OpenAI και GDPR: Η ακύρωση του ιταλικού προστίμου ανοίγει νέα μάχη για την AI

Μια εξέλιξη με ευρύτερες συνέπειες για την Ευρώπη και τη ρύθμιση της τεχνητής νοημοσύνης καταγράφεται στην Ιταλία, καθώς δικαστήριο της Ρώμης ακύρωσε το πρόστιμο των 15 εκατ. ευρώ που είχε επιβάλει η ιταλική Αρχή Προστασίας Δεδομένων, η Garante, στην OpenAI για παραβιάσεις που σχετίζονταν με τη λειτουργία του ChatGPT. Την ακύρωση μετέδωσε το Reuters στις 19 Μαρτίου 2026, σημειώνοντας μάλιστα ότι το δικαστήριο δεν έδωσε αμέσως στη δημοσιότητα αναλυτική αιτιολογία της απόφασής του.

Η υπόθεση ξεπερνά κατά πολύ τα όρια μιας απλής δικαστικής διαμάχης ανάμεσα σε μια εθνική αρχή και μία αμερικανική τεχνολογική εταιρεία. Αγγίζει τον πυρήνα της ευρωπαϊκής συζήτησης για το κατά πόσο το ισχύον πλαίσιο προστασίας προσωπικών δεδομένων μπορεί να εφαρμοστεί αποτελεσματικά σε μοντέλα generative AI, τα οποία εκπαιδεύονται σε τεράστιους όγκους δεδομένων, λειτουργούν με πολύπλοκους τρόπους και συχνά δεν προσφέρουν εύκολα ανιχνεύσιμη διαδρομή από το αρχικό δεδομένο μέχρι το τελικό αποτέλεσμα.

Το πρόστιμο που είχε παρουσιαστεί ως ευρωπαϊκό ορόσημο

Όταν η Garante ανακοίνωσε τον Δεκέμβριο του 2024 το πρόστιμο κατά της OpenAI, πολλοί το είδαν ως την πρώτη μεγάλη ευρωπαϊκή απόπειρα να εφαρμοστεί ο GDPR σε ένα σύστημα παραγωγικής τεχνητής νοημοσύνης με καθαρά επιθετικό και παραδειγματικό τρόπο. Σύμφωνα με την επίσημη ανακοίνωση της ιταλικής αρχής, η OpenAI όφειλε όχι μόνο να πληρώσει το πρόστιμο, αλλά και να υλοποιήσει εξάμηνη ενημερωτική καμπάνια για το πώς λειτουργεί η επεξεργασία δεδομένων στο ChatGPT. Η ίδια ανακοίνωση ανέφερε ότι η απόφαση βασιζόταν σε ελλείμματα διαφάνειας, σε προβλήματα ως προς τη νομική βάση της επεξεργασίας και σε ανεπάρκειες προστασίας των ανηλίκων.

Η κίνηση εκείνη είχε μεγάλη συμβολική βαρύτητα. Η Ιταλία ήταν άλλωστε η πρώτη δυτική χώρα που είχε προχωρήσει το 2023 σε προσωρινό περιορισμό του ChatGPT και η Garante είχε ήδη αναδειχθεί σε μία από τις πιο επιθετικές ευρωπαϊκές αρχές στο μέτωπο της AI. Γι’ αυτό και το πρόστιμο του 2024 είχε ερμηνευθεί ως ένδειξη ότι η Ευρώπη είναι έτοιμη να περάσει από τις γενικές προειδοποιήσεις στην πρακτική επιβολή δικαίου.

Η ακύρωση και το μήνυμα που στέλνει

Η ακύρωση του προστίμου αλλάζει το τοπίο, έστω κι αν δεν έχει ακόμη δημοσιοποιηθεί πλήρως το σκεπτικό της απόφασης. Το μόνο βέβαιο μέχρι στιγμής είναι ότι το δικαστήριο της Ρώμης έκανε δεκτή την προσφυγή της OpenAI και ότι η ίδια η Garante σημείωσε στην ιστοσελίδα της πως το σχετικό μέτρο αφαιρέθηκε προσωρινά από το site της ακριβώς λόγω της δικαστικής απόφασης.

Αυτό από μόνο του δεν σημαίνει ότι εξαφανίζονται οι ανησυχίες για το πώς εκπαιδεύονται και λειτουργούν τα μεγάλα γλωσσικά μοντέλα. Σημαίνει όμως ότι η δικαστική αντοχή των υφιστάμενων εργαλείων ελέγχου παραμένει ανοιχτό ζήτημα. Και αυτό είναι ίσως το πιο ανησυχητικό στοιχείο για τις ευρωπαϊκές αρχές: ότι μπορούν να εντοπίζουν σοβαρά προβλήματα, αλλά δεν είναι βέβαιο ότι οι αποφάσεις τους θα σταθούν πάντοτε απέναντι στον δικαστικό έλεγχο όταν πρόκειται για τεχνολογίες τόσο νέες και τόσο σύνθετες.

