Φυσικά και τις αγγίζει! Μπορεί η Πράξη για τις Ψηφιακές Υπηρεσίες (DSA) να ρυθµίζει µια σειρά από νοµικά θέµατα σε όλες τις χώρες της Ε.Ε., κυρίως για τις µεγάλες πλατφόρµες, τα µέσα κοινωνικής δικτύωσης, το ηλεκτρονικό εµπόριο και τις πλατφόρµες ανταλλαγής περιεχοµένου, τα καταστήµατα εφαρµογών και τις διαδικτυακές πλατφόρµες ταξιδιών και καταλυµάτων, ωστόσο η ελληνική διαφήµιση και τα µεγάλα αλλά και µικρότερα ελληνικά ΜΜΕ και πλατφόρµες ΟΤΤ (Cosmote TV, Nova, Vodafone TV, ANT1+, ERTflix) δεν ξεφεύγουν από το «ραντάρ» της νέας ευρωπαϊκής νοµοθεσίας. Η οποία µπορεί να έχει γίνει γνωστή για την κεντρική προσπάθεια πρόληψης των παράνοµων και επιβλαβών δραστηριοτήτων στο διαδίκτυο και της παραπληροφόρησης, αλλά δεν στέκεται µόνον εκεί: Προωθεί την ασφάλεια των χρηστών, προστατεύει τα θεµελιώδη δικαιώµατα και δηµιουργεί ένα δίκαιο και ανοικτό περιβάλλον διαδικτυακών πλατφορµών.
Πολύ απλά, δηµιουργεί τις προϋποθέσεις για τη δηµιουργία ενός ασφαλέστερου ψηφιακού χώρου, όπου προστατεύονται αφενός τα θεµελιώδη δικαιώµατα των χρηστών µε την παράλληλη εγγύησή της στη δηµιουργία ισότιµων όρων ανταγωνισµού για τις επιχειρήσεις.
Πράγµατι, ο νόµος για τις ψηφιακές υπηρεσίες περιλαµβάνει ειδικούς κανόνες για τις πολύ µεγάλες επιγραµµικές πλατφόρµες και µηχανές αναζήτησης. Πρόκειται για διαδικτυακές πλατφόρµες και µεσάζοντες που απασχολούν περισσότερους από 45 εκατοµµύρια χρήστες µηνιαίως στην Ε.Ε. Όλες αυτές πρέπει να συµµορφώνονται µε τις αυστηρότερες υποχρεώσεις του νόµου.
Γιατί είναι απαραίτητη η DSA;
* Οι ψηφιακές υπηρεσίες επηρεάζουν τη ζωή µας µε πολλούς διαφορετικούς τρόπους. Τις χρησιµοποιούµε για να επικοινωνούµε µεταξύ µας, να ψωνίζουµε, να παραγγέλνουµε φαγητό, να βρίσκουµε πληροφορίες, να βλέπουµε ταινίες, να ακούµε µουσική και πολλά άλλα.
* Οι ψηφιακές υπηρεσίες διευκολύνουν επίσης τις διασυνοριακές συναλλαγές των επιχειρήσεων και την πρόσβαση σε νέες αγορές.
* Ενώ αυτά είναι µερικά παραδείγµατα των πολλών πλεονεκτηµάτων του ψηφιακού µετασχηµατισµού, υπάρχουν επίσης προβλήµατα.
Οι προκλήσεις: Οι µηχανές αναζήτησης ως «ρυθµιστές πρόσβασης» και οι «χειραγωγικοί» αλγόριθµοι
Μια πρόκληση είναι ότι ορισµένες µεγάλες πλατφόρµες ελέγχουν σηµαντικά οικοσυστήµατα στην ψηφιακή οικονοµία. Έχουν αναδειχθεί ρυθµιστές πρόσβασης στις ψηφιακές αγορές, µε την εξουσία να ενεργούν ως ιδιωτικοί φορείς θέσπισης κανόνων. Οι κανόνες τους οδηγούν ενίοτε σε αθέµιτους όρους για τις επιχειρήσεις που χρησιµοποιούν αυτές τις πλατφόρµες και σε λιγότερες επιλογές για τους καταναλωτές.
