7 pași pentru verificarea conformității soluției AI cu RGPD

Article 7 pasi pentru verificarea conformitatii solutiei AI cu RGPD

 

Introducere

Regulamentul General privind Protecția Datelor (RGPD) este un cadru cuprinzător de protecție a datelor conceput pentru a proteja viața privată și drepturile persoanelor fizice în cadrul Uniunii Europene. Dacă organizația dvs. utilizează soluții AI care prelucreaza date cu caracter personal, asigurarea conformității cu RGPD este crucială pentru evitarea amenzilor mari și menținerea încrederii clienților. În acest articol, vom discuta șapte pași esențiali pentru a verifica conformitatea soluției AI cu RGPD, concentrându-ne pe rolul așa ziselor guardrails (măsuri de Securitate tehnice specifice pentru a limita riscurile soluțiilor AI) și al guideline-urilor în măsurile tehnice și organizatorice necesare.

Pasul 1: Înțelegeți cerințele RGPD și identificați scopul

Primul și cel mai important pas este înțelegerea temeinică a cerințelor RGPD. Familiarizați-vă cu principiile cheie, cum ar fi minimizarea datelor, limitarea scopului și gestionarea consimțământului. Identificați articolele RGPD specifice care se aplică soluției dvs. AI și datele personale pe care le procesează. În acest pas inițial, este extrem de important să identificați scopul utilizării soluției AI, împreună cu baza legală potențială pe care ați putea să o utilizați pentru a atinge scopul menționat mai sus.

Printre entuziasmul AI actual, este posibil să găsiți un AI recomandat pentru tot felul de automatizări de care ați avea nevoie pentru a atinge scopul declarat. Cu toate acestea, nu toate recomandările sau furnizorii pot fi potriviți pentru scopul identificat . Este foarte recomandat ca soluțiile alternative să fie definite înainte de a recurge la AI, mai ales dacă vorbim despre modele lingvistice mari (LLM), deoarece acestea, chiar dacă sunt potențial extrem de utile, implică un alt tip de risc.

Pasul 2: Tipul soluției și Due Diligence

Odată ce scopul a fost identificat în mod fiabil și necesitatea unei soluții AI este clară, trebuie să determinăm ce tip de soluție este cel mai potrivit pentru organizație și scopul acesteia, precum și să efectuăm verificările necesare cerute de lege. În definitiv, indiferent de tipul de soluție ales, cel mai probabil veți fi operatorul căruia îi revine responsabilitatea pentru toate aspectele legate de protecția datelor cu caracter personal introduse în AI.

Ca atare, trebuie luate în considerare două opțiuni, una pentru o soluție AI dezvoltată intern și una furnizată de un furnizor al unei soluții AI. A doua opțiune poate fi, de asemenea, împărțită în două, furnizorul poate acționa doar ca o interfață a unei soluții AI mai mari,  majoritatea bazându-se pe ChatGPT 3.5 sau 4 al OpenAI sau un furnizor care are propriul algoritm în cadrul soluției.

În toate cazurile, trebuie să existe o evaluare formală a înțelegerii obligațiilor pe care RGPD le impune sistemului și părților implicate, o revizuire a documentației lor, a proceselor lor, dacă este cazul, întrebări despre modul în care datele de training au fost obținute pentru modelul fundațional, precum și întrebări mai generale de securitate, precum și infrastructură,  instruirea personalului, a sub-împuterniciților implicați în prelucrarea datelor cu caracter personal sau care au acces la acestea, împreună cu testarea practică a soluției și a caracteristicilor sale de securitate.

Este de asemenea esențial să stabiliți, de asemenea, acordurile de prelucrare a datelor cu furnizorul ales, subliniind responsabilitățile și obligațiile acestora cu privire la datele cu caracter personal pe care le gestionează.

Pasul 3: Maparea datelor și evaluările impactului

După selectarea unui tip de furnizor, precum și efectuarea verificărilor necesare pentru a alege soluția potrivită, următorul pas este o determinare practică a ceea ce va ajunge în AI în ceea ce privește datele cu caracter personal și modul în care acestea sunt clasificate.

