EU razvodnjava GDPR da bi Big Tech trenirao AI na našim podacima

Europska komisija 19. studenoga planira predstaviti Digitalni omnibus, paket izmjena kojim se pod krinkom 'pojednostavljenja' i 'smanjenja birokracije' otvara gotovo cijeli europski digitalni pravni okvir. U teoriji, cilj je olakšati život tvrtkama i ubrzati razvoj umjetne inteligencije, a u praksi, prema nacrtima i analizama, riječ je o najdubljem zadiranju u GDPR, ePrivacy i AI Act otkad ti propisi postoje s posljedicama koje idu puno dalje od 'tehničkih prilagodbi'.

Prema novom omnibusu Big Tech bi po prvi put imao osnovu za korištenje osobnih podataka Europljana za treniranje i rad AI modela, pod egidom 'legitimnog interesa', uz slabljenje zaštite osjetljivih podataka i mogućnost dalekosežnog nadziranja korisničkih uređaja.

Inače, digitalni omnibus dio je šire Komisijine agende pojednostavljenja, a ideja je spojiti i 'modernizirati' niz digitalnih propisa, od GDPR-a i ePrivacy direktive do Data Acta i AI Acta. Službeno objašnjenje EU-a kaže da će biti manje preklapanja, manje izvještaja, jasnija pravila i više inovacija.

No, dokumenti i pravne analize govore suprotno. Omnibus nije paket kozmetičkih izmjena, nego zahvat u samu srž GDPR-a, u to što se uopće smatra osobnim podatkom, u prava ispitanika, u režim osjetljivih podataka te u pravila pristupa podacima na krajnjim uređajima (računalima i mobitelima). Austrijska udruga NOYB (None Of Your Business) specijalizirana je za zaštitu digitalnih prava i strogu primjenu GDPR-a, osobito prema velikim tehnološkim kompanijama, opisala je u 'otvorenom pismu' ovaj pristup iz Omnibusa kao 'smrt GDPR-a'.

Sužavanje pojma 'osobni podatak'

Najkontroverznija promjena tiče se same definicije 'osobnog podatka'. Prema NOYB-ovoj analizi nacrta, Komisija želi uvesti subjektivni kriterij, pa ako određeni voditelj obrade 'razumno ne može identificirati osobu', podaci za njega više ne bi bili osobni, pa se GDPR uopće ne bi primjenjivao. 

Iako možda zvuči zbunjujuće, u praksi to znači da bi se razne pseudo oznake, oglasni ID i cookie ID, mogle tretirati kao 'ne-osobni' podaci. Cijeli online oglasni ekosustav, koji danas formalno spada pod GDPR, mogao bi djelomično ispasti iz zaštite. Istovremeno, sudska praksa EU-a dosad je polazila od sasvim suprotnog principa, a taj je da se i podaci koji ne otkrivaju ime, ali omogućuju profiliranje ili 'izdvajanje' osobe, smatraju osobnima.

Još je sporniji način na koji se planira postupati s osjetljivim podacima, primjerice onima o zdravlju, političkim uvjerenjima ili seksualnoj orijentaciji. Prema prijedlozima, posebna zaštita vrijedila bi samo ako su ti podaci 'izravno otkriveni'. Znači, ako sami napišete da ste član određene stranke, GDPR vas štiti. Ali ako vas algoritam u tu stranku svrstava na temelju primjerice 'lajkova', lokacije ili popisa kontakata, zaštita je mnogo slabija.

Paradoks je očit jer ljudi koji otvoreno objavljuju intimne podatke obično bolje razumiju rizike, dok su ranjiviji oni koje sustav 'pročita' iz ponašanja, bez njihova znanja. Upravo zato aktivisti upozoravaju da bi takvo rezanje zaštite bilo u suprotnosti s dosadašnjom praksom Suda EU-a. Novi paket posebno zadire u podatke na krajnjim uređajima poput laptopa i pametnih telefona. Ideja je spojiti ePrivacy s GDPR-om i znatno proširiti razloge zbog kojih se smije pristupati podacima na uređaju, uključujući 'legitimni interes' i niz novih pravnih osnova. To bi omogućilo povlačenje podataka ili postavljanje trackera i bez klasične jasne privole.

Politička bitka

Rasprava tek kreće jer je još uvijek riječ o nacrtu koji mora proći države članice i Europski parlament. Većina vlada nije oduševljena velikim 'sakaćenjem' GDPR-a, dok Njemačka i Finska guraju jače popuštanje pravila u ime 'konkurentnosti'. NOYB tvrdi da je upravo Njemačka gurala najdalekosežnije izmjene, iako su druge zemlje tražile samo manja prilagođavanja. Dio analitičara to povezuje s lobiranjem američkih tehnoloških kompanija i s Draghi-jevim izvješćem koje otvoreno tvrdi da GDPR koči AI inovacije.

U Parlamentu su se već oglasili protivnici, među njima i europarlamentarka Markéta Gregorová, koja upozorava da bi blaža definicija osobnih podataka i veća 'fleksibilnost' za AI značila masovnu obradu osobnih i osjetljivih podataka bez stvarnih zaštita, te da bi temeljna prava bila gurnuta iza poslovnih interesa tj. novca. 

Komisija: Ne slabimo GDPR

Komisija naravno tvrdi da samo želi olakšati poslovanje i ojačati 'tehnološki suverenitet' uz zadržavanje snažne zaštite građana. Problem je, međutim,  što se ne radi o sitnoj doradi, nego o izmjeni definicije osobnih podataka, slabljenju zaštite osjetljivih podataka, relativizaciji prava ispitanika i uvođenju novih iznimki za AI treniranje na temelju 'legitimnog interesa'. Još je problematičnije što Komisija, prema dostupnim informacijama, ne planira punu procjenu učinaka, iako je riječ o promjenama koje pogađaju samu srž europske regulative.