Newsletter | Στήριξε το Solomon
Η αμερικανική Clearview AI έχει δημιουργήσει μια τεράστια βάση βιομετρικών δεδομένων – δίχως συγκατάθεση. Η εταιρεία αρνείται να πληρώσει πρόστιμα ύψους σχεδόν 100 εκατ. ευρώ, αναδεικνύοντας τα σύγχρονα κενά στην προστασία προσωπικών δεδομένων στην ΕΕ.
Τον Ιούλιο του 2022, η ελληνική Αρχή Προστασίας Δεδομένων (ΑΠΔ) προκάλεσε ενθουσιασμό στην κοινότητα που ασχολείται με τα ζητήματα προστασίας των προσωπικών δεδομένων σε όλη την Ευρώπη.
Επέβαλε στην Clearview AI, μια σκιώδη αμερικάνικη τεχνολογική startup, πρόστιμο-ρεκόρ ύψους 20 εκατ. ευρώ, κρίνοντας ότι η εταιρεία είχε συλλέξει και επεξεργαστεί παράνομα τα προσωπικά δεδομένα Ελλήνων πολιτών σε μία κατάφωρη παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης (GDPR).
Η απόφαση ήταν μία νίκη για όσους υπερασπίζονται τα προσωπικά δεδομένα. Ο Κωνσταντίνος Κακαβούλης, δικηγόρος της οργάνωσης Homo Digitalis, που ασχολείται με την προστασία των ψηφιακών δικαιωμάτων, χαρακτήρισε την απόφαση «ιστορική».
Η Homo Digitalis ήταν μεταξύ των οργανώσεων που υπέβαλαν την αρχική καταγγελία, η οποία τελικά οδήγησε στην επιβολή προστίμου — το μεγαλύτερο που έχει επιβάλει ποτέ σε εταιρεία η ελληνική Αρχή Προστασίας Δεδομένων (ΑΠΔ).
Η Ελλάδα δεν ήταν η μόνη χώρα που προσπάθησε να θέσει περιορισμούς στην Clearview. Οι ρυθμιστικές αρχές στη Γαλλία, την Ιταλία, την Ολλανδία και την Αυστρία επίσης απαίτησαν από την εταιρεία να διαγράψει τα δεδομένα των Ευρωπαίων πολιτών, και επέβαλαν πρόστιμα συνολικού ύψους περίπου 100 εκατ. ευρώ.
Ωστόσο, όπως αποκαλύπτει η κοινή έρευνα του Solomon και της ιταλικής ερευνητικής ομάδας IrpiMedia, η Clearview δεν έχει καταβάλει ούτε ένα ευρώ έως σήμερα. Παρά τα αυξανόμενα πρόστιμα και τις ρητές απαγορεύσεις, η εταιρεία εμφανίζεται να εκμεταλλεύεται ακόμη ευρωπαϊκά δεδομένα με ελάχιστες συνέπειες.
Η αντιπαράθεση μεταξύ της Clearview και των ευρωπαϊκών ρυθμιστικών αρχών αναδεικνύει ένα κραυγαλέο κενό στην προστασία της ιδιωτικής ζωής στην ΕΕ: την επιβολή. Ο GDPR αποτελεί τον αυστηρότερο νόμο προστασίας δεδομένων σε όλο τον κόσμο. Ωστόσο, η μη συμμόρφωση της Clearview εγείρει το εξής ερώτημα: Μπορεί η Ευρωπαϊκή Ένωση να υποχρεώσει πράγματι σε λογοδοσία τις πολυεθνικές εταιρείες τεχνολογίας;
Σε αρκετές μεγάλες υποθέσεις η απάντηση, σύμφωνα με τους ειδικούς, είναι θετική. Αλλά μόνο όταν οι εν λόγω εταιρείες, όπως η Google, η Amazon και η Meta, έχουν σταθερή παρουσία στην ΕΕ. Την ίδια ώρα, σχετικά άγνωστες υπηρεσίες αναγνώρισης προσώπου, οι οποίες μοιράζονται παρόμοιες αδιαφανείς πρακτικές, φέρονται να αναπτύσσονται στο παρασκήνιο αθόρυβα, εγείροντας ανησυχίες για το εάν η βιομετρική επιτήρηση έχει λάβει ανεξέλεγκτες διαστάσεις.
Η Clearview AI είναι μια αμερικάνικη εταιρεία αναγνώρισης προσώπων (facial recognition). Έχει δημιουργήσει μια από τις μεγαλύτερες βιομετρικές βάσεις δεδομένων στον κόσμο, συγκεντρώνοντας -συστηματικά και χωρίς συγκατάθεση- δισεκατομμύρια εικόνες από το διαδίκτυο.
