Ο γενικός γραμματέας της Ένωσης Πληροφορικών Ελλάδας, Χάρης Γεωργίου μιλάει στο News247, αναλύει και προσδιορίζει την αξία που συλλέγει η Cisco από 1.500.000 μαθητές και εκπαιδευτικούς κατά την τηλεκπαίδευση.
Ο Χάρης Γεωργίου προσδιορίζει την κατ’ ελάχιστο αξία των δεδομένων και επιβεβαιώνει με τον πιο κατηγορηματικό τρόπο ότι το Υπουργείο Παιδείας δεν πήρε όλα τα απαραίτητα μέτρα για την ασφάλεια των μαθητών και των εκπαιδευτικών τους.
Από τις συμβάσεις της Cisco με το ελληνικό δημόσιο προκύπτει θέμα εκμετάλλευσης, χωρίς άδεια των υποκειμένων, των προσωπικών τους δεδομένων (που δίνονται άμεσα ή των μεταδεδομένων) από την εταιρία. Είναι μία θεμιτή πρακτική; Είναι νόμιμο;
Από τη σύμβαση που δημοσιεύτηκε προκύπτει ότι υπάρχει θέμα εκμετάλλευσης εκ μέρους της εταιρίας των δεδομένων που περιγράφονται στο άρθρο 8 (με τις εξαιρέσεις του άρθρου 2) της σύμβασης, και μάλιστα χωρίς υποχρέωση μεταγενέστερης διαγραφής τους ακόμα και μετά τη λήξη της σύμβασης. Στα δεδομένα αυτά περιλαμβάνονται πληροφορίες “τηλεμετρίας”, δηλαδή τυπικά οτιδήποτε αφορά τον Η/Υ που χρησιμοποιείται, τη σύνδεση στο διαδίκτυο, την ποιότητά της, κτλ. Κατά περίπτωση όμως μπορεί να περιλαμβάνει και πολλές άλλες πληροφορίες, όχι άμεσα συσχετιζόμενες με τη συγκεριμένη εφαρμογή, σύνδεση ή χρήση, ίσως ούτε καν με τη συγκεκριμένη εταιρία, μέσω τεχνικών μέσων (third-party tracking cookies).
Στη σύμβαση αναφέρεται ότι τα δεδομένα αυτά είναι κατάλληλα τροποποιημένα ώστε “να αποτραπεί εύλογα η ταυτοποίηση”, όμως η διατύπωση αυτή δεν διασφαλίζει πρακτικά τίποτα σε επίπεδο ασφάλειας, εφαρμοζόμενων αλγορίθμων και εκτίμηση ρίσκου αποκάλυψης, για παράδειγμα μέσω συνδυασμού με άλλες πηγές. Τα θέματα αυτά αποτελούν ειδικό αντικείμενο μελέτης στον τομέα της (ψευδο-)ανωνυμοποίησης και απαιτούν πολύ προσεκτική σχεδίαση, πιστοποίηση της υλοποίησης και παρακολούθηση καλής εκτέλεσης των σχετικών διαδικασιών. Εφόσον η διαδικασία αυτή γίνει σωστά, ο κίνδυνος για τα υποκείμενα ελαχιστοποιείται. Παρόλα αυτά, εξακολουθεί να υπάρχει υποχρέωση ενημέρωσής τους και ρητής άδειας (opt-in) από τα ίδια τα υποκείμενα, όχι από κάποια άλλη αρχή (ακόμα και κρατική), προτού χρησιμοποιηθούν με τέτοιο τρόπο. Το αν όλα τα παραπάνω τηρήθηκαν κατά τα προβλεπόμενα και συνεπώς αν υπάρχει ή όχι ζήτημα νομιμότητας είναι κάτι που θα πρέπει να διερευνήσει άμεσα ο αρμόδιος φορέας (ΑΠΔΠΧ).
Πώς υπολογίζεται η αξία των προσωπικών δεδομένων σήμερα στην αγορά διεθνώς και στην Ελλάδα; Ποια εκτιμάτε πως είναι η αξία των δεδομένων που πήρε η Cisco;
Είναι εξαιρετικά δύσκολο να γίνει ακριβής εκτίμηση σε επίπεδο χρηματικής αξίας τέτοιων δεδομένων. Αυτό που μετράει περισσότερο από όλα είναι η πληρότητα, δηλαδή πόσο “πλούσια” είναι ως προς το σχηματισμό προφίλ συμπεριφοράς και η μαζικότητα, δηλαδή ο όγκος και τα δημογραφικά χαρακτηριστικά του συνόλου. Γενικά το πρόβλημα δεν είναι η ταυτοποίηση και ο χαρακτηρισμός μεμονωμένων ατόμων, αυτό έχει ελάχιστη πρακτική αξία για τις εταιρίες. Αυτό που έχει σημασία είναι πόσο τα δεδομένα αυτά είναι μαζικά και αξιοποιήσιμα για συγκεκριμένους επιχειρησιακούς σκοπούς, κυρίως εμπορικούς αλλά όχι μόνο.
