Inteligența articifială și interesul legitim: recomandări, riscuri și bune practici pentru organizații

Article Inteligența Artificială și Interesul Legitim: Ghid de Conformitate și Bune Practici GDPR

Interesul legitim ca bază legală pentru prelucrarea datelor personale de către IA

Interesul legitim este unul dintre cele șase temeiuri prevăzute de Art. 6 din Regulamentul GDPR pentru prelucrarea datelor cu caracter personal.

Din ce în ce mai multe autorități de supraveghere a datelor cu caracter personal, precum CNIL (Commission nationale de l'informatique et des libertés, Franța), CEPD (Comitetul European pentru Protecția Datelor), dar și practicieni locali (ANSPDCP), discută despre aplicabilitatea lui pentru dezvoltarea și utilizarea sistemelor de inteligență artificială, mai ales în contextul în care obținerea consimțământului este dificilă la scară largă sau pentru colectarea din surse publice.

Interesul legitim poate reprezenta o bază legală valabilă în următoarele cazuri:

  • Scopul este unul legitim (ex: îmbunătățirea produselor sau serviciilor oferite, prevenirea fraudelor, cercetare, dezvoltare de noi funcționalități);
  • prelucrarea este necesară în scopul atingerii acestui interes;
  • nu afectează într-un mod disproporționat drepturile și libertățile persoanelor vizate (exercițiul testului de echilibrare).

Ce presupune acest lucru pentru companii

Pentru ca o companie să poată folosi interesul legitim pentru dezvoltarea și folosirea inteligenței artificiale, trebuie să țină cont de următoarele aspecte:

  • Evaluare riguroasă: Este necesară o evaluare exhaustivă a interesului legitim (Analiza LIA/test de echilibrare), documentată de către companie, în care să se analizeze atât beneficiile, cât și riscurile pentru persoanele vizate.
  • Transparență și informare: Persoanele vizate afectate trebuie informate într-un mod clar și concis despre scopuri, datele folosite și drepturile pe care le au la dispoziție.
  • Măsuri de siguranță: Implementarea măsurilor suplimentare precum minimizarea datelor, pseudonimizare sau anonimizare, folosirea datelor sintetice, mecanisme de opt-out sau limitarea accesului la modelul respectiv.
  • DPIA: Pentru conformitatea proiectelor cu risc ridicat se recomandă realizarea unei evaluări de impact privind protecția datelor (DPIA).

Nota bene: Este important de știut că există anumite zone unde interesul legitim nu poate fi invocat, și anume: publicitate targetată către minori, procesarea categoriilor speciale de date fără excepții legale, activități unde doar consimțământul sau alt temei este permis în mod explicit de lege.

Recomandări practice pentru companii

1. Stabiliți interesul legitim în mod clar

Definiți într-un mod cât mai specific obiectivul de business (ex: creșterea siguranței, optimizarea serviciului), evitați formulările prea generale sau vagi.

De exemplu, în cazul în care folosiți date pentru a crește siguranța platformei împotriva fraudelor, argumentați de ce acest lucru este crucial, ce fel de date colectați și de ce altă metodă nu este suficientă.

2. Analizați așteptările rezonabile ale utilizatorilor

Evaluați dacă utilizatorii se așteaptă în mod rezonabil ca datele lor să fie folosite pentru antrenarea unui sistem IA. În cazul în care aceștia nu se așteaptă ca datele lor să fie folosite pentru antrenarea IA, consimțământul devine obligatoriu.

De exemplu, utilizatorii care postează pe un forum public știu că datele lor sunt vizibile, însă cei care folosesc chat-ul privat nu se așteaptă ca acele conversații să fie folosite pentru antrenarea unui model IA. Pentru aceste cazuri, consimțământul și informarea transparentă a persoanelor vizate devin obligatorii.

3. Limitați colectarea datelor

Colectați numai datele strict necesare și, în măsura în care este posibil, folosiți date din surse unde utilizatorii sunt deja informați sau au consimțit la utilizare (ex.: date publice, open data).

În cazul în care antrenați un model de IA pentru recunoașterea mesajelor spam, folosiți mesaje etichetate ca spam, nu conversațiile private ale utilizatorilor.

4. Redactarea documentației de conformitate

Este necesar să păstrați dovezi scrise despre utilizarea interesului legitim, cum ați realizat testul de echilibrare între interesele companiei și drepturile persoanelor persoanelor vizate, ce riscuri au fost identificate, cât și ce măsuri au fost luate pentru atenuarea riscurilor.

5. Respectarea drepturilor persoanelor vizate

Oferiți mecanisme clare și eficiente de opoziție (opt-out) pentru cei care nu doresc ca datele lor să fie folosite și implementați proceduri rapide pentru soluționarea cererilor lor. De exemplu, acest lucru poate fi realizat din punct de vedere tehnic prin adăugarea unui buton pe platformă „Refuz ca datele mele să fie folosite pentru IA” sau o prin oferirea unei adrese de email de contact la care utilizatorii pot trimite solicitări privind drepturile acestora.

6. Monitorizați riscul de memorare și regurgitare

Memorarea apare atunci când un model IA stochează porțiuni de date personale din setul de antrenament, chiar dacă acestea ar fi trebuit folosite doar pentru a învăța tipare generale.

Regurgitarea se referă la situația în care, în momentul în care sistemul IA răspunde la o cerere primită de la un utilizator, modelul reproduce date personale exacte sau aproape exacte pe care le-a memorat accidental în timpul antrenamentelor.

Aceste riscuri pot fi prevenite luând următoarele măsuri de siguranță:

  • Pseudonimizarea sau anonimizarea datelor înainte de antrenament.
  • Eliminarea datelor sensibile din setul de date.
  • Limitarea volumului de date personale folosite.
  • Folosirea de algoritmi și tehnici de antrenare care reduc probabilitatea ca modelul să memoreze date exacte.
  • Implementarea de filtre pentru răspunsuri, astfel încât informațiile personale să nu poată fi afișate de model.

Concluzie

Un management eficient al datelor pentru IA nu presupune doar respectarea literei legii, ci și implementarea de măsuri concrete pentru protejarea vieții private a persoanelor vizate și prevenirea utilizărilor abuzive ale datelor personale.

Companiile trebuie să fie proactive în identificarea și gestionarea riscurilor, să documenteze în mod transparent deciziile și să pună pe primul plan transparența și încrederea utilizatorilor.

 

 

Ștefan Antonia Teodora

Consultant în Protecția Datelor cu Caracter Personal

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Captivi în Scroll: Cum se transformă responsabilitatea digitală

Captivi în Scroll: Cum se transformă responsabilitatea digitală

Plătim amenda și continuăm - o strategie care poate costa mai mult decât crezi

Plătim amenda și continuăm - o strategie care poate costa mai mult decât crezi

Licențierea seturilor de date pentru AI - oportunități și responsabilități

Licențierea seturilor de date pentru AI - oportunități și responsabilități

Depășind capitolul V GDPR: Transferurile din SUA pentru furnizorii de servicii cloud

Depășind capitolul V GDPR: Transferurile din SUA pentru furnizorii de servicii cloud

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI