Στην C-203/22, Dun & Bradstreet Austria , το Δικαστήριο της Ευρωπαϊκής Ένωσης εξέδωσε μια σημαντική απόφαση σχετικά με την αλγοριθμική διαφάνεια.

1. Τα γεγονότα της υπόθεσης

Η CK (εφεξής καλούμενη επίσης ως «το υποκείμενο των δεδομένων ») ζήτησε επέκταση της σύμβασης από τον τηλεφωνικό της πάροχο. Η εταιρεία τηλεπικοινωνιών επικοινώνησε με την Dun & Bradstreet (επίσης « D&B »), έναν οργανισμό αξιολόγησης πιστοληπτικής ικανότητας, ο οποίος, με τη σειρά του, έδωσε αρνητική πρόγνωση για την οικονομική αξιοπιστία της CK. Ως εκ τούτου, το αίτημα του υποκειμένου των δεδομένων απορρίφθηκε.

Η απόφαση εξέπληξε τον CK. Η επέκταση της σύμβασης ανήλθε μόνο σε περίπου 10 ευρώ το μήνα, σίγουρα εντός των οικονομικών τους δυνατοτήτων. Δεν είχαν ποτέ οικονομικά προβλήματα, οπότε η απόφαση φαινόταν παράλογη.

Το υποκείμενο των δεδομένων παρουσίασε το θέμα ενώπιον της αυστριακής αρχής προστασίας δεδομένων, η οποία έδωσε εντολή στην D&B να παράσχει στον CK πληροφορίες σχετικά με την υποκείμενη λογική της αυτοματοποιημένης διαδικασίας λήψης αποφάσεων. Στην επακόλουθη έφεση ενώπιον του Bundesverwaltungsgericht (Ομοσπονδιακό Διοικητικό Δικαστήριο της Αυστρίας), η D&B προέβαλε διάφορα άμυνα, συμπεριλαμβανομένης της ύπαρξης εικαζόμενων εμπορικών μυστικών προστατεύοντας το λογισμικό του.

Το αυστριακό δικαστήριο απέρριψε αυτή τη θέση και έκρινε ότι η D&B είχε παραβιάσει το άρθρο 15 παράγραφος 1 στοιχείο η) GDPR. Πιο συγκεκριμένα, η εταιρεία απέτυχε να παράσχει στην CK ουσιαστικές πληροφορίες σχετικά με τη λογική που εμπλέκεται στην αυτοματοποιημένη λήψη αποφάσεων με βάση προσωπικά δεδομένα σχετικά με την CK ή, τουλάχιστον, [απέτυχε] να παράσχει επαρκή αιτιολογία ως προς το γιατί δεν ήταν σε θέση να παράσχει αυτές τις πληροφορίες » (παρ. 17-18).

Η απόφαση δεν ασκήθηκε έφεση και κατέστη τελεσίδικη. Ως εκ τούτου, το CK ζήτησε από το Δημοτικό Συμβούλιο της Βιέννης να εκτελέσει την απόφαση, δηλαδή να διατάξει τη δημοσιοποίηση των πληροφοριών. Οι δημόσιοι αξιωματούχοι της Βιέννης αρνήθηκαν να προχωρήσουν. Υποστήριξαν, ουσιαστικά, ότι το διατακτικό της απόφασης δεν παρείχε σαφείς οδηγίες σχετικά με το εκτελεστό διάταγμα. Με άλλα λόγια, δεν ήταν σαφές ποιες συγκεκριμένες πληροφορίες έπρεπε να ληφθούν από τον υπεύθυνο επεξεργασίας.

