Η μέχρι σήμερα αυστηρή φιλοσοφία του GDPR δείχνει να «μαλακώνει» αισθητά, σε μια προσπάθεια προσαρμογής στις ανάγκες της Τεχνητής Νοημοσύνης και στη διαρκή πίεση για απλοποίηση των διαδικασιών. Η Ευρώπη αναζητά μια ισορροπία ανάμεσα στη διαφύλαξη των δικαιωμάτων και στη μείωση της κανονιστικής επιβάρυνσης για τις επιχειρήσεις.
Στις 19 Νοεμβρίου, η Ευρωπαϊκή Επιτροπή παρουσίασε το Omnibus Digital Package: ένα ευρύ πλέγμα νομοθετικών αναθεωρήσεων που επιχειρούν να ενοποιήσουν και να εκσυγχρονίσουν το ευρωπαϊκό ψηφιακό πλαίσιο. Ανάμεσα στις αλλαγές, ξεχωρίζει η παρέμβαση στον ίδιο τον GDPR – τον κανονισμό που τα τελευταία χρόνια αποτέλεσε παγκόσμιο σημείο αναφοράς για την προστασία προσωπικών δεδομένων.
Η Omnibus δεν εμφανίστηκε σε κενό. Ανήκει σε μια ευρύτερη πολιτική στροφής προς την απλοποίηση, η οποία αποτυπώνεται τόσο στις Βρυξέλλες όσο και διεθνώς. Η ατζέντα μετατοπίζεται σε πιο φιλικές προς την καινοτομία ρυθμίσεις, με στόχο να ενισχυθεί η ευρωπαϊκή τεχνολογική ανάπτυξη και να στηριχθεί η ανταγωνιστικότητα μέσα σε ένα περιβάλλον που μεταβάλλεται ταχύτατα. Η εκλογή Τραμπ στις ΗΠΑ και η επαναφορά της λογικής «λιγότερων κανόνων» φαίνεται πως επιταχύνουν αυτή τη συζήτηση και στην Ευρώπη, ειδικά μετά και την Έκθεση Ντράγκι που τόνισε την ανάγκη μείωσης της κανονιστικής πολυπλοκότητας.
Σε αυτό το φόντο, ο GDPR εισέρχεται ξανά στο επίκεντρο: πώς μπορεί η ΕΕ να παραμείνει ηγέτιδα δύναμη στην προστασία δεδομένων χωρίς να δημιουργεί ασφυκτικό περιβάλλον για τις επιχειρήσεις;
Κομβικές αλλαγές στον GDPR
Η Omnibus δεν ξηλώνει τον Κανονισμό, αλλά αναπροσαρμόζει κρίσιμες ισορροπίες – και αυτές οι λεπτές μετατοπίσεις έχουν πρακτικό αντίκτυπο τόσο στους οργανισμούς όσο και στους πολίτες.
Νέος ορισμός του «προσωπικού δεδομένου»
Η πιο θεμελιώδης αλλαγή αγγίζει τον ορισμό των προσωπικών δεδομένων.
Δεδομένα που δεν μπορούν να οδηγήσουν σε ταυτοποίηση από τον υπεύθυνο επεξεργασίας (εφόσον δεν διαθέτει «εύλογα μέσα» για να αναγνωρίσει το άτομο) παύουν να θεωρούνται προσωπικά.
Τι σημαίνει αυτό πρακτικά:
- Λιγότερες υποχρεώσεις για επιχειρήσεις που χρησιμοποιούν ψευδωνυμοποιημένα ή αμιγώς τεχνικά datasets.
- Πιο εύκολη συμμόρφωση όταν δεν υπάρχει ουσιαστική δυνατότητα αναγνώρισης.
Όμως δημιουργεί νέα ερωτήματα για τους πολίτες:
- Ποιος κρίνει αντικειμενικά τι είναι πράγματι «μη ταυτοποιήσιμο»;
- Πώς εξασφαλίζεται ότι δεν μπορεί να γίνει επαναταυτοποίηση με σύγχρονες τεχνικές;
Εξαιρέσεις για ευαίσθητα δεδομένα και η διασύνδεση με την ΑΙ
Η Επιτροπή προτείνει δύο νέες εξαιρέσεις:
- Χρήση βιομετρικών αποκλειστικά για ταυτοποίηση, υπό πλήρη έλεγχο του χρήστη (π.χ. δακτυλικό αποτύπωμα σε smartphone).
- Περιορισμένη χρήση ευαίσθητων δεδομένων για λειτουργία ή εκπαίδευση συστημάτων ΑΙ, με αυστηρές δικλίδες και υποχρεωτική διαγραφή.
Οι επιχειρήσεις βλέπουν ευελιξία, ενώ οι οργανώσεις δικαιωμάτων βλέπουν τον κίνδυνο θολής γραμμής ανάμεσα στην «αναγκαιότητα» και την κατάχρηση.
