Η έβδομη ετήσια έκδοση της έρευνας της DLA Piper για τα πρόστιμα GDPR και τις παραβιάσεις δεδομένων, η οποία δημοσιεύθηκε τον Ιανουάριο του 2025, αποκαλύπτει μια ακόμη βαρύνουσα χρονιά στον τομέα της επιβολής της ιδιωτικότητας. Το συνολικό ύψος των προστίμων που επιβλήθηκαν σε ολόκληρη την Ευρώπη για το 2024 ανέρχεται στα 1,2 δισ. ευρώ. Η Ιρλανδία διατηρεί τη θέση της ως ο κορυφαίος ελεγκτής, έχοντας επιβάλει σωρευτικά πρόστιμα ύψους 3,5 δισ. ευρώ από τον Μάιο του 2018. Το ποσό αυτό είναι υπερτετραπλάσιο της αξίας των κυρώσεων που έχει επιβάλει η Αρχή Προστασίας Δεδομένων του Λουξεμβούργου, η οποία καταλαμβάνει τη δεύτερη θέση με πρόστιμα 746,38 εκατ. ευρώ για την ίδια ακριβώς χρονική περίοδο.
Τα συνολικά πρόστιμα που έχουν αναφερθεί από την εφαρμογή του GDPR το 2018 ανέρχονται πλέον στο εντυπωσιακό ποσό των 5,88 δισ. ευρώ. Το υψηλότερο πρόστιμο που έχει επιβληθεί ποτέ στο πλαίσιο του κανονισμού παραμένει η ποινή των 1,2 δισ. ευρώ που επιβλήθηκε από την Ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC) κατά της Meta Platforms Ireland Limited το 2023. Κατά το έτος που ξεκίνησε στις 28 Ιανουαρίου 2024, επιβλήθηκαν πρόστιμα ύψους 1,2 δισ. ευρώ, σημειώνοντας μείωση 33% σε σύγκριση με το προηγούμενο έτος. Ωστόσο, αυτή η μείωση οφείλεται αποκλειστικά στην απουσία ενός προστίμου-ρεκόρ αντίστοιχου με αυτό της Meta το 2023, καθώς η διαχρονική τάση επιβολής κυρώσεων παραμένει σαφώς ανοδική.
Η συνεχιζόμενη στόχευση των τεχνολογικών κολοσσών
Οι μεγάλες εταιρείες τεχνολογίας και τα μέσα κοινωνικής δικτύωσης συνεχίζουν να αποτελούν τους πρωταρχικούς στόχους, καταλαμβάνοντας σχεδόν όλες τις θέσεις στη λίστα των 10 μεγαλύτερων προστίμων από το 2018. Μόνο φέτος, η Ιρλανδική Επιτροπή Προστασίας Δεδομένων επέβαλε πρόστιμα 310 εκατ. ευρώ κατά του LinkedIn και 251 εκατ. ευρώ κατά της Meta. Παράλληλα, τον Αύγουστο του 2024, η Ολλανδική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο 290 εκατ. ευρώ σε γνωστή εφαρμογή μίσθωσης οχημάτων για μεταφορές δεδομένων σε τρίτη χώρα. Η επιβολή του νόμου επεκτάθηκε και σε άλλους τομείς, όπως οι χρηματοπιστωτικές υπηρεσίες και η ενέργεια, με χαρακτηριστικά παραδείγματα σε Ισπανία και Ιταλία.
Σε αντίθεση με την υπόλοιπη Ευρώπη, το Ηνωμένο Βασίλειο αποτέλεσε εξαίρεση το 2024, εκδίδοντας ελάχιστα πρόστιμα. Ο Επίτροπος Πληροφοριών του Ηνωμένου Βασιλείου, John Edwards, δήλωσε στον βρετανικό Τύπο τον Νοέμβριο του 2024 ότι διαφωνεί με την άποψη πως τα πρόστιμα έχουν τον μεγαλύτερο αντίκτυπο, υποστηρίζοντας ότι θα εγκλώβιζαν την υπηρεσία του σε χρόνια δικαστικών αγώνων. Ίσως όμως το πιο σημαντικό στοιχείο της χρονιάς είναι η εστίαση στη διακυβέρνηση, η οποία οδήγησε σε αποφάσεις που αναφέρουν ελλείψεις σε αυτούς τους τομείς. Η Ολλανδική Επιτροπή Προστασίας Δεδομένων ανακοίνωσε ότι ερευνά εάν μπορεί να καταστήσει τους διευθυντές της Clearview AI προσωπικά υπεύθυνους για παραβιάσεις, μετά την επιβολή προστίμου 30,5 εκατ. ευρώ στην εταιρεία.