Το CK άσκησε προσφυγή κατά της απόφασης του Δημοτικού Συμβουλίου της Βιέννης ενώπιον του Verwaltungsgericht Wien (Διοικητικό Δικαστήριο, Βιέννη, Αυστρία), το οποίο, με τη σειρά του, υπέβαλε έξι ερωτήματα στο ΔΕΕ. Το ΔΕΕ συγκέντρωσε εκ νέου τις ερωτήσεις στα ακόλουθα δύο κύρια σημεία:

(i) σχετικά με τον ορισμό των « ουσιαστικών πληροφοριών » και της « σχετικής λογικής » σύμφωνα με το άρθρο 15 παράγραφος 1 στοιχείο η) του ΓΚΠΔ στην περίπτωση αυτοματοποιημένων αποφάσεων βάσει του άρθρου 22 του ΓΚΠΔ· Με άλλα λόγια, εάν υπάρχει δικαίωμα επεξήγησης της αλγοριθμικής απόφασης.

(ii) στα όρια ενός τέτοιου δικαιώματος σε σχέση με δύο συγκεκριμένα αντίθετα συμφέροντα: τα εμπορικά μυστικά του υπευθύνου της επεξεργασίας και τα προσωπικά δεδομένα τρίτων .

2. Το ΔΕΕ αποφασίζει για την αλγοριθμική διαφάνεια

Με την απόφαση αυτή, το ΔΕΕ παρέχει σαφείς οδηγίες σχετικά με την αλγοριθμική διαφάνεια και την εξισορρόπηση των αντιτιθέμενων συμφερόντων. Υπήρχε πράγματι μια επιτακτική ανάγκη για αυτό, όπως υποδεικνύεται από την ταραχώδη δογματική συζήτηση που προσέφερε ένα ευρύ φάσμα απόψεων.

(i) Για την ύπαρξη δικαιώματος επεξήγησης της αλγοριθμικής απόφασης

Το Δικαστήριο επιβεβαιώνει το δικαίωμα επεξήγησης της αυτοματοποιημένης λήψης αποφάσεων βάσει του GDPR. Για να γίνει αυτό, χρησιμοποιεί ουσιαστικά δύο επιχειρήματα.

Πρώτον, το Δικαστήριο εφιστά την προσοχή στη διατύπωση του άρθρου 15 παράγραφος 1 στοιχείο η) του ΓΚΠΔ.

Οι κριτές εστιάζουν πρώτα στην έκφραση « σημαντικές πληροφορίες ». Ο αγγλικός όρος « σημαινόμενος », παρατηρούν, έχει διαφορετικά ισοδύναμα σε άλλες γλωσσικές εκδόσεις του GDPR. Για παράδειγμα, το ολλανδικό « nuttige » και το πορτογαλικό « ùteis » τονίζουν τη λειτουργική πτυχή της πληροφορίας. Η ρουμανική έκδοση εστιάζει στη συνάφεια (“ pertinente ”). Η πολωνική και η ισπανική εκδοχή, από την άλλη πλευρά, αναφέρονται στη σημασία του τις πληροφορίες (« istotne » και « significativa »). Τέλος, η αγγλική και η γερμανική έκδοση (αντίστοιχα « με νόημα » και « aussagekräftig ») κλίνουν προς την ιδέα της καλής καταληψιμότητας (παρ. 40). Αυτή η γλωσσική ποικιλία πρέπει να εκτιμάται και να λαμβάνεται υπόψη κατά την ερμηνεία του GDPR. Πιο συγκεκριμένα, « οι διάφορες έννοιες που αναφέρονται στην προηγούμενη παράγραφο είναι συμπληρωματικές » (η υπογράμμιση δική μου) (παρ. 41). Ως εκ τούτου, το « σημαινόμενο » σημαίνει πάντα –ή υπονοεί– ότι οι πληροφορίες που παρέχονται βάσει του άρθρου 15 παράγραφος 1 στοιχείο η) πρέπει να είναι, ταυτόχρονα , λειτουργικές , σημαντικές , σχετικές και κατανοητές .