Η εταιρεία συλλέγει φωτογραφίες από κοινωνικά δίκτυα, ειδησεογραφικά σάιτ και άλλες διαδικτυακές πηγές, δημιουργώντας με αυτό τον τρόπο λεπτομερή προφίλ ανθρώπων, χωρίς εκείνοι να το γνωρίζουν.
Μια μόνο εικόνα –είτε προέρχεται από ανάρτηση γενεθλίων είτε από κάμερα κλειστού κυκλώματος– μπορεί να αρκεί για να συνδεθεί ένα πρόσωπο με έναν τεράστιο όγκο προσωπικών δεδομένων.
Η Clearview πουλάει την τεχνολογία της στις αρχές επιβολής του νόμου, που με τη σειρά τους ταυτοποιούν πρόσωπα χρησιμοποιώντας φωτογραφίες από κοινωνικά δίκτυα, ειδησεογραφικές σελίδες και άλλες διαδικτυακές πηγές με στόχο την εξιχνίαση εγκλημάτων.
Οι υποστηρικτές των ψηφιακών δικαιωμάτων κάνουν λόγο για μαζική επιτήρηση. Υποστηρίζουν ότι η αδιάκριτη συλλογή βιομετρικών δεδομένων από την Clearview παραβιάζει θεμελιώδη δικαιώματα, και καταπατά τη νομοθεσία για την προστασία των προσωπικών δεδομένων, η οποία προστατεύει τους πολίτες από μαζικές παραβιάσεις δεδομένων.
Οι επικριτές επισημαίνουν, επίσης, την ιδεολογική συγγένεια και τους δεσμούς της εταιρείας με την αμερικάνικη συντηρητική και άκρα Δεξιά. Βλέπουν τον τρόπο που δουλεύει η εταιρεία ως κομμάτι μιας ευρύτερης τάσης που εργαλειοποιεί την επιτήρηση στο όνομα της ασφάλειας.
Οι πρακτικές της εταιρείας προκάλεσαν την αντίδραση των ευρωπαϊκών ρυθμιστικών αρχών. Οι αρχές σε Γαλλία, Ιταλία, Ολλανδία και Αυστρία κατέληξαν στο συμπέρασμα ότι δεν υπήρχε καμία νομική βάση που να επιτρέπει στην Clearview να επεξεργάζεται βιομετρικά δεδομένα πολιτών της Ευρωπαϊκής Ένωσης. Οι αρχές ανέφεραν ότι η εταιρεία λειτούργησε με αδιαφάνεια, χωρίς να εξασφαλίσει τη συγκατάθεση των χρηστών και παραβιάζοντας πολλαπλά τον GDPR.
Οι ρυθμιστικές αρχές απαίτησαν από την Clearview να διαγράψει όλα τα δεδομένα που σχετίζονται με Ευρωπαίους πολίτες και να σταματήσει οποιαδήποτε περαιτέρω συλλογή.
Αρκετές ρυθμιστικές αρχές της Ευρωπαϊκής Ένωσης έχουν καταδικάσει δημοσίως τις πρακτικές της εταιρείας. «Η αναγνώριση προσώπων είναι μια εξαιρετικά παρεμβατική τεχνολογία, την οποία δεν μπορείς να εξαπολύεις αδιακρίτως», δήλωσε ο Aleid Wolfsen, πρόεδρος της ολλανδικής Αρχής Προστασίας Δεδομένων, ανακοινώνοντας την επιβολή προστίμου στην Clearview τον Σεπτέμβριο του 2024. «Πρέπει να θέσουμε ένα πολύ σαφές όριο».
Η Clearview αγνοεί τις αποφάσεις των ρυθμιστικών αρχών της ΕΕ. Δεν έχει πληρώσει τα πρόστιμα που της έχουν επιβληθεί, και δεν εμφανίζεται να έχει διαγράψει τα δεδομένα των Ευρωπαίων πολιτών, παρά τις αυξανόμενες κυρώσεις και τις ρητές απαγορεύσεις.
Ο λόγος; Τα νομοθετικά κενά. Οι ευρωπαϊκές αρχές δύνανται μεν να εκδίδουν αποφάσεις, αλλά οι αποφάσεις αυτές παραμένουν σε μεγάλο βαθμό συμβολικές όσο δεν υπάρχουν πραγματικοί μηχανισμοί επιβολής τους.
«Η υπόθεση της Clearview δείχνει ότι η έκδοση μίας απόφασης εις βάρος κάποιας εταιρείας δεν επαρκεί πάντα για να σταματήσουν οι παραβιάσεις του νόμου», δήλωσε εκπρόσωπος του None of Your Business (NOYB), ενός αυστριακού μη κερδοσκοπικού οργανισμού ψηφιακών δικαιωμάτων που κατέθεσε καταγγελίες κατά της Clearview AI. «Αυτή η απόφαση θα πρέπει να πλαισιώνεται από μέτρα, όπως για παράδειγμα πρόστιμα, και αυτά με τη σειρά τους να επιβάλλονται αποτελεσματικά», συμπλήρωσε.