Στη συγκεκριμένη σύμβαση το χαρακτηριστικό είναι πως τα δεδομένα αυτά αφορούν μια πολύ “δύσκολη” να αναλυθεί ηλικιακή και κοινωνική ομάδα, αυτή των μαθητών προσχολικής και σχολικής ηλικίας. Επιπλέον, η χρήση της εφαρμογής γίνεται στο οικογενειακό περιβάλλον και όχι στο σχολικό, με αποτέλεσμα να αφορά πλέον ολόκληρη την οικογένεια και τη διαβίωσή της σε καθημερινή βάση. Μια πολύ συντηρητική εκτίμηση αξίας ενός τέτοιου προφίλ είναι της τάξης των $10-$30 ανάλογα με το περιεχόμενο.
Συνεπώς αν πρόκειται για πλήθος της τάξης του 1,5 εκατομμυρίων ατόμων, κατανοούμε ότι η αξία του συνόλου των δεδομένων αυτών ξεπερνούν κατά πολύ το ονομαστικό κόστος της σύμβασης που είναι κάτι παραπάνω από 2 εκατομμύρια ευρώ συνολικά.
Γιατί είναι σημαντικά τα δεδομένα αυτά για εταιρείες όπως είναι οι διαφημιστικές;
Η κοινή αντίληψη είναι πως τέτοια δεδομένα “συμπεριφοράς” των χρηστών υπηρεσιών στο διαδίκτυο αξιοποιούνται κυρίως για διαφημιστικούς λόγους. Αυτό δεν ισχύει πλέον, καθώς πάρα πολλοί άλλοι τομείς τα αξιοποιούν για άλλους σκοπούς, όχι απλά για στοχευμένη προώθηση προϊόντων. Για παράδειγμα, στον ασφαλιστικό τομέα το προφίλ αφορά την επικινδυνότητα ως προς το ρίσκο αποζημίωσης, στον τραπεζικό τομέα το προφίλ αφορά την επικινδυνότητα ως προς το ρίσκο μη αποπληρωμής δανείων, κτλ. Εμμέσως σχεδόν όλα συνδέονται με κάποιο εμπορικό όφελος, αλλά προφανώς έχουν πολύ μεγαλύτερες επεκτάσεις σε πολλούς τομείς, αν το προφίλ οδηγεί σε κοινωνικούς αποκλεισμούς, ανισότητες, οικονομική ή εργασιακή δυσμένεια, κτλ.
Πώς θα μπορούσε να είχε προστατευτεί το δημόσιο συμφέρον και το συμφέρον 1.500.000 φυσικών προσώπων στις συμβάσεις της Cisco με το Υπουργείο Παιδείας;
Ο λόγος θεσμοθέτησης του πλαισίου GDPR είναι ακριβώς για να διασφαλίσει σε μεγάλο βαθμό τις απαραίτητες διαδικασίες, δικλείδες ασφάλειας και περιοχές ευθύνης, όχι απλά για την άμεση προστασία των δεδομένων των πολιτών αλλά και τη σε κάθε περίπτωση δυνατότητα άσκησης των δικαιωμάτων τους που σχετίζονται με αυτά. Δυστυχώς η σχετική μελέτη DPIA που δημοσιεύτηκε από το υπουργείο Παιδείας με ημερομηνία 7/12/2020, αντί να περιγράφει τις κατάλληλες διαδικασίες, πρακτικά αιτιολογεί το γιατί η συγκεκριμένη σύμβαση εξαιρείται σε πολλά σημεία από τις προβλέψεις του πλαισίου GDPR, όπως τα δικαιώματα των υποκειμένων (μαθητές και γονείς) ως προς αιτήματα πληροφόρησης, τροποποίησης, μεταφοράς ή και άρνησης παραχώρησης των δεδομένων που τους αφορούν.
Σε πρακτικό επίπεδο, μια τέτοια σύμβαση πρέπει να περιγράφει με λεπτομέρεια τις προδιαγραφές, τους απαραίτητους περιορισμούς, τις κατάλληλες διαδικασίες και τις προβλέψεις της ορθής εκτέλεσής τους σε επίπεδο επίβλεψης. Ο αρμόδιος φορέας, στη συγκεκριμένη περίπτωση το υπουργείο Παιδείας, θα πρέπει να διασφαλίζει τόσο στη διατύπωση της σύμβασης όσο και στην εκτέλεσή της ότι τηρούνται όλα όσα προβλέπονται, όχι μόνο στο πλαίσιο GDPR αλλά γενικότερα. Σε επίπεδο μεμονωμένων χρηστών, δυστυχώς δεν μπορούν να γίνουν πολλά πράγματα σε πρακτικό επίπεδο. Για παράδειγμα, αν αυτό είναι δυνατό, τα παιδιά να μην χρησιμοποιούν στην τηλε-εκπαίδευση τον ίδιο Η/Υ ή συσκευές που κανονικά προορίζονται για άλλη χρήση, όπως για επαγγελματικούς σκοπούς από τους γονείς. Το ίδιο ισχύει και για τη σύνδεση στο διαδίκτυο, αν υπάρχει εναλλακτική επιλογή. Γενικά όσο πιο “απομονωμένο” τεχνικά και λειτουργικά είναι το περιβάλλον της τηλε-εκπαίδευσης, τόσο μικρότερη είναι η “διαρροή” πρόσθετων δεδομένων προς καταγραφή και εκμετάλλευση.
Ποιες είναι οι βέλτιστες πρακτικές που ακολουθούνται σε προηγμένα κράτη για την προστασία μαθητών και εκπαιδευτικού στη διαδικασία της τηλεκπαίδευσης και ποιος ο ρόλος των Αρχών Προστασίας Δεδομένων;
Συχνά η διαδικασία της τηλε-εκπαίδευσης σχεδιάζεται κεντρικά, ως βασική υπηρεσία του αρμόδιου υπουργείου. Αυτό αφορά τόσο τις υποδομές, δηλαδή την παροχή επαρκών οικιακών συνδέσεων στο διαδίκτυο και φορητών συσκευών (όχι απαραίτητα Η/Υ), όσο και τις εφαρμογές που χρησιμοποιούνται για το σκοπό αυτό, δηλαδή την πιο κατάλληλη επιλογή κατά περίπτωση ως προς την ηλικιακή ομάδα (διαφορετικές απαιτήσεις στο Δημοτικό από ό,τι στο Γυμνάσιο-Λύκειο). Βασικό συντονιστικό ρόλο στα παραπάνω θα μπορούσε να διαδραματίσει το Πανελλήνιο Σχολικό Δίκτυο, το οποίο σήμερα δυστυχώς δεν διαθέτει ούτε το προσωπικό ούτε τα τεχνικά μέσα να το υλοποιήσει σε τέτοια κλίμακα.
Η αρμόδια Αρχή, στην Ελλάδα η ΑΠΔΠΧ, θα πρέπει να επιβλέπει παράλληλα όλα αυτά τα βήματα και να επεμβαίνει συμβουλευτικά, όχι μόνο εκ των υστέρων σε περίπτωση πιθανής παραβίασης του θεσμοθετημένου πλαισίου, μια και τότε η ζημιά έχει ηδη γίνει. Επιπλέον, η Αρχή θα πρέπει να απαιτήσει από όλους, συμπεριλαμβανομένων και των κρατικών φορέων, αυστηρότερο πλαίσιο ελέγχου, τυποποιημένων διαδικασιών και πολύ υψηλότερων ποινών στις περιπτώσεις παραβίασης.
Αξίζει να σημειωθεί ότι πριν μερικά χρόνια (2012-2013) η ΓΓΠΣ καταδικάστηκε τελεσίδικα για τη μαζική διαρροή πρακτικά του συνόλου των φορολογικών δεδομένων περίπου 9 εκατομμυρίων φυσικών και νομικών προσώπων από το TAXIS.
Το τότε προβλεπόμενο ύψος του μέγιστου προστίμου, το οποίο και επιβλήθηκε, ήταν 150.000 ευρώ συνολικά, δηλαδή 1,67 λεπτά του ευρώ ανά περίπτωση, χωρίς δυνατότητα επιπλέον προσφυγής από μεμονωμένους πολίτες, καθώς θα έπρεπε να αποδείξουν ότι τα στοιχεία τους συμπεριλαμβάνονταν στη διαρροή, γεγονός στατιστικά βέβαιο αλλά τυπικά αδύνατο. Στο πλαίσιο GDPR οι ποινές είναι πλέον πολύ σοβαρότερες, όμως στις περιπτώσεις παραβίασης από κρατικούς φορείς η πιθανή καταδίκη και τα σχετικά πρόστιμα επιβαρύνουν τελικά τους ίδιους πολίτες, δηλαδή τους θιγόμενους. Συνεπώς θα πρέπει να μετασχηματιστεί και το πλαίσιο λογοδοσίας, τουλάχιστον στην εθνική νομοθεσία σε πρώτη φάση, προς το αυστηρότερο και πέρα από τις αμιγώς χρηματικές ποινές που όντως είναι σημαντικό αποτρεπτικό μέτρο για φορείς του ιδιωτικού τομέα.