Η παρούσα συνέντευξη δημοσιεύτηκε στο περιοδικό Fortune, τεύχος Νοεμβρίου 2017.
Ποια κενά έρχεται να καλύψει η νέα νομοθεσία της ΕΕ για την προστασία προσωπικών δεδομένων; Υπάρχουν σημεία της τα οποία θεωρείτε ότι δεν επαρκούν;
Η οικονομική και κοινωνική ολοκλήρωση που προέκυψε τα τελευταία 20-25 χρόνια είχε ως αποτέλεσμα την αύξηση της ανταλλαγής δεδομένων μεταξύ δημοσίων και ιδιωτικών φορέων αλλά και φυσικών προσώπων και ο Κανονισμός έρχεται να καλύψει τις νέες ανάγκες που έχουν δημιουργηθεί από την αύξηση των διασυνοριακών ροών δεδομένων.
Ποια είναι η κατάσταση σχετικά με τα ψηφιακά προσωπικά μας δεδομένα σήμερα; Πόσο προστατευμένοι ή ευάλωτοι είναι οι ιδιώτες και οι επιχειρήσεις;
Η τεχνολογία επιτρέπει πλέον σε δημόσιους και ιδιωτικούς φορείς να χρησιμοποιούν πληροφορίες και δεδομένα για τις δραστηριότητες τους επιφέροντας σημαντικές αλλαγές και στην οικονομική και στην κοινωνική ζωή, πράγμα το οποίο έχει θετικά αλλά και αρνητικά σημεία.
Οι πολίτες δημοσιοποιούν την προσωπική τους ζωή, δρώντας είτε συνειδητά είτε μιμητικά, αλλά κάποιες φορές με αρνητικές για αυτούς επιπτώσεις από τους «σχολιαστές» των δημοσιεύσεων τους. Και η δική τους πρακτική αλλά και των σχολιαστών τους είναι εκφάνσεις του αδιαμφησβήτητου δικαιώματος της ελευθερίας της έκφρασης αλλά ταυτόχρονα ενέχουν κίνδυνο για πιθανή προσβολή της προσωπικότητας τους Οι επιχειρήσεις ακολουθώντας τους ολοένα αυξανόμενους επιχειρηματικούς κανόνες που απαιτούν συνεχή και γρήγορη επικοινωνία, επεξεργάζονται πληροφορίες που αφορούν όχι μόνο οικονομικά στοιχεία αλλά και προσωπικά στοιχεία που αφορούν το προσωπικό τους, στελέχη των προμηθευτών αλλά και των πελατών τους και γενικότερα τρίτους. Οι κρατικοί φορείς στο πλαίσιο άσκησης εποπτείας τους συμμετέχουν στην ανταλλαγή πληροφοριών, και δυστυχώς η έλλειψη και τεχνικών και οργανωτικών μέσων προστασίας των προσωπικών δεδομένων σε αυτούς είναι δυστυχώς δεδομένη.
Απέναντι σε όλα αυτά έχουμε το κυβερνοέγκλημα να ακμάζει περισσότερο από ποτέ θέτοντας σε κίνδυνο και ιδιώτες και επιχειρήσεις, ενώ υπάρχει σωρεία παραβιάσεων προσωπικών δεδομένων και σε πολύ καλά οργανωμένους δημόσιους φορείς του εξωτερικού καθώς και σε πολυεθνικές επιχειρήσεις που θεωρητικά έχουν επαρκέστατα και τεχνικά και οργανωτικά μέσα.
Το επιχείρημα πως όποιο δεδομένο ανεβάζουμε οικειοθελώς στο διαδίκτυο μπορεί να είναι διαθέσιμο για εμπορική ή/και οποιαδήποτε άλλη χρήση, συνάδει με το γράμμα και το πνεύμα της ευρωπαϊκής νομοθεσίας;
Η Ευρώπη εδώ και πάρα πολλά χρόνια θεωρεί την προστασία του ατόμου και των προσωπικών δεδομένων θεμελιώδες δικαίωμα. Ο Ανθρωπισμός και η Γαλλική Επανάσταση έθεσαν τις βάσεις για τη σύνταξη και του Χάρτη των Θεμελιωδών Δικαιωμάτων και της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης και της Οδηγίας 95/46ΕΚ.
Οι οικειοθελείς αναρτήσεις μας στο διαδίκτυο καθιστούν όμως εξ ορισμού τα δεδομένα διαθέσιμα για εμπορική ή άλλη χρήση και για αυτό η δημοσιοποίησή τους θα πρέπει να γίνεται με πολύ προσοχή. Η επεξεργασία τους από τρίτους θα πρέπει και αυτή να υπόκειται σε κανόνες ώστε να εξυπηρετεί αλλά και να σέβεται τον άνθρωπο και να πραγματοποιείται σε ένα πλαίσιο αμοιβαιότητας και αναλογικότητας.
Αυτό το έργο είναι εξαιρετικά δύσκολο και ατέρμονο, και δεν επιτυγχάνεται μόνο με κανόνες αλλά και με ανάπτυξη ανάλογης κουλτούρας όλων.
