Προσωπικός Αριθμός - Προσωπικά Δεδομένα και Τεχνητή Νοημοσύνη: Προβληματισμοί εν όψει της εφαρμογής του

Της Δρ Δήμητρας Πηλαβάκη, Δικηγόρου – Μεταδιδακτορικής ερευνήτριας στον τομέα ιδιωτικού δικαίου ΔΠΘ

Η προσπάθεια ψηφιακού μετασχηματισμού των υπηρεσιών του Ελληνικού Δημοσίου, επανέφερε  εκ νέου το ζήτημά της καθιέρωσης του προσωπικού αριθμού  (Π.Α.) ως αριθμού υποχρεωτικής επαλήθευσης της ταυτότητας των φυσικών προσώπων στις συναλλαγές τους με τους φορείς του δημόσιου τομέα (άρθρο 11 του Ν. 4727/2020). 

Με το Προεδρικό Διάταγμα 40/2025 (ΠΔ) ορίζεται νέα διοικητική διαδικασία για την έκδοση του ΠΑ του οποίου η κατοχή θα αποτελεί απαραίτητη προϋπόθεση για την επαλήθευση της ταυτότητας των φυσικών προσώπων στις συναλλαγές τους με τους φορείς του δημόσιου τομέα. Αλλάη διασύνδεση όλων των δεδομένων ταυτοποίησης ενός φυσικού προσώπου σε έναν αριθμό, δημιουργεί πολλαπλά ερωτήματα σχετικά με θέματα που άπτονται της προστασίας των δεδομένων προσωπικού χαρακτήρα αλλά και ζητήματα που αναφύονται σχετικά με την χρήση της τεχνητής νοημοσύνης.

Ο ΠΑ ως ανήκων στην κατηγορία των απλών προσωπικών δεδομένων είναι απαραίτητο εν πρώτοις να πληροί τις προϋποθέσεις επεξεργασίας που προβλέπονται στο άρθρο 5 παρ. 1 ΓΚΠΔ. Σύμφωνα με τη Γνώμη 1/2024 ΑΠΔΠΧ, ο σκοπός επεξεργασίας του προσωπικού δεδομένου-προσωπικού αριθμού των φυσικών προσώπων όπως συνάγεται και από το ίδιο το ΠΔ συμφωνεί με τις αρχές επεξεργασίας που προβλέπονται στο άρθρο 5 παρ. 1 ΓΚΠΔ. Ειδικότερα, με την υιοθέτηση του ΠΑ στις υπηρεσίες του δημοσίου, το μητρώο ΠΑ επιτρέπει την αντιστοίχιση των ΠΑ με τους αναγνωριστικούς αριθμούς των επιμέρους μητρώων κάθε δημόσιου τομέα, με στόχο την ορθή ταυτοποίηση του πολίτη.

Ωστόσο, η ως άνω γνώμη τονίζει ότι ο προαναφερόμενος σκοπός πρέπει να παραμείνει ο ίδιος για το μέλλον σύμφωνα με την αρχή του περιορισμού του σκοπού και η αλλαγή του ισοδυναμεί με νέα αξιολόγηση της νομιμότητας της επεξεργασίας. Συνακόλουθα, τεχνηέντως η ΑΠΔΠΧ επισημαίνει τις επιφυλάξεις της σχετικά με την μελλοντική αλλαγή του σκοπού επεξεργασίας καθώς η διασύνδεση του ΠΑ με άλλα μητρώα οδηγεί στην περαιτέρω επεξεργασία των δεδομένων ενός προσώπου. Για παράδειγμα, η αντιστοίχιση του προσωπικού αριθμού ενός πολίτη με το ΑΜΚΑ του, για την παροχή της υπηρεσίας άυλης συνταγογράφησης στα πλαίσια εξυπηρέτησής του από ένα δημόσιο νοσοκομείο, ισοδυναμεί με την έμμεση επεξεργασία των δεδομένων υγείας του καθώς μέσω του μητρώου ΠΑ εκτελείται μια νέα επεξεργασία, αυτή της συσχέτισης των δεδομένων υγείας του, με τον προσωπικό αριθμό κάτι το οποίο δεν εξυπηρετεί άμεσα την ταυτοποίηση του. Ο αντίλογος της μη ύπαρξης οποιασδήποτε άλλης επεξεργασίας πέραν της  προβλεπόμενης ταυτοποίησης καταρρίπτεται από το γεγονός ότι σε ένα ηλεκτρονικό περιβάλλον, οποιοσδήποτε συνδυασμός βάσεων δεδομένων, αφήνει ψηφιακά ίχνη τα οποία μπορεί να αξιοποιηθούν για σκοπούς που δεν προβλέπονται στο άνω ΠΔ. Αυτό θα έχει ως αποτέλεσμα την παραβίαση του άρθρου 5 παρ. 1 ΓΚΠΔ καθώς δεν τηρείται η αρχή της ελαχιστοποίησης των δεδομένων.