Στη συνέχεια, το Δικαστήριο εστιάζει στην ανάλυση της φράσης « περιεχόμενη λογική ». Και εδώ, οι κριτές χρησιμοποιούν τις διαφορετικές γλωσσικές εκδόσεις του GDPR. Αυτή τη φορά το Δικαστήριο αναφέρεται στην τσεχική και την πολωνική έκδοση, στις οποίες η έκφραση μεταφράζεται αντίστοιχα με τους όρους « posupu » και « zasadi », δηλαδή « διαδικασίες » και « αρχές ». Το Δικαστήριο καταλήγει ως εξής: η « σχετική λογική » που αναφέρεται στο άρθρο 15 παράγραφος 1 στοιχείο η) « καλύπτει όλες τις σχετικές πληροφορίες σχετικά με τη διαδικασία και τις αρχές » (η έμφαση προστέθηκε) ενός « συγκεκριμένου αποτελέσματος» (παρ. 42-43).

Δεύτερον, το Δικαστήριο χρησιμοποιεί ένα τελεολογικό επιχείρημα προς στήριξη της προηγούμενης ερμηνείας (σκέψη 50).

Οι δικαστές υπενθυμίζουν τη λειτουργική αξία του άρθρου 15 του ΓΚΠΔ. Το δικαίωμα πρόσβασης είναι ένα ουσιαστικό εργαλείο που επιτρέπει στο υποκείμενο των δεδομένων να επαληθεύει τη νομιμότητα της επεξεργασίας. Το Δικαστήριο υπενθυμίζει τη δική του νομολογία για την οποία το δικαίωμα πρόσβασης είναι « απαραίτητο για να μπορέσει το υποκείμενο των δεδομένων να ασκήσει » το δικαίωμά του για διόρθωση (άρθρο 16), διαγραφή (άρθρο 17), περιορισμό (άρθρ. 18), ένσταση επεξεργασίας (άρθρ. 21), δικαστική αγωγή (άρθρ. 79) και δικαίωμα αποζημίωσης (άρθρο 3-4).

Σε αυτό το σημείο μπαίνει στο παιχνίδι ένα καινοτόμο στοιχείο. Για πρώτη φορά από όσο γνωρίζουμε, το ΔΕΕ προχωρά ένα βήμα παραπέρα και προσθέτει ρητά στα δικαιώματα που αναφέρονται στην προηγούμενη παράγραφο και τα δικαιώματα που προβλέπονται στο άρθρο 22 παράγραφος 3 του ΓΚΠΔ. Με άλλα λόγια, το δικαίωμα πρόσβασης σύμφωνα με το άρθρο 15 παράγραφος 1 στοιχείο η) του ΓΚΠΔ είναι καθοριστικής σημασίας « για την αποτελεσματική άσκηση των δικαιωμάτων που του/της παρέχονται από το άρθρο 22 παράγραφος 3 » (παρ. 55). Αντίθετα, συνεχίζει το Δικαστήριο, θα ήταν αδύνατο για ένα άτομο που υπόκειται σε αυτοματοποιημένη επεξεργασία ή δημιουργία προφίλ να εκφράσει τις απόψεις του σχετικά με την απόφαση και να την αμφισβητήσει αποτελεσματικά, όπως απαιτείται από το άρθρο 22 παράγραφος 3 του ΓΚΠΔ (παρ. 56).

Σύμφωνα με το άρθ. 12(1) GDPR, οι εξηγήσεις πρέπει να παρέχονται με συνοπτικό, διαφανή, κατανοητό και εύκολα προσβάσιμο τρόπο . Από την άποψη αυτή, και εδώ έρχεται ένα άλλο σχετικά νέο στοιχείο, το Συνέδριο διευκρινίζει ότι η πολυπλοκότητα των πράξεων αυτοματοποιημένης επεξεργασίας δεν δικαιολογεί τη μείωση αυτού του ορίου διαφάνειας (παράγραφος 61).

Τέλος, το Δικαστήριο τάσσεται στο πλευρό του υποκειμένου των δεδομένων, απαιτώντας από τον υπεύθυνο επεξεργασίας « να εξηγήσει με συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή τη διαδικασία και τις αρχές βάσει των οποίων προέκυψε το αποτέλεσμα της «πραγματικής» κατάρτισης προφίλ » (παρ. 65).