Μια άλλη ανησυχία είναι το εµπόριο και η ανταλλαγή παράνοµων αγαθών, υπηρεσιών και περιεχοµένου στο διαδίκτυο. Επίσης, γίνεται κατάχρηση των διαδικτυακών υπηρεσιών από χειραγωγικά αλγοριθµικά συστήµατα για την ενίσχυση της εξάπλωσης της παραπληροφόρησης και για άλλους επιβλαβείς σκοπούς.
Οι προκλήσεις αυτές και ο τρόπος µε τον οποίο τις αντιµετωπίζουν οι πλατφόρµες, έχουν σηµαντικό αντίκτυπο στα θεµελιώδη δικαιώµατα στο διαδίκτυο.
Ως εκ τούτου, η Ευρωπαϊκή Ένωση θέσπισε ένα σύγχρονο νοµικό πλαίσιο, που διασφαλίζει την ασφάλεια των χρηστών στο διαδίκτυο, καθιερώνει τη διακυβέρνηση µε την προστασία των θεµελιωδών δικαιωµάτων στην πρώτη γραµµή και διατηρεί δίκαιο και ανοικτό περιβάλλον επιγραµµικών πλατφορµών.
Πεδίο εφαρµογής
Οι υποχρεώσεις του Κανονισµού (EE) 2022/2065 (DSA-Digital Services Act) εφαρµόζονται, κατά κανόνα, σε εταιρείες και οργανισµούς που ενεργούν ως πάροχοι ψηφιακών ενδιάµεσων υπηρεσιών (intermediaries).
Στην κατηγορία των παρόχων ανήκουν οι πάροχοι των ακόλουθων τύπων υπηρεσιών:
α) «απλής µετάδοσης - mere conduit»: συνίσταται στη µετάδοση, σε δίκτυο επικοινωνιών, πληροφοριών που παρέχει αποδέκτης της υπηρεσίας, ή στην παροχή πρόσβασης σε δίκτυο επικοινωνιών·
β) «προσωρινής αποθήκευσης - Caching»: συνίσταται στη µετάδοση, σε δίκτυο επικοινωνιών, πληροφοριών που παρέχει αποδέκτης της υπηρεσίας και περιλαµβάνει την αυτόµατη, ενδιάµεση και προσωρινή αποθήκευση των εν λόγω πληροφοριών, η οποία πραγµατοποιείται µε αποκλειστικό σκοπό να καταστεί αποτελεσµατικότερη η µεταγενέστερη µετάδοση των πληροφοριών σε άλλους αποδέκτες κατόπιν αιτήµατός τους·
γ) «φιλοξενίας - hosting»: συνίσταται στην αποθήκευση πληροφοριών που παρέχει αποδέκτης της υπηρεσίας, κατόπιν αιτήµατός του·
δ) «επιγραµµικής πλατφόρµας - online platforms»: Υποκατηγορία των υπηρεσιών φιλοξενίας, η οποία επιτρέπει τόσο την αποθήκευση των πληροφοριών που παρέχει ο αποδέκτης της υπηρεσίας/χρήστης όσο και τη διάδοση των πληροφοριών αυτών στο κοινό, κατόπιν αιτήµατος του χρήστη.
Για τους σκοπούς του DSA, ο αποδέκτης της υπηρεσίας µπορεί να είναι τόσο φυσικό όσο και νοµικό πρόσωπο. Επίσης, ως αποδέκτης της υπηρεσίας δεν νοείται µόνο ο τελικός χρήστης της υπηρεσίας/εφαρµογής/πλατφόρµας, αλλά και οι επαγγελµατικοί χρήστες που χρησιµοποιούν την υπηρεσία για να παρέχουν πρόσβαση σε δικές τους πληροφορίες ή/και περιεχόµενο (π.χ. διαφηµιστές, εταιρείες παραγωγής κ.λπ.).