Περιορισμός «καταχρηστικών» αιτημάτων πρόσβασης
Πλέον επιτρέπεται η απόρριψη αιτήματος πρόσβασης ή η επιβολή εύλογου τέλους όταν το αίτημα θεωρείται καταχρηστικό. Στόχος φαίνεται να είναι η παρεμπόδιση λειτουργίας ή η άσκηση πίεσης.
Αυτό μειώνει τον φόρτο για τις επιχειρήσεις, ειδικά τις μικρές, αλλά απαιτεί προσοχή για να μην περιοριστεί αδικαιολόγητα ένα θεμελιώδες δικαίωμα.
Χαλάρωση υποχρέωσης ενημέρωσης
Οι επιχειρήσεις δεν χρειάζεται πλέον να παρέχουν εκ νέου πλήρη ενημέρωση κάθε φορά που επεξεργάζονται δεδομένα, εφόσον μπορούν να αποδείξουν ότι ο χρήστης έχει ήδη επαρκή πληροφόρηση.
Αυτό μειώνει την επανάληψη και το βάρος συμμόρφωσης, αλλά:
- Ποιος διασφαλίζει ότι ο χρήστης παραμένει πλήρως ενήμερος;
- Πώς βεβαιώνεται ότι η νέα επεξεργασία δεν έχει αλλάξει ουσιωδώς;
Αυτοματοποιημένες αποφάσεις με πιο χαλαρή προϋπόθεση αναγκαιότητας
Η «αναγκαιότητα» διευρύνεται: μια απόφαση που βασίζεται εξ ολοκλήρου σε αλγόριθμο μπορεί να θεωρηθεί αναγκαία απλώς επειδή αυτός είναι ο σχεδιασμός της υπηρεσίας, ακόμη κι αν υπάρχει εναλλακτική ανθρώπινης εξέτασης.
Αυτό:
- Δίνει στις εταιρείες μεγαλύτερη ευχέρεια να υλοποιούν πλήρως αυτοματοποιημένα μοντέλα.
- Ανοίγει τον δρόμο για αλγοριθμικές διαδικασίες σε δάνεια, ασφάλειες, fintech, risk management.
Είναι όμως κρίσιμο για τους πολίτες:
- Πώς θα αμφισβητούν μια απόφαση;
- Πώς διασφαλίζεται η αποφυγή προκαταλήψεων ή σφαλμάτων;
Νέο πλαίσιο για αναφορά παραβιάσεων
Η υποχρέωση κοινοποίησης παραμένει μόνο για περιστατικά υψηλού κινδύνου.
- Προθεσμία: 96 ώρες.
- Νέα ενιαία πλατφόρμα μέσω ENISA.
Επιχειρήσεις → λιγότερη γραφειοκρατία.
Κίνδυνος → περιστατικά μέσου κινδύνου να μένουν στο σκοτάδι.
Τέλος στα cookie banners
Η λογική των κλασικών cookies αντικαθίσταται από τη μηχανικώς αναγνώσιμη συγκατάθεση. Οι επιλογές του χρήστη θα δηλώνονται αυτοματοποιημένα από:
- το λειτουργικό σύστημα,
- τον browser,
- ή νέα agent-based εργαλεία.
Αυτό σημαίνει:
Για τον χρήστη → λιγότερη ενόχληση, μεγαλύτερος έλεγχος.
Για τις επιχειρήσεις → ανατροπή των μοντέλων διαφήμισης και μετρήσεων επισκεψιμότητας.
Οι αλλαγές που δεν έγιναν
Παρά τις προσδοκίες, η Κομισιόν δεν προχώρησε σε χαλάρωση των υποχρεώσεων για τα αρχεία επεξεργασίας. Αυτό προκάλεσε ανακούφιση στις εποπτικές αρχές, αλλά και απογοήτευση σε πολλές επιχειρήσεις που περίμεναν μεγαλύτερη διοικητική ελάφρυνση.
Οι αντιδράσεις οργανώσεων
Οργανώσεις ψηφιακών δικαιωμάτων εκφράζουν ανησυχία:
- Οι εξαιρέσεις στα ευαίσθητα δεδομένα και οι χαλαρότερες ενημερώσεις μπορεί να μειώσουν τη διαφάνεια.
- Η μεταφορά της συγκατάθεσης σε browsers/λειτουργικά συστήματα ενδέχεται να ενισχύσει την εξάρτηση από μεγάλες τεχνολογικές πλατφόρμες.
Η Ευρώπη σε νέα καμπή
Η Omnibus δεν ανατρέπει τον GDPR, αλλά σηματοδοτεί μια μετατόπιση προς μεγαλύτερη ευελιξία. Το μεγάλο ερώτημα είναι αν αυτές οι προσαρμογές θα δημιουργήσουν ένα πιο λειτουργικό πλαίσιο ή αν θα ανοίξουν τον δρόμο σε μια πιο θολή εποχή για τα προσωπικά δεδομένα. Το μόνο βέβαιο είναι ότι η συζήτηση γύρω από τον GDPR τώρα αναθερμαίνεται και μάλλον θα μας απασχολήσει έντονα τα επόμενα χρόνια.