«Ο GDPR είναι ένας από τους αυστηρότερους νόμους προστασίας δεδομένων και αποτελεί πρότυπο για αντίστοιχους νόμους παγκοσμίως», δήλωσε ο Ιωάννης Κουβακάς, Senior Legal Officer and Assistant General Counsel της Privacy International (PI), η οποία ήταν η κινητήρια δύναμη πίσω από τις καταγγελίες κατά της Clearview. «Αυτό, ωστόσο, δεν σημαίνει τίποτα εάν ο νόμος δεν μπορεί να εφαρμοστεί όπως πρέπει».
Στον πυρήνα του προβλήματος βρίσκεται ένα νομικό κενό: αυτή τη στιγμή δεν υπάρχουν συνθήκες ή διεθνείς συμφωνίες μεταξύ χωρών της ΕΕ, όπως η Ελλάδα, και των ΗΠΑ που να επιτρέπουν την επιβολή τέτοιων προστίμων σε αμερικανικές εταιρείες. Υπό την απουσία μηχανισμού επιβολής, οι ευρωπαϊκές ρυθμιστικές αρχές καταλήγουν να εκδίδουν αποφάσεις οι οποίες στο τέλος της ημέρας, για εταιρείες όπως η Clearview, μοιάζουν λιγότερο ή περισσότερο με γραπτές ειδοποιήσεις.
Ένα από τα μεγαλύτερα εμπόδια που αντιμετωπίζουν οι ρυθμιστικές αρχές στην Ευρωπαϊκή Ένωση είναι ότι η Clearview AI εμφανίζεται να μην έχει γραφεία, περιουσιακά στοιχεία ή νόμιμους εκπροσώπους στην ΕΕ.
Ο GDPR σχεδιάστηκε για να εφαρμόζεται και εκτός της ΕΕ – καλύπτοντας κάθε εταιρεία που επεξεργάζεται δεδομένα κατοίκων της ΕΕ, ανεξάρτητα από το που εδρεύει. Αλλά η επιβολή κυρώσεων σε διασυνοριακό επίπεδο αποτελεί εντελώς διακριτό ζήτημα.
Οι Αρχές Προστασίας Δεδομένων της ΕΕ δεν έχουν άμεση δικαιοδοσία να κατάσχουν περιουσιακά στοιχεία ή να επιβάλλουν πρόστιμα στις ΗΠΑ. Εάν μια εταιρεία όπως η Clearview αρνείται να συμμορφωθεί, οι ρυθμιστικές αρχές βασίζονται στην εθελοντική συνεργασία από πλευράς της — μια προσέγγιση που έως σήμερα δεν έχει αποδειχθεί αποτελεσματική.
Μια μελέτη του 2021 για το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) επισήμανε το ζήτημα και ζήτησε ισχυρότερη διεθνή συνεργασία. Προειδοποίησε ότι τα πρόστιμα του GDPR ενδέχεται να μην είναι εκτελεστά στο εξωτερικό, καθώς πολλές χώρες —συμπεριλαμβανομένων των ΗΠΑ— δεν αναγνωρίζουν τις ξένες διοικητικές κυρώσεις ως νομικά δεσμευτικές.
Η έκθεση κατέταξε τα εν λόγω πρόστιμα ως θέματα «δημοσίου δικαίου», τα οποία συνήθως αποκλείονται από τη διεθνή επιβολή, εκτός εάν υπάρχει ειδική συνθήκη. Πρότεινε προσωρινές διορθώσεις, μεταξύ άλλων επίσημες συμφωνίες μεταξύ ρυθμιστικών αρχών της ΕΕ και τρίτων χωρών, και την αντιμετώπιση των σοβαρών παραβιάσεων του ΓΚΠΔ όπως οι διασυνοριακές ποινικές υποθέσεις.
Η ΕΕ έχει θεσπίσει άλλους βασικούς νόμους για την ψηφιακή διακυβέρνηση, όπως η νομοθεσία για τις ψηφιακές υπηρεσίες (DSA) και ο νόμος για τις ψηφιακές αγορές (DMA), που θα μπορούσαν να ενισχύσουν την εποπτεία. Όπως σημείωσε ο Κουβακάς της Privacy International, ωστόσο, οι νόμοι αυτοί «θα αποδειχθούν ελάχιστα χρήσιμοι στην πραγματικότητα, αν δεν μπορούν να εκτελεστούν κατάλληλα όταν παραβιάζονται στην πράξη».