Ποια είναι η νομική κατάσταση στην Ελλάδα σχετικά με την προστασία των προσωπικών μας δεδομένων; Είναι επαρκής;
Η νομική κατάσταση στην Ελλάδα σε γενικές γραμμές είναι καλή, με την Αρχή Προστασίας Δεδομένων να παρέχει από την αρχή λειτουργίας της οδηγίες στον πολίτη αλλά και στον νομικό κόσμο βοηθώντας στην κατανόηση των πολύπλοκων εννοιών και θεμάτων που άπτονται στην προστασία των προσωπικών δεδομένων. Η στελέχωση της ωστόσο, αν και με πολύ ικανούς συνεργάτες, είναι πολύ περιορισμένη και πιστεύω ότι η Πολιτεία θα έπρεπε να συνδράμει αποτελεσματικότερα σε αυτό, αφού «λίγοι κούκοι δεν φέρνουν την άνοιξη».
Η επάρκεια της νομικής κατάστασης δεν μπορεί να κριθεί μεμονωμένα για τον Ελλαδικό χώρο καθόσον είναι συνάρτηση της ευρωπαϊκής νομικής κατάστασης και οι όποιες αδυναμίες θα πρέπει να εντοπιστούν σε ευρωπαϊκό επίπεδο. Η Ε.Ε., με την έκδοση του Κανονισμού ευθέως και ειλικρινώς, δήλωσε ότι ενώ οι στόχοι και αρχές της πρώτης Οδηγίας της (95/4ΕΚ) παραμένουν ισχυροί, η Οδηγία δεν κατόρθωσε να αποτρέψει τον κατακερματισμό της εφαρμογής της προστασίας των δεδομένων στην Ένωση, την ασφάλεια δικτύου και την αντίληψη ότι υπάρχουν κίνδυνοι για την προστασία των φυσικών προσώπων ιδίως στην επιγραμμική (on-line) δραστηριότητα.
Επειδή ακριβώς η νομική κατάσταση ήταν ανεπαρκής θεσπίστηκε ο Κανονισμός.
Ζούμε σε μια εποχή όπου η ταχύτητα της ανταλλαγής προσωπικών δεδομένων αυξάνεται διαρκώς. Με βάση τα νομικά εργαλεία που διαθέτουμε, υπάρχει τρόπος να ελεγχθεί πραγματικά η ροή δεδομένων προς όφελος του πολίτη χωρίς να τεθούν αξεπέραστα εμπόδια που θα επηρεάσουν, οικονομικά και κοινωνικά, επιχειρήσεις και ιδιώτες;
Η ροή των δεδομένων μπορεί να ελεγχθεί με διάφορους μηχανισμούς και πρακτικές. Ο Κανονισμός αποτελεί ένα καλό οδηγό για ιδιώτες, επιχειρήσεις, κράτη μέλη και Αρχές και έχει εφαρμογή σε κάθε έκφανση του κράτους δικαίου, ώστε η ροή δεδομένων να προχωρήσει και νόμιμα και με ασφάλεια.
Υπάρχει βέβαια πολύς δρόμος μπροστά μας. Οι προσπάθειες αυτές εμπεριέχουν μια σειρά πρακτικών, οι οποίες, ξεκινούν από τη γνώση και αξιολόγηση θεμάτων όπως: α) τι είναι προσωπικό δεδομένο, β) γιατί και πώς θα μπορούσαμε να προστατεύσουμε τον εαυτό μας, γ) γιατί πρέπει και πώς μπορούμε να προστατέψουμε τα δεδομένα των άλλων ανθρώπων και σε ατομικό και σε εταιρικό επίπεδο.
Αν τα κράτη μέλη της ΕΕ θέλουν να είναι ευνοούμενα θα πρέπει να θεσπίσουν τα αναγκαία μέτρα και μηχανισμούς γιατί η τεχνολογική εξέλιξη δεν μπορεί από μόνη της να παράσχει αυτή την προστασία.
Ποια είναι η εικόνα στις ελληνικές επιχειρήσεις σχετικά με την ψηφιακή τους προστασία; Ποια κενά υπάρχουν, και τι πρέπει να προσέξουν για να διατηρήσουν τα δεδομένα τους ασφαλή;
Οι ελληνικές επιχειρήσεις παρουσιάζουν μία «όχι κακή» εικόνα στην ψηφιακή τους προστασία. Αυτό που λείπει από τις ελληνικές (και όχι μόνο) επιχειρήσεις θα το πω για πολλοστή φορά, είναι η εταιρική κουλτούρα, γιατί «ψηφιακή προστασία» δεν σημαίνει μόνο «ασφάλεια των συστημάτων» αλλά και η προστασία της ιδιωτικότητας.
Η γνώση και η ευαισθητοποίηση (το awareness) και η λογοδοσία (accountability) πρέπει να γίνουν ο ακρογωνιαίος λίθος για κάθε επιχείρηση που θέλει να προστατεύσει τα προσωπικά δεδομένα, τα οποία αποτελούν το σημαντικότερο περιουσιακό της στοιχείο.