DPIA versus FRIA în era Reglementării AI

Article DPIA vs FRIA: Ghid practic pentru reglementarea AI

În contextul actual al digitalizării accelerate și al adoptării pe scară largă a tehnologiei inteligenței artificiale, organizațiile se confruntă cu cerințe tot mai complexe privind evaluarea și gestionarea riscurilor asociate tehnologiilor emergente. 

Două instrumente esențiale în acest sens sunt Evaluarea Impactului asupra Protecției Datelor (DPIA), prevăzută de Regulamentul GDPR, și Evaluarea Impactului asupra Drepturilor Fundamentale (FRIA), introdusă de AI Act. 

Deși ambele urmăresc identificarea și atenuarea riscurilor, ele se diferențiază semnificativ atât ca scop, cât și ca sferă de aplicare.

Bazele legale

DPIA, consacrată de articolul 35 din GDPR, are ca obiectiv principal evaluarea riscurilor pe care procesarea datelor cu caracter personal le poate genera pentru drepturile și libertățile persoanelor vizate. 

Acest instrument este obligatoriu atunci când organizațiile implementează tehnologii sau procese noi ce implică prelucrări cu risc ridicat, precum monitorizarea sistematică sau profilarea automată. 

Un exemplu din practică ar putea fi un magazin online care folosește algoritmi de recomandare bazate pe istoricul de cumpărături, care trebuie să realizeze analiza DPIA pentru a evalua cum datele utilizatorilor sunt stocate și protejate.

În schimb, FRIA, reglementată de AI Act în articolul 27, extinde analiza dincolo de sfera datelor personale, vizând impactul pe care sistemele de inteligență artificială de risc ridicat îl pot avea asupra tuturor drepturilor fundamentale ale omului. 

Astfel, FRIA nu se limitează la protecția vieții private, ci ia în considerare și posibilele efecte asupra egalității, nediscriminării, libertății de exprimare sau accesului la justiție. Pentru a exemplifica aplicabilitatea FRIA în practică, un exemplu în acest sens ar putea fi un algoritm de alocare a resurselor în transportul public, care optimizează rutele fără a folosi date personale,. Pentru un astfel de algoritm este necesară o analiză FRIA pentru a evita excluziunea unor zone defavorizate.

În tabelul de mai jos se pot regăsi principalele diferențe dintre analizele DPIA și FRIA:

 

Aspect

DPIA

FRIA

Reglementare

GDPR

AI Act

Obiectiv principal

Protecția datelor personale

Protecția drepturilor fundamentale ale omului

Domenii relevante

Orice procesare cu risc ridicat

Sisteme AI cu risc ridicat (date biometrice, justiție, educație, medicină etc.)

Roluri și responsabilități în temeiul AI Act

1. Furnizorii de AI (AI providers) trebuie să ofere clienților informații tehnice detaliate pentru ambele evaluări. Spre exemplu, o companie care dezvoltă software de recrutare automatizat trebuie să explice nu doar cum criptează CV-urile (DPIA), ci și cum elimină bias-urile de gen din algoritm (FRIA).

2. Utilizatorii finali (deployers) (spre exemplu bănci, spitale) au obligația legală de a finaliza FRIA, chiar dacă sistemul a fost achiziționat de la un terț. Furnizorul poate sprijini clientul cu informații tehnice, dar responsabilitatea legală de a efectua FRIA aparține celui care implementează și folosește efectiv sistemul în contextul său operațional. De exemplu, o bancă care implementează un algoritm de creditare trebuie să verifice dacă acesta a fost testat pe seturi de date reprezentative pentru comunitățile minoritare.

Implicații pentru companii și organizații

Pentru operatori de date cu caracter personal și utilizatorii finali, diferențele dintre DPIA și FRIA se reflectă direct în responsabilitățile asumate. 

În cazul DPIA, obligația revine operatorilor de date cu caracter personal, iar evaluarea este necesară doar atunci când sunt prelucrate astfel de date. 