Ποια είναι η φύση των υποχρεώσεων αυτών;
α) Υποχρεώσεις διαχείρισης περιεχοµένου και συνεργασίας µε αρµόδιες εποπτικές αρχές
β) Αλλαγές στους όρους χρήσης της εκάστοτε υπηρεσίας που εµπίπτει στις υποχρεώσεις
γ) Υποχρεώσεις ως προς τη διαφάνεια των διαφηµίσεων και τη χρήση profiling για σκοπούς διαφήµισης
δ) Υποχρεώσεις για την αποφυγή παραπλανητικών πρακτικών (dark patterns) κατά το σχεδιασµό, την ανάπτυξη και τη χρήση της εκάστοτε υπηρεσίας.
Ε) Οργανωτικές υποχρεώσεις (πολιτικές/διαδικασίες/τεχνικά µέτρα/καθιέρωση σηµείων επαφής), προς κάλυψη και συµµόρφωση µε τα α-δ.
∆εδοµένου ότι µια εταιρεία ΜΜΕ δεν παρέχει, σε καµιά περίπτωση, κάποια υπηρεσία που πληροί τα κριτήρια για να χαρακτηρισθεί στο άµεσο µέλλον «πολύ µεγάλη επιγραµµική πλατφόρµα», κρίσιµες για τον οργανισµό είναι µόνο οι υποχρεώσεις που αφορούν τις υπηρεσίες που χαρακτηρίζονται υπηρεσίες «απλής µετάδοσης», «προσωρινής αποθήκευσης», «φιλοξενίας» και «πλατφόρµας».
Εξαιρέσεις από το πεδίο εφαρµογής
Για κάποιες από τις υποχρεώσεις, που αφορούν κυρίως τις υπηρεσίες φιλοξενίας και τις πλατφόρµες, ο DSA προβλέπει εξαίρεση για πολύ µικρές και µικρές επιχειρήσεις.
∆εδοµένου ότι η εταιρεία MME είναι σαφώς πάνω από τα όρια που προβλέπονται στην παραπάνω σύσταση, δεν µπορεί να επωφεληθεί από κάποια εξαίρεση.
Κρίσιµοι παράγοντες για την κατηγοριοποίηση των υπηρεσιών µιας εταιρείας ΜΜΕ
α) Η υπηρεσία/εφαρµογή χρησιµοποιεί και παρέχει µόνο περιεχόµενο το οποίο είναι ειδησεογραφικό/ψυχαγωγικό και δηµοσιεύεται κατόπιν συντακτικής επιµέλειας/επίβλεψης από την εταιρεία ΜΜΕ («Editorial Content/Editorial Service») ή χρησιµοποιείται από την υπηρεσία/εφαρµογή περιεχόµενο που παράγεται ή παρέχεται από τους αποδέκτες της υπηρεσίας/χρήστες («User Generated Content»); - Αν στην ερώτηση η απάντηση είναι πως η υπηρεσία χρησιµοποιεί (και) User Generated Content, τότε η υπηρεσία σίγουρα εµπίπτει σε κάποια από τις κατηγορίες υπηρεσιών που υπάγονται στον DSA
β) Η υπηρεσία/εφαρµογή παρέχει τη δυνατότητα αποθήκευσης του User Generated Content; -Αν η απάντηση στην ερώτηση είναι καταφατική, τότε η υπηρεσία είναι, τουλάχιστον, υπηρεσία hosting/φιλοξενίας
γ) Η υπηρεσία/εφαρµογή επιτρέπει την διάδοση του User Generated Content µε τρίτους;
δ) Η διάδοση των παραπάνω πληροφοριών στο κοινό αποτελεί ουσιαστική λειτουργικότητα της υπηρεσίας ή απλά ήσσονος σηµασίας/επικουρικό χαρακτηριστικό;
Αν η απάντηση στην 3η ερώτηση είναι καταφατική, υπάρχει αυξηµένη πιθανότητα η υπηρεσία να µπορεί να θεωρηθεί πλατφόρµα. Αν όµως ταυτόχρονα, στο πλαίσιο της 4ης ερώτησης, η απάντηση είναι ότι η διάδοση πληροφοριών στην υπηρεσία αποτελεί ήσσονος σηµασίας χαρακτηριστικό, τότε η υπηρεσία δεν είναι πλατφόρµα αλλά θεωρείται απλά υπηρεσία φιλοξενίας/hosting.
