Tα προσωπικά δεδομένα αποκτούν ολοένα πιο σημαντική κοινωνική, οικονομική και κοινωνική αξία. Η διεθνής πρωτοβουλία ‘My Data’, βασισμένη σε μία εργασία των Antti Poikola, Kai Kuikkaniemi και Harri Honko, επιχειρεί να αναδιαμορφώσει το οικοσύστημα των προσωπικών δεδομένων, εισάγοντας την παραδοχή πως όλοι οι άνθρωποι, τα υποκείμενα της επεξεργασίας, θα πρέπει να έχουν τον τελικό και πλήρη έλεγχο των προσωπικών τους δεδομένων. Προς το σκοπό διαμόρφωσης μιας ρεαλιστικά κατανεμημένης οικολογίας διαχείρισης προσωπικών δεδομένων, βασισμένης σε μία θεωρητικά προσδιορισμένη τεχνική αρχιτεκτονική, διενεργήθηκε από τις 30 Αυγούστου έως και 1 Σεπτεμβρίου στις πόλεις του Ταλίν/Εσθονία και Ελσίνκι/Φινλανδία το 3ο συνέδριο MyData. Ένα συνέδριο με δώδεκα θεματικές ενότητες, το οποίο συγκέντρωσε 100+ ομιλητές και 700+ συμμετέχοντες με ετερόκλητο υπόβαθρο, όπως εκπροσώπους και στελέχη επιχειρήσεων, νομικούς, τεχνικούς, φιλοσόφους, data scientists, ερευνητές, ακαδημαϊκούς, hackers, ακτιβιστές και επιχειρούντες στη νεοείσακτη λογική των Personal Information Management Systems (PIMS).
Τον Οργανισμό Ανοιχτών Τεχνολογιών- ΕΕΛΛΑΚ εκπροσώπησε, ο Αλέξανδρος Νούσιας , όσου και συμμετείχε στην ενότητα ‘Ethical Processing of MyData/Connecting MyData to Ethics and Philosophy” με την εισήγηση με τίτλο ‘From Personal Data Processing to Digital Dignity’
Σε μία άρτια τεχνικά και οργανωτικά εκδήλωση, όπου οι ψηφιακές τεχνολογίες συμπλήρωσαν (ή ακριβέστερα επαύξησαν) αρμονικά την ανθρώπινη διάδραση, η συζήτηση κινήθηκε ανάμεσα στη ‘στάθμη της τεχνικής’, το Γενικό Κανονισμό Προστασίας Δεδομένων (2016/679/ΕΕ), τους υπάρχοντες κανόνες της αγοράς, την ηθική της αγοράς και την προοπτική δημιουργίας μίας τεχνικής ‘MyData’ υποδομής. Αντικειμενικός σκοπός της υποδομής αυτής είναι αφενός να ικανοποιεί τα κριτήρια του επερχόμενου ΓΚΠΔ και να εξυπηρετεί την ανάγκη της αγοράς για δεδομένα, αφετέρου όμως να μετατοπίσει το κέντρο του ενδιαφέροντος στον άνθρωπο, τον οποίο και αντιμετωπίζει ως αυτόνομη οντότητα, ελεύθερη να ορίσει η ίδια τη χρήση και επανάχρηση των δεδομένων της κατά τον τρόπο και το χρόνο που αυτή το επιθυμεί.