Δύο στελέχη της ελληνικής Αρχής Προστασίας Δεδομένων, που ζήτησαν να μιλήσουν ανώνυμα προκειμένου να τοποθετηθούν για τις διαδικασίες, είπαν στο Solomon ότι οι προκλήσεις επιβολής που προκύπτουν στην περίπτωση της Clearview έχουν εμφανιστεί και σε άλλες περιπτώσεις.
Σε ορισμένες εξ αυτών, προσωπικές πληροφορίες —π.χ. τηλεφωνικοί αριθμοί Ελλήνων πολιτών— εμφανίστηκαν σε ιστότοπους που εμφανίζονταν να διαχειρίζονται οντότητες με έδρα τις ΗΠΑ. Καθώς αυτές οι πλατφόρμες συχνά δεν εμπίπτουν στη δικαιοδοσία της ΕΕ, οι ρυθμιστικές αρχές αντιμετωπίζουν επίμονες δυσκολίες όσον αφορά τη διασφάλιση των δεδομένων των πολιτών, όταν τα δεδομένα αυτά διακινούνται εκτός των συνόρων της ΕΕ.
Σύμφωνα με το Άρθρο 27 του GDPR, οι εταιρείες εκτός ΕΕ που επεξεργάζονται δεδομένα Ευρωπαίων πολιτών υποχρεούνται να ορίσουν έναν αντιπρόσωπο, εγκατεστημένο στην ΕΕ, για να επικοινωνεί με τις ρυθμιστικές αρχές. Η Clearview δεν το έκανε ποτέ, γεγονός που αποτελεί παραβίαση αλλά και εμπόδιο στην επιβολή του νόμου.
Η εταιρεία δεν παρέκαμψε απλώς τους κανόνες, αγνόησε εντελώς τη διαδικασία.
Σύμφωνα με δύο πηγές της ελληνικής Αρχής Προστασίας Δεδομένων, καθώς η Clearview εδρεύει εκτός ΕΕ, η ελληνική Αρχή κοινοποίησε το πρόστιμο εις βάρος της μέσω διπλωματικών οδών, και συγκεκριμένα μέσω του ελληνικού υπουργείου Εξωτερικών. Στη συνέχεια, το υπουργείο επιχείρησε να ενημερώσει την εταιρεία μέσω του ελληνικού προξενείου στη Νέα Υόρκη, όπου η Clearview δηλώνει την νόμιμη διεύθυνσή της.
Η προσπάθεια ωστόσο απέτυχε. Εσωτερικό έγγραφο του προξενείου, από τον Σεπτέμβριο του 2024, ανέφερε: «Η επίδοση του εγγράφου δεν κατέστη δυνατή… ουδείς εκπρόσωπος εμφανίστηκε για παραλαβη». Σύμφωνα με τις ελληνικές αρχές, η Clearview δεν έχει απαντήσει σε κανένα στάδιο της διαδικασίας.
Η Ιταλία αντιμετώπισε ένα παρόμοιο εμπόδιο. Οι αρχές προσπάθησαν επίσης να ειδοποιήσουν την εταιρεία μέσω του προξενείου στη Νέα Υόρκη, αλλά η διαδικασία παραμένει σε εκκρεμότητα, διότι οι ιταλικές αρχές δεν έχουν λάβει απάντηση.
Το 2024, η ιταλική Αρχή Προστασίας Δεδομένων συμβουλεύτηκε το Avvocatura dello Stato (κρατική αρχή σαν το ελληνικό Νομικό Συμβούλιο του Κράτους), το οποίο συνέστησε την ανάθεση της υπόθεσης σε αμερικανική δικηγορική εταιρεία – σύσταση που υπογραμμίζει πώς, ελλείψει διασυνοριακών εργαλείων επιβολής του νόμου, οι ρυθμιστικές αρχές αναγκάζονται να αυτοσχεδιάσουν νομικές λύσεις.
Η Clearview έχει υιοθετήσει παρόμοια προκλητική και σιωπηλή στάση και σε άλλες χώρες. Το 2021, η γαλλική Αρχή Προστασίας Δεδομένων (CNIL) εξέδωσε επίσημη διαταγή άρσης και παράλειψης (πρόκειται για το δικό μας εξώδικο). Η Clearview δεν απάντησε. Έναν χρόνο αργότερα, η Clearview απουσίασε από τη δική της ακρόαση για την επιβολή κυρώσεων.
Χωρίς αντιπρόσωπο εγκατεστημένο στην ΕΕ, ή οποιαδήποτε ουσιαστική συνεργασία από πλευράς της Clearview, οι ρυθμιστικές αρχές δεν έχουν και πολλά περιθώρια πέρα από την επιβολή προστίμων και απαγορεύσεων, ανέφεραν ειδικοί στο Solomon.