Όποιες υπηρεσίες παρέχονται χωρίς τη χρήση User Generated Content αλλά περιέχουν Editorial Content, θα πρέπει να συµµορφώνονται όχι µε τις διατάξεις του DSA αλλά µε τις διατάξεις της Οδηγίας 2018/1808 (Audiovisual Media Services Directive), όπως ενσωµατώθηκαν στην Ελλάδα µε τον ν.4779/2021.
Απτά παραδείγµατα
* Η δηµιουργία ιστοτόπου/υπηρεσίας, στην οποία οι χρήστες θα µπορούσαν να «ανεβάζουν» βίντεο ή ηχογραφηµένα µηνύµατα, τα οποία θα ήταν διαθέσιµα στους υπόλοιπους χρήστες/επισκέπτες ή θα δηµοσιεύονταν µέσω άλλων καναλιών της εταιρείας ΜΜΕ, θα καθιστούσε την υπηρεσία «επιγραµµική πλατφόρµα».
* Η δηµιουργία comment section στους ιστοτόπους της εταιρείας ΜΜΕ θα µπορούσε, υπό συνθήκες, να καταστήσει τον ιστότοπο «υπηρεσία φιλοξενίας»
* Η δηµιουργία forum για τους θεατές/ακροατές των προγραµµάτων της εταιρείας ΜΜΕ θα ενέπιπτε στον ορισµό της «επιγραµµικής πλατφόρµας».
Πώς µια ΟΤΤ υπηρεσία εµπίπτει στο νόµο άπαξ και δηµοσιεύσει
διαφήµιση
Κατά κανόνα, οι παραδοσιακές/pure Video on Demand (VOD) υπηρεσίες εµπεριέχουν µόνο Editorial Content και δεν εµπίπτουν στο πεδίο εφαρµογής του DSA.
Στην υφιστάµενη µορφή του του ΟΤΤ λειτουργεί ως παραδοσιακό/pure VOD Service. Συνεπώς, δεν απαιτείται η λήψη ενεργειών προς συµµόρφωση µε τον DSA, αρκεί να εξασφαλιστεί πως η υπηρεσία καλύπτει τις απαιτήσεις του ν.4779/2021.
Πάρα ταύτα, θα πρέπει να δοθεί ιδιαίτερη προσοχή κατά την εισαγωγή επιπλέον λειτουργικοτήτων στο ΟΤΤ, καθώς οιαδήποτε προσθήκη λειτουργικότητας µπορεί να συνεπάγεται και την ανάγκη συµµόρφωσης µε τον DSA. Ενδεικτικά:
α) Η εισαγωγή δυνατότητας βαθµολόγησης ή κριτικής του περιεχοµένου από τους χρήστες/συνδροµητές, θα µπορούσε να καταστήσει την υπηρεσία «επιγραµµική πλατφόρµα»
β) Η εισαγωγή διαδραστικών/interactive διαφηµίσεων στο ΟΤΤ (π.χ. µε τη µορφή pop-up banners ή clickable ads) θα µπορούσε, ανάλογα µε την υλοποίηση, να καταστήσει την υπηρεσία «επιγραµµική πλατφόρµα».
γ) Η ανάπτυξη ειδικού user interface του ΟΤΤ, µέσω του οποίου δίνεται η δυνατότητα σε επιχειρηµατικούς χρήστες της υπηρεσίας (π.χ. διαφηµιστές, διαφηµιζόµενοι, συνεργαζόµενες εταιρείες παραγωγής/διανοµής) να αναρτήσουν µόνοι τους το περιεχόµενό τους (π.χ. διαφηµίσεις, σειρές, ταινίες) στο ΟΤΤ ή να παραµετροποιήσουν τις κατηγορίες αποδεκτών/χρηστών στις οποίες προβάλλεται το περιεχόµενο ή οι διαφηµίσεις τους, θα καθιστούσαν το ΟΤΤ «επιγραµµική πλατφόρµα».
