Η ραγδαία εξέλιξη της παραγωγικής τεχνητής νοημοσύνης (Generative AI) έχει φέρει την Ευρωπαϊκή Ένωση μπροστά σε μια πρωτοφανή πρόκληση: τη συμφιλίωση της καινοτομίας με την προστασία των προσωπικών δεδομένων. Καθώς διανύουμε το 2026, η εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) δεν αποτελεί πλέον μια αυτόνομη διαδικασία, αλλά συνυφαίνεται στενά με την Πράξη για την Τεχνητή Νοημοσύνη (AI Act), δημιουργώντας ένα σύνθετο πλέγμα υποχρεώσεων για παρόχους και χρήστες συστημάτων AI.
Η Σύγκρουση Δεδομένων και Αλγορίθμων
Το βασικό ζήτημα που απασχολεί νομικούς και τεχνολόγους είναι η φύση της εκπαίδευσης των Μεγάλων Γλωσσικών Μοντέλων (LLMs). Τα συστήματα αυτά «τρέφονται» με τεράστιους όγκους δεδομένων, συχνά χωρίς τη ρητή συγκατάθεση των υποκειμένων. Εδώ προκύπτει η πρώτη μεγάλη τριβή με τον GDPR: η αρχή της ελαχιστοποίησης των δεδομένων. Πώς μπορεί ένα σύστημα που βασίζεται στην αφθονία πληροφοριών να συμβιβαστεί με την απαίτηση για τη συλλογή μόνο των απολύτως απαραίτητων στοιχείων;
Οι πρόσφατες κατευθυντήριες γραμμές από τις ευρωπαϊκές αρχές προστασίας δεδομένων ξεκαθαρίζουν ότι η «νόμιμη βάση» για την επεξεργασία δεν μπορεί να θεωρείται δεδομένη. Οι επιχειρήσεις που αναπτύσσουν ή ενσωματώνουν εργαλεία AI πρέπει πλέον να αποδεικνύουν ότι το έννομο συμφέρον τους υπερτερεί των δικαιωμάτων των χρηστών, μια ισορροπία που αποδεικνύεται εξαιρετικά λεπτή στην πράξη.
Το Δικαίωμα στη Λήθη και το Machine Unlearning
Μία από τις πιο δυσεπίλυτες τεχνικές και νομικές προκλήσεις είναι το «δικαίωμα στη λήθη». Στο παραδοσιακό διαδίκτυο, η διαγραφή μιας εγγραφής από μια βάση δεδομένων είναι απλή. Στην τεχνητή νοημοσύνη, όμως, η πληροφορία ενσωματώνεται στα βάρη (weights) του νευρωνικού δικτύου κατά τη διάρκεια της εκπαίδευσης. Η πλήρης διαγραφή μιας συγκεκριμένης πληροφορίας χωρίς την επαναεκπαίδευση του μοντέλου από την αρχή —μια διαδικασία που κοστίζει εκατομμύρια— παραμένει ένα ανοιχτό ερώτημα.
«Η τεχνητή νοημοσύνη δεν ξεχνά ποτέ, αλλά ο νόμος την υποχρεώνει να το κάνει. Αυτό το παράδοξο θα καθορίσει τις δικαστικές διαμάχες της επόμενης δεκαετίας», αναφέρουν νομικοί κύκλοι της Νομικής Βιβλιοθήκης.
Η αναδυόμενη επιστήμη του "Machine Unlearning" υπόσχεται λύσεις, αλλά μέχρι στιγμής οι μέθοδοι αυτές δεν θεωρούνται επαρκείς από τις ρυθμιστικές αρχές για να εγγυηθούν την πλήρη συμμόρφωση με τον GDPR. Αυτό θέτει τους παρόχους AI σε μια θέση διαρκούς κινδύνου για βαριά πρόστιμα.
Ευθύνες Επιχειρήσεων και Παρόχων στην Ελλάδα
Στην ελληνική αγορά, η πρόκληση είναι διπλή. Οι μικρομεσαίες επιχειρήσεις που υιοθετούν λύσεις AI τρίτων παρόχων (π.χ. OpenAI, Google, Microsoft) συχνά αγνοούν ότι φέρουν την ευθύνη του «υπευθύνου επεξεργασίας». Αν ένα chatbot που χρησιμοποιείται στην εξυπηρέτηση πελατών μιας ελληνικής εταιρείας διαρρεύσει προσωπικά δεδομένα, η ευθύνη δεν βαρύνει μόνο τον πάροχο της τεχνολογίας, αλλά και την ίδια την επιχείρηση που το έθεσε σε λειτουργία.
- Διαφάνεια: Οι επιχειρήσεις πρέπει να ενημερώνουν σαφώς τους χρήστες όταν αλληλεπιδρούν με AI.
- Εκτίμηση Αντικτύπου (DPIA): Η διενέργεια μελέτης αντικτύπου είναι πλέον υποχρεωτική για κάθε σύστημα AI που επεξεργάζεται προσωπικά δεδομένα με αυτοματοποιημένο τρόπο.
- Ακρίβεια: Ο GDPR επιβάλλει την ακρίβεια των δεδομένων. Τα «hallucinations» (παραισθήσεις) του AI που αφορούν πρόσωπα αποτελούν ευθεία παραβίαση του νόμου.
Συμπεράσματα: Η Συμμόρφωση ως Ανταγωνιστικό Πλεονέκτημα
Παρά τις δυσκολίες, η αυστηρή τήρηση του GDPR και του AI Act δεν πρέπει να αντιμετωπίζεται μόνο ως γραφειοκρατικό εμπόδιο. Για τις ελληνικές επιχειρήσεις, η οικοδόμηση «έμπιστης τεχνητής νοημοσύνης» (Trustworthy AI) αποτελεί σημαντικό ανταγωνιστικό πλεονέκτημα. Σε έναν κόσμο όπου η ιδιωτικότητα γίνεται όλο και πιο σπάνιο αγαθό, οι εταιρείες που εγγυώνται την ασφάλεια των δεδομένων των πελατών τους θα κερδίσουν τη μακροπρόθεσμη εμπιστοσύνη της αγοράς. Η νομική επιστήμη, μέσω πρωτοβουλιών όπως αυτές της Νομικής Βιβλιοθήκης, καλείται να γεφυρώσει το χάσμα μεταξύ του κώδικα προγραμματισμού και του κώδικα νόμου.
