Φέτος συμπληρώνονται δέκα χρόνια από την υιοθέτηση του Γενικού Κανονισμού για την Προστασία Δεδομένων της Ευρωπαϊκής Ένωσης, γνωστού ως GDPR, ο οποίος έγινε υποχρεωτικός για όλες τις επιχειρήσεις από τις 25 Μαΐου 2018. Ο στόχος του GDPR ήταν απλός αλλά εξαιρετικά σημαντικός: να δώσει στους πολίτες μεγαλύτερο έλεγχο πάνω στα προσωπικά τους δεδομένα. Ο κανονισμός αντικατέστησε την Οδηγία 95/46/ΕΚ με σκοπό να ενοποιήσει τους κανόνες προστασίας δεδομένων στην Ευρωπαϊκή Ένωση, να ενισχύσει τα δικαιώματα των πολιτών και να απλοποιήσει το ρυθμιστικό πλαίσιο.
Με αφορμή αυτή την επέτειο, ειδικοί και αναλυτές μίλησαν στο Computerworld Spain για το πώς ο GDPR άλλαξε τον τρόπο λειτουργίας των επιχειρήσεων και ποιες προκλήσεις εξακολουθούν να υπάρχουν σήμερα.
Η μεγάλη αλλαγή στην εταιρική κουλτούρα
Ο Fernando Maldonado, βασικός αναλυτής της Foundry Spain, χαρακτηρίζει την κληρονομιά του GDPR «γλυκόπικρη». Όπως εξηγεί, ο GDPR υπήρξε ένας από τους πιο επιδραστικούς ψηφιακούς κανονισμούς παγκοσμίως. Άλλαξε τον τρόπο με τον οποίο οι εταιρείες αντιμετωπίζουν την ιδιωτικότητα, ανέβασε τα πρότυπα προστασίας και έδωσε περισσότερα δικαιώματα στους πολίτες. Ωστόσο, θεωρεί ότι δεν πέτυχε πλήρως αυτό που πολλοί περίμεναν: να αποκτήσουν οι άνθρωποι πραγματικό και εύκολο έλεγχο στα δεδομένα τους.
Σύμφωνα με τον ίδιο, η πιο εμφανής επιτυχία του GDPR ήταν πολιτισμική και οργανωτική. Πριν από την εφαρμογή του, σε πολλές επιχειρήσεις η προστασία δεδομένων περιοριζόταν σε κάποια νομικά κείμενα σε ιστοσελίδες, σε συμβάσεις με προμηθευτές και σε έναν φάκελο που εμφανιζόταν μόνο κατά τη διάρκεια ελέγχων. Σήμερα όμως, τουλάχιστον στην Ευρώπη, η ιδιωτικότητα έχει ενσωματωθεί στην καθημερινή λειτουργία εταιρειών, δημόσιων υπηρεσιών και ψηφιακών πλατφορμών.
Πλέον γίνεται συζήτηση για νομικά πλαίσια, αξιολογήσεις αντικτύπου, ελαχιστοποίηση δεδομένων, προστασία δεδομένων από τον σχεδιασμό, υπεύθυνους προστασίας δεδομένων και παραβιάσεις ασφαλείας. Το πιο σημαντικό όμως είναι κάτι βαθύτερο: οι οργανισμοί δεν αρκεί πλέον να δηλώνουν ότι συμμορφώνονται. Πρέπει να μπορούν και να το αποδείξουν.
Ο Maldonado τονίζει ότι ο GDPR ανάγκασε τις εταιρείες να γνωρίζουν ακριβώς ποια δεδομένα επεξεργάζονται, για ποιον σκοπό, για πόσο διάστημα, με ποιους τα μοιράζονται και κάτω από ποιες εγγυήσεις ασφαλείας.