Στο πλαίσιο της έρευνας, το Solomon υπέβαλε στην Clearview «αίτημα για πρόσβαση στα δεδομένα υποκειμένου», ζητήσαμε δηλαδή να πληροφορηθούμε εάν η εταιρεία είχε συλλέξει ή διατηρήσει προσωπικά δεδομένα ενός από τους δημοσιογράφους μας που ζει στην ΕΕ. Η Clearview δεν απάντησε.
Η Clearview σταθερά αρνείται τη θέση ότι οι ρυθμιστικές αρχές της ΕΕ έχουν δικαιοδοσία επί της εταιρείας.
«Η Clearview AI δεν έχει έδρα ή γραφεία στην Ολλανδία ή την ΕΕ, δεν έχει κανέναν πελάτη στην Ολλανδία ή την ΕΕ και δεν αναλαμβάνει καμία δραστηριότητα που να συνεπάγεται ότι υπόκειται στον GDPR», δήλωσε ο Τζακ Μαλκέαρ, επικεφαλής νομικός σύμβουλος της εταιρείας, απαντώντας στο ολλανδικό πρόστιμο ύψους 30,5 εκατ. ευρώ τον Σεπτέμβριο του 2024.
Η πρόσβαση στο εργαλείο της Clearview από την ΕΕ φαίνεται να είναι δυνατή μόνο μέσω ενός Εικονικού Ιδιωτικού Δικτύου (VPN), κίνηση που μοιάζει να έχει σχεδιαστεί για να περιορίσει τη δυνατότητα ρυθμιστικού ελέγχου. Ωστόσο, ο περιορισμός της άμεσης πρόσβασης δεν απαλλάσσει απαραίτητα την εταιρεία από τους ευρωπαϊκούς νόμους προστασίας δεδομένων. Η ίδια η Clearview παραδέχεται πως το σύστημά της δεν μπορεί να διακρίνει μεταξύ Ευρωπαίων και μη Ευρωπαίων πολιτών κατά τη συλλογή φωτογραφιών από το διαδίκτυο.
Ο πρώην διευθύνων σύμβουλος, Χοάν Τον-Θατ, το είχε θέσει ωμά: «Δεν υπάρχει τρόπος να καθοριστεί εάν ένα άτομο έχει γαλλική υπηκοότητα αποκλειστικά από μια δημόσια φωτογραφία από το διαδίκτυο, και επομένως είναι αδύνατο να διαγραφούν όσων κατοικούν στη Γαλλία».
Η θέση της Clearview είναι σαφής: αρνείται να πληρώσει πρόστιμα ή να συμμορφωθεί με εντολές εκτέλεσης που θεωρεί νομικά ή τεχνικά άκυρες.
Η εταιρεία φαίνεται να ποντάρει σε μια νομική γκρίζα ζώνη: υποστηρίζει ότι, επειδή ούτε λειτουργεί ούτε πουλάει στην ΕΕ, δεν μπορεί να λογοδοτήσει στις ρυθμιστικές αρχές της ΕΕ. Το επιχείρημά της, ωστόσο, έχει τρωτά σημεία. Σε μια άλλη υπόθεση ενώπιον της Αρχής Προστασίας Δεδομένων του Αμβούργου, στη Γερμανία, η εταιρεία ισχυρίστηκε ότι είχε διαγράψει ορισμένα δεδομένα, προχωρώντας κατά τα φαινόμενα σε μια αντίφαση ως προς την νομική της στάση.
Στο πλαίσιο της έρευνας, το Solomon επικοινώνησε πολλές φορές με την Clearview AI θέτοντας ερωτήματα. Η εταιρεία δεν απάντησε.
Η προκλητική στάση της Clearview εκτυλίσσεται σε ένα πολιτικά φορτισμένο σκηνικό. Με τη νέα αμερικανική κυβέρνηση, οι εντάσεις γύρω από τις ευρωπαϊκές προσπάθειες επιβολής κυρώσεων σε αμερικανικές εταιρείες είναι πιθανό να κλιμακωθούν – ιδιαίτερα καθώς η κυβέρνηση Τραμπ εμφανίζεται ιδιαίτερα πρόθυμη να επιβάλει τις πολιτικές προτεραιότητές της πέρα από τα σύνορα των ΗΠΑ.
Αυτή η δυναμική σχετίζεται αρκετά με την υπόθεση της Clearview: η εταιρεία φέρεται να έχει εξασφαλίσει συμβάσεις ύψους 9 εκατ. δολαρίων από την κυβέρνηση των ΗΠΑ και αποκτά όλο και πιο κεντρικό ρόλο στις εγχώριες προσπάθειες επιβολής του νόμου. Η Υπηρεσία Μετανάστευσης και Τελωνείων των ΗΠΑ (ICE) συγκαταλέγεται στους κορυφαίους πελάτες της.