Σε αυτό το πλαίσιο υπήρξαν ευλόγως, τόσο σημεία σύγκλισης, όσο και σημεία τριβής. Ως σημεία σύγκλισης θα μπορούσε να σημειώσει κανείς καταρχήν την ανάγκη ανάπτυξης ενός ενιαίου εννοιολογικού χάρτη, που θα βασίζεται σε κοινές οντολογίες και σε ένα μοναδικό, κοινά αποδεκτό πρωτόκολλο. Η παροχή επαρκούς πληροφόρησης για τη λήψη συναίνεσης από τα υποκείμενα της επεξεργασίας με ενιαίο λεξιλόγιο και ενιαίο μορφότυπο αποτελεί ένα χαρακτηριστικό παράδειγμα της σημασιολογίας, όπως την αντιλαμβάνεται το ‘MyData’. Σε αυτή τη λογική και με μία συνταγή βγαλμένη από τον κόσμο του ανοιχτού λογισμικού αναδείχτηκε έντονα η ανάγκη δημιουργίας κοινότητας και η σπονδυλωτή ανάπτυξη λύσεων κατά περίπτωση ακολουθώντας φυσικά τα υπό ανάγκη διαμόρφωσης ενιαία ηθικά και τεχνονομικά πρότυπα.
Τα κριτήρια επιμέτρησης της προσδιδόμενης ‘MyData’ αξίας ήταν ένα άλλο ενδιαφέρον σημείο, καθώς υπήρξαν αναφορές στο ΑΕΠ, στους δείκτες ευτυχίας και στα επίπεδα της δικαιοσύνης με την ευρύτερη έννοια (κοινωνική, επιχειρηματική). Κοινός τόπος αποδείχτηκε και η ανάγκη για αργά και σταθερά βήματα προς την παραγωγή αξίας. Η συζήτηση περί ηθικής και ψηφιακής αξιοπρέπειας (digital dignity) θα μπορούσε να προκαλέσει μία δημιουργική καθυστέρηση στην επικείμενη έκρηξη της αγοράς των προσωπικών δεδομένων, ένα χρήσιμο αντίβαρο, το οποίο όλοι οι ενδιαφερόμενοι οφείλουν να εξετάσουν κατά το στάδιο διαμόρφωσης των κανόνων του παιχνιδιού και συμμόρφωσης με αυτούς.
Μιλώντας για κανόνες, προφανώς δε θα μπορούσε να λείπει ο Γενικός Κανονισμός Προστασίας Δεδομένων (2016/679/ΕΕ) και οι αλλαγές/επιταγές που εμπεριέχει. Από τον Κανονισμό ορμώμενη, ετέθη η ανάγκη δημιουργίας μίας γενιάς ‘MyData’ – Data Protection Officers, καθώς σε αυτή την κατηγορία των επαγγελματιών έχει εμμέσως δοθεί το προνόμιο και η δυνατότητα να σχεδιάσουν το διαμορφούμενο οικοσύστημα. Επομένως, ο ηθικοκεντρικός σχεδιασμός και οργάνωση ενός ολοληρωμένου συστήματος προστασίας δεδομένων, η εφαρμογή σχετικών μέτρων προστασίας και η συνεχής παρακολούθηση και βελτίωση αυτών θα μπορούσε να προσδώσει σε έναν οργανισμό το πολυπόθητο ανταγωνιστικό πλεονέκτημα και να αποτελέσει το σημείο ουσιώδους διαφοροποίησής του από τον ανταγωνισμό, κάτι που άλλωστε είναι και το ζητούμενο για τους παίχτες της αγοράς.
