Το παράδοξο του GDPR: Η ενδυνάμωση της κυβέρνησης στο όνομα της προστασίας των δεδομένων

 Ο Γενικός Κανονισμός για την Προστασία Δεδομένων της Ευρωπαϊκής Ένωσης ("GDPR"), ο οποίος τέθηκε σε ισχύ το 2016, είναι ένα από τα πιο λεπτομερή νομοθετικά συστήματα στον τομέα της προστασίας δεδομένων. Το παρόν άρθρο εξετάζει δύο Λιμπερταριανά σκεπτόμενες αντιρρήσεις για την προσέγγισή του. Πρώτον, υποστηρίζω ότι η έννοια του "δικαιώματος" που υιοθετείται στον GDPR είναι εσφαλμένη. Δεύτερον, δείχνει ότι το GDPR δεν προστατεύει τα άτομα από τις πεινασμένες για δεδομένα κυβερνήσεις και εταιρείες. Τελικά, η νομοθεσία για την προστασία των δεδομένων καθιστά τους ανθρώπους ισχυρούς στη θεωρία αλλά αδύναμους στην πράξη, ενώ καθιστά τους ισχυρούς ιδιωτικούς και δημόσιους φορείς αδύναμους στη θεωρία αλλά ισχυρούς στην πράξη.

Μια ελαττωματική έννοια του "δικαιώματος"

Το GDPR επιδιώκει να προστατεύσει τα θεμελιώδη ατομικά δικαιώματα που σχετίζονται με τη συλλογή και την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Αυτά περιλαμβάνουν το δικαίωμα πρόσβασης, το δικαίωμα διόρθωσης, το δικαίωμα διαγραφής, το δικαίωμα στη λήθη, το δικαίωμα περιορισμού της επεξεργασίας, το δικαίωμα φορητότητας των δεδομένων, το δικαίωμα αντίρρησης και το δικαίωμα να μην υποβάλλονται σε αυτοματοποιημένες αποφάσεις.

Ο Λιμπερταριανός αναγωγισμός υποστηρίζει ότι τα ανθρώπινα δικαιώματα είναι φυσικά δικαιώματα και ότι τα φυσικά δικαιώματα είναι δικαιώματα ιδιοκτησίας. Η αρχή της μη επίθεσης δηλώνει ότι κάθε έναρξη βίας, δηλαδή κάθε επίθεση κατά της ιδιοκτησίας, είναι παράνομη. Ωστόσο, ορισμένα από τα θεμελιώδη δικαιώματα που προστατεύονται από το GDPR παραβιάζουν την αρχή της μη επίθεσης. Για παράδειγμα, το δικαίωμα στη λήθη μπορεί να επικαλεστεί ένα άτομο για να αναγκάσει τις εταιρείες τεχνολογίας, όπως οι πάροχοι μηχανών αναζήτησης, να αποκρύψουν τα αποτελέσματα που το αφορούν. Το GDPR φαίνεται να υιοθετεί την άποψη ότι τα υποκείμενα των δεδομένων είναι κύριοι των προσωπικών τους δεδομένων, αλλά αυτό είναι συζητήσιμο.

Για παράδειγμα, ένας χρήστης που αλληλεπιδρά με το υλικό και το λογισμικό της Google, παράγοντας έτσι προσωπικά δεδομένα, δεν είναι ο μοναδικός κάτοχος αυτών των δεδομένων, επειδή τα δημιούργησε χρησιμοποιώντας την υποδομή της Google. Το ίδιο ισχύει και για κάθε προσωπικό δεδομένο που παράγεται από την αλληλεπίδραση με άλλους ανθρώπους, τόσο διαδικτυακά όσο και προσωπικά. Επιπλέον, όταν η Google εμφανίζει δημόσια διαθέσιμες πληροφορίες στα αποτελέσματα της αναζήτησής της, δύσκολα παραβιάζει τα δικαιώματα ιδιοκτησίας κανενός.

