Πουθενά σε αυτήν την απόφαση της 5ης Δεκεμβρίου 2023 δεν εμφανίζεται ο όρος «τεχνητή νοημοσύνη» (AI), ωστόσο για πρώτη φορά το Δικαστήριο του Τμήματος Μείζονος Συνθέσεως της ΕΕ (ΔΕΕ) ασχολείται με το ζήτημα της νομικής ευθύνης και ευθύνης για τη χρήση προσωπικά δεδομένα από εργαλεία AI. Είναι μια ρηξικέλευθη κρίση που αξίζει να ληφθεί σοβαρά υπόψη, ιδίως καθώς κατανέμει την ευθύνη για τις λειτουργίες τεχνητής νοημοσύνης και την ευθύνη για παραβιάσεις της προστασίας δεδομένων, σύμφωνα με τους κανόνες του Γενικού Κανονισμού για την Προστασία Δεδομένων της ΕΕ σχετικά με την αναγνώριση και τα καθήκοντα των υπευθύνων επεξεργασίας δεδομένων. Η αναφορά, από δικαστήριο στη Λιθουανία που έγινε τον Οκτώβριο του 2022, τράβηξε μόνο την προσοχή των ολλανδικών αρχών που παρενέβησαν ενώπιον του Δικαστηρίου και του Συμβουλίου. Κανένα άλλο κράτος μέλος δεν συμμετείχε στην υπόθεση.
Ενώ ο νομοθέτης της ΕΕ ολοκλήρωσε πρόσφατα τη διαπραγμάτευση ενός νόμου για την τεχνητή νοημοσύνη που θα ρυθμίζει τη χρήση εργαλείων τεχνητής νοημοσύνης μέσω του φακού των αξιολογήσεων κινδύνου με βάση την προστασία των καταναλωτών και τα θεμελιώδη δικαιώματα, το ΔΕΕ έχει αρχίσει να εξετάζει ποιος είναι υπεύθυνος όταν τα πράγματα πάνε στραβά όσον αφορά χρήση προσωπικών δεδομένων. Το νομικό εργαλείο της ΕΕ που χρησιμοποίησε το Δικαστήριο σε αυτή την υπόθεση είναι ο GDPR – η κατανομή της νομικής ευθύνης σχετικά με τα καθήκοντα των υπευθύνων επεξεργασίας δεδομένων και κριτικά, ποιος μετράει ως υπεύθυνος επεξεργασίας δεδομένων με αρμοδιότητες.
Αντικείμενο της υπόθεσης είναι η προστασία δεδομένων που σχετίζονται με την ανάπτυξη και χρήση μιας εφαρμογής για σκοπούς περιορισμού της πανδημίας Covid-19. Το Υπουργείο Υγείας της Λιθουανίας ανέθεσε μια εφαρμογή για κινητά από μια εταιρεία για την εγγραφή και την παρακολούθηση προσωπικών δεδομένων ατόμων που είχαν εκτεθεί στον ιό Covid-19 για σκοπούς επιδημιολογικής παρακολούθησης (παράγραφος 12). Η ιδιωτική εταιρεία που έλαβε τη σύμβαση συμφώνησε στη σύμβαση ότι τόσο η ίδια όσο και το Υπουργείο ήταν υπεύθυνοι επεξεργασίας δεδομένων όσον αφορά την εφαρμογή (παράγραφος 16). Εργαζόμενοι του Υπουργείου και της εταιρείας αντάλλαξαν πολυάριθμα email σχετικά με πτυχές της δημιουργίας της εφαρμογής και αντιγράφηκαν στον αρμόδιο διευθυντή του υπουργείου (παρ. 13-15). Η εφαρμογή έγινε διαθέσιμη στο κοινό μέσω του Google Play Store και του Apple App Store από τις 4 Απριλίου 2020, όπου περισσότερα από 3.000 άτομα χρησιμοποίησαν την εφαρμογή και παρείχαν εκτενή προσωπικά δεδομένα. Στις 26 Μαΐου έπαψε να λειτουργεί και στις 4 Ιουνίου το Υπουργείο ειδοποίησε την εταιρεία ότι κατήγγειλε τη σύμβαση λόγω έλλειψης χρηματοδότησης (παρ. 17 – 19). Ωστόσο, κατά την περίοδο λειτουργίας της, οι χρήστες της εφαρμογής είχαν λάβει και απαντήσουν σε ερωτήσεις που αφορούσαν την επεξεργασία προσωπικών δεδομένων, συμπεριλαμβανομένων ευαίσθητων δεδομένων σχετικά με την κατάσταση της υγείας και τις συνθήκες απομόνωσης.
