Ghid privind Inteligenta Artificiala Generativa (GAI) si protectia datelor

Article Ghid privind Inteligenta Artificiala Generativa (GAI) si protectia datelor

La 3 iunie 2024, AEPD a publicat un document de orientare menit să contureze recomandări generale privind inteligența artificială generativă și modul în care acestea riscă să afecteze protecția datelor cu caracter personal în contextul adoptării pe scară largă de către instituțiile, organele, birourile și agențiile UE (EUI). Aceste recomandări sunt concepute pentru a oferi acestor instituții soluții clare (chiar dacă acestea nu sunt obligatorii și formează, în cea mai mare parte, opinia generală a AEPD cu privire la modul în care aceste tipuri de sisteme pot și ar trebui să fie adoptate) și pentru a răspunde întrebărilor critice care apar de obicei în jurul problemei implementării AI și a protecției datelor cu caracter personal.

Scopul acestui articol este de a prezenta ideile principale și cele mai importante concluzii care pot fi desprinse din acest document de orientare. În această măsură, documentul poate fi rezumat după cum urmează, urmărind schema de analiză a aplicabilității RGPD stabilită de AEPD , precum și a modalităților prin care poate fi impusă conformitatea:

1.     Cum să identificăm dacă un sistem de inteligență artificială generativă implică prelucrarea datelor cu caracter personal?

Normele puse în aplicare în temeiul GDPR pot fi aplicate indiferent de tehnologia utilizată de operator și trebuie respectate, împreună cu toate celelalte acte legislative relevante ale UE (cum ar fi Legea privind IA în acest caz). Dar aceste norme pot fi aplicate numai dacă sunt prelucrate datele cu caracter personal. În această măsură, în cazul unui sistem de inteligență artificială, în special al unui sistem de inteligență artificială generativă care este antrenat folosind cantități mari de date, atât personale, cât și nepersonale, identificarea posibilității de aplicare a GDPR poate fi complicată, mai ales dacă se ia în considerare faptul că dezvoltatorii sau furnizorii sistemului ar putea să nu fie întotdeauna suficient de specifici în analiza sistemului.

În această măsură, ar trebui să fie de datoria (cel puțin din punctul de vedere al AEPD) IUE să se asigure că legea este pusă în aplicare și că aceste sisteme sunt monitorizate în mod corespunzător pentru conformitate. Prin urmare, este esențial să existe cooperare cu toate părțile implicate și să fie stabilit:

  1. Dacă datele prelucrate de sistem sunt anonimizate sau dacă, în timpul proiectării, dezvoltării și testării sistemului, sunt utilizate seturi de date sintetice;
  2. Controalele specifice care au fost instituite pentru a garanta astfel de rezultate (datele pierzându-și trasabilitatea către o persoană și eliminând astfel riscurile la adresa drepturilor acesteia);
  3. Modalități de evitare a utilizării unor tehnici periculoase (din punctul de vedere al drepturilor fundamentale), cum ar fi web scraping-ul, care implică faptul că persoana vizată nu este în măsură să își dea consimțământul sau chiar să știe că datele sale personale sunt prelucrate;
  4. Cel mai bun mod de a pune în aplicare un sistem de monitorizare constantă a sistemului în toate etapele dezvoltării și punerii sale în aplicare, care să asigure cel mai înalt grad de atenție pentru normele de protecție a datelor și drepturile fundamentale ale oricărei persoane vizate care ar putea fi implicată în prelucrare.

2.     Care este rolul RPD, dacă este cazul, în procesul de dezvoltare a sistemelor de inteligență artificială generativă? Și când ar trebui efectuată o DPIA?

În conformitate cu sarcinile stabilite la articolul 45 din RGPD, RPD este responsabil pentru informarea și consilierea în legătură cu obligațiile relevante în materie de protecție a datelor, pentru a asista operatorii în monitorizarea conformității interne și pentru a oferi (la cerere) consiliere cu privire la evaluarea impactului asupra protecției datelor (DPIA). În plus, RPD trebuie să acționeze ca punct de contact între persoanele vizate și operatori.

Așadar, care este relevanța acestui aspect în contextul punerii în aplicare a IA generativă? AEPD a reafirmat importanța menținerii acestor sarcini prevăzute la articolul 45, dar a susținut, de asemenea, că rolul RPD va trebui, de asemenea, să evolueze. În această măsură, acesta va trebui să se instruiască în mod proactiv, astfel încât să aibă o înțelegere adecvată a ciclului de viață al sistemului de IA. RPD va trebui să învețe cum și când acest sistem colectează date, cum funcționează mecanismele de intrare și ieșire, precum și cum funcționează procesul "decizional" implementat în sistem în raport cu toate aceste aspecte menționate anterior.

Cu toate acestea, este clar că această sarcină nu va fi ușoară sau simplă, motiv pentru care AEPD recomandă, de asemenea, ca, în ceea ce privește conformitatea sistemului de inteligență artificială generativă cu normele de protecție a datelor, comunicarea semnificativă și eficientă să joace un rol esențial în activitatea RPD. În acest sens, AEPD recomandă inițierea unei relații de dialog continuu între respectivul RPD și toate celelalte părți interesate relevante din cadrul organizației (fie că este vorba de reprezentanți ai serviciilor juridice sau IT, responsabili locali cu securitatea informatică etc.) pe parcursul ciclului de viață al sistemului AI.