Από μια Λιμπερταριανή άποψη, είναι πολύ παρατραβηγμένο να δηλώνουμε ότι ο νόμος θα πρέπει να δίνει στους χρήστες το "δικαίωμα" να αναγκάζουν τις εταιρείες να διαγράφουν τα δεδομένα που τους αφορούν, διότι αυτό σημαίνει ότι οι εταιρείες αυτές δεν είναι ελεύθερες να χρησιμοποιούν την ιδιοκτησία τους (το υλικό και το λογισμικό τους) και τις δημόσιες πληροφορίες όπως επιθυμούν. Παρόμοιες αντιρρήσεις μπορούν να προβληθούν και κατά άλλων "δικαιωμάτων". Το γεγονός ότι τουλάχιστον ορισμένα από τα "θεμελιώδη δικαιώματα" που προστατεύονται από το GDPR δεν μπορούν να αναχθούν σε δικαιώματα ιδιοκτησίας είναι εξαιρετικά προβληματικό: ελλείψει σαφώς καθορισμένων δικαιωμάτων ιδιοκτησίας, το GDPR μπορεί να χρησιμοποιηθεί για τη νομιμοποίηση της επιθετικότητας κατά προσώπων και οντοτήτων.

Η πρακτική αναποτελεσματικότητα του GDPR

Το GDPR αποσκοπεί στην προστασία των ατόμων από την εκμετάλλευση των προσωπικών δεδομένων, αλλά όπως συμβαίνει συχνά με τις κρατικές ρυθμίσεις, θέτει τα άτομα σε κίνδυνο και ευνοεί τις μεγάλες εταιρείες και τις κυβερνήσεις.

Πρώτον, το GDPR αντιλαμβάνεται την προστασία της ιδιωτικής ζωής ως θεμελιώδες δικαίωμα, αλλά στις περισσότερες περιπτώσεις πρέπει να το επικαλούνται τα άτομα για να εφαρμοστεί. Για παράδειγμα, στην περίπτωση της αυτοματοποιημένης επεξεργασίας δεδομένων, οι χρήστες έχουν το δικαίωμα να ζητούν ανθρώπινη παρέμβαση πριν από τη λήψη απόφασης. Δεδομένου ότι η συντριπτική πλειονότητα των ανθρώπων δεν έχει το χρόνο, τους πόρους και τη δυνατότητα να εμπλακεί ενεργά με τις δεκάδες ή εκατοντάδες ιδιωτικές και δημόσιες οντότητες που διαχειρίζονται τα δεδομένα τους, αυτό ισοδυναμεί με το να δίνεται στους υπευθύνους επεξεργασίας και στους εκτελούντες την επεξεργασία ένα "carte blanche" όσον αφορά την επεξεργασία δεδομένων γενικά και την αυτοματοποιημένη επεξεργασία ειδικότερα.

Δεύτερον, το GDPR κάνει ελάχιστα έως τίποτα ενάντια στην κατάχρηση εξουσίας που μπορεί να προέρχεται από το κράτος. Τα δικαιώματα ιδιωτικότητας των χρηστών μπορούν να αναστέλλονται ή να περιορίζονται κάθε φορά που υπάρχει κάποιο ζήτημα δημόσιας ασφάλειας ή κάποιο είδος έννομου συμφέροντος. Για παράδειγμα, η αιτιολογική σκέψη δεκαεννέα του GDPR αναφέρει,

Ο παρών κανονισμός θα πρέπει να προβλέπει τη δυνατότητα των κρατών μελών να περιορίζουν, υπό συγκεκριμένες προϋποθέσεις, με νόμο ορισμένες υποχρεώσεις και δικαιώματα, όταν ο περιορισμός αυτός αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διαφύλαξη συγκεκριμένων σημαντικών συμφερόντων, συμπεριλαμβανομένης της δημόσιας ασφάλειας και της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας από και της πρόληψης απειλών κατά της δημόσιας ασφάλειας. Αυτό είναι σχετικό, για παράδειγμα, στο πλαίσιο της καταπολέμησης της νομιμοποίησης εσόδων από παράνομες δραστηριότητες ή των δραστηριοτήτων των εγκληματολογικών εργαστηρίων.

