‘Privacy By Design’: Τί σημαίνει πραγματικά και ποιος ο ρόλος Υπεύθυνου Προστασίας Δεδομένων;
05/12/2019
10/12/2019
‘Design is to design a design to produce a design’. Με τον ορισμό αυτό οι ‘designers’ επιχειρούν να θέσουν αυτήν την πολυσχιδή έννοια, στις πραγματικές της διαστάσεις. Μα τί σημαίνει πραγματικά ‘design’ και πώς εφαρμόζεται στα πληροφοριακά συστήματα; Προκειμένου να το πετύχουμε αυτό θα πρέπει να αναλογιστούμε πως το ‘design’ συνίσταται στα εξής: α) ένα συγκεκριμένο ακαδημαϊκό ή επαγγελματικό πεδίο (πχ ένα πληροφοριακό σύστημα), β) μία διαδικασία/δραστηριότητα (πχ μοντέλα διακυβέρνησης), γ) μία σχεδιαστική πρόταση εντός συγκεκριμένου θεματικού και εννοιολογικού πεδίου (πχ πρότυπα, πρωτόκολλα και προδιαγραφές, UX/UI κτλ) και δ) ένα τελικό αποτέλεσμα, ένα προϊόν ή μία υπηρεσία. Και γιατί αυτό μας αφορά; Μα γιατί πλέον η προστασία των προσωπικών δεδομένων αποτελεί κατά τον ευρωπαίο νομοθέτη βασικό συστατικό του σχεδιασμού. Ας πιάσουμε το παράδειγμα των πληροφοριακών συστημάτων.
Στην ως άνω ακολουθία της έννοιας ‘design’, η προστασία από το σχεδιασμό θα πρέπει να προβλεφθεί στα στάδια β και γ. Είτε πρόκειται να δημιουργήσουμε κάποιο περιεχόμενο, είτε ένα προϊόν, μία υπηρεσία, μία πλατφόρμα ή ένα ολόκληρο οικοσύστημα, απαιτείται από το σχεδιασμό η διασφάλιση των ζητουμένων του ευρωπαίου νομοθέτη. Και σταδιακά αυτό πρόκειται να αποτελέσει και το ζητούμενο όχι μόνο από την πλευρά της προσφοράς, αλλά και από την πλευρά της ζήτησης, τον τελικό χρήστη δηλαδή.
Το άρθρο 25 ΓΚΠΔ αντιλαμβάνεται την προστασία από το σχεδιασμό ως πλέγμα τεχνικών και οργανωτικών μέτρων «για την εφαρμογή των αρχών προστασίας» του άρθρου 5 και «την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία», ώστε να πληρούνται οι απαιτήσεις του ΓΚΠΔ. Πώς όμως θα επιτευχθεί η εφαρμογή των αρχών του άρθρου 5 και η ενσωμάτωση των απαραίτητων εγγυήσεων στην ολοένα και πιο αυτοματοποιημένη πραγματικότητα που σχεδιάζουμε;
Το ζήτημα απασχολεί έντονα όχι μόνο το νομικό κόσμο αλλά και την ερευνητική κοινότητα γύρω από την Επιστήμη των Δεδομένων. Και κάπου εδώ οι δύο κόσμοι τέμνονται, αλληλοεπιδρούν και γεννούν αμοιβαίες εξαρτήσεις. Με τί σκοπό; Να οργανώσουν την πληροφορία με τέτοιο τρόπο ώστε να προκύπτει η ως άνω εφαρμογή των αρχών του άρθρου 5 και η ενσωμάτωση των απαραίτητων εγγυήσεων στο παραχθέν σχέδιο, είτε πρόκειται για μία απλή ιστοσελίδα, μία πλατφόρμα με πολλαπλές λειτουργίες και επιμέρους υπηρεσίες και προϊόντα ή ένα πλήρες οικοσύστημα όπου οι χρήστες ζουν, λειτουργούν και αλληλεπιδρούν.
Στον κόσμο των Μεγάλων Δεδομένων η διαχείριση και οργάνωση της πληροφορίας συνίσταται στη δημιουργία σειράς μηχαναγνώσιμων οντοτήτων, καθώς επίσης σχέσεων και κανόνων μεταξύ των οντοτήτων. Με απλά λόγια, ορίζουμε έννοιες και αυτές τις οργανώνουμε σε ιεραρχίες, ώστε οι μηχανές να είναι ικανές να παράξουν νόημα. Στη συνέχεια δημιουργούμε σχέσεις μεταξύ των διαφορετικών εννοιών ή/και ιεραρχιών και αντίστοιχους κανόνες. Ας υποθέσουμε πχ πως είμαστε ο πάροχος Α που διαχειρίζεται μία πλατφόρμα με ταινίες. Σε αυτή τη συνθήκη θα θέλαμε να δημιουργήσουμε το εξής μοντέλο:
Αν χ=Ανήλικος χρήστης και ψ=ταινίες τότε θα ισχύει το ψ1=όχι ταινίες βίας.
Με αυτόν τον τρόπο δημιουργούνται οι λεγόμενοι γράφοι γνώσης (knowledge graphs) που αποτελούν τον κινητήριο μοχλό οργάνωσης της πληροφορίας στο διαδίκτυο. Οι επαγγελματίες του χώρου οφείλουμε να ‘πειράξουμε’ αυτούς τους γράφους γνώσης βάζοντας μεταβλητές που διαμορφώνουν μία φιλικότερη προς το ΓΚΠΔ αρχιτεκτονική, ώστε η διακυβέρνηση της σχετικής πληροφορίας να εφαρμόζει τις αρχές του άρθρου 5 και να ενσωματώνει τις απαραίτητες εγγυήσεις από το σχεδιασμό, προσπάθεια που μπορεί να αγγίξει πολύ σύνθετα επίπεδα. Σημαντικό προς αυτήν την κατεύθυνση είναι να κατανοηθεί πως η προστασία από το σχεδιασμό είναι υπό μία έννοια και η μετάφραση του ΓΚΠΔ σε κώδικα. Και εδώ ο Υπεύθυνος Προστασίας Δεδομένων καλείται να κάνει το διερμηνέα.