(ii) Σχετικά με τη σχέση μεταξύ της επεξήγησης της αλγοριθμικής απόφασης και άλλων προστατευόμενων συμφερόντων. Εμπορικά μυστικά και προσωπικά δεδομένα τρίτων

Στο πρώτο μέρος της απόφασης, το Δικαστήριο επιβεβαιώνει το δικαίωμα επεξήγησης της αυτοματοποιημένης λήψης αποφάσεων. Η εξήγηση πρέπει να δίνει το υποκείμενο των δεδομένων σε θέση να την κατανοήσει αποτελεσματικά , να εκφράσει την άποψή του και να την αμφισβητήσει. Αυτό συνεπάγεται γνωστοποίηση από τον υπεύθυνο επεξεργασίας, η έκταση της οποίας εξαρτάται από τον τύπο της απόφασης που σκοπεύει να αμφισβητήσει το υποκείμενο των δεδομένων.

Για παράδειγμα, το πρόβλημα μπορεί να βρίσκεται στον τρόπο με τον οποίο γίνεται ένας υπολογισμός, επομένως ο ελεγκτής θα αποκαλύψει κάτι σχετικά με τον αλγόριθμό του. Σε άλλες περιπτώσεις, τα προβλήματα μπορεί να προέρχονται από τον τύπο των δεδομένων που υποβάλλονται σε επεξεργασία. Εάν το υποκείμενο των δεδομένων θέλει να βρει και να αμφισβητήσει αυτή τη διάκριση, η αποκάλυψη μπορεί να περιλαμβάνει προσωπικά δεδομένα τρίτων.

Το δεύτερο μέρος της απόφασης διερευνά τη σχέση μεταξύ του δικαιώματος στην εξήγηση και δύο αντικρουόμενων συμφερόντων, των εμπορικών μυστικών και των προσωπικών δεδομένων. Η απόφαση, ωστόσο, δεν παρέχει πολλές κατευθύνσεις.

Το Δικαστήριο υπενθυμίζει το δικό του προηγούμενο, Norra Stockholm Bygg , C-268/21 (παράγραφος 58). Σε εκείνη την περίπτωση, το ΔΕΕ είχε ήδη αποδεχθεί ότι ένα εθνικό δικαστήριο μπορεί να επιτρέψει την πλήρη ή μερική αποκάλυψη προσωπικών δεδομένων τρίτων προς όφελος ενός καταγγέλλοντος. Υπό μία προϋπόθεση, μια τέτοια γνωστοποίηση έπρεπε να είναι απαραίτητη για τη διασφάλιση της αποτελεσματικότητας των δικαιωμάτων που εγγυώνται το άρθρο 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ.

Το Δικαστήριο δηλώνει ρητά ότι αυτό το προηγούμενο « μπορεί να μεταφερθεί πλήρως » στην υπό κρίση υπόθεση. Συνεπώς, εάν το απαιτεί το άρθρο 47 του Χάρτη της ΕΕ, τα προσωπικά δεδομένα τρίτων και τα εμπορικά μυστικά του υπευθύνου επεξεργασίας « πρέπει να αποκαλύπτονται στην αρμόδια εποπτική αρχή ή δικαστήριο, το οποίο πρέπει να εξισορροπεί τα επίμαχα δικαιώματα και συμφέροντα με σκοπό τον προσδιορισμό της έκτασης του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων σε προσωπικά δεδομένα που το αφορούν » (παρ. 74).

Δυστυχώς, η απόφαση αναφέρει απλώς ότι η εξισορρόπηση πρέπει να πραγματοποιείται κατά περίπτωση (παρ. 75).

3. Τελικές παρατηρήσεις

Ο Dun and Bradstreet είναι μια σημαντική απόφαση.