Η συµπεριφορική διαφήµιση
Βασικά σηµεία αλληλεπίδρασης µεταξύ της DSA και του ΓΚΠ∆ - Από τις αξιολογήσεις κινδύνου έως την κατάρτιση προφίλ και τις απαιτήσεις διαφάνειας
Η Πράξη DSA εισάγει απαγορεύσεις για συγκεκριµένες επεξεργασίες δεδοµένων ως προς τη συµπεριφορική διαφήµιση (ανηλίκων, ειδικών κατηγοριών κ.λπ.). Επιπλέον, εισάγει ρητά έννοµη απαγόρευση όλων των dark patterns, ανεξαρτήτως του αν αυτά αφορούν προσωπικά δεδοµένα ή όχι.
Επίσης, η συµµόρφωση µε τις υποχρεώσεις του DSA οδηγεί εκ των πραγµάτων σε ανάγκη για διενέργεια νέων επεξεργασιών δεδοµένων (π.χ. για τη διαχείριση των µηχανισµών ειδοποίησης και δράσης, τη διαχείριση καταγγελιών κ.λπ.) οι οποίες θα απαιτήσουν σίγουρα δηµιουργία νέων ή τροποποίηση των υφιστάµενων κειµένων ενηµέρωσης προσωπικών δεδοµένων και, υπό συνθήκες (π.χ. χρήση νέου software για την διαχείριση του µηχανισµού ειδοποίησης και των καταγγελιών/ενστάσεων) θα µπορούσαν να δηµιουργούν και υποχρέωση διενέργειας DPIA.
H παροχή ψηφιακών υπηρεσιών συνδέεται άρρηκτα µε την επεξεργασία δεδοµένων, συµπεριλαµβανοµένων των δεδοµένων προσωπικού χαρακτήρα. Ενώ οι δύο κανονισµοί δεν έχουν την ίδια ταξινόµηση των ρυθµιζόµενων φορέων, το ευρύ πεδίο εφαρµογής των ορισµών του ΓΚΠ∆ για τους «υπευθύνους επεξεργασίας» και την «επεξεργασία δεδοµένων προσωπικού χαρακτήρα» είναι τέτοιο, ώστε όλοι οι µεσάζοντες που καλύπτονται από την DSA είναι επίσης υπεύθυνοι επεξεργασίας σύµφωνα µε τον ΓΚΠ∆, σε σχέση µε οποιαδήποτε επεξεργασία δεδοµένων προσωπικού χαρακτήρα στην οποία συµµετέχουν και για την οποία καθορίζουν τα µέσα και τους σκοπούς της επεξεργασίας. Ορισµένοι διαµεσολαβητές ενδέχεται επίσης να είναι «εκτελούντες την επεξεργασία» βάσει του ΓΚΠ∆ σε συγκεκριµένες περιπτώσεις, γεγονός που πρέπει να αξιολογείται κατά περίπτωση.
Συνολικά, αυτή η επικάλυψη ενεργοποιεί την εφαρµογή και των δύο κανονισµών, µε τον ΓΚΠ∆ να φαίνεται ότι υπερισχύει του µεγαλύτερου µέρους της DSA (αιτιολογική σκέψη 10 της DSA), µε εξαίρεση τους κανόνες περί ευθύνης των διαµεσολαβητών στην DSA ως την επικαιροποιηµένη οδηγία για το ηλεκτρονικό εµπόριο, οι οποίοι υπερισχύουν του ΓΚΠ∆ (άρθρο 2 παράγραφος 4 του ΓΚΠ∆).