Ένα επιπλέον ζήτημα που προκύπτει, είναι η αναγραφή του προσωπικού αριθμού στο δελτίο ταυτότητας των Eλλήνων πολιτών και η αποθήκευση του στο ενσωματωμένο ηλεκτρονικό μέσο αποθήκευσης (chip),(ΚΥΑΑρ.14960 ΕΞ 2025/ΦΕΚ 2637/Β/29-5-2025). Η ΑΠΔΠΧ με την Γνώμη 1/2024 είχε επιληφθεί για το συγκεκριμένο θέμα τονίζοντας ότι έως το στάδιο έκδοσης της γνωμοδότησης δεν υπήρχε σχετική πρόβλεψη για  δημόσιο έγγραφο που θα αναγράφει τον προσωπικό αριθμό όπως το δελτίο ταυτότητας (ΔΤ) και επομένως αναδύονται θέματα τα οποία είναι απαραίτητο να εξεταστούν σχετικά με την νομιμότητα της αναγραφής. Σημειώνεται ότι η αναγραφή του ΠΑ είναι υποχρεωτική και αποθηκεύεται στο ενσωματωμένο ηλεκτρονικό μέσο αποθήκευσης του ΔΤ, με στόχο «την παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης και διευκόλυνση των πολιτών στις  συναλλαγές του με το Δημόσιο». Η Γνώμη 1/2025 της ΑΠΔΠΧ είναι επιφυλακτική σε σχέση με τη χρήση της, εκ μέρους των πολιτών, για την διευκόλυνση της ταυτοποίησης τους στις συναλλαγές, καθώς η επιμέλεια της φύλαξής της μετατίθενται στους ίδιους τους κατόχους και επίσης παρά τα προτεινόμενα μέτρα ασφαλείας, υπάρχει κίνδυνος αποκάλυψης του ΠΑ, ιδίως σε συναλλαγές μεταξύ ιδιωτών. Ειδικότερα, ενώ καταργείται πλέον η τήρηση φωτοαντιγράφου ταυτότητας στις δημόσιες υπηρεσίες με το άρθρο. 31 του ν. 5099/2024, σε περίπτωση κλοπής ή απώλειας της ταυτότητας, αυτή μπορεί να οδηγήσει στην υποκλοπή ταυτότητας και την χρήση των στοιχείων της, από κακόβουλους τρίτους σε τρίτες χώρες ως μέσο  ταυτοποίησης. Αξιοσημείωτο είναι το γεγονός ότι ο μοναδικός ΠΑ του κάθε προσώπου ο οποίος καθίσταται ανενεργός, μόνο με το θάνατό του ή την κήρυξή του σε αφάνεια, διασυνδέεται με πολλά μητρώα για την περαιτέρω χρήση των πληροφοριών τους και η αποκάλυψή του μπορεί να οδηγήσει στην αποκάλυψη και άλλων στοιχείων που σχετίζονται με το πρόσωπο που του ανήκει, όπως το ΑΦΜ του, κάτι που επισημαίνει και η ίδια η Γνώμη 1/2025. Κατά συνέπεια, η κλοπή της ταυτότητας που εμπεριέχει και τον προσωπικό αριθμό, μπορεί να χρησιμοποιηθεί ως μέσο για την περαιτέρω διενέργεια αθέμιτων πράξεων. Ένα  παράδειγμα που επιβεβαιώνει τους ενδοιασμούς της ΑΠΔΠΧ είναι τα στοιχεία που προκύπτουν από το υπουργείο οικονομικών των ΗΠΑ τον Φεβρουάριο του 2024. Πιο συγκεκριμένα, εντοπίστηκαν 32.616 φορολογικές δηλώσεις που αντιστοιχούσαν σε απάτες επιστροφής φόρου και αποτράπηκε η έκδοση επιστροφών. Το γεγονός αυτό οφείλεται στην χρήση κλεμμένων στοιχείων ταυτότητας, τα οποία χρησιμοποιούσαν επιτήδειοι  για την κατάθεση πλαστών φορολογικών δηλώσεων[1].