Ο ιδρυτής Χοάν Τον-Θατ –που περιγράφηκε ως «φανατικός υποστηρικτής του Ντόναλντ Τραμπ» σε πρόσφατη έρευνα του Mother Jones– έχει μακροχρόνιους δεσμούς με συντηρητικούς και ακροδεξιούς πολιτικούς κύκλους στις ΗΠΑ.
Υποστήριξε την εκστρατεία του Τραμπ το 2016 και παρευρέθηκε στο προεκλογικό πάρτι φορώντας ένα καπέλο «Make America Great Again» (MAGA). Τα τελευταία χρόνια, ο Τον-Θατ έφερε αρκετές προσωπικότητες της Ακροδεξιάς στον γαλαξία της Clearview, εδραιώνοντας την ιδεολογική ευθυγράμμιση της εταιρείας με την Δεξιά των ΗΠΑ.
Η έρευνα του Mother Jones περιέγραψε την έκταση αυτών των δεσμών, εντοπίζοντας σχέσεις της Clearview με επενδυτές που στηρίζουν το MAGA, με δωρητές του Τραμπ, αλλά και με ανθρώπους με δεξιές επιρροές, πολλοί από τους οποίους έχουν υποστηρίξει ανοιχτά αντιμεταναστευτικές πολιτικές αλλά και πολιτικές που βασίζονται στην επιτήρηση.
Αυτές οι πολιτικές σχέσεις ενδέχεται να επηρεάζουν τη στάση «αδιαφορίας» της εταιρείας απέναντι στην ρυθμιστική εποπτεία, ιδίως από ξένες οντότητες. Μπορεί επίσης να προσφέρουν στην εταιρεία έναν βαθμό προστασίας ή τουλάχιστον να ενισχύουν την αντίστασή της στις διεθνείς νομικές προκλήσεις.
Η Clearview δεν είναι μόνη. Η PimEyes, μια άλλη εταιρεία αναγνώρισης προσώπου με παρόμοιο επιχειρηματικό μοντέλο, ισχυρίζεται επίσης ότι βρίσκεται εκτός της εμβέλειας επιβολής της ενωσιακής νομοθεσίας, όπως ανέφεραν αρκετοί ειδικοί σε θέματα προστασίας της ιδιωτικότητας στο Solomon.
Ωστόσο, σε αντίθεση με την Clearview, η εταιρεία εμφανίζεται να έχει έδρα στο Μπελίζ και όχι στις ΗΠΑ, γεγονός που εγείρει περαιτέρω ερωτήματα σχετικά με τις στρατηγικές αποφυγής, μέσω υπεράκτιων εταιρειών, στον χώρο της επιτήρησης με τεχνητή νοημοσύνη.
Η PimEyes είναι μία από τις πολλές εταιρείες που ευδοκιμούν σε μια κατά ένα μεγάλο βαθμό αρρύθμιστη αγορά υπηρεσιών αναγνώρισης προσώπου, όπου ισχυρά εργαλεία αναζήτησης είναι προσβάσιμα στο διαδίκτυο με μικρό κόστος και ελάχιστη εποπτεία.
Η εταιρεία αρνείται ότι λειτουργεί ως πάροχος υπηρεσιών αναγνώρισης προσώπου. Σε επικοινωνία με τους συναδέλφους μας, του IrpiMedia, υποστήριξε ότι δεν επεξεργάζεται βιομετρικά δεδομένα. Ισχυρίζεται επίσης ότι έχει εφαρμόσει δικλίδες ασφαλείας για την πρόληψη της κατάχρησης, συμπεριλαμβανομένων εργαλείων για την ανίχνευση αναζητήσεων που αφορούν παιδιά, απαιτήσεων επαλήθευσης μέσω email και παρακολούθησης της δραστηριότητας χρήσης.
Ωστόσο, η PimEyes είναι μόνο μία από τις εταιρείες ενός ανερχόμενου οικοσυστήματος φθηνών εργαλείων αναγνώρισης προσώπου, που είναι διαθέσιμα στο κοινό. Στο πλαίσιο της κοινής έρευνας, το IrpiMedia εντόπισε και άλλες πλατφόρμες –ορισμένες προσβάσιμες επίσης μέσω του Tor browser– που προσφέρουν λειτουργίες αναζήτησης προσώπου σε συνδυασμό με αντιστοίχησή τους σε βάσεις δεδομένων φωτογραφιών συλληφθέντων, μητρώα παραβατών σεξουαλικών αδικημάτων και διαδικτυακά αρχεία ειδήσεων.
Αυτές οι υπηρεσίες συχνά λειτουργούν ανώνυμα, χρεώνουν σε κρυπτονομίσματα και φιλοξενούνται σε υπεράκτιες δικαιοδοσίες όπως το Μπελίζ, καθιστώντας ακόμα πιο σύδκολη την επιβολή του νόμου.