Οι «γκρίζες ζώνες» που παραμένουν
Παρά τη σημαντική πρόοδο, οι ειδικοί παραδέχονται ότι ο GDPR εξακολουθεί να έχει αδυναμίες και ασάφειες. Ο Miguel Recio, πρόεδρος της Ισπανικής Επαγγελματικής Ένωσης για την Ιδιωτικότητα, θεωρεί ότι ένα από τα μεγαλύτερα προβλήματα αφορά τις νομικές βάσεις επεξεργασίας δεδομένων, όπως η συγκατάθεση ή το έννομο συμφέρον.
Όπως εξηγεί, στην πράξη υπάρχουν συχνά αβεβαιότητες γύρω από το πότε μια συγκατάθεση θεωρείται πραγματικά έγκυρη και πότε ένα «έννομο συμφέρον» δικαιολογεί τη χρήση προσωπικών δεδομένων. Παράλληλα, εκφράζει προβληματισμό για τον ίδιο τον ορισμό των προσωπικών δεδομένων. Αν εφαρμοστεί υπερβολικά αυστηρά, μπορεί να δημιουργήσει δυσανάλογες απαιτήσεις συμμόρφωσης που τελικά δεν προστατεύουν ουσιαστικά τον πολίτη. Αντίστοιχα, θεωρεί ότι οι παραδοσιακοί ρόλοι του «υπευθύνου επεξεργασίας» και του «εκτελούντος την επεξεργασία» δεν ανταποκρίνονται πάντα στις σύγχρονες ψηφιακές συνεργασίες.
Οι διεθνείς μεταφορές δεδομένων παραμένουν πονοκέφαλος
Ένα από τα μεγαλύτερα προβλήματα του GDPR αφορά τις διεθνείς μεταφορές δεδομένων. Ο Rafael García del Poyo από την Osborne Clarke Spain χαρακτηρίζει το θέμα «Αχίλλειο πτέρνα» του κανονισμού. Οι συνεχείς δικαστικές ανατροπές στις υποθέσεις Schrems I και Schrems II έδειξαν πόσο δύσκολο είναι να λειτουργήσει ένας παγκόσμιος ψηφιακός κόσμος με διαφορετικά εθνικά και περιφερειακά νομικά πλαίσια.
Ο ίδιος θεωρεί επίσης ότι η υπερβολική εξάρτηση από τη συγκατάθεση ως βασική νομική βάση έχει κουράσει τους πολίτες. Στην πράξη, όπως λέει, τα συνεχή αναδυόμενα παράθυρα για cookies και αποδοχή όρων έχουν μετατρέψει τη συγκατάθεση σε μια κουραστική, σχεδόν αυτόματη διαδικασία κλικ, χωρίς ουσιαστική ενημέρωση ή συνειδητή επιλογή.
Τα πρόστιμα δισεκατομμυρίων και η πραγματικότητα
Οι κυρώσεις του GDPR συνεχίζουν να είναι τεράστιες. Ο Alberto Bellé από τη Foundry Spain σημειώνει ότι από το 2018 μέχρι σήμερα έχουν επιβληθεί πρόστιμα ύψους 7,1 δισεκατομμυρίων ευρώ, ενώ μόνο το 2025 τα πρόστιμα άγγιξαν τα 1,2 δισεκατομμύρια ευρώ.
Στην Ισπανία, η Αρχή Προστασίας Δεδομένων αύξησε τα πρόστιμα κατά 14% το 2025, φτάνοντας τα 40 εκατομμύρια ευρώ σε 299 υποθέσεις. Ωστόσο, όπως επισημαίνει, η πραγματική είσπραξη αυτών των ποσών είναι πολύ πιο περίπλοκη. Για παράδειγμα, η ιρλανδική αρχή έχει επιβάλει πάνω από 4 δισεκατομμύρια ευρώ σε μεγάλες τεχνολογικές εταιρείες, αλλά έχει καταφέρει να εισπράξει μόλις περίπου 20 εκατομμύρια.
