Η Κατερίνα Δεμέτζου είναι υποψήφια διδάκτωρ στο OO&R (Ερευνητικό Κέντρο Δικαίου & Επιχειρήσεων) και στο iCIS (Ινστιτούτο Επιστημών Πληροφορικής και Συστημάτων Υπολογιστών) του Πανεπιστημίου Radboud, στην Ολλανδία. Είναι απόφοιτος της Νομικής Σχολής Αθηνών και κατέχει μεταπτυχιακό τίτλο σπουδών (LL.M.) στο «Δίκαιο και Τεχνολογία» από το Πανεπιστήμιο Tilburg της Ολλανδίας.

Η Κατερίνα εστιάζει την έρευνά της στην έννοια του «υψηλού κινδύνου» ως νομική απαίτηση για την εκπόνηση Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (DPIA) βάσει του Άρθρου 35 ΓΚΠΔ. Στο παρελθόν, η Κατερίνα έχει εργαστεί σε δικηγορικά γραφεία στην Ελλάδα, στο Πανεπιστήμιο του Tilburg, στη Philips, στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (EDPS), και στην Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Μίλησε με τη Homo Digitalis σχετικά με τις προκλήσεις που έχει συναντήσει στην έρευνά της και την ανάγκη υιοθέτησης διεπιστημονικής προσέγγισης για την ορθή κατανόηση της σύγχρονης ψηφιακής πραγματικότητας.

– Έχεις δουλέψει σε Ελλάδα, Ολλανδία, και Βέλγιο για μία εντυπωσιακή πληθώρα φορέων, από πανεπιστήμια, μεγάλες εταιρίες τεχνολογίας, και δικηγορικά γραφεία, έως Θεσμούς της Ευρωπαϊκής Ένωσης, και Ελεγκτικές Αρχές. Πόσο σημαντικές ήταν οι εμπειρίες που αποκόμισες από όλα αυτά τα διαφορετικά εργασιακά περιβάλλοντα για να σχηματίσεις μία ολοκληρωμένη εικόνα ως σύγχρονος επαγγελματίας αναφορικά με τις προκλήσεις και τις ευκαιρίες που ανακύπτουν από τις νέες τεχνολογίες για το Δίκαιο και τη κοινωνία;

Η εργασιακή μου εμπειρία πάνω στο κομμάτι των προσωπικών δεδομένων, παρότι σύντομη σε διάρκεια ήταν ιδιαίτερα εποικοδομητική. Αυτό το λέω με την έννοια ότι κατάφερα να ενημερωθώ πάνω σε διαφορετικές λογικές με τις οποίες μπορεί να προσεγγιστεί το ίδιο και το αυτό ζήτημα.

Όλες οι περιπτώσεις στις οποίες αναφέρεστε στην ερώτησή σας παρουσιάζουν το εξής κοινό χαρακτηριστικό: τo κεντρικό αντικείμενο εργασίας και η βασική κατεύθυνση είναι η προστασία προσωπικών δεδομένων. Ωστόσο, το ενδιαφέρον έγκειται στο ότι το κάθε εργασιακό περιβάλλον έχει διαφορετική αφετηρία και διαφορετικούς στόχους.

Μια εθνική εποπτική αρχή (στην Ελλάδα, η Αρχή Προστασίας Προσωπικών Δεδομένων), η ύπαρξη της οποίας προβλέπεται από τον ίδιο το νόμο, έχει ως βασικό στόχο τον έλεγχο συμμόρφωσης των υπεύθυνων επεξεργασίας με τον ΓΚΠΔ. Ταυτόχρονα εκδίδει κατευθυντήριες οδηγίες με σκοπό την ορθή και την όσο το δυνατόν ομοιόμορφη εφαρμογή του νόμου.