Σε αντίθεση με περιπτώσεις οικονομικής απάτης ή εγκληματικότητας στο διαδίκτυο, οι παραβιάσεις του GDPR στερούνται ενός παγκόσμιου πλαισίου επιβολής. Με άλλα λόγια, δεν υπάρχει διεθνές ισοδύναμο ενός εντάλματος σύλληψης, που θα επέτρεπε στις αρχές να καταδιώξουν μη συνεργαζόμενες εταιρείες πέρα από τα σύνορα. Ελλείψει διεθνών συμβάσεων ή επίσημων διασυνοριακών μηχανισμών, ακόμη και τα πιο βαριά πρόστιμα κινδυνεύουν να γίνουν συμβολικά.
Εκπρόσωπος της ελληνικής Αρχής Προστασίας Δεδομένων (ΑΠΔ) επιβεβαίωσε ότι, υπό κανονικές συνθήκες, η Ανεξάρτητη Αρχή Δημοσίων Εσόδων (ΑΑΔΕ) θα ήταν υπεύθυνη για την είσπραξη του προστίμου. Όμως, στην περίπτωση της Clearview, η διαδικασία έχει ουσιαστικά σταματήσει.
«Λόγω του ότι η Clearview δεν έχει οικονομική δραστηριότητα στην Ευρώπη, δεν μπορούμε να προχωρήσουμε στις προβλεπόμενες ενέργειες για την καταχώριση και την είσπραξη του προστίμου», έγραψε εκπρόσωπος της ΑΠΔ σε email προς το Solomon. «Αυτό είναι ένα πρόβλημα που αντιμετωπίζουμε από κοινού με τις αντίστοιχες εποπτικές αρχές, που έχουν επιβάλει αντίστοιχα πρόστιμα στην εταιρεία, και για το οποίο βρισκόμαστε σε διαβούλευση μαζί τους».
Οι μηχανισμοί επιβολής του νόμου των διαφόρων χωρών της ΕΕ λειτουργούν βάσει διακριτών εθνικών νόμων, καθιστώντας δύσκολη τη συντονισμένη δράση.
Η ΑΑΔΕ πρόσθεσε ότι «η είσπραξη μη φορολογικών προστίμων, ειδικά όταν πρόκειται για εταιρείες που δεν έχουν οικονομική δραστηριότητα στην Ελλάδα ή την ΕΕ, παρεμποδίζεται όταν δεν υπάρχουν διμερείς συμφωνίες για την αμοιβαία αναγνώριση και εκτέλεση διοικητικών κυρώσεων».
Με περιορισμένα εργαλεία, οι ευρωπαϊκές ρυθμιστικές αρχές προσπαθούν να κάνουν ξένες εταιρείες να συμμορφωθούν. Μια επιλογή είναι η διασυνοριακή συνεργασία.
Η γαλλική Αρχή Προστασίας Δεδομένων (CNIL), για παράδειγμα, φέρεται να ακολούθησε αυτή την οδό, συνεργαζόμενη με την Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ (FTC). Ωστόσο, ένας τέτοιος συντονισμός εξαρτάται σε μεγάλο βαθμό από την προθυμία και τις αρμοδιότητες που έχει ο ξένος ρυθμιστής, παράγοντες που μπορεί να διαφέρουν σημαντικά.
Τα συμπεράσματα δεν είναι πάντα δεσμευτικά και, υπό τις τρέχουσες φιλο-τεχνολογικές πολιτικές της κυβέρνησης των ΗΠΑ, οι ευρωπαϊκές προσπάθειες ενδέχεται να αντιμετωπίσουν ακόμη μεγαλύτερη αντίσταση. Η αμερικάνικη κυβέρνηση έχει υιοθετήσει μια προστατευτική στάση απέναντι στις εγχώριες τεχνολογικές εταιρείες, χαρακτηρίζοντας τις ξένες κυρώσεις άδικες ή πολιτικά υποκινούμενες.
Στην Ολλανδία, οι αρχές έχουν στραφεί στην αποτροπή. Αντί να στοχεύουν αποκλειστικά την Clearview, έχουν προειδοποιήσει ολλανδικούς οργανισμούς ότι η χρήση των υπηρεσιών της θα μπορούσε να οδηγήσει σε σημαντικές κυρώσεις. Το μήνυμα είναι σαφές: εάν οι ρυθμιστικές αρχές δεν μπορούν να φτάσουν απευθείας στην Clearview, θα στραφούν στους πιθανούς πελάτες της.
