Τον Ιούλιο του 2022, η ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) έγραψε ιστορία στον ευρωπαϊκό χώρο της ψηφιακής προστασίας, όταν επέβαλε πρόστιμο-ρεκόρ ύψους 20 εκατομμυρίων ευρώ στην αμερικανική τεχνολογική εταιρεία Clearview AI. Η συγκεκριμένη εταιρεία αναγνώρισης προσώπων κατηγορήθηκε ότι συνέλεγε, χωρίς συναίνεση, φωτογραφίες από το διαδίκτυο, μεταξύ αυτών και εικόνες Ελλήνων πολιτών, δημιουργώντας μία βιομετρική βάση δεδομένων τεράστιας κλίμακας.
Η απόφαση χαρακτηρίστηκε ως «ιστορική» από την οργάνωση Homo Digitalis, μία ΜΚΟ που δραστηριοποιείται στον τομέα των ψηφιακών δικαιωμάτων, καθώς ήταν η πρώτη φορά που η ελληνική ρυθμιστική αρχή τιμωρούσε τόσο αυστηρά μία εταιρεία για παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων της ΕΕ (GDPR). Η καταγγελία που οδήγησε στην απόφαση είχε κατατεθεί από κοινού με άλλες ευρωπαϊκές οργανώσεις, αναδεικνύοντας τη σημασία της διακρατικής συνεργασίας στην ψηφιακή εποχή.
Η Clearview AI ιδρύθηκε το 2017 από τον Χοάν Τον-Θατ, έναν επιχειρηματία αυστραλιανής καταγωγής, ο οποίος κατοικεί στις Ηνωμένες Πολιτείες. Το προϊόν της είναι ένα σύστημα αναγνώρισης προσώπου που αξιοποιεί εικόνες προσώπων που έχουν συλλεχθεί μαζικά από ανοιχτές πηγές στο διαδίκτυο: Facebook, Instagram, LinkedIn, ακόμη και από ειδησεογραφικά sites.
Η εταιρεία δεν ζήτησε ποτέ άδεια για αυτή τη συλλογή. Με μια μοναδική φωτογραφία ενός προσώπου, η τεχνολογία της μπορεί να ταυτοποιήσει το άτομο, να εμφανίσει παλαιότερες εικόνες του και να συνδέσει αυτές τις πληροφορίες με δημόσια προφίλ και άλλες προσωπικές πληροφορίες. Πρόκειται ουσιαστικά για ένα εργαλείο που, όπως έχει χαρακτηριστεί, μετατρέπει το ανθρώπινο πρόσωπο σε ένα «κωδικό πρόσβασης» προς τη συνολική ψηφιακή ταυτότητα του πολίτη.
Το προϊόν της Clearview χρησιμοποιείται ήδη από εκατοντάδες αστυνομικές υπηρεσίες στις ΗΠΑ, σε υποθέσεις εγκληματικότητας και αναγνώρισης υπόπτων. Όμως η τεχνολογία αυτή έχει προκαλέσει κύμα αντιδράσεων παγκοσμίως, καθώς παραβιάζει τον θεμελιώδη κανόνα της συγκατάθεσης – πυλώνα του ευρωπαϊκού νομικού πλαισίου για την ιδιωτικότητα.
Η ΑΠΔΠΧ δεν ήταν η μόνη αρχή που έλαβε μέτρα κατά της Clearview. Μέχρι το 2024, αρχές από τη Γαλλία, την Ιταλία, την Ολλανδία και την Αυστρία είχαν επίσης εκδώσει αποφάσεις με τις οποίες ζητούσαν από την εταιρεία να σταματήσει τη συλλογή δεδομένων, να διαγράψει όσα έχει ήδη συγκεντρώσει και να καταβάλει πρόστιμα, τα οποία στο σύνολό τους ξεπερνούν τα 100 εκατομμύρια ευρώ.