Από την άλλη πλευρά, μια ιδιωτική εταιρεία έχει να αντιμετωπίσει το ζήτημα της συμμόρφωσης με το νόμο με σκοπό την αποφυγή προστίμων αλλά και με σκοπό να κερδίσει την εμπιστοσύνη των πελατών της. Το ζήτημα της συμμόρφωσης είναι ιδιαιτέρως πολύπλοκο και απαιτεί τη λήψη αποτελεσματικών μέτρων τα οποία ταυτόχρονα θα κοστίσουν όσο το δυνατόν λιγότερο στην εταιρεία.

Η εμπειρία μου, τέλος, στον Ευρωπαίο Επόπτη (EDPS) ήταν εξαιρετική, κυρίως λόγω του ότι είδα από κοντά τον τρόπο με τον οποίο γίνονται οι ζυμώσεις σε ευρωπαϊκό επίπεδο και τον τρόπο με τον οποιο λαμβάνονται αποφάσεις και υιοθετούνται πολιτικές.

– Γιατί επέλεξες την οδό των διδακτορικών σπουδών ως συνέχεια της επαγγελματικής σταδιοδρομίας σου;

Οι σπουδές σε επίπεδο διδακτορικού αποτελούσαν για εμένα έναν στόχο, ο οποίος πήρε πιο συγκεκριμένη μορφή κατά τη διάρκεια των μεταπτυχιακών μου σπουδών όταν δούλευα τη διπλωματική μου εργασία.

Η ερευνητική διαδικασία και όλη η διανοητική άσκηση στην οποία συνίσταται με γοήτευσε πολύ. Η έρευνα βασίζεται στους εξής πυλώνες: την αποτύπωση ενός βασικού ερευνητικού ερωτήματος, τη χρήση της μεθοδολογίας, τη μελέτη της βιβλιογραφίας και την εξαγωγή συμπερασμάτων.

Ένα άλλο χαρακτηριστικό της διαδικασίας είναι η συνεχής μετάβαση από το γενικό στο ειδικό (και αντίστροφα) και από τη θεωρία στην πράξη (και αντίστροφα).

Για να δώσω ένα παράδειγμα, η ολοκληρωμένη μελέτη μιας νομικής υποχρέωσης του ΓΚΠΔ, απαιτεί τη μελέτη όχι μόνο του ΓΚΠΔ στο σύνολό του, αλλά και στοιχείων της νομικής επιστήμης εν γένει.  Αυτό θα πρέπει να γίνει με ταυτόχρονη διερεύνηση του τι συμβαίνει στην πράξη με βάση και τις δυσκολίες και την αποτελεσματικότητα.

Η διαδικασία λοιπόν που πολύ σύντομα περιέγραψα σε συνδυασμό με το πολύ ενδιαφέρον, σύγχρονο και πολυδιάστατο θέμα της προστασίας προσωπικών δεδομένων είναι οι βασικοί λόγοι για τους οποίους επέλεξα τις διδακτορικές σπουδές.

– Το διδακτορικό σου είναι διεπιστημονικό, καθώς συντονίζεται τόσο από ένα ερευνητικό κέντρο Δικαίου και Επιχειρήσεων αλλά και από ένα Ινστιτούτο Συστημάτων Πληροφορικής και Συστημάτων Υπολογιστών. Πώς είναι να δουλεύεις ως νομικός μαζί με επαγγελματίες από διαφορετικούς επιστημονικούς κλάδους σε κοινά ερευνητικά προγράμματα;

Θα έλεγα πως η διεπιστημονικότητα είναι αναγκαία προϋπόθεση για μια ολοκληρωμένη και σε βάθος κατανόηση κι εκτίμηση των σύγχρονων προκλήσεων.

Το πώς προσεγγίζεις ένα ζήτημα είναι συνάρτηση και των χαρακτηριστικών αυτού του ζητήματος. Για να γίνω πιο συγκεκριμένη, στα ζητήματα δικαίου και τεχνολογίας, το να ερμηνεύσεις μια νομοθετική διάταξη που αφορά στους κινδύνους που προκύπτουν από τη χρήση αλγορίθμων χωρίς να λάβεις υπόψη τη λειτουργία της συγκεκριμένης τεχνολογίας θα οδηγήσει σε μια ερμηνεία κενή.