Καθώς όμως το ζήτημα είναι σύνθετο και οι ενδιαφερόμενοι πολλοί, υπήρξαν και πολλά σημεία τριβής. Σε φιλοσοφικό και νομικό επίπεδο το κεντρικό σημείο διαφοράς αφορούσε καταρχήν στον προσδιορισμό του δικαιώματος που διέπει την επεξεργασία των προσωπικών δεδομένων. Πρόκειται για ιδιοκτησία ή για δικαίωμα ελέγχου ή/και διαχείρισης; Αναλόγως την προσδιδόμενη ιδιότητα, ποιός είναι ο δόκιμος τρόπος άσκησης του σχετικού δικαιώματος στο σύγχρονο ψηφιακό περιβάλλον; Σε ποιό σημείο σταματάει η εξουσία του υποκειμένου και σε ποιό σημείο αρχίζει η εξουσία των τρίτων που ορίζουν το σκοπό και επεξεργάζονται δεδομένα για παραγωγή εμπορικής αξίας;
Μεγάλη συζήτηση αναπτύχθηκε γύρω από τα ζητήματα της διαφάνειας και της λογοδοσίας και ειδικότερα τί ορίζουμε ως διαφάνεια και λογοδοσία, ποιά είναι τα όριά τους και με ποιόν τρόπο εγγυώμαστε την εκπλήρωσή τους (πχ με την επέκταση και εφαρμογή των αρχών του ανοιχτού λογισμικού, τη Διακήρυξη των ‘MyData’ αρχών, με ελέγχους, με νομοθετική παρέμβαση;). Άρρηκτα συνδεδεμένα με το παραπάνω είναι τα κριτήρια χαρακτηρισμού των δεδομένων ως υψηλού και χαμηλού κινδύνου, η αξιολόγηση των απαιτούμενων ενεργειών διαχείρισης, αναλόγως του προσδιορισμένου επιπέδου κινδύνου και η κατανομή ευθυνών ανάμεσα στο υποκείμενο και τον οποιονδήποτε τρίτο προβαίνει σε σχετική επεξεργασία στα πλαίσια της ‘MyData’ αλυσίδας παραγωγής αξίας. Με απλά λόγια, ποιός έχει την αντικειμενική ευθύνη για την ομαλή ανάπτυξη και λειτουργία της ‘MyData’ υποδομής; Σε αυτό το σημείο επιχειρήθηκαν να τεθούν τα όρια και η δικαιολογητική βάση της ιδιωτικότητας, της ανωνυμίας και της ανθρωποκεντρικής ‘MyData’ λογικής, που με αφετηρία την αυτόνομη ιδιωτική βούληση εξασφαλίζει την απρόσκοπτη αλλά ηθικά προσδιορισμένη διανομή και περαιτέρω χρήση των προσωπικών δεδομένων προς όφελος τόσο του ατόμου όσο και της αγοράς.
Ένα λογικό κενό φάνηκε να δημιουργείται στην υλοποίηση του άρθρου 20 του ΓΚΠΔ που αφορά στη φορητότητα των δεδομένων. Με την εισαγωγή του άρθρου 20 του ΓΚΠΔ η εμπορική γνώση που αναπτύσσεται μεταξύ ανταγωνιστών για τα στοιχεία των πελατών/χρηστών τους περνά εμμέσως στη δημόσια σφαίρα και αποτελεί ‘οιονεί κοινό κτήμα’, εφόσον το θελήσει το υποκείμενο. Το γεγονός αυτό μόνο ενθαρρυντικό δεν είναι για τις εταιρείες και τους οργανισμούς. Η μόνη λύση είναι να μπορέσει η αγορά να δημιουργήσει συνθήκες ικανής άσκησης του δικαιώματος φορητότητας, η οποία θα εξασφαλίζει την προοπτική δημιουργίας αξίας και στα μέλη της, διαφορετικά το δικαίωμα της φορητότητας θα απαξιωθεί στην πράξη. Ποιος επομένως θα αναλάβει α) να αναπτύξει τους κοινούς μορφότυπους, β) να συντάξει τους όρους μίας τέτοιας τριμερούς συναλλαγής (επιχείριση-πελάτης-επιχείρηση) και γ) να τους επιβάλλει; Και σε αυτό το σημείο ετέθη το ζήτημα μετατόπισης του βάρους από το άτομο στην ομάδα και δημιουργίας προβληματικής γύρω από την αμφιλεγόμενη έννοια της ‘συλλογικής ιδιωτικότητας’ (group privacy).