Va trebui să efectuați un exercițiu cuprinzător de mapare a datelor pentru a identifica toate datele cu caracter personal prelucrate de soluția dvs. Înțelegerea fluxului, stocării și punctelor de acces ale datelor vă va ajuta să evaluați riscurile și potențialele vulnerabilităâi. Clasificați datele în funcție de sensibilitatea lor și stabiliți dacă se încadrează în categorii speciale sau nu (de exemplu, sănătate, rasă, religie). Acest pas vă va permite să aplicați măsuri tehnice și organizatorice adecvate pentru a proteja datele.

În astfel de cazuri în care sunt în joc tipuri speciale de date, cum ar fi cele menționate anterior, vor trebui să existe elemente de securitate suplimentare pentru a limita orice risc potențial pentru datele cu caracter personal și persoana vizată.

Efectuarea unei evaluări a impactului asupra protecției datelor (DPIA) pentru a evalua potențialele riscuri de confidențialitate asociate cu soluția dvs. AI poate fi, de asemenea, obligatorie în conformitate cu art. 35 din RGPD dacă se prelucrează volume mari de date, se aplică categorii speciale sau chiar dacă prelucrarea la îndemână este supusă cerințelor DPIA ale autorității de supraveghere, așa cum sunt publicate de fiecare autoritatea pe site-ul lor web. DPIA ar trebui să evalueze factori precum volumul datelor, tehnicile de prelucrare a datelor, practicile de schimb de date și impactul potențial asupra drepturilor persoanelor. Utilizați constatările DPIA pentru a pune în aplicare măsuri tehnice de securitate (guardrails) și guideline-urile necesare pentru a atenua riscurile identificate.

Pasul 4: Implementați principile “Privacy by design and by default”

Nicio discuție despre o soluție AI nu ar fi completă fără a discuta mai întâi despre implementarea Privacy by Design and by default, în stadiul actual al tehnologiei, în special atunci când se discută despre LLM, nu există o soluție clară pentru a integra complet principiile Privacy by Design și Default, având în vedere cantitățile tot mai mari de date introduse în AI, precum și rata la care efectuează training cu privire la aceste date,  Verificările manuale de calitate și asigurările devin imposibil de efectuat la aceeași viteză cu care LLM-urile se ajustează. Ca atare, rămânem cu un act de echilibru, integrând cât mai multe măsuri tehnice de securitate (guardrails) și guideline-uri posibile, având în vedere scopul declarat și impactul potențial al AI pentru utilizatorul mediu.

Desigur, aceasta este o determinare specială, având o dependență mare faâă de scopul acesteia, de soluțiile utilizate și de capacitățile sale, prin urmare, integrarea măsurilor de protecție a datelor încă de la începutul proiectului dvs. AI și asigurarea faptului că confidențialitatea este setarea implicită pentru toate procesele poate fi o povară mai mică sau mai mare, în funcție de circumstanțe. Chiar și așa, stabilirea unor ghidări clare pentru anonimizarea datelor, criptarea și controlul accesului și, prin urmare, reducerea riscului de expunere neautorizată a datelor este o necesitate absolută.

În afară de aceste măsuri, este important să evaluați și să discutați cu furnizorul dvs. sau cu partea responsabilă de dezvoltare și integrare care sunt măsurile tehnice de securitate care pot fi implementate în cadrul soluției. Există un număr mare de măsuri tehnice de securitate care sunt disponibile pentru soluțiile AI, în funcție de soluțiile specifice și / sau furnizorul utilizat, printre unele dintre cele mai utile pe care le amintim:

Controlul privilegiilor: Limitarea privilegiilor unui AI (în special LLM) pentru a reduce impactul potențial al unei injecții prompte.

Validare îmbunătățită a intrării: implementarea metodelor de validare și igienizare pentru a filtra solicitările potențial dăunătoare.