Αυτό σημαίνει ότι ως νομικός οφείλω να αλληλεπιδρώ και με άλλους τομείς σχετικούς με το αντικείμενο της έρευνάς μου. Κατά τη γνώμη μου πρέπει αρχικά να αφουγκραστούμε την αναγκαιότητα αυτής της αλληλεπίδρασης (το οποίο πιστεύω ότι συμβαίνει) και να εκπαιδευτούμε στην ανάπτυξη εργαλείων για μια τέτοια επικοινωνία.

Σε αυτό το πλαίσιο προσπαθώ να τοποθετήσω τη διδακτορική μου έρευνα. Η συνύπαρξη και η συνεργασία με ανθρώπους κυρίως από τον τομέα της πληροφορικής είναι μόνο ευχάριστη και προσφέρει διαφορετική οπτική και τρόπο σκέψης (και ενίοτε μεθοδολογίας) σε μια έρευνα που άλλως θα ήταν αμιγώς νομική.

Ο στόχος δεν είναι να λειτουργήσει ο ερευνητής συγκεντρωτικά ως προς τη γνώση (να γίνει δηλαδή ταυτόχρονα νομικός, κοινωνιολόγος, προγραμματιστής κλπ) αλλά πρώτον να μπορεί να διαγνώσει ποιες είναι οι επιστήμες τις οποίες οφείλει να εξετάσει για μια πιο ολοκληρωμένη έρευνα και δεύτερον να μπορεί να επικοινωνήσει με τους ειδικούς των λοιπών σχετικών επιστημών και να κατανοήσει τις σημαντικές για την έρευνά του πληροφορίες.

– Οι διδακτορικές σου σπουδές επικεντρώνονται στην έννοια του «υψηλού κινδύνου» ως νομική απαίτηση για την εκπόνηση Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (DPIA) βάσει του Άρθρου 35 ΓΚΠΔ. Μίλησε μας περισσότερο για το ζήτημα αυτό και για τις προκλήσεις που έχεις συναντήσει έως σήμερα. 

Όντως, η έρευνά μου αφορά σε μία νέα νομική υποχρέωση υπό τον ΓΚΠΔ και σε μια συστατική, αυτής της υποχρέωσης, έννοια (‘υψηλός κίνδυνος’) εν πολλοίς αχαρτογράφητη στον τομέα της προστασίας προσωπικών δεδομένων.

Η έννοια του ΄κινδύνου΄ συναντάται σε πολλές υποχρεώσεις του ΓΚΠΔ και αποτελεί ένα από τα βασικά κριτήρια για τη διαμόρφωση της πολιτικής μιας εταιρείας σε σχέση με την προστασία των δεδομένων που επεξεργάζεται.

Με απλά λόγια, όσο μεγαλύτερος ο κίνδυνος για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, τόσο περισσότερες και πολυπλοκότερες οι υποχρεώσεις των υπεύθυνων επεξεργασίας. 

Αυτό προϋποθέτει την ύπαρξη εργαλείων για να εντοπιστεί και να μετρηθεί ο κίνδυνος. Ένα βασικό στοιχείο το οποίo θα πρέπει να είναι ξεκάθαρο όταν μιλάμε για τον ‘κίνδυνο’ υπό τον ΓΚΠΔ, είναι ότι ο νομοθέτης δεν αναφέρεται αποκλειστικά και μόνο σε κινδύνους που αφορούν στην ασφάλεια των συστημάτων (security risks) αλλά αναφέρεται επιπλέον σε κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων (risks to the rights and freedoms of natural persons).

Έτσι λοιπόν, το να εντοπίσει και να μετρήσει ένας υπεύθυνος επεξεργασίας τον κίνδυνο επίθεσης στα ηλεκτρονικά του συστήματα και το να λάβει μέτρα προκειμένου να μειώσει όσο το δυνατόν περισσότερο την πιθανότητα παραβίασης και υποκλοπής δεδομένων, είναι υψίστης σημασίας, όμως δεν αρκεί.