Στροφή στην προσωπική ευθύνη των διοικήσεων
Αυτή η πρωτοφανής έρευνα για την πιθανότητα απόδοσης προσωπικής ευθύνης στη διοίκηση της Clearview AI για συνεχιζόμενες παραλείψεις σηματοδοτεί μια δυνητικά σημαντική αλλαγή εστίασης από τις ρυθμιστικές αρχές. Οι αρχές αναγνωρίζουν πλέον τη δύναμη της προσωπικής λογοδοσίας ως μέσο για την αφύπνιση των διοικήσεων και την προώθηση καλύτερης συμμόρφωσης. Όσον αφορά τις γνωστοποιήσεις παραβιάσεων δεδομένων, ο μέσος αριθμός ανά ημέρα αυξήθηκε ελαφρώς στις 363 από 335 πέρυσι. Η σταθεροποίηση αυτή είναι πιθανότατα ενδεικτική του ότι οι οργανισμοί γίνονται πιο επιφυλακτικοί στην αναφορά παραβιάσεων, δεδομένου του κινδύνου ερευνών, επιβολής προστίμων και αξιώσεων αποζημίωσης που ενδέχεται να ακολουθήσουν την κοινοποίηση, μια τάση που παρατηρείται σταθερά στις ετήσιες έρευνες της DLA Piper.
Κατά τη διάρκεια του πιο πρόσφατου πλήρους έτους, από τις 28 Ιανουαρίου 2024 έως τις 27 Ιανουαρίου 2025, η Ολλανδία, η Γερμανία και η Πολωνία παραμένουν οι τρεις πρώτες χώρες με τον υψηλότερο αριθμό κοινοποιηθεισών παραβιάσεων δεδομένων, καταγράφοντας 33.471, 27.829 και 14.286 παραβιάσεις αντίστοιχα. Παράλληλα, υπήρξαν πολλές αποφάσεις φέτος που σηματοδοτούν την πρόθεση των εποπτικών αρχών να ελέγξουν στενά τη λειτουργία των τεχνολογιών τεχνητής νοημοσύνης και την ευθυγράμμισή τους με τους νόμους περί ιδιωτικότητας. Ο Ross McKean, επικεφαλής του τμήματος UK Data, Privacy and Cybersecurity, σχολίασε ότι οι ρυθμιστικές αρχές υιοθετούν μια πιο διεκδικητική προσέγγιση για να διασφαλίσουν ότι η AI παραμένει εντός των προστατευτικών ορίων του GDPR.
Τα δεδομένα παραβιάσεων και η τεχνητή νοημοσύνη
Ο Ross McKean πρόσθεσε χαρακτηριστικά πως θα θυμάται το 2024 ως το έτος που η επιβολή του GDPR έγινε προσωπική υπόθεση, προβλέποντας ότι η τάση αυτή θα συνεχιστεί και το 2025 καθώς η τεχνολογία AI των ΗΠΑ έρχεται αντιμέτωπη με τους ευρωπαϊκούς νόμους. Ο John Magee, Global Co-Chair της DLA Piper, τόνισε ότι παρά την απουσία ρεκόρ στα φετινά νούμερα, δεν υπάρχει καμία μείωση του ενδιαφέροντος. Από την επέκταση σε νέους τομείς μέχρι τη χρήση του GDPR ως πλαισίου για την τεχνητή νοημοσύνη, η επιβολή παραμένει ένας δυναμικός στίβος. Το 2025 αναμένεται να είναι η χρονιά που οι ρυθμιστικές αρχές θα στραφούν περισσότερο στην προσωπική ευθύνη για να προωθήσουν τη συμμόρφωση.