Εκτιμούμε την κυριολεκτική ερμηνεία που βασίζεται στις διαφορετικές γλωσσικές εκδόσεις του GDPR. Αυτή η προσέγγιση, η οποία σέβεται την αρχή της ισότητας των γλωσσών της Ένωσης, διευκρίνισε τις εκφράσεις « σημαντική πληροφορία » και « σχετική λογική ». Εάν το Συνέδριο υιοθετήσει με συνέπεια μια τέτοια πολυγλωσσική προσέγγιση στο μέλλον, ενδέχεται να υπάρξουν ενδιαφέρουσες καινοτομίες.

Το τελεολογικό επιχείρημα πρέπει επίσης να χαιρετιστεί. Είναι συνεπής με την υπάρχουσα νομολογία και μάλιστα προχωρά ένα βήμα παραπέρα, καθιερώνοντας την αρχή της αλγοριθμικής διαφάνειας στον GDPR. Για πρώτη φορά, συνδέει ρητά το δικαίωμα πρόσβασης με τα δικαιώματα αντίδρασης σε αυτοματοποιημένες αποφάσεις, που κατοχυρώνονται στο άρθρο. 22(3) GDPR. Κάθε φορά που ο ΓΚΠΔ παρέχει ένα δικαίωμα, είτε πρόκειται για ένδικο μέσο (άρθρα 79 και 82), είτε κατά του υπεύθυνου επεξεργασίας (16, 17, 18, 21 και, εφεξής, 22 ), το δικαίωμα αυτό πρέπει να είναι αποτελεσματικό σύμφωνα με το άρθρο. 47 Χάρτης. Συνεπώς, η γνωστοποίηση στην οποία δεσμεύεται ο υπεύθυνος επεξεργασίας πρέπει να συμμορφώνεται με αυτό το πρότυπο, με την επιφύλαξη της κατάλληλης εξισορρόπησης.

Θέλουμε επίσης να συζητήσουμε εν συντομία την παρ. 61 της απόφασης, όπου το Δικαστήριο δηλώνει ότι η πολυπλοκότητα της επεξεργασίας δεν αποτελεί έγκυρη δικαιολογία για τη μη παροχή των πληροφοριών με τον τρόπο που ορίζεται στο άρθρο 12 του ΓΚΠΔ. Αναρωτιόμαστε τι πρέπει να γίνει όταν η επεξεργασία είναι τόσο περίπλοκη που δεν μπορεί να εξηγηθεί με κατανοητό τρόπο. Αυτό δεν είναι ένα θεωρητικό σενάριο δεδομένης της εγγενούς πολυπλοκότητας ορισμένων συστημάτων τεχνητής νοημοσύνης. Θα μπορούσαμε εύλογα να συμπεράνουμε ότι εάν η επεξεργασία δεν είναι εξηγήσιμη, θα πρέπει να απλοποιηθεί ή και να διακοπεί; Οι συνέπειες αυτής της υπόθεσης μπορεί να έχουν εκτεταμένες συνέπειες.

Τέλος, υπάρχει κάποια αβεβαιότητα σχετικά με τις πρακτικές μεθόδους αποκάλυψης. Τα αυστριακά δικαστήρια είχαν ζητήσει διευκρινίσεις σχετικά με το εάν ένα σύστημα «μαύρου κουτιού» ήταν απαραίτητο ή κατάλληλο για την παροχή πρόσβασης στα μέρη, διαφυλάσσοντας ταυτόχρονα τα εμπορικά μυστικά του υπευθύνου επεξεργασίας ή τα προσωπικά δεδομένα τρίτων. Το Συνέδριο δεν παρείχε συγκεκριμένη καθοδήγηση σχετικά με αυτό το θέμα, δηλώνοντας απλώς ότι η ΑΠΔ ή το αρμόδιο δικαστήριο θα καθορίσουν τις κατάλληλες πληροφορίες που θα αποκαλύψουν στο υποκείμενο των δεδομένων. Από αυτή την άποψη, περαιτέρω επεξεργασία θα μπορούσε να ήταν επωφελής.