Οφείλει επιπλέον να εντοπίσει κινδύνους που μπορεί να παρουσιαστούν στα θεμελιώδη δικαιώματα των ανθρώπων, όπως για παράδειγμα στο δικαίωμα στην ελευθερία της έκφρασης, της σκέψης κλπ.

Κι ενώ είμαστε αρκετά εξοικειωμένοι με τους κινδύνους που παρουσιάζονται στο επίπεδο ασφάλειας συστημάτων (ποιοί είναι, πώς μετριούνται, πώς αντιμετωπίζονται), δεν ισχύει το ίδιο με τους κινδύνους στα θεμελιώδη δικαιώματα λόγω της επεξεργασίας προσωπικών δεδομένων.

Βασικά ερωτήματα που εγείρονται είναι: με ποια μέθοδο εντοπίζουμε σε κάθε συγκεκριμένη περίπτωση ποια δικαιώματα και ποιες ελευθερίες μπορεί να τεθούν σε κίνδυνο λόγω της επεξεργασίας δεδομένων;

Είναι ο κίνδυνος μετρήσιμος κι αν ναι, ποια είναι τα εργαλεία εκείνα τα οποία θα εξασφαλίσουν μια (όσο το δυνατόν πιο) αντικειμενική μέτρηση του εν λόγω κινδύνου;

Ποιο είναι το σημείο εκείνο (και ποιος το καθορίζει) πέρα από το οποίο ένας κίνδυνος παύει να είναι νομικά αποδεκτός;

Αυτά είναι ορισμένα μόνο ερωτήματα τα οποία πρέπει να απαντηθούν πριν μιλήσουμε για τα μέτρα που χρειάζεται να ληφθούν για τη μείωση του ‘κινδύνου’. Η ερευνητική πρόκληση εν προκειμένω, βρίσκεται στη δημιουργία μιας νομικής μεθοδολογίας η οποία θα επιτρέπει τόσο τη μέτρηση του κινδύνου στα δικαιώματά μας όσο και στην αξιολόγηση της ορθότητας αυτής της μέτρησης.

Θα πρέπει δηλαδή να υπάρχει κοινό λεξιλόγιο, κοινά εργαλεία και κοινή αντίληψη απέναντι στην έννοια του ‘κινδύνου’. Αυτό ταυτόχρονα συμβάλλει στη βασική αρχή της νομικής βεβαιότητας αλλά και στην πιο αποτελεσματική προστασία των δικαιωμάτων και των ελευθεριών μας.

– Η εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων είναι άρρηκτα συνδεδεμένη με τη προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων. Θεωρείς ότι οι υπεύθυνοι επεξεργασίας δείχνουν τη δέουσα προσοχή στην εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων; Έχουν οι αρμόδιες ελεγκτικές αρχές προχωρήσει στην παροχή επαρκούς καθοδήγησης;

Είναι αρκετά δύσκολο να εκφέρω μια εμπεριστατωμένη άποψη σχετικά με τη στάση των υπεύθυνων επεξεργασίας απέναντι στη συγκεκριμένη νομική υποχρέωση.

Η αίσθηση που έχω μέχρι τώρα είναι πως, με εξαίρεση μεγάλες πολυεθνικές εταιρείες οι οποίες έχουν αναπτύξει ακόμα και αυτοματοποιημένα εργαλεία για την εκτίμηση αντικτύπου, εξακολουθεί να υπάρχει μια δυσκολία κατανόησης του τρόπου εφαρμογής αυτής της υποχρέωσης, κυρίως ως προς τη μεθοδολογία που πρέπει να χρησιμοποιηθεί. 

Ωστόσο, τόσο το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) όσο και οι εθνικές εποπτικές Αρχές, έχουν σταδιακά παράσχει κατευθυντήριες οδηγίες ως προς τους τύπους της επεξεργασίας δεδομένων που ‘ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων’ καθώς και ως προς τα κριτήρια που πρέπει να λαμβάνονται υπόψη για μια τέτοια αξιολόγηση.