Στις 18 Μαΐου 2020, η Κρατική Επιθεώρηση Προστασίας Δεδομένων της Λιθουανίας ξεκίνησε έρευνα για τη συλλογή και χρήση προσωπικών δεδομένων από και για χρήση της εφαρμογής. Μια πρόσθετη ιδιορρυθμία σχετικά με τα γεγονότα της υπόθεσης ήταν ότι μια άλλη λιθουανική εταιρεία που διαχειρίζεται ένα σύστημα πληροφορικής για την παρακολούθηση και τον έλεγχο μεταδοτικών ασθενειών είχε λάβει αντίγραφα προσωπικών δεδομένων που είχε συλλέξει η εφαρμογή. Επιπλέον, για σκοπούς δοκιμής της εφαρμογής, χρησιμοποιήθηκαν εικονικά δεδομένα εκτός από το ότι χρησιμοποιήθηκαν και οι πραγματικοί αριθμοί τηλεφώνου των υπαλλήλων της εταιρείας (αναμφίβολα προϋπόθεση για τον τρόπο κατασκευής της εφαρμογής) (παράγραφος 25).
Στην απόφασή του, το Δικαστήριο διαπίστωσε ότι ο φορέας του Υπουργείου Υγείας είχε πράγματι συμμετάσχει στον καθορισμό των σκοπών και των μέσων επεξεργασίας προσωπικών δεδομένων για την ανάπτυξη της εφαρμογής (παράγραφος 33). Αυτό το συμπέρασμα δεν επηρεάστηκε από το γεγονός ότι ο φορέας είχε αναφερθεί ως υπεύθυνος επεξεργασίας σε μια πολιτική εμπιστευτικότητας. Ούτε επηρεάστηκε από τα γεγονότα ότι: (1) το όργανο του Υπουργείου δεν επεξεργάστηκε ο ίδιος δεδομένα προσωπικού χαρακτήρα. (2) δεν είχε συμβόλαιο με την εταιρεία που ανέπτυξε την εφαρμογή. (3) δεν απέκτησε την εν λόγω εφαρμογή για κινητά· ούτε (4) εξουσιοδότησε τη διάδοση της εφαρμογής μέσω ηλεκτρονικών καταστημάτων (παράγραφος 35). Το Δικαστήριο έκρινε ότι, υπό τον όρο ότι το όργανο του Υπουργείου πληροί την προϋπόθεση που ορίζει το άρθρο 4 παράγραφος 7 του ΓΚΠΔ σχετικά με τον ορισμό υπευθύνου επεξεργασίας, είναι υπεύθυνο και υπεύθυνο όχι μόνο για οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργεί ο ίδιος, αλλά και για οποιαδήποτε τέτοια επεξεργασία πραγματοποιείται για λογαριασμό της (παράγραφος 36). Ο μόνος τρόπος με τον οποίο το όργανο του Υπουργείου δεν θα ήταν ελεγκτής για τους σκοπούς του GDPR, θα ήταν εάν, πριν από τη διάθεση της αίτησης, είχε ρητώς αντίρρηση για μια τέτοια διάθεση (παράγραφος 37).