Segregarea agenților AI pe diferite niveluri: Dacă aveți integrări cu funcții de aplicație sau de conectare, precum și un agent AI general de întrebări frecvente, se recomandă ca privilegiile, datele și instruirea efectuate pe fiecare să fie păstrate separat de celelalte.

Ghidări / Guideline: răspunsuri sau căi declarate manual pentru anumite întrebări sau solicitări pe care inteligența artificială trebuie să le aibă în vedere atunci când generează răspunsuri.

Limitarea domeniului de aplicare: împiedicarea IA să acceseze resurse mai mari în afara domeniului de aplicare pentru scopul agentului IA (fie prompt, fie prin alte mijloace).

Pasul 5: Supply-chain și obligațiile de informare

Dacă soluția este menită să proceseze date în numele unei alte părți, este important ca acestea să fie ținute la current cu precădere în situația în care acționați ca împuternicit, aprobarea furnizorului sau a soluției ar putea fi necesară pentru a vă desfășura activitatea de prelucrare, deoarece poate afecta obligațiile acestora în calitate de operatori.

Pe lângă informarea operatorului, dacă acționați în calitate de operator, este important ca persoanele vizate să fie informate în mod adecvat cu privire la prelucrarea datelor lor cu caracter personal, temeiul juridic, perioadele de stocare, partajarea datelor, precum și drepturile lor și modul în care își pot exercita aceste drepturi.

Pasul 6: Luarea automată a deciziilor

Dacă soluția AI implementată efectuează un proces decizional automatizat cu impact asupra persoanei vizate, DPIA este o necesitate și identifică riscurile cele mai presante și impactul probabil al acestora. Conform art. 22 din RGPD, persoana vizată are dreptul de a nu fi supusă unei astfel de prelucrări, cu excepția cazurilor în care:

a)  Prelucrarea este necesară pentru încheierea sau executarea unui contract între persoana vizată și operator.

b) Este autorizată prin lege, stabilind în același timp măsuri adecvate pentru protejarea drepturilor persoanei vizate.

c)    Se bazează pe consimțământul explicit și informat al persoanei vizate.

În funcție de cazul particular de utilizare comercială pentru care este planificată soluția, vă puteți încadra sau nu într-una dintre categoriile menționate mai sus, de exemplu, dacă intenționați să utilizați un algoritm pentru a evalua credit-score-ul unui client pentru furnizarea unui credit, este foarte probabil ca prelucrarea să se încadreze în prima categorie descrisă.

Este important să rețineți că, în astfel de cazuri, algoritmii specifici de caz de utilizare au mai multe șanse să atingă o stare satisfăcătoare de conformitate în ceea ce privește luarea automată a deciziilor, având în vedere domeniul lor limitat de aplicare (rezultatele sunt totuși foarte dependente de măsurile practice introduse, precum și de configurarea și controlul soluției AI), în timp ce efectuarea unui proces decizional automatizat în timp ce utilizați un LLM ar putea pune organizația dvs. într-un risc semnificativ datorită problemelor de fiabilitate și precizie ale algoritmului.

În general, recomandăm ca, cu cât subiectul este mai sensibil, cu atât sunt mai mari controalele soluției AI și, dacă este posibil, un control strict sau excluderea directă a LLM-urilor care prezintă un risc de fiabilitate în prelucrarea datelor care necesită luarea automată a deciziilor, deoarece poate avea un impact grav asupra drepturilor persoanelor vizate și, prin urmare, asupra reputației și responsabilității operatorului.

Indiferent de tipul de soluție utilizată, RGPD clarifică faptul că, ori de câte ori este vizat procesul decizional automatizat, dreptul la intervenție umană și revizuirea deciziei trebuie să fie disponibil persoanei vizate pentru a se asigura că există remedii adecvate pentru cazurile în care algoritmul a afectat în mod eronat și negativ drepturile persoanei vizate.

Pasul 7: Monitorizare continuă și actualizări

Conformitatea cu RGPD este un proces continuu. Monitorizați în mod regulat performanța soluției dvs. AI și evaluați orice modificări sau actualizări care ar putea afecta conformitatea acesteia cu RGPD. Informați-vă personalul cu privire la importanța protecției datelor și oferiți-le instruirea necesară pentru a adera limita semnificativ riscurile pentru organizația dumneavoastră.

