Στο παρόν άρθρο διερευνάται η δυνατότητα θεμελίωσης αξίωσης προς αποζημίωση του υποκειμένου των δεδομένων, σύμφωνα με το άρθρο 82 ΓΚΠΔ, εξαιτίας παραβίασης της αρχής της ακρίβειας των δεδομένων, από σύστημα Τεχνητής Νοημοσύνης.
Εκ των βασικότερων αρχών του Γενικού Κανονισμού Προστασίας Δεδομένων αποτελεί η αρχή της Ακρίβειας των δεδομένων. Σύμφωνα με την εν λόγω αρχή, που κατοχυρώνεται στο άρθρο 5 παρ. 1 ΓΚΠΔ, τα δεδομένα κατά το χρονικό διάστημα της επεξεργασίας θα πρέπει να είναι επικαιροποιημένα, ακριβή, ενώ επιπλέον θα πρέπει το υποκείμενο των δεδομένων, για το χρονικό διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας, να είναι ταυτοποιήσιμο. Ωστόσο, ιδιαίτερης σημασίας αποτελεί η ακόλουθη έκφανση της αρχής της ακρίβειας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας είναι κρίσιμο να λαμβάνει τα κατάλληλα μέτρα ώστε να διαγράφονται και να διορθώνονται τυχόν ανακρίβειες που τυχόν έχουν εμφιλοχωρήσει στα δεδομένα προσωπικού χαρακτήρα, ώστε να υπάρχει η ανάλογη συσχέτιση με τους σκοπούς της επεξεργασίας.
Τα συστήματα τεχνητής νοημοσύνης, όπως και αυτό που απασχόλησε την Ιταλική αρχή προστασίας δεδομένων Garante, χρησιμοποιούν την μέθοδο της «Παραίσθησης» προκειμένου να απαντήσουν σε ερώτηση του χρήστη. Αυτό σημαίνει ότι τα συστήματα τεχνητής νοημοσύνης όπως το ChatGΡT συνθέτουν απλώς απαντήσεις από δεδομένα που έχουν ήδη εισαχθεί σε αυτά. Όμως, πολύ σύνηθες είναι το φαινόμενο να παρεμβάλλονται ανακρίβειες στα δεδομένα που εισάγονται σε συστήματα τεχνητής νοημοσύνης, με αποτέλεσμα την παραγωγή ανακριβών απαντήσεων, οι οποίες οδηγούν σε παραπληροφόρηση των χρηστών. Αυτό ακριβώς είναι και το σημείο στο οποίο τίθεται ζήτημα νομιμότητας της επεξεργασίας των δεδομένων από το σύστημα ΑΙ, καθώς ο GDPR απαιτεί για το επιτρεπτό και το νόμιμο της επεξεργασίας να τηρείται η αρχή της ακρίβειας. Παραβίαση της εν λόγω αρχής καθιστά την επεξεργασία αθέμιτη και συνεπώς μη νόμιμη.
Η παραβίαση της εν λόγω αρχής δεν αποτελεί, όμως, μια Lex Imperfecta, δεν συνιστά απλώς μια προτροπή ή παραίνεση του κοινοτικού νομοθέτη, αλλά είναι εφικτή η θεμελίωση αξίωσης προς αποζημίωση βάσει του άρθρου 82 ΓΚΠΔ. Εν όψει τούτου, χρήσιμη και απαραίτητη κρίνεται η ανάλυση των προϋποθέσεων που θα πρέπει να συντρέχουν σωρευτικώς, για την θεμελίωση αξίωσης προς αποζημίωση. Πρωταρχικώς, θα πρέπει να τονιστεί ότι η διενεργηθείσα επεξεργασία θα πρέπει να εμπίπτει στο πεδίο εφαρμογής του Κανονισμού. Η επόμενη προϋπόθεση αφορά την ύπαρξη παραβίασης διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων. Ωστόσο, δεν αρκεί απλώς η παραβίαση του Κανονισμού, αλλά θα πρέπει η διάταξη που παραβιάζεται να θεμελιώνει ουσιαστικό δικαίωμα στο υποκείμενο των δεδομένων να αξιώσει αποζημίωση λόγω παραβίασής του. Περαιτέρω, θα πρέπει από την παραβίαση αυτή, το υποκείμενο των δεδομένων να υφίσταται ηθική ή υλική ζημία. Επισημαίνεται για λόγους επιστημονικής πληρότητας ότι υλική ζημία αποτελεί η μείωση του ενεργητικού ή η αύξηση του παθητικού του ζημιωθέντος εξαιτίας της ενέργειας του ζημιώσαντος. Αντίθετα, ηθική είναι η ζημία που σχετίζεται με την προσβολή της προσωπικότητας, της φήμης, της αξιοπρέπειας και της τιμής του ζημιωθέντος. Το υποκείμενο των δεδομένων όμως, οφείλει να αποδείξει ότι υφίσταται ηθική ή υλική ζημία λόγω παραβίασης των διατάξεων του Κανονισμού, αλλά και την παράβαση αυτή προκειμένου να του επιδικαστεί αποζημίωση. Αξίζει όμως σε αυτό το σημείο να επισημανθεί ότι δεν αποκαθίστανται όλες οι ζημίες, αλλά μόνο εκείνες που υπερβαίνουν ένα ορισμένο όριο βαρύτητας, ήτοι διαθέτουν ένα βαθμό σοβαρότητας. Το βάρος απόδειξης βαρύνει και σε αυτήν την περίπτωση το υποκείμενο των δεδομένων.