Αυτού του είδους οι ρήτρες ακούγονται ελκυστικές, αλλά είναι γεμάτες από κενές λέξεις ("δημοκρατία", "σημαντικά συμφέροντα", "δημόσια ασφάλεια" και άλλα παρόμοια) που απαντώνται πολλές φορές στο GDPR. Από τη μία πλευρά, οι δημόσιοι φορείς υποτίθεται ότι προστατεύουν τα δικαιώματα των ιδιωτικών δεδομένων των ατόμων- από την άλλη πλευρά, οι δημόσιοι φορείς μπορούν να εξαιρεθούν από τις υποχρεώσεις που προβλέπονται στο GDPR λόγω της "εθνικής ασφάλειας". Είναι λίγο ειρωνικό το γεγονός ότι στα άτομα αποδίδονται τόσα πολλά "δικαιώματα" που οι κυβερνήσεις και οι εταιρείες είναι νομικά εξουσιοδοτημένες να τα παρακάμπτουν με πολλούς διαφορετικούς τρόπους. Οι ρυθμιστικές αρχές δεν προστατεύουν τα δεδομένα όταν δημιουργούν χώρο για εξαιρέσεις και δίνουν στους εαυτούς τους και στις ιδιωτικές εταιρείες το πράσινο φως να αγνοούν την ιδιωτική ζωή των ατόμων: απλώς καθιστούν αυτές τις "εξαιρέσεις" νόμιμες.

Τρίτον, το GDPR δηλώνει με μεγάλη σαφήνεια ότι το σημαντικότερο καθήκον των υπευθύνων επεξεργασίας, των εκτελούντων την επεξεργασία, των υπευθύνων προστασίας δεδομένων, του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και των συναφών φορέων είναι να διασφαλίζουν τη συμμόρφωση με το GDPR. Ωστόσο, άλλο πράγμα είναι η συμμόρφωση με το GDPR και άλλο η αποτελεσματική προστασία των δεδομένων.

Για παράδειγμα, ο Daniel Solove επισημαίνει ότι οι απαιτήσεις συγκατάθεσης του GDPR είναι μυθοπλασία, επειδή η κλίμακα της επεξεργασίας δεδομένων είναι τόσο συντριπτική που τα άτομα δεν μπορούν να αντιμετωπίσουν εκατοντάδες ειδοποιήσεις απορρήτου. Επίσης, τα άτομα απαιτείται να αναλάβουν ενεργό δράση προκειμένου να επικαλεστούν τα δικαιώματά τους, κάτι που οι περισσότεροι άνθρωποι δεν θα κάνουν και δεν μπορούν να κάνουν. Επιπλέον, το GDPR ορίζει πολλούς νομικούς λόγους για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν απαιτούν τη συγκατάθεση του ατόμου, όπως το έννομο συμφέρον ή η δημόσια ασφάλεια. Τελικά, εφόσον οι ιδιωτικοί και δημόσιοι φορείς συμμορφώνονται τυπικά με το GDPR, δεν χρειάζεται να ενδιαφέρονται ιδιαίτερα για τις πραγματικές ατομικές προτιμήσεις και για την πραγματική προστασία των δεδομένων.

Το παράδοξο του GDPR

Το GDPR υπερκαλύπτει και υποκαλύπτει. Από τη μία πλευρά, υπερκαλύπτει, επειδή χορηγούνται σε άτομα "δικαιώματα" που μπορούν να χρησιμοποιηθούν για να παραβιάσουν την ιδιοκτησία άλλων οντοτήτων- το κύριο ζήτημα είναι ότι τα δικαιώματα ιδιοκτησίας των προσωπικών δεδομένων δεν είναι σαφώς καθορισμένα. Από την άλλη πλευρά, το GDPR υπολείπεται επειδή τα ατομικά "δικαιώματα ιδιωτικότητας", όπως ορίζονται από τις ρυθμιστικές αρχές της Ευρωπαϊκής Ένωσης, είναι μια μυθοπλασία που μπορεί να παρακαμφθεί νομικά από εταιρείες και από δημόσιους φορείς για διάφορους λόγους.

Το παράδοξο του GDPR είναι ότι δίνει στα άτομα δικαιώματα που δεν έχουν, ενώ ταυτόχρονα υπονομεύει την πρακτική τους ικανότητα να προστατεύουν τα προσωπικά δεδομένα από ισχυρούς τρίτους. Αντίθετα, οι ιδιωτικοί και δημόσιοι εκτελούντες την επεξεργασία στερούνται νόμιμων δικαιωμάτων ιδιοκτησίας, αλλά προστατεύονται από τον νόμο στην καθημερινή τους αποστολή να εκμεταλλεύονται τα προσωπικά δεδομένα. Χωρίς σαφή ορισμό των δικαιωμάτων ιδιοκτησίας και της ιδιωτικής ζωής στον τομέα των προσωπικών δεδομένων, οι κανονισμοί μπορούν μόνο να δημιουργήσουν σύγχυση και παράδοξα.