Γιατί ο GDPR δυσκολεύεται μπροστά στη γενετική AI

Στον πυρήνα της δυσκολίας βρίσκεται το γεγονός ότι ο GDPR σχεδιάστηκε για έναν κόσμο όπου η επεξεργασία προσωπικών δεδομένων μπορούσε να χαρτογραφηθεί με μεγαλύτερη σαφήνεια. Υπήρχε πιο εύκολα αναγνωρίσιμος υπεύθυνος επεξεργασίας, πιο συγκεκριμένος σκοπός, πιο καθαρή διαδρομή των δεδομένων και, θεωρητικά τουλάχιστον, πιο λειτουργικός έλεγχος των δικαιωμάτων του πολίτη.

Στην περίπτωση των μοντέλων AI, όμως, αυτή η γραμμική εικόνα συχνά θολώνει. Η Ευρωπαϊκή Επιτροπή και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων έχουν αναγνωρίσει ότι τα συστήματα γενικής χρήσης, τα λεγόμενα general-purpose AI models, δημιουργούν νέα και σύνθετα ζητήματα διαφάνειας, τεκμηρίωσης, νομικής βάσης και πνευματικών δικαιωμάτων. Δεν είναι τυχαίο ότι η Κομισιόν χρειάστηκε να εκδώσει ειδικές κατευθυντήριες γραμμές και κώδικα πρακτικής για τους παρόχους τέτοιων μοντέλων, ενώ ο EDPB αφιέρωσε ειδική γνώμη για το πώς εφαρμόζεται η προστασία δεδομένων στο πλαίσιο της ανάπτυξης και χρήσης AI μοντέλων.

Ο ίδιος ο EDPB ξεκαθάρισε τον Δεκέμβριο του 2024 ότι τα AI models που έχουν εκπαιδευτεί με προσωπικά δεδομένα δεν μπορούν αυτομάτως να θεωρηθούν ανώνυμα και ότι το αν υπάρχει επαρκής νομική βάση, όπως το έννομο συμφέρον, πρέπει να εξετάζεται κατά περίπτωση. Αυτό είναι κρίσιμο, γιατί δείχνει ότι η ευρωπαϊκή ρυθμιστική αντίληψη δεν αποδέχεται πως η εκπαίδευση AI βρίσκεται εκτός GDPR. Όμως ταυτόχρονα παραδέχεται ότι οι απαντήσεις δεν είναι απλές και ότι χρειάζονται σύνθετες αξιολογήσεις, όχι αυτοματισμοί.

Το «μαύρο κουτί» και τα όρια των δικαιωμάτων μας

Εδώ ακριβώς αναδύεται το μεγάλο πρακτικό πρόβλημα. Στην κλασική λογική της προστασίας δεδομένων, ένας πολίτης μπορεί να ζητήσει πρόσβαση, διόρθωση ή διαγραφή. Στην πράξη των μεγάλων μοντέλων, όμως, το ερώτημα γίνεται πολύ πιο δύσκολο: πώς ασκείται ουσιαστικά το δικαίωμα διαγραφής όταν ένα δεδομένο δεν βρίσκεται απλώς σε μια βάση, αλλά έχει πιθανώς επηρεάσει τις στατιστικές παραμέτρους ενός νευρωνικού δικτύου;

Αυτό δεν είναι μόνο τεχνική δυσκολία. Είναι και βαθύ νομικό πρόβλημα. Ο GDPR βασίζεται στη λογοδοσία, στην προβλεψιμότητα και στη δυνατότητα ελέγχου. Τα σύγχρονα generative models, αντίθετα, λειτουργούν συχνά ως συστήματα εξαιρετικά σύνθετα, όπου ακόμη και οι δημιουργοί τους δεν μπορούν πάντοτε να εξηγήσουν με απλό και απόλυτο τρόπο γιατί προέκυψε κάθε συγκεκριμένο output. Ο EDPB αναγνωρίζει ακριβώς αυτό το πρόβλημα, επιμένοντας ότι η αξιολόγηση της ανωνυμίας, της νομιμότητας και της μεταγενέστερης χρήσης πρέπει να γίνεται case by case.