Η σημασία αυτού του τμήματος της απόφασης είναι ότι ο φορέας που δίνει οδηγίες σχετικά με τον τρόπο ανάπτυξης ενός εργαλείου AI (η εφαρμογή) μπορεί να ξεφύγει από τα καθήκοντα GDPR ως υπεύθυνος επεξεργασίας δεδομένων μόνο όταν έχει αντιταχθεί στη διάθεση της εφαρμογής. Αυτό απορρίπτει ευρέως το δίχτυ της ευθύνης και, ειδικότερα, αναθέτει καθήκοντα υπευθύνου επεξεργασίας δεδομένων στην οντότητα που αναθέτει σε λειτουργία μια εφαρμογή (εργαλείο AI), όχι μόνο σε εκείνους που εκτελούν τις οδηγίες αναπτύσσοντας την εφαρμογή ή την ίδια την εφαρμογή (όπως ορισμένα από τα έχουν προτείνει περισσότερες απόκρυφες προτάσεις για την ευθύνη). Σύμφωνα με τα λόγια του Δικαστηρίου:
«Οντότητα που έχει αναθέσει σε μια επιχείρηση την ανάπτυξη μιας εφαρμογής πληροφορικής για φορητές συσκευές και η οποία, στο πλαίσιο αυτό, συμμετείχε στον καθορισμό των σκοπών και των μέσων επεξεργασίας δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται μέσω αυτής της εφαρμογής μπορεί να θεωρηθεί ως υπεύθυνος επεξεργασίας , κατά την έννοια της εν λόγω διάταξης, ακόμη και αν η ίδια η οντότητα δεν έχει πραγματοποιήσει λειτουργίες επεξεργασίας σχετικά με τα εν λόγω δεδομένα, δεν έχει συμφωνήσει ρητά να εκτελεστούν συγκεκριμένες λειτουργίες για την εν λόγω επεξεργασία ή να διατεθεί η εν λόγω εφαρμογή για κινητά στο κοινό, και δεν έχει αποκτήσει την προαναφερθείσα εφαρμογή για κινητά, εκτός εάν, πριν από τη διάθεση της εφαρμογής στο κοινό, η εν λόγω οντότητα αντιτάχθηκε ρητώς στη διάθεση και στην επακόλουθη επεξεργασία προσωπικών δεδομένων." (παρ. 38)
Ωστόσο, ο φορέας του Υπουργείου δεν ήταν αποκλειστικά υπεύθυνος για την ανάπτυξη της εφαρμογής και τη χρήση προσωπικών δεδομένων. Πράγματι, φαίνεται ότι στην πραγματικότητα δεν είχε πρόσβαση στα σχετικά προσωπικά δεδομένα. Ωστόσο, το ΔΕΕ έκρινε ότι ήταν κοινός υπεύθυνος επεξεργασίας για τους σκοπούς του GDPR και ότι είχε κοινή ευθύνη για την επεξεργασία προσωπικών δεδομένων. Ωστόσο, το Συνέδριο δέχθηκε ότι οι από κοινού ελεγκτές μπορεί να μην έχουν κατ' ανάγκη την ίδια ευθύνη, καθώς ενδέχεται να εμπλέκονται σε διαφορετικά στάδια της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και σε διαφορετικούς βαθμούς, έτσι ώστε το επίπεδο ευθύνης καθενός από αυτούς πρέπει να αξιολογείται σε σχέση με όλα τα σχετικές περιστάσεις της συγκεκριμένης υπόθεσης (παρ. 42). Σχετικό με το ζήτημα της κατανομής της ευθύνης μπορεί να είναι εάν ελήφθη κοινή απόφαση από δύο ή περισσότερες οντότητες ή εάν αυτή προκύπτει από συγκλίνουσες αποφάσεις αυτών των οντοτήτων. Όταν η κατάσταση εμπλέκει το τελευταίο –δηλαδή συγκλίνουσες αποφάσεις– οι οντότητες θα έχουν την ευθύνη όταν κάθε μία από τις αποφάσεις συμπληρώνει την άλλη κατά τρόπο που να έχει απτό αντίκτυπο στον καθορισμό των σκοπών και των μέσων επεξεργασίας (παρ. 43). Σε κάθε περίπτωση, η ευθύνη δεν απαιτεί επίσημη συμφωνία μεταξύ των υπευθύνων επεξεργασίας όσον αφορά τους σκοπούς και τα μέσα επεξεργασίας (παράγραφος 44).
