Reglementări digitale în Europa: protectia datelor pilon central in reglementarea AI-ului
Urmărind tendințele pieței, precum și preocupările de reglementare, se poate realiza că sistemele de inteligență artificială (AI) au intrat în discuție mult mai frecvent în ultima vreme. Din punctul de vedere al confidențialității și al protecției datelor, această discuție este are o mare importanță, deoarece, odată implementate, aceste sisteme creează riscul de a avea un impact asupra acestui domeniu, atât pozitiv, cât și negativ. În această măsură, următoarele subiecte pot fi prezentate ca punct de plecare pentru a înțelege impactul potențial al acestei tehnologii:
(i) Exploatarea datelor: Deoarece aceste sisteme sunt concepute pentru a prelucra și compara seturi mari de date, utilizarea pe scară largă a IA prezintă un risc pentru securitatea prelucrării, precum și pentru drepturile persoanelor vizate. Acest lucru poate duce la cazuri de exploatare dăunătoare a datelor. Acest lucru poate fi cauzat, pe de o parte, în primul rând de indiferența utilizatorilor, deoarece oamenii utilizează în mod inconștient produse, dispozitive și rețele care le colectează datele personale (a se vedea, de exemplu, „boom-ul” mare în utilizarea produselor de IA LLM, cum ar fi Chat GPT sau alți asistenți), dar ar putea fi, de asemenea, rezultatul unor practici comerciale exploatatoare prin care companiile încearcă să profite de această indiferență, în scopul obținerii de profit. Colectarea unor seturi de date mari și variate privind un număr la fel de mare de persoane vizate poate fi excelentă în scopuri de marketing, dar prezintă o imagine sumbră din punctul de vedere al protecției drepturilor fundamentale și al vieții private.
(ii) Inexactități și prejudecăți: Inovația în domeniul inteligenței artificiale a dus la dezvoltarea unor algoritmi complicați și complecși care pot, de exemplu, să lucreze pentru a obține o recunoaștere facială oarecum exactă a utilizatorilor. „Oarecum exactă” rămâne totuși o distincție importantă, deoarece adoptarea de către diverse agenții de aplicare a legii a demonstrat că sistemele sunt defectuoase, necesitând imagini clare și bine iluminate ale subiecților pentru a putea funcționa corect. Acest lucru a dus la cazuri de arestări false și la crearea unei prejudecăți față de persoanele de culoare (a se vedea cazurile de aplicare a tehnologiei de recunoaștere facială în SUA, unde, din cauza condițiilor de iluminare slabă, suspecții au fost identificați în mod greșit și ulterior arestați). Dezvoltarea și utilizarea acestor tehnologii poate să creeze, deci, întrebări legate de proporționalitatea aplicării legii și ar putea ridica preocupări reale în ceea ce privește supravegherea excesivă a populației și, în această măsură, o nerespectare a drepturilor fundamentale ale omului sub pretextul „siguranței publice”.
(iii) Identificare și urmărire: Sau, în general, utilizarea pe scară largă a datelor de localizare și a obiceiurilor utilizatorilor. Deși este adevărat că majoritatea aplicațiilor acestei tehnologii pot fi utilizate pentru a spori siguranța și a introduce funcții inteligente (capacități de conducere autonomă în cazul automobilelor sau sugestii „inteligente” de orientare pentru aplicații precum Waze, Google Maps etc., care ar putea utiliza inteligența artificială pentru a oferi utilizatorului alternative mai bune la rutele aglomerate), acest lucru nu reduce riscul asociat cu urmărirea constantă a datelor utilizatorilor, mai ales dacă aceste sisteme pot fi utilizate ulterior pentru a identifica utilizatorii respectivi. Trebuie să existe reguli și garanții solide pentru a asigura siguranța completă a utilizatorilor, reguli care, ar putea intra inclusiv în domeniul de aplicare al legislației existente, după cum se va discuta mai târziu în acest articol.