Mai jos am furnizat o listă de măsuri tehnice și organizatorice pe care le recomandăm să fie implementate și monitorizate la intervale fixe pentru a asigura conformitatea cu RGPD a soluției:

  1. Controlul accesului la date: Implementarea unor controale stricte de acces pentru a limita accesul la date numai la personalul autorizat și utilizarea mecanismelor de acces și autentificare bazate pe roluri pentru a proteja împotriva prelucrării neautorizate a datelor trebuie revizuite și actualizate periodic.
  2. Criptarea și anonimizarea: Criptarea datelor cu caracter personal atât în repaus, cât și în tranzit pentru a le proteja de accesul neautorizat este o măsură standard care trebuie implementată și menținută. Cu toate acestea, metodele de anonimizare și eficiența acestora trebuie revizuite continuu, deoarece mediul ar putea schimba circumstanțele inițiale de implementare și, prin urmare, calitatea tehnicilor de anonimizare utilizate.
  3. Minimizarea datelor: Ori de câte ori activitatea de prelucrare suferă modificări sau la intervale fixe, este necesar să se revizuiască dacă datele prelucrate de algoritm rămân doar cele necesare pentru ca acesta să îndeplinească sarcina dată.
  4. Planul de răspuns la incidente: Dezvoltarea unui plan cuprinzător de răspuns la incidente pentru a aborda încălcările datelor sau incidentele de confidențialitate prompt și eficient este esențială. Cu toate acestea, un astfel de document trebuie, de asemenea, să facă obiectul unei revizuiri periodice pentru a asigura eficacitatea.
  5. Instruire și conștientizare: Poate că cea mai importantă măsură continuă care trebuie luată este instruirea și dezvoltarea conștientizării în cadrul organizației și în special pentru persoanele care fie ajustează setările algoritmul, se ocupă de măsuri tehnice de securitate (guardrails), fie interacționează în vreun fel cu output-ul de date al AI. Cu cât oamenii pot înțelege mai bine nevoia de conformitate, cu atât organizației îi va fi mai ușor să identifice orice nereguli și să le rezolve înainte ca acestea să se transforme în încălcări ale datelor.
  6. Audit și documentație: Toată documentația și evaluările efectuate trebuie actualizate pentru a fi aplicabile, deoarece premisa prelucrării și scopul se vor schimba cel mai probabil treptat în timp, evaluările trebuie să fie actualizate în continuare la cazul de utilizare. În acest scop, auditurile periodice s-ar putea dovedi a fi un instrument bun pentru identificarea schimbărilor în practică în organizația dvs. 

Concluzie 

Verificarea conformității soluției AI cu RGPD nu este o opțiune, ci o cerință legală pentru companiile care operează în Uniunea Europeană. Urmând acești șapte pași și implementând măsuri tehnice de securitate (guardrails) și linii directoare robuste în măsurile tehnice și organizaționale, vă puteți asigura că soluția dvs. AI procesează datele personale într-un mod care respectă confidențialitatea. Adoptarea RGPD nu numai că vă ajută să evitați problemele legale, ci și promovează o cultură a încrederii și respectului pentru confidențialitatea clienților, ceea ce poate fi un avantaj competitiv în lumea de astăzi bazată pe date.

Share:
Decalex
Autor: DECALEX
Ultimele articole
Solicitarea de acces la date. Exercitarea dreptului de acces

Solicitarea de acces la date. Exercitarea dreptului de acces

Cum pot sterge informații din Google?

Cum pot sterge informații din Google?

IMPLEMENTAREA DIRECTIVELOR NIS

IMPLEMENTAREA DIRECTIVELOR NIS

Navigarea Cerințelor GDPR: AI și Principiul Acurateței Datelor

Navigarea Cerințelor GDPR: AI și Principiul Acurateței Datelor

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI