Γιατί είναι κρίσιμη η πρόβλεψη κινδύνων;

Η πρόβλεψη νομικών κινδύνων στα ανοικτά δεδομένα είναι ένα από τα πιο κρίσιμα στοιχεία της διακυβέρνησης δεδομένων, γιατί καθορίζει αν η στρατηγική ενός δημόσιου φορέα θα έχει επιτυχία ή θα υπονομευθεί από παραλείψεις. Σε αντίθεση με την αντίδραση μετά από μία παραβίαση, η οποία έχει συνήθως μεγάλο οικονομικό, κοινωνικό και θεσμικό κόστος, η πρόβλεψη λειτουργεί προληπτικά, ενσωματώνει τη λογική της πρόληψης στον σχεδιασμό και επιτρέπει την έγκαιρη θωράκιση των διαδικασιών. Η βασική αρχή εδώ είναι αυτή που εισάγει ο GDPR με το άρθρο 25: «προστασία δεδομένων εξ ορισμού και εξ αρχής» (privacy by design & by default). Δηλαδή, από τη στιγμή που ένας φορέας σκέφτεται να δημοσιεύσει δεδομένα, πρέπει να έχει ήδη υπολογίσει τους πιθανούς κινδύνους και να έχει προσαρμόσει την πολιτική του αναλόγως, πριν ακόμη φτάσει στο στάδιο της διάθεσης.

Στην πράξη, η πρόβλεψη σημαίνει ότι η ανάλυση κινδύνου ξεκινά από την ίδια τη φύση του dataset. Ποια πεδία περιέχει; Είναι δυνατόν να αποκαλύψουν άμεσα ή έμμεσα την ταυτότητα ενός φυσικού προσώπου; Υπάρχουν εξαρτήσεις από τρίτους (π.χ. άδειες χρήσης δεδομένων που έχουν προέλθει από ιδιωτικές πηγές ή διεθνείς οργανισμούς); Περιέχονται δεδομένα που συνδέονται με την εθνική ασφάλεια ή με εμπορικά απόρρητα; Η πρόβλεψη καλείται να απαντήσει σε όλα αυτά πριν τη διάθεση. Αν π.χ. ένα υπουργείο θέλει να ανοίξει δεδομένα για την κίνηση ασθενοφόρων, ο υπεύθυνος πρέπει να προβλέψει ότι τα GPS στίγματα μπορούν να αποκαλύψουν τοποθεσίες ασθενών ή διαδρομές ευαίσθητων υποδομών. Εδώ η πρόβλεψη επιβάλλει τεχνικές λύσεις, όπως ανωνυμοποίηση ή συγκεντρωτικοποίηση, ώστε να εξαλειφθεί το ρίσκο.

Η πρόβλεψη λειτουργεί επίσης ως εργαλείο οικονομικής και θεσμικής προστασίας. Η έγκαιρη αναγνώριση ενός κινδύνου μειώνει το κόστος συμμόρφωσης, γιατί αποτρέπει αργότερες διορθώσεις ή επιβολή προστίμων. Στο κανονιστικό πλαίσιο του GDPR, οι κυρώσεις μπορούν να φτάσουν έως και τα 20 εκατομμύρια ευρώ ή το 4% του ετήσιου κύκλου εργασιών ενός οργανισμού – ποσά που είναι ασύλληπτα για τον δημόσιο τομέα. Εκτός όμως από τις κυρώσεις, υπάρχει και η απώλεια εμπιστοσύνης: οι πολίτες αν αισθανθούν ότι τα προσωπικά τους δεδομένα δημοσιεύτηκαν απρόσεκτα, χάνουν την εμπιστοσύνη τους στο κράτος συνολικά, με αρνητικό αντίκτυπο στη διαφάνεια και στη δημοκρατική λογοδοσία. Η πρόβλεψη είναι λοιπόν και μηχανισμός προστασίας της φήμης και της αξιοπιστίας των θεσμών.

Για τους τελικούς χρήστες (πολίτες, επιχειρήσεις, ερευνητές), η πρόβλεψη είναι επίσης κλειδί. Αν οι φορείς έχουν προβλέψει και εξαλείψει τους κινδύνους, τότε οι χρήστες μπορούν να επαναχρησιμοποιήσουν τα δεδομένα με σαφήνεια και σιγουριά, χωρίς να φοβούνται ότι θα βρεθούν αντιμέτωποι με νομικά εμπόδια. Για παράδειγμα, μία επιχείρηση που θέλει να δημιουργήσει εφαρμογή κινητικότητας βασισμένη σε δεδομένα συγκοινωνιών πρέπει να ξέρει ότι αυτά τα δεδομένα είναι νόμιμα διαθέσιμα και δεν παραβιάζουν πνευματικά δικαιώματα ή προσωπικά δεδομένα. Επομένως, η πρόβλεψη λειτουργεί προστατευτικά και για τις δύο πλευρές: για τον εκδότη και για τον χρήστη.

Τελικά, η πρόβλεψη νομικών κινδύνων δεν είναι ένα γραφειοκρατικό βήμα που καθυστερεί την πρόοδο. Είναι μια προϋπόθεση επιτυχίας. Χωρίς αυτήν, τα ανοικτά δεδομένα κινδυνεύουν να γίνουν πεδίο παραβιάσεων, συγκρούσεων και αμφισβήτησης. Με αυτήν, όμως, τα ανοικτά δεδομένα αποκτούν σταθερό έδαφος, λειτουργούν με ασφάλεια, αποδίδουν αξία στην κοινωνία και στην οικονομία και ενισχύουν τον στόχο της διαφάνειας και της καινοτομίας.

Η προστασία προσωπικών δεδομένων είναι αναμφίβολα η μεγαλύτερη νομική πρόκληση για τη διάθεση ανοικτών δεδομένων. Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR, Κανονισμός ΕΕ 2016/679) εισάγει ένα αυστηρό αλλά και ολιστικό πλαίσιο, το οποίο δεν αφορά μόνο την εσωτερική επεξεργασία από τους φορείς, αλλά και την εξωτερική δημοσιοποίηση. Σύμφωνα με τον GDPR, «προσωπικά δεδομένα» είναι κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Ο όρος «ταυτοποιήσιμο» είναι κρίσιμος, καθώς σημαίνει ότι ακόμη και αν δεν υπάρχει άμεσο όνομα ή ΑΦΜ, αρκεί ένας συνδυασμός στοιχείων (ηλικία, φύλο, ταχυδρομικός κώδικας, ημερομηνία εισαγωγής σε νοσοκομείο) για να οδηγήσει σε επαναπροσδιορισμό ταυτότητας. Το φαινόμενο αυτό είναι γνωστό ως «mosaic effect»: διαφορετικά «αθώα» κομμάτια πληροφορίας ενώνονται και αποκαλύπτουν την πλήρη εικόνα.

Ο GDPR στηρίζεται στις αρχές του άρθρου 5, οι οποίες δεσμεύουν και τους δημόσιους φορείς όταν σχεδιάζουν διάθεση ανοικτών δεδομένων. Οι αρχές αυτές είναι: νομιμότητα, διαφάνεια, περιορισμός σκοπού, ελαχιστοποίηση δεδομένων, ακρίβεια, περιορισμός αποθήκευσης, ακεραιότητα/εμπιστευτικότητα και λογοδοσία. Ειδικά η λογοδοσία έχει ιδιαίτερη σημασία: ο φορέας πρέπει να μπορεί να αποδείξει όχι μόνο ότι σέβεται τις αρχές, αλλά και ότι έχει λάβει όλα τα απαραίτητα μέτρα για να αποτρέψει την παραβίαση. Στην πράξη, αυτό σημαίνει ύπαρξη γραπτής τεκμηρίωσης, risk assessments, διαδικασιών έγκρισης και καταγραφής αποφάσεων.

Για τους δημόσιους φορείς, η νομική βάση επεξεργασίας προσωπικών δεδομένων συνήθως είναι το άρθρο 6(1)(c) (εκπλήρωση νομικής υποχρέωσης) ή το άρθρο 6(1)(e) (εκτέλεση καθήκοντος δημοσίου συμφέροντος). Στην Ελλάδα, η εξειδίκευση γίνεται μέσω του Ν. 4624/2019. Ωστόσο, η ύπαρξη νόμιμης βάσης για εσωτερική επεξεργασία δεν σημαίνει αυτόματα ότι επιτρέπεται και η δημοσιοποίηση ως ανοικτά δεδομένα. Η δημοσιοποίηση είναι διάδοση σε απεριόριστο αριθμό προσώπων και συνιστά ιδιαίτερα ευαίσθητη μορφή επεξεργασίας, η οποία απαιτεί νέα στάθμιση και ανάλυση κινδύνου. Αυτό είναι κρίσιμο: ένα dataset που είναι νόμιμο να επεξεργάζεται εσωτερικά ο φορέας, μπορεί να είναι παράνομο να δημοσιευτεί ανοικτά.