Med EU:s reträtt inom ePrivacy ökar risken för digital anarki
Leonard Johard, Ansvarig för forskningen på Indivd
Portugals ordförandeskap för EU:s ministerråd har inneburit ett allvarligt bakslag för den planerade ePrivacy-förordningen.
– Utan en fungerande ePrivacy-reglering skapas digital anarki och problemet vi då får är att våra samhällen inte längre kommer att kunna dra nytta av digitaliseringen, säger Leonard Johard, AI-forskare, privacy-expert och CTO på Indivd.
Den nya ePrivacy-förordningen är tänkt att inom EU reglera användningen av elektroniska kommunikationstjänster och ska därmed ersätta det tidigare direktivet om integritet och elektronisk kommunikation. ePrivacy-förordningen specificerar bland annat ytterligare krav på alla företag som behandlar personuppgifter. De nya sekretessreglerna kommer att gälla alla, även teleoperatörer, sociala medier och stora tech-aktörer.
Arbetet har pågått länge och lagstiftningen var tänkt att först börja tillämpas under andra halvåret 2018. Framför allt är det arbetet i Rådet som har dragit ut på tiden.
– EU-Parlamentets förslag har successivt vattnats ur. Senast misslyckades den kompromiss som Tyskland föreslog i november 2020. Från 1 januari i år har Portugal via sitt ordförandeskap i Rådet nu lyckats mangla fram ett nytt ännu mer avtrubbat förslag. Det har redan mötts av mycket kritik, såväl internt inom EU som från privacy-engagerade organisationer, säger Leonard Johard, CTO, privacy-expert och även som sådan och som AI-expert engagerad i European Digital SME Alliance arbetsgrupp med fokus på AI. Organisationen rapporterar till EU-Kommissionen och bevakar bland annat AI och konsekvenserna för mindre företags möjlighet till påverkan på EU:s beslut inom digitaliseringsområdet.
Stridigheter om formuleringarna
Rätt till datalagring av personuppgifter har återigen blivit en del av det nya ePrivacy-förslaget, trots att det tidigare har dömts som olagligt av många domstolar. Samtidigt föreslås tillåtelse av så kallade ”cookie walls”. Viktiga konsumenträttigheter som rätten att invända och konsekvensbedömning av dataskydd föreslås också bli ogiltigförklarade.
– Vidare föreslås att personuppgifter utan personers samtycke kan behandlas för ändamål som skiljer sig från det ursprungliga. Frågor som “betala eller tillåt cookies” för de som vill ha åtkomst till en webbplats föreslås också vara fortsatt tillåtna. Enligt det nuvarande direktivet får dessutom personuppgifter endast lagras för viktiga allmänintressen. I det nya lagförslaget finns inte någon sådan hänvisning till allmänintresset, fortsätter Leonard Johard.
Parallellt med detta kämpar dessutom Frankrike för att ändra ePrivacy-initiativet i syfte att undanta nationella säkerhetsbyråer från vissa bestämmelser.
Metadata får lagras
Den mest kontroversiella frågan rör ändå behandling av metadata, som omfattar all data som omgärdar ett digitalt meddelande eller ett samtal, dvs vem du ringer, vem du kommunicerar med, var du gör det och när du gör det.
Metadata har ett högt integritetsvärde och måste anonymiseras eller raderas om användarna inte ger sitt samtycke.
– Det nya lagförslaget föreslår nu att du som kommunikationsägare ska ha rätt att spara och lagra denna metadata, så länge det sker av statistiska syften. Problemet är att ett statistiskt syfte kan tolkas väldigt vitt och brett. Görs exempelvis en 20-årsstudie, så kan du i praktiken spara hur mycket och vilken data som helst om alla människor. I praktiken innebär detta att alla webbtjänster kommer att kunna spåra och bygga profiler för alla människor, så länge profileringen inte uppenbart sker i marknadsföringssyfte.
Osäker framtid
Mycket av lagförslagets fokus är också fortfarande inställt på cookies.
– De försöker i lagtexten reglera cookies för överanvändning av statistik. I själva verket saknar detta med cookies numera betydelse, eftersom cookies är en gammal spårningsteknik, som helt är på väg att ersättas av fingerprint-teknologi. Fingerprint kopierar din webbnärvaro och sparar uppgifterna i molnet. Det är en helt ny och oreglerad typ av datainsamling och datalagring, säger Leonard Johard och fortsätter:
– Med rätten att utifrån statistiska skäl lagra information kommer varenda app och webbaktör kunna komma åt människors personliga information och lagra och spara denna under oöverskådlig tid. Dessa personuppgifter kommer dessutom helt säkert att förloras även till andra mindre seriösa aktörer på marknaden.
Användarinformation säljs redan idag via nätet. Det är redan enkelt och det kommer att bli ännu enklare, enligt nuvarande lagförslag.
Påverkan på GDPR
Avsikten var från början att ePrivacy-lagstiftningen skulle vara striktare än GDPR.
– I praktiken blir den i sitt nuvarande förslag svagare än GDPR, eftersom den säger ja till vissa delar, som enligt GDPR idag är förbjudna. Detta kommer att öppna för att också tolka GDPR på ett mer fördelaktigt sätt för de som övervakar kommunikationen. Och det kommer att finnas små möjligheter för dig som enskild människa att säga nej till den här typen av övervakning, säger Leonard Johard.
Över 90 procent av världens befolkning säger i olika undersökningar nej till all användning av personuppgifter, så länge de inte ger sitt samtycke.
– Människor är mycket måna om sin integritet och missbrukas denna kommer de att söka andra lösningar. Parallellt kommer det därför att skapas nya verktyg och marknader för anonymisering.
Flera sådana alternativ har under senare tid dykt upp. Apple har bland annat lanserat den privacyvänliga webbläsaren Brave, sökmotorn Duck-duck-go växer, liksom privacy-vänliga webbläsaren Tor Browser.
– Utan fungerande reglering skapas anarki och problemet vi då får är att våra samhällen inte längre kommer att kunna dra nytta av digitaliseringen.
Dessutom skapas ett ojämlikt konkurrensförhållande gentemot andra marknader.
– Medan insamlandet av personuppgifter regleras hårt i den fysiska världen blir det fritt fram i den virtuella. Därför behövs det en kompromiss, men den motarbetas av hur lagförslaget idag är formulerat.
Nya förhandlingar startas
Närmast inleds de så kallade triologiförhandlingarna med Parlamentet.
– Förhoppningsvis hinner de då att korrigera lagförslaget innan lagstiftningen verkställs. Med tanke på de stora stridigheter som råder, så kommer det troligtvis inte att gå så snabbt som det portugisiska ordförandeskapet hoppas. De stora telekom-bolagens, media- och techjättarnas lobbygruper lär inte heller sitta overksamma i Bryssel, säger Leonard Johard.
Planerna på att den nya lagstiftningen ska träda i kraft före 2023 lär sannolikt grusas. En potentiell övergångsperiod på 24 månader innebär att alla nya förordningar då knappast kommer att hinna träda i kraft före 2025. Och nästa ordförandeskap för Rådet kommer att från och med 1 juli i år att axlas av Slovenien.