Παραδείγματα τύπων επεξεργασίας είναι η μεγάλης κλίμακας επεξεργασία των ειδικών κατηγοριών δεδομένων, η επεξεργασία δεδομένων με τη χρήση νέων τεχνολογιών, ενώ κριτήρια αποτελούν η συστηματική παρακολούθηση, η επεξεργασία δεδομένων των εργαζομένων και των ανηλίκων κλπ.

Οι προαναφερθέντες τύποι επεξεργασίας και όσοι παρουσιάζουν κριτήρια με βάση τις οδηγίες των Αρχών πρέπει να υπόκεινται σε εκτίμηση αντικτύπου.

Οι οδηγίες αυτές είναι όντως σε μεγάλο βαθμό βοηθητικές. Ωστόσο, προσωπικά θεωρώ ότι χρειάζονται επιπλέον οδηγίες σχετικά με τον τρόπο που οι υπεύθυνοι επεξεργασίας οφείλουν να μετρούν το αν η πιθανότητα ή / και η ένταση του κινδύνου είναι υψηλή / μεσαία / χαμηλή.

Οδηγίες τέτοιου περιεχομένου θα ικανοποιούσαν και το αίτημα του νομοθέτη για ‘αντικειμενική’ αξιολόγηση του κινδύνου.

Για παράδειγμα, ένας υπεύθυνος επεξεργασίας λανθασμένα (όπως κρίνεται εκ του αποτελέσματος) αποφάσισε να μην πραγματοποιήσει εκτίμηση αντικτύπου μιας επεξεργασίας.

Καλείται να εξηγήσει είτε ενώπιον της Αρχής είτε ενώπιον του Δικαστηρίου τον τρόπο (μέθοδο) με τον οποίο κατέληξε στο συμπέρασμα ότι ο κίνδυνος δεν ήταν ‘υψηλός’ και άρα δεν ενέπιπτε στην υποχρέωση εκτίμησης αντικτύπου.

Η έλλειψη κοινού τόπου μεταξύ του υπεύθυνου επεξεργασίας και της Αρχής ή του Δικαστηρίου, ως προς τη μέθοδο αξιολόγησης κινδύνου, μπορεί να οδηγήσει σε υψηλά πρόστιμα για τον υπεύθυνο επεξεργασίας. Το μικρό αυτό παράδειγμα φανερώνει το πρόβλημα που μπορεί να προκύψει από την έλλειψη κατευθυντήριων οδηγιών ως προς τη μέτρηση ‘κινδύνου’.

– Οι καθηγητές που επιβλέπουν τη διδακτορική σου έρευνα, ήτοι Mireille Hildebrandt, Βart Jacobs και Corjo Jansen, είναι πολύ γνωστές προσωπικότητες στον τομέα με μεγάλη ακαδημαϊκή συνεισφορά. Πώς είναι να δουλεύεις δίπλα τους και να μαθαίνεις από αυτούς;

Οι επιβλέποντες καθηγητές μου αποτελούν έναν από τους πιο σημαντικούς λόγους για τον οποίο επέλεξα να προχωρήσω στις συγκεκριμένες διδακτορικές σπουδές.

Είναι τρεις επιστήμονες καταξιωμένοι στον τομέα τους, με πολύ μεγάλη εμπειρία στην επίβλεψη διδακτορικών διατριβών. Με αφορμή αυτή την ερώτηση, θα ήθελα να τονίσω το εξής.

Οι επιβλέποντες καθηγητές είναι ίσως το πιο σημαντικό κριτήριο για να επιλέξει ένας νέος επιστήμονας το δρόμο του διδακτορικού.

Κατά τη γνώμη μου, είναι κριτήριο πιο σημαντικό ακόμα και από το ίδιο το θέμα της διατριβής για το λόγο ότι ο επιβλέπων καθηγητής είναι εκείνος ο οποίος θα σε καθοδηγήσει στην (δύσκολη και περίπλοκη) ερευνητική διαδικασία.