Παρά την αυστηρότητα των αποφάσεων, η εταιρεία δεν συμμορφώθηκε. Δεν διέγραψε δεδομένα, δεν απάντησε σε καμία ειδοποίηση και δεν κατέβαλε ούτε ένα ευρώ από τα πρόστιμα που της επιβλήθηκαν. Η Clearview εμφανίζεται να λειτουργεί πέρα από τη σφαίρα επιρροής των ευρωπαϊκών αρχών, ακριβώς επειδή δεν διαθέτει παρουσία –νομική, φυσική ή εμπορική– εντός των συνόρων της ΕΕ.
Αυτό καθιστά τις αποφάσεις των αρχών ουσιαστικά ανεφάρμοστες. Οι ρυθμιστικές αρχές μπορούν να εκδώσουν κυρώσεις, αλλά όχι να τις επιβάλουν. Η Ελλάδα προσπάθησε να αποστείλει την απόφαση εις βάρος της Clearview μέσω του Υπουργείου Εξωτερικών, το οποίο προώθησε την ειδοποίηση στο προξενείο της Νέας Υόρκης. Η διαδικασία κατέρρευσε όταν δεν εμφανίστηκε κανένας εκπρόσωπος της εταιρείας για να παραλάβει την κοινοποίηση.
Η υπόθεση της Clearview φέρνει στην επιφάνεια το δομικό πρόβλημα του ευρωπαϊκού κανονισμού: ο GDPR εφαρμόζεται εξωεδαφικά (δηλαδή και σε εταιρείες εκτός ΕΕ που επεξεργάζονται δεδομένα Ευρωπαίων πολιτών), αλλά η επιβολή του δεν μπορεί να προχωρήσει χωρίς διεθνή συνεργασία ή συμφωνίες.
Η ΕΕ δεν διαθέτει ισχυρό θεσμικό πλαίσιο για την αναγνώριση και εκτέλεση διοικητικών προστίμων από τρίτες χώρες όπως οι ΗΠΑ. Οι αρχές προστασίας δεδομένων καταλήγουν να εκδίδουν «κυρώσεις-φαντάσματα», καθώς χωρίς νομικούς και επιχειρησιακούς δεσμούς, οι εταιρείες απλώς αγνοούν τις αποφάσεις.
Όπως δήλωσε εκπρόσωπος της αυστριακής ΜΚΟ NOYB, που ειδικεύεται στα ζητήματα ιδιωτικότητας: «Η έκδοση μίας απόφασης δεν είναι αρκετή. Πρέπει να συνοδεύεται από πραγματικά εργαλεία επιβολής και αυτά πρέπει να λειτουργούν διακρατικά». Το πρόβλημα αυτό, όπως όλα δείχνουν, δεν περιορίζεται στην περίπτωση της Clearview, αλλά αφορά δεκάδες παρόχους τεχνολογίας που δραστηριοποιούνται παγκοσμίως.
Η Clearview δεν λειτουργεί σε πολιτικό κενό. Σύμφωνα με δημοσιεύματα (Mother Jones, The Intercept), η εταιρεία έχει ισχυρούς δεσμούς με πολιτικές δυνάμεις της αμερικανικής Ακροδεξιάς, συμπεριλαμβανομένων δωρητών της καμπάνιας του Τραμπ και ανθρώπων με αντιμεταναστευτικές θέσεις.
Ο ίδιος ο ιδρυτής της εταιρείας εμφανίστηκε σε εκδηλώσεις του κόμματος του Τραμπ, φορώντας καπέλο “Make America Great Again”. Οι δεσμοί αυτοί ενισχύουν την αντίληψη ότι η Clearview όχι μόνο λειτουργεί στο πλαίσιο μιας ιδιωτικής επιχείρησης, αλλά προωθεί και μία συγκεκριμένη πολιτική ατζέντα, η οποία συνδέεται με την επέκταση των τεχνολογιών επιτήρησης.
