ορισμένες περιπτώσεις ενδέχεται επίσης να οδηγήσει σε ανακριβείς προβλέψεις, άρνηση παροχής υπηρεσιών και αγαθών και αδικαιολόγητες διακρίσεις.
Οι διατάξεις του Γενικού Κανονισμού για την Προστασία Δεδομένων
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) εισάγει νέες διατάξεις για την αντιμετώπιση των κινδύνων που προκύπτουν από την κατάρτιση προφίλ και την αυτοματοποιημένη λήψη αποφάσεων, ιδίως, αλλά όχι αποκλειστικά, για την ιδιωτική ζωή.
Οι κατευθυντήριες γραμμές που εξέδωσε η Ομάδα Εργασίας του άρθρου 29 έχει ως στόχο να παρέχουν διευκρινίσεις σχετικά με τις διατάξεις αυτές.
Το έγγραφο της WP 29 περιλαμβάνει:
– Ορισμούς σχετικά με την κατάρτιση προφίλ και την αυτοματοποιημένη λήψης αποφάσεων, καθώς και τη γενική προσέγγιση του Κανονισμού προς αυτές τις έννοιες (Κεφάλαιο ΙΙ)
– Ειδικές διατάξεις για την αυτοματοποιημένη λήψη αποφάσεων, όπως ορίζεται στο άρθρο 22 του Κανονισμού (Κεφάλαιο III)
– Γενικές διατάξεις σχετικά με τη δημιουργία προφίλ και την αυτοματοποιημένη λήψη αποφάσεων (Κεφάλαιο IV)
– Διατάξεις για την κατάρτιση προφίλ σε σχέση με τα παιδιά (Κεφάλαιο V)
– Εκτιμήσεις αντικτύπου σχετικά με την προστασία δεδομένων (Κεφάλαιο VI)
Το έγγραφο της Ομάδας Εργασίας περιλαμβάνει επίσης παραρτήματα με συστάσεις για τις βέλτιστες πρακτικές, με βάση τις εμπειρίες που αποκτήθηκαν από τα κράτη-μέλη της Ευρωπαϊκής Ένωσης.
Δείτε αναλυτικά το έγγραφο της Ομάδας Εργασίας του άρθρου 29 εδώ.
* Η Ομάδα Εργασίας του άρθρου 29 είναι ένα ανεξάρτητο συμβουλετικό σώμα που ασχολείται με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ιδιωτικότητα στην Ευρωπαϊκή Ένωση. Συστάθηκε με βάση το άρθρο 29 της Οδηγίας 95/46/EC, ενώ οι αρμοδιότητές του περιγράφονται στο άρθρο 30 της ίδιας Οδηγίας, καθώς και στο άρθρο 15 της Οδηγίας 2002/58/EC.