Η χρήση δεδομένων για σκοπούς εκπαίδευσης εργαλείων τεχνητής νοημοσύνης είναι απαραίτητο μέρος της ανάπτυξης ενός εργαλείου τεχνητής νοημοσύνης. Ανάλογα με τον στόχο του εργαλείου τεχνητής νοημοσύνης, ενδέχεται να απαιτούνται προσωπικά δεδομένα για αυτόν τον σκοπό. Στους ακαδημαϊκούς κύκλους, η επάρκεια της ανωνυμοποίησης των προσωπικών δεδομένων για αυτούς τους εκπαιδευτικούς σκοπούς έχει λάβει ουσιαστική προσοχή , ιδίως όσον αφορά την αποφυγή ευθύνης για την επεξεργασία. Το ΔΕΕ ασχολείται με αυτήν τη συζήτηση δηλώνοντας πρώτα ότι το ερώτημα εάν τα δεδομένα προσωπικού χαρακτήρα χρησιμοποιούνται για σκοπούς δοκιμών πληροφορικής ή για άλλο σκοπό δεν έχει καμία σχέση με το εάν η εν λόγω πράξη ταξινομείται ως «επεξεργασία» κατά την έννοια του GDPR. Ωστόσο, αυτό ισχύει μόνο για δεδομένα που σχετίζονται με φυσικό πρόσωπο που μπορεί να ταυτοποιηθεί, άμεσα ή έμμεσα (σκέψεις 51 και 53). Είτε τα προσωπικά δεδομένα χρησιμοποιούνται στην αρχική τους μορφή είτε ως αντίγραφα δεν έχει καμία διαφορά, το κλειδί είναι η πιθανή ταυτοποίηση του ατόμου. Όμως, σύμφωνα με το Δικαστήριο, δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ψευδωνυμοποίηση και τα οποία θα μπορούσαν να αποδοθούν σε φυσικό πρόσωπο με τη χρήση πρόσθετων πληροφοριών αποτελούν πληροφορίες για ταυτοποιήσιμο φυσικό πρόσωπο, στο οποίο ισχύουν οι αρχές της προστασίας δεδομένων (σκέψη 58). Ως εκ τούτου, το Δικαστήριο έκρινε ότι, εκτός εάν τα δεδομένα προσωπικού χαρακτήρα έχουν καταστεί ανώνυμα με τέτοιο τρόπο ώστε το υποκείμενο των δεδομένων να μην είναι ή να μην είναι πλέον αναγνωρίσιμο, ή εκτός εάν περιλαμβάνουν εικονικά δεδομένα που δεν σχετίζονται με υπάρχον φυσικό πρόσωπο, η χρήση τους συμπεριλαμβανομένου για σκοπούς δοκιμής συνιστά «επεξεργασία» (παράγραφος 59).
Απαντώντας στις τελευταίες ερωτήσεις του εθνικού δικαστηρίου, το ΔΕΕ εξετάζει το ζήτημα της ευθύνης των ελεγκτών για διοικητικά πρόστιμα. Η κυβέρνηση της Λιθουανίας και το Συμβούλιο υποστήριξαν ότι ο GDPR παρέχει ένα περιθώριο διακριτικής ευχέρειας στις κρατικές αρχές να επιβάλλουν διοικητικά πρόστιμα για παραβάσεις χωρίς να αποδεικνύεται ότι η παράβαση διαπράχθηκε εκ προθέσεως ή εξ αμελείας (παράγραφος 62). Το Δικαστήριο απορρίπτει αυτή την ερμηνεία κατηγορηματικά βάσει της φύσης ενός κανονισμού ως άμεσα εφαρμοστέου και μόνο σε ειδικές περιπτώσεις που απαιτούν εθνικά μέτρα εφαρμογής (σκέψεις 63 και 64). Σύμφωνα με το Δικαστήριο, πρέπει να εφαρμόζονται οι ουσιαστικές προϋποθέσεις για την επιβολή προστίμων βάσει του GDPR. Αυτό σημαίνει ότι μόνο παραβάσεις που διαπράττονται εσφαλμένα (περιορίζονται σε εκ προθέσεως ή εξ αμελείας) από τον υπεύθυνο επεξεργασίας, μπορούν να έχουν ως αποτέλεσμα την επιβολή διοικητικού