Navigarea Cerințelor GDPR: AI și Principiul Acurateței Datelor

Introducere:

Pe măsură ce AI devine din ce în ce mai prezentă în utilizarea publică generală pentru o varietate de activități, de la îmbunătățirea și automatizarea afacerilor la simpla amuzare a utilizatorilor, generând imagini în scop recreativ și alte activități pentru amuzamentul utilizatorilor, am putea să credem că aceasta este ceva nou. În parte, am avea dreptate, entuziasmul general în legătură cu noile LLM-uri (Modele de Limbă Generale / Large Language Models) precum ChatGPT de la Open AI sunt noi, însă există multe industrii pentru care algoritmii sau AI-urile sunt esențiale nu doar în determinarea resurselor necesare pentru o anumită activitate, ci și în evaluarea unei cantități mari de informații și luarea deciziilor care pot schimba viața oamenilor, a persoanelor vizate în mod semnificativ.

Acest lucru poate fi observat ușor în domeniul bancar, unde algoritmii evaluează informațiile noastre și determină dacă putem obține un credit sau nu, și chiar și mai mult în domeniul medical, unde multe instituții se bazează în mod serios pe algoritmi pentru a analiza cantități mari de date pentru efectuarea triajelor în mod eficient și pentru a oferi efortul potrivit pacienților care au nevoie. Fără aceste opțiuni, experiența și beneficiile pacienților sau clienților obișnuiți ar fi grav afectate, putând rezulta în daune grave pentru sănătatea sau bunăstarea generală a acestora.

Cu toate acestea, necesitatea generală a unui AI nu scuză lipsa de măsuri de protecție corespunzătoare pentru protejarea persoanelor expuse deciziilor furnizate de sistem. Astfel, principiile generale ale GDPR ar trebui întotdeauna păstrate în minte atunci când se lucrează cu sisteme precum cele descrise mai sus, printre aceste principii, exactitatea datelor este deosebit de semnificativă atunci când se lucrează cu algoritmi cu risc ridicat și auto-învățare.

Pe baza acestui subiect, autoritatea spaniolă pentru protecția datelor (AEPD) a furnizat un articol intitulat "Inteligenta Artificială: principiul acurateței în activitatea de prelucrare", care abordează în mod practic o situație reală în care exactitatea datelor a fost compromisă și cum se poate evita acest lucru.

Lipsa acurateței datelor în input

Situația descrisă în articol urmărește o bunică în vârstă care a fost dusă la spital de către rudele sale, care erau în mod firesc îngrijorate de starea sa critică. În timpul procesului de înregistrare, rudelor li s-a pus întrebarea dacă bunică era dependentă de ei, la care au răspuns "Da", deoarece locuia cu ei. Din nefericire, acest răspuns a dus la o interpretare greșită a întrebării, care ar fi trebuit să se refere la starea de dizabilitate a bunicii. Ca urmare, algoritmul responsabil de procesarea triajului a clasificat-o doar ca având nevoie de îngrijiri paliative. Cu toate acestea, unul dintre rude, un savant eminent, și-a dat seama de greșeală, dar a constatat că obiecțiile lor erau ignorate.

Această incident aduce în lumină două aspecte esențiale legate de luarea deciziilor algoritmice și principiul exactității GDPR (Articolul 5(1)(d)). În primul rând, întreaga activitate de prelucrare include mai mult decât doar execuția algoritmului. În al doilea rând, implementarea exactă a principiului exactității este crucială pe parcursul întregii activități de prelucrare.

Viziunea holistică asupra activității de prelucrare

În contextul luării deciziilor algoritmice, este crucial să adoptăm o viziune holistică asupra întregii activități de prelucrare, nu doar să ne concentrăm exclusiv pe execuția algoritmului. Algoritmul în sine reprezintă doar un component al unui sistem mai larg, care implică mai multe etape și actori.

În primul rând, operațiunile de colectare a datelor joacă un rol semnificativ în formarea exactității rezultatelor algoritmice. În cazul incidentului cu algoritmul de triaj, interpretarea greșită a întrebării referitoare la dependența bunicii de rudele sale a avut loc în timpul etapei de colectare a datelor. Acest lucru subliniază importanța formulării întrebărilor precise și fără ambiguități pentru a colecta date de intrare precise.

În plus, procesele de verificare și validare a datelor sunt cruciale pentru a asigura calitatea și fiabilitatea datelor utilizate în algoritm. Implicarea umană, precum profesioniști medicali sau alți experți, poate oferi perspective valoroase și judecăți în procesul de luare a deciziilor. Aceștia pot revizui și valida rezultatele algoritmului, oferind un strat necesar de intervenție umană pentru a identifica eventuale erori sau tendințe.