Ιδιαίτερης προσοχής χρήζουν, όμως, οι ακόλουθες δύο προϋποθέσεις, οι οποίες θα πρέπει επίσης να πληρούνται προκειμένου να γεννηθεί ενοχή αποζημίωσης βάσει του 82 ΓΚΠΔ. Το πρώτο ζήτημα που ανακύπτει αφορά την υπαιτιότητα. Πιο συγκεκριμένα, για την θεμελίωση αξίωσης προς αποζημίωση απαιτείται η υπαίτια παράβαση του Κανονισμού, η οποία διενεργείται και καταλογίζεται είτε στον υπεύθυνο είτε στον εκτελούντα την επεξεργασία, εφόσον αυτός παραβίασε τις υποχρεώσεις του που απορρέουν από τον Κανονισμό. Ωστόσο, οι έννοιες της υπαιτιότητας και του καταλογισμού αφορούν πράξεις που διενεργούνται από φυσικά πρόσωπα και όχι από συστήματα τεχνητής νοημοσύνης. Αναφορικά με το εν λόγω ζήτημα έχουν υποστηριχθεί διάφορες απόψεις, οι οποίες αφορούν την φύση της ευθύνης του 82 ΓΚΠΔ. Η πρώτη από αυτές υποστηρίζει ότι η ευθύνη που θεμελιώνεται στο προαναφερθέν άρθρο είναι αντικειμενική, δηλαδή δεν εξαρτάται από υπαιτιότητα, ελλείψει σχετικής αναφοράς του κοινοτικού νομοθέτη. Ωστόσο, η συγκεκριμένη λύση οδηγεί σε ανεπιεική αποτελέσματα, καθώς διευρύνει υπερβολικά το μέτρο ευθύνης του υπεύθυνου επεξεργασίας, ο οποίος κατά την εν λόγω άποψη ευθύνεται ακόμα και αν η παράβαση οφείλεται σε λειτουργικό σφάλμα του συστήματος ΑΙ, παρόλο που όλα τα δεδομένα που εισήχθησαν ήταν ορθά. Ορθότερη φαίνεται η άποψη που υποστηρίζει ότι στο 82 ΓΚΠΔ καθιερώνεται ευθύνη λόγω μη συμμόρφωσης, ήτοι καθιερώνεται μια νόθος αντικειμενική ευθύνη με ανεστραμμένο το βάρος απόδειξης, ενώ οι ζημίες που διενεργήθηκαν από το σύστημα τεχνητής νοημοσύνης αποδίδονται στον υπεύθυνο επεξεργασίας, ήτοι την εταιρία διάθεσης του συστήματος στην αγορά. Συνεπώς, ο ζημιωθείς θα πρέπει απλώς να αποδείξει ότι συντρέχουν οι προϋποθέσεις εφαρμογής του συγκεκριμένου άρθρου, ενώ ο ζημιώσας για να απαλλαχθεί από την ευθύνη του θα πρέπει να αποδείξει ότι η ζημία οφείλεται σε γεγονός για το οποίο δεν διαθέτει υπαιτιότητα. Ωστόσο, έχει υποστηριχθεί και η άποψη ότι ο υπεύθυνος επεξεργασίας κατά την έννοια του άρθρου 82 ΓΚΠΔ, δεν απαλλάσσεται από την ευθύνη του, ακόμα και αν η ζημία οφείλεται σε ανωτέρα βία ή τυχηρό γεγονός. Σε κάθε δε περίπτωση, η ευθύνη που θεμελιώνεται στο 82 ΓΚΠΔ είναι αδικοπρακτική, καθώς σχετίζεται με την παραβίαση διατάξεων νόμου. Υποστηρίζεται περαιτέρω ότι για την ελαχιστοποίηση του κινδύνου και την αποφυγή ανεπιεικών λύσεων, η διεκπεραίωση εκτίμησης αλγοριθμικού αντικτύπου πριν από την διάθεση στην αγορά του συστήματος ΑΙ, μπορεί να θεωρηθεί ως ένα επαρκές προληπτικό μέτρο για την προστασία των προσωπικών δεδομένων.