Θα πρέπει λοιπόν να είναι άνθρωπος με τον οποίο μπορείς να συνεννοηθείς, να μπορείς να εκφράσεις τον οποιοδήποτε προβληματισμό σου και στον οποίο μπορείς να στηριχθείς και να νιώσεις ασφαλής. Είναι το προστατευτικό σου δίχτυ με λίγα λόγια. Από αυτή την άποψη, λοιπόν, αισθάνομαι κάτι παραπάνω από τυχερή.

– Έχεις συμμετάσχει σε πληθώρα συνεδρίων για να παρουσιάσεις την ακαδημαϊκή σου έρευνα, όπως το «Computers, Privacy, and Data Protection (CPDP)» στις Βρυξέλλες, το «British & Irish Law, Education and Technology Conference (BILETA)» στο Μπέλφαστ, και το «Living in the Internet of Things: Cybersecurity of the ΙοΤ» στο Λονδίνο. Πόσο σημαντικό είναι για τους ακαδημαϊκούς ερευνητές να συμμετέχουν από κοινού με ειδικούς που εκπροσωπούν άλλους τομείς όπως τις οργανώσεις της κοινωνίας των πολιτών, σε τέτοια συνέδρια;

Η συμμετοχή σε συνέδρια είναι κατά τη γνώμη μου μια δραστηριότητα μεγάλης σημασίας για έναν ερευνητή. Ο βασικός λόγος είναι διότι προσδίδει εξωστρέφεια στην έρευνά του και ταυτόχρονα τον τοποθετεί ως ισάξιο μέλος μιας κοινότητας.

Η προσωπική μου εμπειρία δείχνει πως αυτού του είδους η συμμετοχή είναι πολλαπλώς ευεργετική. Αρχικά διότι καλείσαι να παρουσιάσεις με απλό και κατανοητό τρόπο τόσο την έρευνά σου όσο και τη σημασία αυτής.

Κατά δεύτερον διότι σου δίνεται η δυνατότητα να λάβεις σχόλια, ερωτήσεις, κριτική και με αυτό τον τρόπο να βελτιώσεις ή ακόμα και να αναθεωρήσεις συμπεράσματα.

Έτσι λοιπόν, ο επιστήμονας καταφέρνει να βγει έξω από τα όρια της ακαδημαϊκής κοινότητας και να μπολιάσει τον τρόπο σκέψης και έρευνας με στοιχεία και απόψεις ανθρώπων που ανήκουν σε παρεμφερή ή ακόμα και σε διαφορετικά ερευνητικά πεδία.

Πιστεύω πως με αυτό τον τρόπο απαντάω και στην ερώτησή σας. Η επικοινωνία και η συνεργασία μελών της ακαδημαϊκής κοινότητας με εκπροσώπους άλλων φορέων συμβάλλει σε μια ολιστική προσέγγιση ενός θέματος και αποσοβεί τον κίνδυνο της μονομέρειας στην έρευνα (ο οποίος ορισμένες φορές ελλοχεύει).

Αυτό έχει γίνει αντιληπτό και από τους διοργανωτές μεγάλων συνεδρίων, οι οποίοι προσπαθούν να προσδώσουν διεπιστημονικότητα στα συνέδρια, κυρίως του τομέα δικαίου και τεχνολογίας.

Παραδείγματα συνεδρίων που έχουν υιοθετήσει αυτή τη λογική, είναι όσα αναφέρετε στην ερώτησή σας. Ένα πρόσφατο παράδειγμα αποτελεί το διεθνούς απήχησης συνέδριο ACM FAT Conference, το οποίο μόλις πραγματοποιήθηκε στη Βαρκελώνη τον Ιανουάριο του 2020.

Στην περίπτωση αυτή οι διοργανωτές έκαναν μια σημαντική στροφή στο περιεχόμενο του συνεδρίου, απευθύνοντας κάλεσμα σε νομικούς, κοινωνιολόγους, και ανθρώπους άλλων ειδικοτήτων να συμμετάσχουν και να προσδώσουν διεπιστημονικότητα στο εν λόγω συνέδριο.