În plus, executarea deciziilor bazate pe rezultatele algoritmice ar trebui să fie supusă mecanismelor de revizuire și contestație. În cazul incidentului cu algoritmul de triaj, pretențiile rudelor au fost inițial ignorate, evidențiind necesitatea unui mijloc de a contesta și corecta deciziile care ar fi putut fi luate eronat.

Implementarea principiului exactității

Principiul exactității GDPR (Articolul 5(1)(d)) stabilește standarde pentru asigurarea exactității și integrității datelor personale. În contextul luării deciziilor algoritmice, respectarea acestui principiu devine și mai critică. Iată câteva aspecte cheie de luat în considerare pentru implementarea principiului exactității:

a) Definirea datelor de input: Semantica clară și bine definită a datelor de intrare ar trebui să fie stabilită în faza de proiectare a activității de prelucrare. Aceasta include specificarea sensului și contextului fiecărui punct de date și determinarea intervalului de valori permise. Prin furnizarea definițiilor explicite, se pot minimiza ambiguitățile și neînțelegerile potențiale.

b) Evaluarea impactului: Influenta fiecărui punct de date de input asupra rezultatului final ar trebui evaluată în mod sistematic. Aceasta implică efectuarea analizelor cuprinzătoare ale algoritmului implementat, efectuarea testelor de verificare pentru a asigura conformitatea cu cerințele și efectuarea testelor de validare în contexte operaționale din lumea reală. Înțelegerea modului în care fiecare variabilă de intrare afectează rezultatele algoritmului ajută la identificarea tendințelor sau erorilor potențiale.

c) Input manuală: Atunci când datele sunt colectate manual de la subiecți de date, este crucial să ne asigurăm că persoanele înțeleg semantica întrebărilor și impactul potențial al răspunsurilor lor. În cazul rudelor bunicii, ar fi trebuit să li se ofere informații adecvate despre scopul specific al procesării triajului și despre modul în care răspunsul lor poate afecta rezultatul. Acest lucru promovează transparența și conferă subiecților de date puterea de a furniza informații exacte.

d) Sursele și transformările datelor: Algoritmii se bazează adesea pe date provenite din diferite surse, care pot fi supuse transformărilor și prelucrării înainte de a fi introduse în algoritm. Toate etapele implicate în achiziționarea, integrarea și prelucrarea datelor ar trebui considerate parte a activității generale de prelucrare. Este important să ne asigurăm că datele provenite din surse diferite sunt validate și standardizate în mod corespunzător pentru a menține exactitatea.

e) Revizuire și măsuri de protecție continue: Recunoscând că perfecțiunea este inaccesibilă, este important să se implementeze mecanisme de revizuire și monitorizare continue pentru a identifica și corecta erorile. Aceasta poate implica revizuirea regulată a rezultatelor algoritmului, feedbackul primit de la utilizatori sau evaluările periodice realizate de către experți. De asemenea, trebuie să existe o procedură clară pentru raportarea și remedierea erorilor identificate.

Concluzie:

AEPD atrage atenția, pe bună dreptate, asupra activității de prelucrare în ansamblu. Tendința pe care am observat-o în ultimele luni este de a ne concentra exclusiv asupra algoritmului și a operațiunii acestuia asupra datelor, însă, datele introduse de utilizator reprezintă o parte sensibilă a procesului care, dacă nu este luată în considerare, poate modifica în mod semnificativ nu numai rezultatul algoritmului, ci și structura acestuia în sine, compromițând astfel rezultatele multiple din cauza unei instruiri defectuoase efectuate pe date care denaturează situația.

Indiferent de soluțiile sau de modelul implementat, operatorul trebuie să țină cont întotdeauna de faptul că nu se pot aștepta rezultate perfecte, indiferent de măsurile implementate. În acest caz, autoritatea menționează cerințele prevăzute la art. 24 (1) din GDPR, care prevede că măsurile implementate trebuie să facă obiectul unei revizuiri periodice și să fie actualizate, dacă este necesar, pentru a se asigura eficacitatea acestora, precum și cele prevăzute la art. 22 GDPR care ar împuternici persoana vizată în fața unor astfel de activități de prelucrare, persoana vizată trebuie să aibă acces la mecanisme prin care să poată obiecta în cazul unor eventuale decizii tendențioase sau eronate ale algoritmului, una dintre aceste căi ar fi implicarea unui agent uman pentru a clarifica situația și temeiul deciziei.

Este important să reiterăm faptul că algoritmii cu risc ridicat trebuie să aibă o decizie trasabilă și explicabilă, situațiile de tip black-box nu sunt acceptabile atunci când este vorba de triaj medical sau de cazuri de utilizare a AI care împiedică viața. Ca atare, organizațiile care implementează astfel de soluții trebuie să aibă mare grijă ca atât procesele algoritmice, cât și procesul de introducere a datelor să fie ajustate în mod corespunzător, iar intervențiile umane pot fi oferite pentru a clarifica ambiguitățile sau întrebările din partea persoanelor vizate.