Συνεπώς, παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων από συστήματα ΑΙ, όπως η παραβίαση της αρχής της ακρίβειας των δεδομένων, θα πρέπει να αποδίδονται στην εταιρεία που έθεσε το σύστημα σε κυκλοφορία, ως υπεύθυνος επεξεργασίας. Επισημαίνεται σε αυτό το σημείο, προς επίρρωση της υποστηριζόμενης εδώ άποψης, ότι όπως υποστηρίζεται δεν απαιτείται να διέπραξε ο υπεύθυνος επεξεργασίας την παράβαση, αλλά αρκεί και απλώς η συμμετοχή του σε οποιαδήποτε πράξη επεξεργασίας. Παράλληλα, αν αποδειχθεί ότι η ζημία οφείλεται σε τυχηρό γεγονός ή ανωτέρα βία, όπως για παράδειγμα σφάλμα στην επεξεργασία των δεδομένων του συστήματος τεχνητής νοημοσύνης που δεν οφείλεται σε εσφαλμένη εισαγωγή των δεδομένων, ο υπεύθυνος θα πρέπει, κατά την άποψη του γράφοντος, να απαλλάσσεται. Άλλωστε, υποστηρίζεται ότι ο Γενικός Κανονισμός Προστασίας Δεδομένων αφορά μόνο φυσικά πρόσωπα και συνεπώς βάσει λογικοσυτηματικής ερμηνείας και η συναφής ανακύπτουσα ευθύνη λόγω παραβίασης διατάξεων του κανονισμού αφορά μόνο φυσικά πρόσωπα.
Τελευταίο ζήτημα που εγείρεται, αφορά την αιτιώδη συνάφεια. Επισημαίνεται και πάλι για λόγους επιστημονικής πληρότητας ότι αιτιώδης σύνδεσμος υπάρχει όταν η υπαίτια συμπεριφορά ήταν κατά την κοινή λογική και συνήθη πορεία των πραγμάτων, αντικειμενικώς ικανή και πρόσφορη να επιφέρει το επιζήμιο αποτέλεσμα. Ο ορισμός αυτός της αιτιώδους συνάφειας προκύπτει από το δίκαιο των κρατών μελών, ελλείψει σχετικών ενωσιακών κανόνων. Έχει όμως υποστηριχθεί και η αντίθετη άποψη κατά την οποία ο ορισμός της αιτιώδους συνάφειας προκύπτει αποκλειστικά από το ενωσιακό δίκαιο λόγω ρητής πρόβλεψης του ΓΚΠΔ. Όμως το δικαστήριο της ένωσης δεν έχει λάβει σαφή θέση για το ζήτημα και συνήθως υιοθετεί την άποψη των εθνικών δικαστηρίων περί αιτιώδους συνάφειας. Εν προκειμένω, ακόμη και αν λυθεί το ζήτημα του καταλογισμού, όπως προαναφέρθηκε, γεννάται ζήτημα αν υπάρχει αιτιώδης σύνδεσμος μεταξύ της διενεργηθείσας παράβασης του ΓΚΠΔ από το σύστημα τεχνητής νοημοσύνης και της επελθούσης ζημίας. Κατά την κρατούσα θεωρία της πρόσφορης αιτιότητας, η ζημία που προκαλείται ως αποτέλεσμα της προηγούμενης παραβίασης του ΓΚΠΔ θα πρέπει να είναι προβλέψιμη, ήτοι να είναι δυνατόν να προκύψει ως εύλογο αποτέλεσμα κατά τη συνήθη πορεία των πραγμάτων και βάσει τα διδάγματα της κοινής πείρας. Στην περίπτωση της ζημίας που προκλήθηκε από σύστημα ΑΙ, θα πρέπει να γίνει δεκτό, ότι εφόσον μια παράνομη επεξεργασία προσωπικών δεδομένων προκάλεσε ως λογικό αποτέλεσμα ζημία στο υποκείμενο των δεδομένων κατά αναλογία δικαίου, μια αντίστοιχη ζημία που προκλήθηκε στο υποκείμενο των δεδομένων όχι από τον ίδιο τον υπεύθυνο επεξεργασίας, αλλά από σύστημα τεχνητής νοημοσύνης θα πρέπει επίσης να θεωρείται ως πρόσφορη. Προς τούτο συνηγορεί συμπληρωματικά και η θεωρία του σκοπού του κανόνα δικαίου, ο οποίος εν προκειμένω επιδιώκει την αποκατάσταση ζημίας του υποκειμένου των δεδομένων λόγω παραβίασης του ΓΚΠΔ, ακόμη και αν την ζημία δεν την προκάλεσε ο ίδιος ο υπεύθυνος επεξεργασίας. Συνεπώς μια τέτοιου είδους ζημία θα πρέπει να θεωρηθεί ως πρόσφορο αποτέλεσμα της διενεργηθείσας παραβίασης των διατάξεων του ΓΚΠΔ, κατά τα την συνήθη πορεία των πραγμάτων και τα διδάγματα της κοινής πείρας.
Συμπερασματικά, καθίσταται σαφές ότι με όλες τις επισημάνσεις που προηγήθηκαν, η θεμελίωση αξίωσης αποζημίωσης λόγω παραβίασης του ΓΚΠΔ από σύστημα τεχνητής νοημοσύνης είναι πέρα για πέρα εφικτή.
Ο κ. Παναγιώτης – Ηλίας Τζιτζιλής είναι φοιτητής στη Νομική Σχολή ΑΠΘ και μέλος του ινστιτούτου Rythmisis.