προστίμου στον εν λόγω υπεύθυνο επεξεργασίας (παράγραφος 73). Ωστόσο, το Δικαστήριο έκρινε ότι ένας υπεύθυνος επεξεργασίας μπορεί να τιμωρηθεί για συμπεριφορά που εμπίπτει στο πεδίο εφαρμογής του GDPR, όταν αυτός ο υπεύθυνος επεξεργασίας δεν θα μπορούσε να αγνοεί την παραβατική φύση της συμπεριφοράς του, είτε γνώριζε είτε όχι ότι παραβίαζε τις διατάξεις του GDPR (παρ. 81). Το πρότυπο για τον προσδιορισμό του πότε ένα σώμα «δεν θα μπορούσε να αγνοεί» είναι καθοριστικό εδώ. Το βοηθητικό Δικαστήριο δήλωσε ότι, όταν ο υπεύθυνος επεξεργασίας είναι νομικό πρόσωπο, δεν είναι απαραίτητο να έχει γίνει ενέργεια από το διοικητικό όργανο αυτού του νομικού προσώπου, ή ακόμη και γνώση, ώστε να πληροί το πρότυπο (σκέψη 82). Το γεγονός ότι ο υπεύθυνος επεξεργασίας δεν διενήργησε την επεξεργασία, αλλά διενεργήθηκε από εκτελούντα την επεξεργασία για λογαριασμό του εν λόγω υπευθύνου επεξεργασίας (σκέψη 84). Ωστόσο, ο υπεύθυνος επεξεργασίας δεν είναι ούτε υπεύθυνος ούτε υπεύθυνος όταν ο εκτελών την επεξεργασία έχει επεξεργαστεί προσωπικά δεδομένα κατά τρόπο ασυμβίβαστο με το πλαίσιο ή τις λεπτομερείς ρυθμίσεις για την επεξεργασία, όπως καθορίζεται από τον υπεύθυνο επεξεργασίας, ή κατά τρόπο που δεν μπορεί εύλογα να θεωρηθεί ότι ο υπεύθυνος επεξεργασίας συναίνεσε σε μια τέτοια επεξεργασία (παράγραφος 85).
Η ανάλυση του ΔΕΕ για την ανάπτυξη και τη χρήση ενός εργαλείου τεχνητής νοημοσύνης από την άποψη του GDPR είναι ιδιαίτερα ευπρόσδεκτη. Υπήρξε σπάνια δικαστική προσοχή σε αυτήν την πτυχή της διογκούμενης συζήτησης σχετικά με τα εργαλεία τεχνητής νοημοσύνης και τη χρήση τους (βλ. Ufert ). Ενώ η ακαδημαϊκή συζήτηση έχει εγείρει ερωτήματα σχετικά με την τεχνητή νοημοσύνη με προστασία του GDPR, η σαφής δικαστική ερμηνεία μόλις αρχίζει να εμφανίζεται. Αυτή η κρίση αποτελεί ένα σημαντικό βήμα σε αυτήν την εξέλιξη και παρέχει βασικές διευκρινίσεις για τις οντότητες που αναθέτουν και αναπτύσσουν εργαλεία τεχνητής νοημοσύνης με και για χρήση σε προσωπικά δεδομένα σχετικά με τις διασφαλίσεις που πρέπει να διασφαλίσουν ότι υπάρχουν για να συμμορφωθούν με τον GDPR. Όταν η επεξεργασία προσωπικών δεδομένων κατά την ανάπτυξη και χρήση εργαλείων τεχνητής νοημοσύνης λαμβάνει χώρα στο πλαίσιο της πρόληψης, της έρευνας, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και της πρόληψης απειλών για τη δημόσια ασφάλεια του GDPR που είναι η εφαρμοστέα νομοθεσία, η Οδηγία Επιβολής του Νόμου (LED) εφαρμόζεται με διαφορετικά πρότυπα προστασίας των προσωπικών δεδομένων. Θα είναι σημαντικό να παρακολουθούμε την εξέλιξη της νομολογίας του ΔΕΕ σε αυτόν τον τομέα όταν αντιμετωπίζουμε ερωτήματα σχετικά με την ερμηνεία των LED και την ανάπτυξη και χρήση εργαλείων τεχνητής νοημοσύνης.