Ο AI Act φέρνει κανόνες, αλλά όχι πλήρη απάντηση στο privacy

Η Ευρωπαϊκή Ένωση έχει ήδη κάνει ένα σημαντικό βήμα με τον AI Act, όμως και εκεί η εικόνα είναι πιο σύνθετη από όσο συχνά παρουσιάζεται. Οι κανόνες για τους παρόχους general-purpose AI models εφαρμόζονται από τις 2 Αυγούστου 2025, ενώ η Κομισιόν έχει ξεκαθαρίσει ότι το νέο καθεστώς δίνει έμφαση στη διαφάνεια, στην τεκμηρίωση, στην ασφάλεια και στη συμμόρφωση με το ευρωπαϊκό δίκαιο πνευματικής ιδιοκτησίας. Ο σχετικός κώδικας πρακτικής περιλαμβάνει μάλιστα ξεχωριστά κεφάλαια για Transparency, Copyright και Safety and Security.

Ωστόσο, αυτό δεν σημαίνει ότι ο AI Act αντικαθιστά τον GDPR ή λύνει αυτομάτως το ζήτημα της επεξεργασίας προσωπικών δεδομένων στην εκπαίδευση των μοντέλων. Η ίδια η Ευρωπαϊκή Επιτροπή παρουσιάζει τον κώδικα ως εργαλείο συμμόρφωσης με υποχρεώσεις του AI Act, όχι ως πλήρη μηχανισμό επίλυσης όλων των θεμάτων ιδιωτικότητας. Με άλλα λόγια, η Ευρώπη χτίζει ένα νέο ρυθμιστικό πλαίσιο, αλλά η διασταύρωση ανάμεσα σε AI law, privacy law και copyright law παραμένει ένα πεδίο με πολλά ανοιχτά νομικά μέτωπα.

Το συμπέρασμα δεν είναι ότι «δεν υπάρχει κανένας έλεγχος»

Η ακύρωση του ιταλικού προστίμου είναι ασφαλώς ισχυρό πλήγμα για όσους θεωρούσαν ότι ο δρόμος της ευρωπαϊκής επιβολής είχε ήδη ανοίξει. Δεν σημαίνει όμως, τουλάχιστον με βάση τα επίσημα ευρωπαϊκά κείμενα, ότι η OpenAI ή οποιοσδήποτε άλλος πάροχος γενικής AI λειτουργεί εκτός κάθε ελέγχου. Αντίθετα, ο EDPB συνεχίζει να θεωρεί ότι ο GDPR εφαρμόζεται σε σημαντικό μέρος της αλυσίδας ανάπτυξης και χρήσης των μοντέλων, ενώ η Κομισιόν έχει ήδη ενεργοποιήσει το ειδικό καθεστώς του AI Act για τα μοντέλα γενικής χρήσης.

Αυτό που πράγματι αναδεικνύεται είναι κάτι διαφορετικό και ίσως πιο ανησυχητικό: ότι η εφαρμογή των κανόνων είναι πολύ πιο δύσκολη από τη διατύπωσή τους. Το ρυθμιστικό πλαίσιο υπάρχει, αλλά η πρακτική απόδειξη παραβίασης, η ακριβής νομική θεμελίωση και η δικαστική επιβεβαίωση των κυρώσεων αποδεικνύονται πολύ πιο περίπλοκες όταν μιλάμε για τεχνολογία που εξελίσσεται τόσο γρήγορα.

Η Ευρώπη μπροστά στη μεγάλη δοκιμασία αξιοπιστίας

Η ουσία είναι ότι η Ευρώπη βρίσκεται τώρα μπροστά σε μια κρίσιμη δοκιμασία αξιοπιστίας. Από τη μία πλευρά, δηλώνει ότι θέλει να ηγηθεί παγκοσμίως στη ρύθμιση της τεχνητής νοημοσύνης. Από την άλλη, μια από τις πιο προβεβλημένες κυρώσεις που είχαν επιβληθεί μέχρι σήμερα σε provider generative AI δεν άντεξε στον πρώτο μεγάλο δικαστικό έλεγχο, τουλάχιστον σε αυτό το στάδιο.

Αν τελικά η Ευρώπη θέλει να πείσει πολίτες, δικαστήρια και αγορά ότι το «μαύρο κουτί» της AI μπορεί όντως να ανοίξει, θα χρειαστεί κάτι περισσότερο από ηχηρά πρόστιμα ή γενικές διακηρύξεις. Θα χρειαστεί πιο καθαρή νομολογία, πιο ανθεκτικές αποφάσεις, πιο ακριβείς τεχνικές αποδείξεις και ίσως ένα ακόμη πιο ώριμο πάντρεμα του GDPR με το νέο καθεστώς του AI Act. Μέχρι τότε, η ακύρωση του ιταλικού προστίμου δεν κλείνει τη συζήτηση. Την κάνει απλώς πολύ πιο δύσκολη και πολύ πιο επείγουσα.

Πηγή: Pagenews.gr