Η DSA αναφέρει τον ΓΚΠ∆ 19 φορές στο κείµενό της σε αιτιολογικές σκέψεις και άρθρα, µε την «κατάρτιση προφίλ», όπως ορίζεται από τον ΓΚΠ∆, να διαδραµατίζει εξέχοντα ρόλο στις βασικές υποχρεώσεις για όλες τις διαδικτυακές πλατφόρµες. Σε αυτές περιλαµβάνονται οι δύο απαγορεύσεις προβολής διαφηµίσεων µε βάση την κατάρτιση προφίλ που χρησιµοποιούν ευαίσθητα δεδοµένα προσωπικού χαρακτήρα ή δεδοµένα ανηλίκων, καθώς και η υποχρέωση ότι όλες οι VLOP και VLOSE που χρησιµοποιούν συστήµατα συστάσεων πρέπει να παρέχουν τουλάχιστον µία επιλογή για τα συστήµατα συστάσεών τους που δεν βασίζονται στην κατάρτιση προφίλ. Ο ΓΚΠ∆ διαδραµατίζει πρόσθετο ρόλο µε τον ορισµό των ευαίσθητων δεδοµένων («ειδικές κατηγορίες δεδοµένων») στο άρθρο 9 του, στο οποίο αναφέρεται συγκεκριµένα η DSA για την απαγόρευση της προβολής διαφηµίσεων που βασίζονται στην κατάρτιση προφίλ που γίνεται σε τέτοια δεδοµένα. Εκτός από αυτές τις διασταυρούµενες παραποµπές, όπου θα είναι απαραίτητη η συνεπής εφαρµογή των δύο νοµικών πλαισίων, υπάρχουν και άλλοι τοµείς επικάλυψης που δηµιουργούν πολυπλοκότητα για τη συµµόρφωση, τουλάχιστον, αλλά και κινδύνους για ασυνέπειες (όπως οι διαδικασίες αξιολόγησης κινδύνου της DSA και η εκτίµηση αντικτύπου για την προστασία δεδοµένων του ΓΚΠ∆). Οι πρόσθετες επικαλύψεις ενδέχεται να προκαλέσουν σύγχυση στα ενδιαφερόµενα άτοµα όσον αφορά το καλύτερο νοµικό πλαίσιο στο οποίο µπορούν να βασιστούν για την αφαίρεση των προσωπικών τους δεδοµένων από επιγραµµικές πλατφόρµες, καθώς η DSA θεσπίζει ένα πλαίσιο για αιτήµατα κατάργησης παράνοµου περιεχοµένου που µπορεί επίσης να περιλαµβάνει προσωπικά δεδοµένα, ενώ ο ΓΚΠ∆ παρέχει στα άτοµα το δικαίωµα να ζητήσουν τη διαγραφή των προσωπικών τους δεδοµένων σε συγκεκριµένα πλαίσια.
Σε αυτό το πολύπλοκο πλέγµα νοµικών διατάξεων, ξεχωρίζουν τα στοιχεία αλληλεπίδρασης µεταξύ των δύο νοµικών πλαισίων. Καθώς η εφαρµογή της DSA ξεδιπλώνεται πάνω στα προγράµµατα και τους µηχανισµούς συµµόρφωσης µε τον ΓΚΠ∆, ενδέχεται να αναδυθούν και άλλοι τέτοιοι τοµείς.