Η τεχνητή νοημοσύνη αλλάζει τα δεδομένα
Ένα από τα μεγαλύτερα νέα στοιχήματα είναι φυσικά η τεχνητή νοημοσύνη. Ο Maldonado υπενθυμίζει ότι ο GDPR δημιουργήθηκε πριν από την έκρηξη της generative AI. Παρ’ όλα αυτά, οι βασικές του αρχές εξακολουθούν να είναι κρίσιμες: διαφάνεια, νόμιμη βάση επεξεργασίας, ελαχιστοποίηση δεδομένων, ασφάλεια και προστασία ήδη από τον σχεδιασμό.
Το πρόβλημα είναι ότι η τεχνητή νοημοσύνη μεταφέρει αυτές τις αρχές σε ένα πολύ πιο σύνθετο περιβάλλον. Πώς ενημερώνεις ξεκάθαρα έναν πολίτη για τα δεδομένα που χρησιμοποιούνται στην εκπαίδευση τεράστιων μοντέλων AI; Πώς διαγράφεις δεδομένα που έχουν ήδη επηρεάσει ένα σύστημα; Πώς εξηγείς αλγοριθμικές αποφάσεις που ακόμη και οι ειδικοί δυσκολεύονται να κατανοήσουν; Αυτά, σύμφωνα με τους ειδικούς, θα είναι τα ερωτήματα που θα καθορίσουν την επόμενη δεκαετία.
Το ζήτημα της «ψηφιακής κυριαρχίας»
Οι ειδικοί θεωρούν επίσης ότι η Ευρώπη έχει συνειδητοποιήσει πως δεν μπορεί να παραμείνει ανταγωνιστική αν οι πολίτες και οι επιχειρήσεις εγκλωβίζονται σε ψηφιακές πλατφόρμες από τις οποίες δεν μπορούν εύκολα να αποχωρήσουν. Ο GDPR αναγνώρισε το δικαίωμα φορητότητας δεδομένων, όμως στην πράξη αυτό δεν αξιοποιήθηκε ιδιαίτερα, κυρίως επειδή δεν υπήρχαν κοινά τεχνικά πρότυπα και συμβατά συστήματα.
Σήμερα, όμως, οι νέες ευρωπαϊκές ρυθμίσεις πιέζουν τις εταιρείες να διασφαλίσουν ότι η μεταφορά δεδομένων από υπηρεσία σε υπηρεσία είναι τεχνικά εφικτή. Το μέλλον του GDPR
Δέκα χρόνια μετά, οι περισσότεροι ειδικοί συμφωνούν σε κάτι βασικό: ο GDPR δεν χρειάζεται να ξηλωθεί και να ξαναγραφτεί από την αρχή. Αυτό που χρειάζεται είναι προσαρμογή, καλύτερη εφαρμογή και πιο ξεκάθαρες ερμηνείες για τις νέες τεχνολογικές πραγματικότητες.
Ο Miguel Recio υπογραμμίζει ότι έχουμε ήδη περάσει από την απλή «διαχείριση δεδομένων» στη συνολική «διακυβέρνηση δεδομένων», πάντα μέσα σε ένα πλαίσιο προστασίας θεμελιωδών δικαιωμάτων. Παράλληλα, θεωρεί απολύτως αναγκαία την ενίσχυση του ρόλου των επαγγελματιών προστασίας δεδομένων, τους οποίους χαρακτηρίζει κρίσιμους για τη σωστή συμμόρφωση των επιχειρήσεων. Το μόνο βέβαιο είναι ότι τα επόμενα χρόνια θα είναι καθοριστικά. Η τεχνητή νοημοσύνη, η ψηφιακή κυριαρχία, η παγκόσμια οικονομία δεδομένων και οι συνεχώς αυξανόμενες ρυθμίσεις θα δοκιμάσουν τα όρια του GDPR όσο ποτέ άλλοτε.
Και το μεγάλο ερώτημα παραμένει ανοιχτό: μπορεί ένας κανονισμός που σχεδιάστηκε πριν από δέκα χρόνια να προστατεύσει αποτελεσματικά τους πολίτες σε έναν κόσμο που αλλάζει με ιλιγγιώδη ταχύτητα;
Με πληροφορίες από csoonline.com