Τέλος, η άνθηση της χρήσης συστημάτων τεχνητής νοημοσύνης με την εφαρμογή του Κανονισμού (ΕΕ) 2024/1689  και η συχνότερη χρήση της στις εν γένει συναλλαγές τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα, δημιουργεί επιφυλάξεις και σχετικά με την χρήση του ΠΑ. Πρώτον, η συλλογή των προσωπικών δεδομένων των πολιτών όπως το ΑΦΜ, το ΑΜΚΑ, ο ΠΑκ.α, σ’ ένα ενιαίο μητρώο, των οποίων η άντληση γίνεται  με ηλεκτρονικό τρόπο, με σκοπό την ταυτοποίηση τους και την αντιστοίχιση του ΠΑ με τους αναγνωριστικούς αριθμούς των μητρώων των φορέων του δημόσιου τομέα, δημιουργεί αυτόματα μια ψηφιακή πύλη εισόδου και εξόδου δεδομένων από το παραπάνω μητρώο. Με τη βοήθεια των αλγορίθμων, κάνοντας χρήση εργαλείων προβλεπτικής δικαιοσύνης, δύναται να προκύψουν καινούργια δεδομένα τα οποία σκιαγραφούν το προφίλ των κατόχων των παραπάνω δεδομένων και μπορούν να χρησιμοποιηθούν για την πρόβλεψη, επιτήρηση ή και καταστολή συμπεριφορών και δραστηριοτήτων. Κάτι παρόμοιο εφαρμόζεται και στην Κίνα από το 2011 όπου ισχύει το σύστημα κοινωνικής πίστωσης. Η εφαρμογή του εν λόγω συστήματος στοχεύει μεταξύ άλλων στην  επιτήρηση, αξιολόγηση, και έλεγχο όλων των πολιτών και των επιχειρήσεων στην Κίνα μέσα από την συλλογή δεδομένων τους από το ιατρικό μητρώο, την κίνηση των τραπεζικών καρτών κλπ. Με αυτόν τον τρόπο κατηγοριοποιούνται  οι  πράξεις τους σε καλές ή κακές βάσει των προτύπων του  κομμουνιστικού κόμματος και εφαρμόζονται οι ανάλογες συνέπειες[2].

Συμπεραίνοντας, η υποχρεωτικότητα της αριθμοποίησης των φυσικών προσώπων, με σκοπό την ταυτοποίησης τους,  μέσω ενός αριθμού του ΠΑ, ο οποίος θα αντλεί στοιχεία από όλα τα μητρώα που περιέχουν απλά δεδομένα ή και ειδικές κατηγορίες δεδομένων εγείρει σοβαρά ερωτήματα σχετικά με την πραγματική πρόθεση του Έλληνα νομοθέτη να τον εφαρμόσει, ειδικά σε μία περίοδο που  η κατοχή μιας ψηφιακής δεξαμενής δεδομένων μπορεί να αποτελέσει σημαντικό προβάδισμα για την περαιτέρω αξιοποίηση τους. 

---

[1]https://www.itsecuritypro.gr/klopi-stoicheion-taytotitas-ti-na-kanete-an-vretheite-telika-se-mia-lista-paraviasmenon-prosopikon-dedomenon/.

[2]https://pnykapress.gr/systima-koinonikis-pistosis-kina/.