În ceea ce privește necesitatea efectuării unei DPIA, AEPD recunoaște că o astfel de analiză trebuie efectuată înainte de orice operațiune de prelucrare care este susceptibilă să prezinte un risc ridicat pentru drepturile și libertățile fundamentale ale persoanelor vizate. În acest caz, operatorul este obligat să recurgă la ajutorul și să asculte sfaturile unui RPD. În plus, din cauza modului în care funcționează modelul, AEPD consideră că, pe parcursul ciclului de viață al sistemului IA, sunt predispuse să apară noi riscuri. În această măsură, AEPD recomandă ca, în cazul unei analize DPIA, riscurile să fie identificate și abordate ca un proces continuu de-a lungul întregului ciclu de viață al sistemului.

3.     Principiile generale ale protecției datelor pot fi aplicate în continuare în contextul implementării sistemelor de inteligență artificială generativă?

Principalele puncte de interes adresate de AEPD au fost:

      Prelucrarea legală a datelor cu caracter personal în timpul dezvoltării și implementării unui sistem de inteligență artificială generativă;

În această măsură, AEPD a decis că prelucrarea datelor cu caracter personal de către aceste tipuri de sisteme necesită un temei juridic care este în conformitate cu principiile RGPD. În plus, în cazul în care consimțământul urmează să fie utilizat ca temei juridic, există un grad mai mare de atenție care trebuie să fie utilizat de către colector pentru a se asigura că respectivul consimțământ este valabil (îndeplinind cerințele RGPD).

      Modul în care principiul minimizării datelor poate fi aplicat prelucrării datelor cu caracter personal atunci când se utilizează sisteme de inteligență artificială generativă;

În ciuda faptului că sistemele de inteligență artificială generativă depind de analiza unei cantități relativ mari de date pentru a produce rezultate eficiente, AEPD a susținut că acest lucru nu înseamnă că principiul minimizării datelor nu poate fi aplicat. Modul în care aceste sisteme sunt concepute și puse în aplicare va trebui să ia în considerare obligațiile operatorilor de date de a colecta și prelucra numai acele date care sunt necesare în scopul prelucrării.

      Respectarea principiului acurateței datelor;

În documentul său de orientare, AEPD recunoaște o problemă care rezultă din utilizarea inteligenței artificiale generative. Și anume, faptul că aceste sisteme sunt încă predispuse la rezultate inexacte care afectează drepturile și libertățile subiecților. Din acest motiv, AEPD pledează pentru mai multe eforturi atât din partea dezvoltatorilor de sisteme, cât și din partea celor care adoptă aceste sisteme. AEPD consideră că ar trebui implementate și aplicate instrumente de supraveghere mai puternice pe parcursul întregului ciclu de viață al sistemului. În cazul în care inexactitățile se dovedesc a cauza un risc prea mare, AEPD recomandă, de asemenea, să nu se implementeze complet sistemul inexact.

4.     Cum mai putem aplica drepturile persoanelor vizate în contextul sistemelor de inteligență artificială generativă?

Parcurgând răspunsul AEPD la întrebarea privind modul în care dreptul la informare al persoanei vizate va evolua odată cu adoptarea sistemelor AI generative, AEPD subliniază faptul că această obligație va rămâne neschimbată. Conform aplicării articolelor 12 și 22 din RGPD, persoana vizată trebuie să fie informată în mod semnificativ nu numai cu privire la prelucrare (și actualizată atunci când este necesar, dacă se schimbă ceva în cursul ciclului de viață al sistemului de inteligență artificială), ci și cu privire la logica sistemului și la modul în care acesta ajunge la decizii, oferind informații persoanei vizate cu privire la modul în care drepturile sale ar putea fi afectate. AEPD continuă să pledeze în favoarea păstrării de către persoana vizată a controlului asupra propriilor date.

În ceea ce privește sistemele AI generative și responsabilitatea operatorilor (în ceea ce privește drepturile persoanelor vizate), AEPD rămâne fermă în orientările sale. AEPD pledează pentru o abordare care rămâne foarte protectoare a drepturilor persoanelor vizate, afirmând că ar trebui să se acorde o atenție deosebită riscurilor la adresa acestor drepturi. În plus, AEPD susține că este necesară o supraveghere suplimentară a sistemului pe parcursul întregului ciclu de viață al acestuia, asigurând ca prioritate minimizarea și atenuarea prejudecăților.

În ceea ce privește exercitarea drepturilor persoanelor vizate, AEPD reafirmă obligația operatorilor de date cu caracter personal și oferă o soluție la dificultățile percepute asociate cu aplicarea drepturilor persoanelor vizate în contextul sistemelor AI. În această măsură, pentru a contracara dificultăți precum identificarea datelor cu caracter personal ale persoanei vizate sau obținerea accesului la acestea, ar trebui instituite astfel de mecanisme chiar înainte de adoptarea sistemului sau încă din primele etape ale punerii sale în aplicare, care ar permite înregistrarea detaliată și trasabilitatea activităților de prelucrare.

 

Mihai Alexe

Data protection trainee

Share:
DECALEX  TEAM
Autor: DECALEX TEAM We make privacy easy

PUNE O INTREBARE