Στοχευµένη διαφήµιση µε βάση ευαίσθητα δεδοµένα
Το άρθρο 26 παράγραφος 3 και η αιτιολογική σκέψη 68 της DSA υπογραµµίζουν την απαγόρευση των παρόχων διαδικτυακών πλατφορµών να «εµφανίζουν» διαφηµίσεις στους χρήστες που απορρέουν από τη δηµιουργία προφίλ τους, όπως ορίζεται στο άρθρο 4 παράγραφος 4 του ΓΚΠ∆, µε βάση ευαίσθητα δεδοµένα προσωπικού χαρακτήρα, όπως ορίζεται στο άρθρο 9 του ΓΚΠ∆. Τέτοια προσωπικά δεδοµένα περιλαµβάνουν τη φυλή, τη θρησκεία, την κατάσταση της υγείας και τον σεξουαλικό προσανατολισµό, µεταξύ άλλων σε περιορισµένο κατάλογο. Ωστόσο, είναι σηµαντικό να αναφερθεί ότι η νοµολογία του ∆ικαστηρίου της ΕΕ (∆ΕΕ) µπορεί να περιπλέξει περαιτέρω την εφαρµογή της διάταξης. Συγκεκριµένα, η υπόθεση C-184/20 OT, σε απόφαση που δηµοσιεύθηκε πριν από ένα χρόνο, επέκτεινε τις «ειδικές κατηγορίες δεδοµένων προσωπικού χαρακτήρα» σύµφωνα µε τον ΓΚΠ∆ ώστε να καλύπτουν επίσης οποιαδήποτε δεδοµένα προσωπικού χαρακτήρα από τα οποία µπορεί να συναχθεί ένα ευαίσθητο χαρακτηριστικό. Επιπλέον, η πολύ πρόσφατη απόφαση του ∆ΕΕ στην υπόθεση C-252/21 Meta v. Bundeskartellamt διατυπώνει σηµαντικές διαπιστώσεις σχετικά µε το πώς οι υπηρεσίες µέσων κοινωνικής δικτύωσης ως κατηγορία επιγραµµικών πλατφορµών µπορούν νοµίµως να προβαίνουν σε κατάρτιση προφίλ των χρηστών τους σύµφωνα µε τον ΓΚΠ∆, µεταξύ άλλων για εξατοµικευµένες διαφηµίσεις. Αν και η απαγόρευση της DSA αφορά την «παρουσίαση» διαφηµίσεων µε βάση την κατάρτιση προφίλ µε χρήση ευαίσθητων δεδοµένων και όχι την ίδια τη δραστηριότητα της κατάρτισης προφίλ, πρέπει να ερµηνεύεται σε συνδυασµό µε τις υποχρεώσεις του ΓΚΠ∆ για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα για την κατάρτιση προφίλ και µε τη σχετική νοµολογία του ∆ΕΕ. Για το σκοπό αυτό, το Ευρωπαϊκό Συµβούλιο Προστασίας ∆εδοµένων έχει δηµοσιεύσει σχετικές κατευθυντήριες γραµµές για την αυτοµατοποιηµένη λήψη αποφάσεων και την κατάρτιση προφίλ γενικά, αλλά και ειδικά για τη στόχευση των χρηστών των µέσων κοινωνικής δικτύωσης.
Στοχευµένη διαφήµιση και προστασία των ανηλίκων
Η αιτιολογική σκέψη 71 του ΓΚΠ∆ προβλέπει ήδη ότι η αποκλειστικά αυτοµατοποιηµένη λήψη αποφάσεων, συµπεριλαµβανοµένης της κατάρτισης προφίλ, µε νοµικά ή παρόµοια σηµαντικά αποτελέσµατα, δεν θα πρέπει να εφαρµόζεται στα παιδιά - κανόνας που αφορά κάθε είδους πλαίσιο, όπως οι εκπαιδευτικές υπηρεσίες, και όχι µόνο τις διαδικτυακές πλατφόρµες. Η DSA ενισχύει αυτή την προστασία όταν πρόκειται για επιγραµµικές πλατφόρµες, απαγορεύοντας την παρουσίαση διαφηµίσεων στη διεπαφή τους µε βάση την κατάρτιση προφίλ µε τη χρήση προσωπικών δεδοµένων των χρηστών «όταν γνωρίζουν µε εύλογη βεβαιότητα ότι ο αποδέκτης της υπηρεσίας είναι ανήλικος» (άρθρο 28 της DSA). Επιπλέον, σύµφωνα µε την αρχή της ελαχιστοποίησης των δεδοµένων που προβλέπεται στο άρθρο 5 παράγραφος 1 του ΓΚΠ∆, η εν λόγω απαγόρευση της DSA δεν θα πρέπει να οδηγεί τον πάροχο της επιγραµµικής πλατφόρµας να «διατηρεί, αποκτά ή επεξεργάζεται» περισσότερα δεδοµένα προσωπικού χαρακτήρα από αυτά που ήδη διαθέτει προκειµένου να εκτιµήσει εάν ο αποδέκτης της υπηρεσίας είναι ανήλικος. Αν και η διάταξη αυτή αφορά όλες τις επιγραµµικές πλατφόρµες, οι VLOP και VLOSE αναµένεται να λάβουν «στοχευµένα µέτρα για την προστασία των δικαιωµάτων του παιδιού, συµπεριλαµβανοµένων της επαλήθευσης της ηλικίας και των εργαλείων γονικού ελέγχου», στο πλαίσιο της υποχρέωσής τους στο άρθρο 35 παράγραφος 1 στοιχείο ι) να θέσουν σε εφαρµογή µέτρα µετριασµού προσαρµοσµένα στους συγκεκριµένους συστηµικούς κινδύνους τους που εντοπίζονται κατόπιν της διαδικασίας αξιολόγησης κινδύνων. Όπως τονίζεται σε πρόσφατη έκθεση του FPF σχετικά µε την τεχνολογία διασφάλισης της ηλικίας, τα µέτρα επαλήθευσης της ηλικίας ενδέχεται να απαιτούν την επεξεργασία πρόσθετων προσωπικών δεδοµένων από αυτά που απαιτεί η λειτουργία της επιγραµµικής υπηρεσίας, γεγονός που θα µπορούσε να έρχεται σε αντίθεση µε τις αρχές ελαχιστοποίησης των δεδοµένων ελλείψει πρόσθετων εγγυήσεων. Πρόκειται για ένα παράδειγµα όπου οι δύο κανονισµοί αλληλοσυµπληρώνονται.
Συστήµατα συστάσεων και διαφάνεια διαφήµισης
Ένας σηµαντικός τοµέας αλληλοεπικάλυψης µεταξύ της DSA και του ΓΚΠ∆ αφορά τη διαφάνεια. Ένας βασικός σκοπός της DSA είναι η αύξηση της συνολικής διαφάνειας που σχετίζεται µε τις επιγραµµικές πλατφόρµες, η οποία εκδηλώνεται µέσω διαφόρων υποχρεώσεων, ενώ η διαφάνεια που σχετίζεται µε τον τρόπο επεξεργασίας των προσωπικών δεδοµένων ενός ατόµου αποτελεί γενική αρχή του ΓΚΠ∆. Σχετικοί τοµείς για την αρχή αυτή στον ΓΚΠ∆ εντοπίζονται στο άρθρο 5, µέσω εκτεταµένων υποχρεώσεων ειδοποίησης στα άρθρα 13 και 14, υποχρεώσεων πρόσβασης στα δεδοµένα στο άρθρο 15, και υποστηρίζονται από τους τρόπους επικοινωνίας µε τα άτοµα στο άρθρο 12. ∆ύο από τις υποχρεώσεις του ΓΚΠ∆ που αυξάνουν τη διαφάνεια ορίζονται στο άρθρο 27, το οποίο επιβάλλει στους παρόχους επιγραµµικών πλατφορµών διαφάνεια σχετικά µε τον τρόπο λειτουργίας των συστηµάτων συστάσεων, και στο άρθρο 26, το οποίο επιβάλλει διαφάνεια σχετικά µε τη διαφήµιση στις επιγραµµικές πλατφόρµες. Για την εφαρµογή της τελευταίας υποχρέωσης, η DSA απαιτεί, σύµφωνα µε την αιτιολογική σκέψη 68, ότι «οι αποδέκτες µιας υπηρεσίας θα πρέπει να διαθέτουν πληροφορίες άµεσα προσβάσιµες από τη διαδικτυακή διεπαφή όπου παρουσιάζεται η διαφήµιση, σχετικά µε τις κύριες παραµέτρους που χρησιµοποιούνται για τον προσδιορισµό του ότι τους παρουσιάζεται µια συγκεκριµένη διαφήµιση, παρέχοντας ουσιαστικές εξηγήσεις για τη λογική που χρησιµοποιείται για το σκοπό αυτό, µεταξύ άλλων όταν αυτή βασίζεται στην κατάρτιση προφίλ».