Λαμβάνοντας υπόψη όλες τις παραπάνω προοπτικές και προβληματισμούς ετέθη προς υπογραφή η Διακήρυξη των ‘MyData’ Αρχών 1.0 με απώτερο σκοπό τη δημιουργία μίας κρίσιμης μάζας, η οποία επιδιώκει την ισορροπημένη εμπορική ανάπτυξη τοποθετώντας πάντα τον άνθρωπο στο κέντρο. Η υιοθέτηση, μερική ή πλήρης, των αρχών αυτών και ο αντίστοιχος σχεδιασμός των βημάτων προς συμμόρφωση που πρέπει να ακολουθήσουν οι οργανισμοί ενόψει της θέσεως του Κανονισμού σε ισχύ το Μάιο του 2018, είναι ένα επιπλέον στοιχείο που μπαίνει στο γρίφο που πρέπει να λύσουν οι εκκολαπτόμενοι Υπεύθυνοι Προστασίας Δεδομένων (Data Protection Officers).
Ο Αλέξανδρος Νούσιας είναι Νομικός Σύμβουλος, Ειδικός Επιστήμονας Πνευματικής Ιδιοκτησίας, Προστασίας&Διαχείρισης Προσωπικών Δεδομένων και εργάζεται ως Υπεύθυνος Προστασίας Δεδομένων. Στο συνέδριο ‘MyData’ στην ενότητα ‘Ethical Processing of MyData/Connecting MyData to Ethics and Philosophy έκανε εισήγηση με τίτλο ‘From Personal Data Processing to Digital Dignity’
Thank you Alexandros, that’s a good post.
Just picking up one point: I think that it’s very dangerous to introduce the concept of “ownership” to personal data, since that takes us into the extension of traditional property laws into an area that is not at all like property. Also, I would suggest that applying property concepts to intangibles that can be replicated almost without cost, in a globalised environment, will almost inevitably lead to quasi-monopoly ownership, rather than distributed benefit.
Thank you Robert for your comment.
Allow me to clarify my stance. What I’m indeed referring to is to reflect on the control/ownership dichotomy and the related implications. At the moment, we experience the ‘free’ information illusion, which directly results in information inclusion and makes information markets to fail at the core. In order to reverse the flow, we need to reflect on a) how all stakeholders (data subjects, data brokers, service providers etc) will be entitled to negotiate or claim their revenue share, b) how to avoid negative externalities in the overall legal/technical design. Since ‘growth’ is the #1 society’s driver today, securing personal data revenue streams for all stakeholders in a fair and practical manner is the first, necessary step, the carrot if you may, to start thinking on the ethical design. In other words, what I’m trying to say here is to reverse the flow by going with the flow…
Alexandros, I agree with your objective, but the term “ownership” comes with all sorts of history and expectation. If you want to use a current concept to apply to personal data, then I would use the concept of “licensed use”, with the person to whom the data relates being the “head” licensor in a possible chain of licensees.
One of the challenges is that most data only becomes “personal” because of its linkage to other data. For example, let’s take sensitive category attribute such as race: the attribute “caucasian race” is not in itself personal, but if I were to link this to you personally then it becomes “your” personal data. Therefore, it is not individual data elements that could be “licensed for specified use”, but the ability to make combinations of data. This does not fit well with a traditional ownership concept (and not so well either with a traditional licensing concept).
Regards, Robert
Privacy is ‘the power to control what others can come to know about you’ (Ethan Katsch, Law in a Digital World, 1995). Following the technical design and the trends currently at play, I’d build on this notion by simply adding that privacy is the power to control what others can come to know about you and to allow others to access and use this knowledge under fair reciprocities schema. Such a formula leads us to a property right / distribution duty dualistic reality. Lets name this dualism, ‘liquid property’. In your example, linking me with the attribute “caucasian race” would make me the owner of this very individual data element (me attributed as caucasian), bound however to allow others to access, reuse and make combinations of me attributed as caucasian under one condition: fair reciprocity per use. This imaginary ‘liquid property’ lies on IP, personality rights and authorship, it provides open culture warranties (namely the ability to make combinations of data) while capturing a relevant amount of monetary value for the data subject. Last but not least it is understood only within a -data- ethical context to be engineered.
Thanks for your time.