Αυτό προσδίδει στην υπόθεση μια γεωπολιτική διάσταση. Η ΕΕ καλείται να αντιμετωπίσει μια εταιρεία που, όχι μόνο παραβιάζει θεμελιώδη δικαιώματα, αλλά ενσωματώνεται σε ένα ιδεολογικό πλαίσιο που είναι εχθρικό απέναντι στην έννοια της ιδιωτικότητας.
Η Clearview δεν είναι η μόνη εταιρεία που δραστηριοποιείται στον χώρο της αναγνώρισης προσώπου. Η PimEyes, μια άλλη εταιρεία που δηλώνει έδρα στο Μπελίζ, προσφέρει ένα παρόμοιο σύστημα, μέσω ανοιχτού web interface και δυνατότητα αναζήτησης σε πραγματικό χρόνο.
Το οικοσύστημα των startups που παρέχουν τέτοιες υπηρεσίες είναι ανερχόμενο, με πολλές από αυτές να κινούνται σε ένα νομικά γκρίζο τοπίο: φιλοξενούνται σε χώρες χωρίς ισχυρό ρυθμιστικό πλαίσιο, χρεώνουν υπηρεσίες μέσω κρυπτονομισμάτων και δεν διατηρούν επαληθεύσιμα στοιχεία ταυτότητας.
Αυτή η «αποϋλοποιημένη» δομή δυσχεραίνει περαιτέρω τον έλεγχο, καθώς οι παραδοσιακοί τρόποι δικαστικής ή διοικητικής επίδοσης χάνουν κάθε αποτελεσματικότητα.
Απέναντι σε αυτή την πραγματικότητα, οι ευρωπαϊκές αρχές δείχνουν να επιλέγουν την στρατηγική του δημόσιου στιγματισμού: αυστηρές δηλώσεις, υψηλά πρόστιμα, ανακοινώσεις με υψηλό συμβολισμό. Όπως ανέφερε ανώτερος αξιωματούχος της ελληνικής ΑΠΔ: «Δεν περιμένουμε να πληρωθεί το πρόστιμο. Το ζήτημα είναι η συμβολική πίεση και το μήνυμα προς την κοινωνία και τις υπόλοιπες εταιρείες».
Ωστόσο, χωρίς ουσιαστικό συντονισμό, ακόμη και αυτές οι ενέργειες έχουν περιορισμένο αντίκτυπο. Οι ευρωπαϊκές Αρχές Προστασίας Δεδομένων λειτουργούν μεμονωμένα, με ελάχιστα κοινά πρωτόκολλα επιβολής ή νομικής συνεργασίας. Το όραμα για μια ενιαία ψηφιακή νομική τάξη παραμένει, προς το παρόν, μακρινό.
Η υπόθεση της Clearview δεν είναι μόνο μία σύγκρουση για την ιδιωτικότητα, αλλά και ένα τεστ για τη θεσμική αξιοπιστία της Ευρώπης στην εποχή της τεχνητής νοημοσύνης. Οι τεχνολογίες αυτές εξελίσσονται με ιλιγγιώδη ταχύτητα. Το ερώτημα είναι αν το νομικό πλαίσιο μπορεί να τις προλάβει.
Χωρίς έναν ενιαίο ευρωπαϊκό μηχανισμό επιβολής, χωρίς διεθνείς συμβάσεις που να προβλέπουν αμοιβαία εκτελεστότητα αποφάσεων και χωρίς την πολιτική βούληση για σύγκρουση με μεγάλους τεχνολογικούς παρόχους, οι αρχές θα περιορίζονται στον ρόλο του παρατηρητή – ενός αυστηρού μεν, αλλά εν τέλει ανίσχυρου ρυθμιστή.
Η Clearview έχτισε την αυτοκρατορία της αγνοώντας τη συγκατάθεση. Το ερώτημα είναι: Θα αγνοήσει και τις συνέπειες;
Με πληροφορίες από την ιταλική ερευνητική ομάδα IrpiMedia και το wearesolomon.com
