Η FCC επέβαλε συνολικά πρόστιμα περίπου 196 εκατ. δολ. (περίπου 181 εκατ. ευρώ) στις T-Mobile, AT&T και Verizon επειδή πούλησαν σε τρίτους πληροφορίες για την κίνηση και τη θέση συνδρομητών — στοιχεία που στην πράξη είναι δεδομένα τοποθεσίας. Η υπόθεση φέρνει ξανά στο επίκεντρο την ερώτηση πού καταλήγει η πληροφορία για το πού βρισκόμαστε κάθε στιγμή και πώς την προστατεύει ο νόμος στην Ευρώπη.
Στις ΗΠΑ οι τρεις πάροχοι επέτρεψαν σε εξωτερικές εταιρείες, μέσα από αλυσίδα μεσαζόντων (data brokers), να εντοπίζουν τη θέση συνδρομητών έναντι αμοιβής, χωρίς τη ρητή συγκατάθεση των χρηστών. Όπως σημειώνει ο Vaidotas Šedys, επικεφαλής διαχείρισης κινδύνου της Oxylabs, το βασικό πρόβλημα είναι διπλό: η πώληση δεδομένων χωρίς ενημερωμένη συναίνεση και οι ανεπαρκείς έλεγχοι πάνω στους τρίτους που τελικά αποκτούσαν πρόσβαση. Καταστάσεις σαν αυτή, λέει, σπάνε το συμβόλαιο εμπιστοσύνης ανάμεσα στον πάροχο και τον πελάτη.
Τα στοιχεία τοποθεσίας διοχετεύονταν σε εταιρείες αναλυτικής και άλλους μεσάζοντες που παρείχαν υπηρεσίες εντοπισμού σε πελάτες τους, χωρίς ο τελικός χρήστης να γνωρίζει την ύπαρξη αυτής της διαδρομής. Το πρόστιμο της FCC επαναφέρει τη συζήτηση για το πώς ρυθμίζονται οι πρακτικές που αφορούν προσωπικά δεδομένα σε διαφορετικές δικαιοδοσίες.
Πώς συνέβη στις ΗΠΑ
Στην Ελλάδα και στην υπόλοιπη Ευρώπη ο εντοπισμός θέσης μέσω κινητού ρυθμίζεται κυρίως από τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και την εθνική νομοθεσία, όπως ο ν. 4624/2019 και ο ν. 3471/2006 για το απόρρητο των επικοινωνιών. Αρμόδια για την επιβολή προστίμων είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ενώ για θέματα απορρήτου των επικοινωνιών εμπλέκεται και η ΑΔΑΕ.
Το ευρωπαϊκό πλαίσιο απαιτεί ρητή και ενημερωμένη συγκατάθεση πριν χρησιμοποιηθούν δεδομένα τοποθεσίας για σκοπούς πέραν της ίδιας της παροχής της υπηρεσίας, και επιβάλλει περιορισμούς και υποχρεώσεις στην επεξεργασία από τρίτους. Η λογική της εξάρτησης από μεγάλες υποδομές και η αδιαφάνεια στη διαχείριση δεδομένων έχουν ήδη προκαλέσει αντιδράσεις σε ευρωπαϊκό επίπεδο.
Στην πράξη, λοιπόν, το αμερικανικό μοντέλο εμπορικής μεταπώλησης της θέσης χρήστη δεν ευνοείται εύκολα υπό τον GDPR, γεγονός που εξηγεί γιατί δεν έχουν εμφανιστεί ανάλογες, μεγάλες υποθέσεις στην Ελλάδα.
Προστασία στην Ελλάδα
Το μεγαλύτερο γνωστό ελληνικό περιστατικό με δεδομένα παρόχου ήταν διαφορετικό σε σύσταση: η διαρροή στην Cosmote το 2020 προήλθε από κυβερνοεπίθεση και όχι από εμπορική διάθεση πληροφοριών. Με την υπ’ αριθμόν 4/2022 απόφασή της, η ΑΠΔΠΧ επέβαλε συνολικό πρόστιμο 9,25 εκατ. ευρώ — 6 εκατ. στην Cosmote και 3,25 εκατ. στον ΟΤΕ — επειδή εντοπίστηκαν ανεπαρκή μέτρα ασφάλειας και υπερβολική διατήρηση δεδομένων, όχι γιατί υπήρξε σκόπιμη πώληση τοποθεσιών.
Η διάκριση είναι σημαντική: η έκθεση δεδομένων μετά από κυβερνοεπίθεση είναι διαφορετικός κίνδυνος από την εμπορική μεταπώληση τους. Ωστόσο και στις δύο περιπτώσεις θίγεται το ίδιο βασικό ζήτημα εμπιστοσύνης μεταξύ παρόχου και συνδρομητή.
Επιπλέον, ακόμα και όταν υπάρχει συγκατάθεση, οι ειδικοί προειδοποιούν ότι αυτή δεν αρκεί από μόνη της, γιατί ένας μόνο κακόβουλος ή ανεπαρκώς ελεγχόμενος τρίτος μπορεί να εκθέσει δεδομένα με τρόπους που δεν προβλέπονται από τις πολιτικές απορρήτου.
Γιατί η συναίνεση δεν αρκεί
Από τα συμπεράσματα προτείνεται ένα αυστηρότερο πλαίσιο πιστοποίησης και ελέγχου των τρίτων: πρώτον επαλήθευση ταυτότητας των νομικών οντοτήτων με έλεγχο εγγράφων και διασταύρωση μέσω δημόσιων αρχείων, δεύτερον αξιολόγηση της νόμιμης χρήσης και των στόχων για τους οποίους ζητείται πρόσβαση, και τρίτον συνεχής παρακολούθηση και επανέλεγχος των δραστηριοτήτων, καθώς οι ανάγκες και οι συμπεριφορές ενός πελάτη μπορεί να αλλάξουν με τον χρόνο — μια προσέγγιση γνωστή από διαδικασίες KYC στον χρηματοπιστωτικό κλάδο.
Ο όγκος των πληροφοριών που συγκεντρώνουν σήμερα υπηρεσίες και εφαρμογές καθιστά αυτούς τους ελέγχους κρίσιμους — και αφορά ακόμα και τις γνώσεις των ψηφιακών βοηθών για την καθημερινότητά μας. Στο τέλος, ο πιο άμεσος έλεγχος παραμένει στα χέρια των χρηστών: περιορισμός των αδειών τοποθεσίας στις εφαρμογές που δεν τις χρειάζονται πραγματικά.
Το περιστατικό στις ΗΠΑ είναι μάθημα για όλους: όταν δίνεις συγκατάθεση σε μια εφαρμογή ή έναν πάροχο, σπάνια ξέρεις πού καταλήγει η τοποθεσία σου. Η ουσιαστική διαφορά με την Ευρώπη είναι ότι ο GDPR καθιστά πολύ δυσκολότερο το ίδιο το μοντέλο μεταπώλησης — και γι’ αυτό δεν βλέπουμε ανάλογες υποθέσεις εδώ, σύμφωνα με την αποτίμηση του Techblog.