Η ολλανδική Αρχή Προστασίας Δεδομένων έχει προβεί σε μια σπάνια κίνηση. Όπως επιβεβαίωσε στο Solomon, διερευνά αν τα μέλη του διοικητικού συμβουλίου της Clearview μπορούν να θεωρηθούν προσωπικά υπεύθυνοι για παραβιάσεις του ΓΚΠΔ. Επιπλέον, η ρυθμιστική αρχή έχει παροτρύνει τους νομοθέτες να εξετάσουν ποινικές κυρώσεις σε τέτοιες περιπτώσεις, και να διερευνήσουν μηχανισμούς για την επιβολή των προστίμων της ΕΕ πέρα από τα ενωσιακά σύνορα.
Οι Ολλανδοί αξιωματούχοι, ωστόσο, δεν έχουν γνωστοποιήσει περισσότερες λεπτομέρειες σχετικά με αυτά τα μέτρα. Η ολλανδική Αρχή Προστασίας Δεδομένων απέρριψε πολλαπλά αιτήματα για συνεντεύξεις και αρνήθηκε να δημοσιοποιήσει οποιαδήποτε έγγραφα σχετικά με τις επικοινωνίες της με την Clearview. Απαντώντας σε αιτήματα πρόσβασης σε δημόσια έγγραφα, η αρχή ανέφερε ότι ακόμη και τα ονόματα των αρχείων θα αποκάλυπταν πάρα πολλά.
Παρά τους περιορισμένους τρόπους επιβολής των προστίμων, η ελληνική Αρχή Προστασίας Δεδομένων δήλωσε ότι επέβαλε σκόπιμα την μέγιστη δυνατή ποινή στην Clearview (πρόστιμο ύψους 20 εκατ. ευρώ), όχι επειδή ανέμενε να το εισπράξει, αλλά λόγω της συμβολικής του βαρύτητας.
Η αρχή είχε εξετάσει το ενδεχόμενο μιας απλής επίπληξης, αλλά επέλεξε ένα αυστηρότερο μέτρο για να δείξει πόσο σοβαρά αντιμετωπίζει αυτές τις παραβιάσεις, σύμφωνα με δύο διαφορετικές πηγές.
«Είναι η στρατηγική name and shame [στοχοποίησης και στιγματισμού]», δήλωσε Έλληνας αξιωματούχος με άμεση γνώση της υπόθεσης στο Solomon υπό τον όρο της ανωνυμίας. «Δεν περιμένουμε να λάβουμε την πληρωμή».
Ο αξιωματούχος πρόσθεσε: «Δεν μπορούμε να εγγυηθούμε ότι δεν θα ξανασυμβεί… Συνεργαζόμαστε με άλλες αρχές, και αν κάποιος βρει διέξοδο, θα θέλαμε να το μάθουμε».
Μέρος της δυσκολίας έγκειται στην κατακερματισμένη φύση της επιβολής. Κάθε χώρα της ΕΕ λειτουργεί υπό το δικό της νομικό πλαίσιο, και ενώ βρίσκεται σε εξέλιξη άτυπη συνεργασία μεταξύ των ρυθμιστικών αρχών που έχουν επιβάλει κυρώσεις στην Clearview, η επίσημη διασυνοριακή συνεργασία παραμένει νομικά ανέφικτη.
Ως αποτέλεσμα, η επιβολή προστίμων παραμένει αποσπασματική – καθοδηγούμενη από εθνικές διαδικασίες και όχι από έναν ενοποιημένο μηχανισμό σε επίπεδο ΕΕ. Στο παρασκήνιο, οι Αρχές Προστασίας Δεδομένων συνεχίζουν να συζητούν πώς θα εισπράξουν τα απλήρωτα πρόστιμα, αλλά έως ότου υπάρξουν δεσμευτικά εθνικά εργαλεία, η όποια πρόοδος παραμένει υπό αμφισβήτηση.
Προς το παρόν, η ΕΕ έχει λίγα εργαλεία για να αναγκάσει εταιρείες όπως η Clearview να συμμορφωθούν. Χωρίς έναν λειτουργικό διασυνοριακό μηχανισμό επιβολής –ή ίσως την πολιτική βούληση για τη δημιουργία ενός– ακόμη και οι εμβληματικές αποφάσεις του GDPR κινδυνεύουν να μην είναι τίποτα περισσότερο από προειδοποιήσεις στα χαρτιά.
Η Clearview έχτισε την αυτοκρατορία της αγνοώντας τη συγκατάθεση των προσώπων, δήλωσαν ειδικοί σε θέματα προστασίας της ιδιωτικότητας. Θα αγνοήσει και τις συνέπειες;
* Η παρούσα έρευνα υποστηρίχθηκε με Tarbell Grant.
Στήριξε την ανεξάρτητη δημοσιογραφία!
Η ερευνητική δημοσιογραφία απαιτεί χρόνο και πόρους που δεν διαθέτουμε πάντα. Για να μπορέσουμε να συνεχίσουμε να ελέγχουμε την εξουσία και να ασκούμε πίεση, χρειαζόμαστε τη βοήθειά σας.