În schimb, FRIA este impusă utilizatorilor de sisteme AI de risc ridicat, indiferent dacă datele personale sunt sau nu implicate. Acest lucru presupune o abordare mai largă și o colaborare strânsă între furnizorii de soluții AI și beneficiarii acestora, pentru a asigura o evaluare completă a riscurilor.

Organizațiile care implementează sisteme AI ce prelucrează date personale trebuie să realizeze ambele tipuri de evaluări. Totuși, există oportunitatea integrării celor două procese, prin valorificarea elementelor comune, cum ar fi descrierea sistemului, identificarea riscurilor și documentarea măsurilor de atenuare ale acestora.

Recomandări pentru Implementarea AI Act și FRIA

Pentru a răspunde eficient cerințelor AI Act și pentru a realiza FRIA-uri relevante, recomandăm următoarele direcții de acțiune:

  1. Integrarea proceselor de evaluare: Dezvoltați un cadru unitar care să acopere atât cerințele DPIA, cât și pe cele ale FRIA, evitând suprapunerea inutilă a eforturilor. În practică puteți folosiți structura existentă a DPIA-urilor și să o extindeți cu secțiuni dedicate drepturilor fundamentale. De exemplu, acolo unde DPIA cere o evaluare a măsurilor de securitate, FRIA poate adăuga o analiză a mecanismelor de audit pentru detectarea bias-urilor.
  2. Transparență și documentare riguroasă: Asigurați o evidență clară a deciziilor și a raționamentului din spatele fiecărei evaluări, pentru a facilita demonstrarea conformității în fața autorităților. Acest lucru se poate realiza prin păstrarea unui registru care să înregistreze în timp real deciziile luate în urma evaluărilor FRIA/DPIA, să permită actualizări pe măsură ce sistemul de IA este monitorizat sau modificat și să includă feedback din partea utilizatorilor și a persoanelor afectate, cum afectează sistemul IA datele personale, de drepturi fundamentale sunt expuse, cât și măsurile de mitigare.
  3. Abordare interdisciplinară: Implicați experți din domenii variate – juridic, tehnic, etic – pentru a identifica și gestiona riscurile din multiple perspective cu care să organizați simulări unde algoritmul este expus la situații extreme, cum ar fi modul în care se comportă într-o regiune cu rate ridicate de șomaj, sau ce se întâmplă dacă datele de antrenament sunt dominate de un anumit grup etnic.
  4. Consultarea părților interesate: Includeți în procesele de proiectare și evaluare reprezentanți ai grupurilor potențial afectate, pentru a identifica riscuri care pot scăpa unei analize strict tehnice.
  5. Monitorizare și actualizare continuă: Tratați FRIA ca pe un proces dinamic, adaptat evoluției tehnologiei și contextului social în care este utilizată.

În concluzie, trecerea de la DPIA la FRIA marchează o maturizare a cadrului de reglementare, reflectând nevoia de a proteja nu doar datele, ci întreaga paletă de drepturi fundamentale în fața provocărilor aduse de inteligența artificială.

În esență, această tranziție nu e doar o schimbare de formulare, ci o reconceptualizare a modului în care privim impactul tehnologiei asupra societății. Este vorba despre a trece de la "ce date colectăm" la "ce lăsăm în urmă ca urmare a deciziilor automate". Pentru companiile care reușesc să internalizeze această schimbare, conformitatea devine nu doar o obligație, ci o busolă etică.

În același timp, această schimbare reprezintă pentru organizații atât o obligație legală, cât și o oportunitate de a construi încredere și a demonstra responsabilitate în relația cu clienții, cât și cu societatea.

 

Ștefan Antonia Teodora

Consultant în Protecția Datelor cu Caracter Personal

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Transparența în inteligența artificială: De ce este ea inevitabilă

Transparența în inteligența artificială: De ce este ea inevitabilă

AEPD amendează Curenergía cu 500.000 de euro

AEPD amendează Curenergía cu 500.000 de euro

”2026 is the new 2016” sau cum platformele online redescoperă GDPR-ul

”2026 is the new 2016” sau cum platformele online redescoperă GDPR-ul

Digital Omnibus – cum se rearanjează puterea în Europa digitală

Digital Omnibus – cum se rearanjează puterea în Europa digitală

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI