Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) αποτελεί χαρακτηριστικό παράδειγμα του λεγόμενου Brussels Effect καθώς, η Ευρωπαϊκή Ένωση μέσω της νομοθετικής της ισχύος επηρεάζει ρυθμιστικά πρότυπα, πέραν των συνόρων της, επιβάλλοντας ουσιαστικά υποχρεώσεις και σε τρίτες χώρες αναφορικά με την προστασία προσωπικών δεδομένων. Το αυστηρό και έντονα δικαιωματοκεντρικό πλαίσιο του ΓΚΠΔ ενίσχυσε σημαντικά τη θέση του υποκειμένου των δεδομένων, θεσπίζοντας διευρυμένα δικαιώματα και αυξημένες υποχρεώσεις λογοδοσίας για τους υπευθύνους και εκτελούντες την επεξεργασία. Βέβαια σε ορισμένες περιπτώσεις επικρίθηκε, με δεδομένο ότι η εκτεταμένη συμμόρφωση και οι διοικητικές απαιτήσεις του Κανονισμού δημιούργησαν πρακτικές δυσχέρειες, ιδίως για επιχειρήσεις που επιδιώκουν ταχεία καινοτομία ή είσοδο στην ευρωπαϊκή αγορά.

Μικρές Αλλαγές – Μεγάλες Συνέπειες

Στην εκπνοή του 2025 η Ευρωπαϊκή Επιτροπή παρουσίασε το «Digital Omnibus», ως πρωτοβουλία μεταρρύθμισης και απλούστευσης της ψηφιακής νομοθεσίας, με στόχο τη μείωση της γραφειοκρατίας και την ενίσχυση της ανταγωνιστικότητας σε μια γρήγορα αναπτυσσόμενη τεχνολογική πραγματικότητα. Ωστόσο, πίσω από το μανδύα του «εξορθολογισμού» διαφαίνεται μια ουσιαστική μετατόπιση από το δικαιωματοκεντρικό μοντέλο ρύθμισης που καθιέρωσε ο ΓΚΠΔ όπως και οι αντίστοιχες ψηφιακές νομοθεσίες, το ePrivacy και το AI Act. Επομένως, μπορεί να υποστηριχθεί ότι, οι προτεινόμενες αλλαγές δεν είναι περιορισμένες και τεχνικού χαρακτήρα, αλλά ισοδυναμούν με μια αποδυνάμωση υποχρεώσεων συμμόρφωσης και μηχανισμών ελέγχου, στο όνομα της καινοτομίας, με κίνδυνο να υποβαθμίσει το επίπεδο προστασίας που η Ευρωπαϊκή Ένωση οικοδόμησε ως παγκόσμιο πρότυπο.

Αποδυνάμωση θεμελιωδών προστασιών:

Μια από τις πιο χαρακτηριστικές αλλαγές που προτείνονται στο Omnibus είναι η απλοποίηση βασικών ορισμών του ΓΚΠΔ και η υιοθέτηση εξαιρέσεων για την πρόσβαση και επεξεργασία προσωπικών δεδομένων. Οι αλλαγές παρότι μικρές μπορεί να επιφέρουν σημαντικές μεταβολές στα ψηφιακά δικαιώματα των πολιτών σε σχέση με τα προσωπικά τους δεδομένα.

-   Νέος ορισμός των προσωπικών δεδομένων: Ο υφιστάμενος ορισμός καθορίζει ως προσωπικά δεδομένα, οποιαδήποτε πληροφορία η οποία οδηγεί σε άμεση ή έμμεση ταυτοποίηση του ατόμου. Αντιθέτως, ο νέος ορισμός μετατοπίζει το βάρος, επιτρέποντας σε οργανισμούς να επεξεργάζονται ελεύθερα πληροφορίες εφόσον δεν υπάρχει άμεση ταυτοποίηση του ατόμου από τους ίδιους τους οργανισμούς και όχι τα άτομα στα οποία τα δεδομένα αφορούν. Μια τέτοια θέση εύλογα προκαλεί σύγχυση, χωρίς ξεκάθαρες γραμμές στις περιπτώσεις όπου κάποιος μπορεί να ισχυριστεί ότι υπάρχει ή όχι ταυτοποίηση του ατόμου.

-   Ψευδωνυμοποίηση και επεξεργασία προσωπικών δεδομένων: Μια νέα πρόνοια επιτρέπει την επεξεργασία ψευδωνυμοποιημένων προσωπικών δεδομένων τα οποία τυγχάνουν επεξεργασίας από τρίτους εφόσον δεν υπάρχει πρακτικά ή νομικά δυνατότητα επαναταυτοποίησης με αποτέλεσμα να μην θεωρούνται προσωπικά δεδομένα. Η εισήγηση αυτή έρχεται να εναρμονιστεί με πρόσφατες αποφάσεις του Δικαστηρίου της Ευρωπαϊκής Ένωσης. Εντούτοις μια καθολική προσέγγιση κατ’ αυτό τον τρόπο μπορεί να κριθεί ότι αποτυγχάνει να διασφαλίσει ότι δεν θα γίνεται κατάχρηση του μηχανισμού ψευδωνυμοποίησης των προσωπικών δεδομένων αποκλείοντας έτσι τα άτομα από βασικά τους δικαιώματα όπως αυτά προνοούνται από τον ΓΚΠΔ.

-   Τεχνητή Νοημοσύνη και προσωπικά δεδομένα: Σύμφωνα με τις πρόνοιες της μεταρρύθμισης εισάγεται νέα πρόνοια στη βάση του έννομου συμφέροντος του υπευθύνου επεξεργασίας (άρθρο 6(1)(στ) ΓΚΠΔ) η οποία, καθιστά νόμιμη υπό τον ΓΚΠΔ την επεξεργασία και χρήση προσωπικών δεδομένων (όπως και ειδικών κατηγοριών π.χ. δεδομένα υγείας, βιομετρικά και γενετικά δεδομένα) για σκοπούς ανάπτυξης και εκπαίδευσης συστημάτων ΤΝ, νοουμένου ότι λαμβάνονται ανάλογες δικλείδες ασφαλείας και κατάλληλα τεχνικά και οργανωτικά μέτρα (π.χ.η διαφάνεια, τα δικαιώματα των υποκειμένων και η διενέργεια εκτίμησης αντικτύπου (DPIA) όπου απαιτείται). Με τη νέα προσέγγιση διαμορφώνεται μια πιο λειτουργική νομική οδός για την ανάπτυξη ΤΝ εντός Ευρώπης.

Η αποσαφήνιση αυτή, δεν στερείται προβληματισμών. Η διεύρυνση των νομικών βάσεων ενδέχεται να αποδυναμώσει στην πράξη τον έλεγχο των υποκειμένων επί των δεδομένων τους, ιδίως όταν πρόκειται για μαζική και δευτερογενή χρήση δεδομένων σε περιβάλλοντα υψηλής τεχνολογικής πολυπλοκότητας. Υπάρχει συνεπώς, ο κίνδυνος η «λειτουργικότητα» να λειτουργήσει εις βάρος της ουσιαστικής προστασίας, μετατοπίζοντας το βάρος από την ατομική αυτοδιάθεση προς την τεχνολογική και οικονομική αποτελεσματικότητα.

-   Συγχώνευση Προνοιών από το ePrivacy στον GDPR: Κατά το νέο ρυθμιστικό καθεστώς η επεξεργασία δεδομένων μέσα από τερματικές συσκευές (π.χ. Ηλεκτρονικοί Υπολογιστές, Smartphones) τύπου cookies, θα ρυθμίζεται πλέον απευθείας από τον ΓΚΠΔ  και όχι από την ξεχωριστή Οδηγία ePrivacy, αλλά, μέσα από ένα πιο χαλαρό πλαίσιο για την συλλογή και επεξεργασία τους χωρίς να είναι απαραίτητη η συγκατάθεση του ατόμου. Παράλληλα η συγχώνευση των προνοιών πρακτικά επιτρέπει την επιβολή υψηλότερων διοικητικών προστίμων έως 4% του κύκλου εργασιών για παραβιάσεις από την επεξεργασία προσωπικών δεδομένων μέσω cookies.

Οι παραπάνω συνιστούν μόνο ορισμένες από τις πλέον ουσιαστικές αλλαγές που εισάγει η νέα πρόταση νόμου, η οποία εισάγει μεν τεχνικές και πρακτικές αλλαγές, επιφέρει ωστόσο ρίσκα ουσιαστικής μεταβολής από το δικαιωματοκεντρικό πλαίσιο το οποίο αποτελεί και τον πυρήνα του ΓΚΠΔ.

Αναγκαία μεταρρύθμιση ή υποχώρηση στις πιέσεις των αγορών;

Το «Digital Omnibus», πέρα από μια αμφιλεγόμενη νομοθετική μεταρρύθμιση, καταδεικνύει γενικότερα το γεωπολιτικό δίλλημα το οποίο, η ΕΕ καλείται να αντιμετωπίσει στο μεταίχμιο μιας νέας παγκόσμιας τεχνολογικής και ψηφιακής επανάστασης που τείνει να επηρεάσει άρδην την καθημερινότητα μας αλλά και ενδεχομένως να μεταβάλει δημοκρατικές αξίες και δικαιώματα.

Η Ευρωπαϊκή Ένωση έχει καθιερωθεί ως ρυθμιστικός εξισορροπιστής και προασπιστής της ιδιωτικότητας και των ψηφιακών δικαιωμάτων των ατόμων, απέναντι σε ένα μοντέλο τεχνολογικής ανάπτυξης που συχνά καθοδηγείται από συγκεντρωτικές ή γεωπολιτικά ανταγωνιστικές λογικές, όπως αυτές που εκφράζονται μέσω των παγκόσμιων τεχνολογικών κολοσσών και των κρατών που επενδύουν στρατηγικά σε αυτούς.

Αξίζει να σημειωθεί ότι σε κοινή γνώμη του Ευρωπιακού Συμβουλίου Προστασίας Προσωπικών Δεδομένων (ΕΣΠΔ) και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) αντιτίθενται σε αρκετές από τις προτεινόμενες τροποποιήσεις που πρότεινε η Ευρωπαϊκή Επιτροπή μέσω του Digital Omnibus.

Κρίνεται λοιπόν ως επιτακτική ανάγκη τα κράτη μέλη να προσεγγίσουν τις αλλαγές που προωθούνται, με ισορροπημένο τρόπο, ούτως ώστε να διευκολύνεται η καινοτομία και η ανταγωνιστικότητα, χωρίς όμως να υποχωρούν από αδιαπραγμάτευτες γραμμές προστασίας των θεμελιωδών δικαιωμάτων. Μόνο μέσα υπό αυτό το πρίσμα, οι ευρωπαϊκές επιχειρήσεις μπορούν να ενισχύσουν την ψηφιακή τους ανταγωνιστικότητα, με όραμα τη “στρατηγική ψηφιακή αυτονομία” της ΕΕ και τη διασφάλιση των δικαιωμάτων των πολιτών.

Λευτέρης Ελευθερίου – Associate (Michael Kyprianou Law Firm)
lefteris.eleftheriou@kyprinaou.com