(iv) Algoritmi de predicție: Într-o oarecare măsură, amintind de scandalul Cambridge Analytica, valul creat de TikTok și adoptarea pe scară largă a conținutului de formă scurtă pe alte platforme, cum ar fi YouTube sau Instagram al Meta, a facilitat creșterea conținutului sugerat utilizatorilor. Publicitatea personalizată, rezultatele căutărilor sau chiar sugestiile video creează o amenințare la adresa siguranței utilizatorilor pe orice platformă, deoarece ele duc la crearea unor “echochambers”. Acestea pot fi periculoase, deoarece utilizatorii ar putea deveni (în cazuri extreme) influențați de conținutul pe care algoritmii îl furnizează, până la punctul în care întregul lor comportament poate fi schimbat (susținând anumite organizații politice sau fiind folosiți pentru a răspândi în continuare știri false, de exemplu). Riscurile la adresa siguranței publice, dar și a sănătății (deoarece cercetările au arătat o scădere a capacității medii de atenție a utilizatorilor) trebuie abordate de către legiuitori, în special din punctul de vedere al protecției datelor, deoarece aceste date ale utilizatorilor pot fi nu numai personale, ci și sensibile (datele privind afilierea politică sau chiar sănătatea pot fi folosite pentru a sugera conținut, asta izolând discuția despre pericolele asociate cu utilizarea acestor sisteme în platformele online concepute pentru a fi accesate de copii).
Legea privind IA (AI Act):
În această măsură și, ca parte a strategiei sale digitale, UE a introdus un act normativ de referință care vizează crearea unui cadru juridic solid în jurul acestor sisteme de inteligență artificială. Legea privind IA (AIA) a fost concepută nu numai pentru a asigura condiții mai bune pentru dezvoltarea și utilizarea acestei tehnologii, ci și pentru a influența și a crea o abordare centrată pe om a reglementării care să permită inovarea și să sprijine întreprinderile mici și mijlocii. Ceea ce este inovator cu privire la abordarea pe care o folosește Legea privind IA este faptul că introduce o clasificare a sistemelor pe baza nivelurilor de risc pe care le prezintă pentru utilizatori. Diferitele niveluri de risc vor însemna mai multă sau mai puțină reglementare.
În aprilie 2021, Comisia Europeană a propus acest cadru, iar ulterior a fost adoptat de Parlamentul UE în martie 2024. Deși aplicabilitatea actului va deveni realitate abia peste 24 de luni, câteva dintre dispozițiile sale vor intra în vigoare mult mai devreme:
-
Interzicerea sistemelor de inteligență artificială care prezintă riscuri inacceptabile se va aplica la șase luni de la intrarea în vigoare. Aceste sisteme sunt cele concepute pentru a influența comportamentul utilizatorilor și vor contribui la atenuarea unora dintre preocupările menționate în partea introductivă a articolului. Această interdicție sporește considerabil siguranța utilizatorilor și nivelul de protecție a datelor lor în viitor. Cu toate acestea, va fi interesant de văzut cum vor fi clasificați și tratați algoritmii din social media, având în vedere riscul potențial asociat acestora în ceea ce privește influențarea comportamentului utilizatorilor;
-
Codurile de bune practici se vor aplica la nouă luni de la intrarea în vigoare;
-
Normele privind sistemele de inteligență artificială de uz general care trebuie să respecte cerințele de transparență se vor aplica la 12 luni de la intrarea în vigoare.
Cu toate acestea, se pare că sistemele de inteligență artificială clasificate ca fiind de risc ridicat de către Legea privind IA vor avea mai mult timp pentru a se conforma, deoarece obligațiile referitoare la aceste tipuri de sisteme vor deveni aplicabile mult mai târziu, la 36 de luni de la intrarea în vigoare a legii în sine. Deși acest lucru este prevăzut în lege, el poate ridica unele îngrijorări cu privire la impactul pe care această întârziere l-ar putea avea asupra drepturilor persoanelor vizate, mai ales, având în vedere că multe sisteme de inteligență artificială pot fi clasificate ca fiind de risc ridicat.
Astfel, chiar dacă, din totalitatea de sisteme de tip IA utilizate, majoritatea ar putea fi interzise sau nu ar fi acoperite (deoarece nu prezintă riscuri semnificative pentru siguranța utilizatorilor sau a datelor cu caracter personal) de aplicarea Legii privind IA, rămâne de văzut dacă posibilul impact negativ al adoptării sistemelor cu risc ridicat va fi suficient de atenuat între timp de mecanismele existente, cum ar fi DMA, DSA sau chiar articolul 22 din GDPR care interzice luarea automată a deciziilor.
DMA și DSA:
Aceste două cadre legislative suplimentare au fost adoptate la 5 iulie 2022 și au fost conceptualizate în scopul de a crea un mediu online mai sigur. De asemenea, acestea au introdus noi norme de referință care acționează în vederea creării unui mediu mai echitabil și mai transparent, în care grija pentru interesul utilizatorului este prioritară. Astfel, DMA și DSA, urmăresc să armonizeze normele întâlnite în întreaga UE, într-o singură structură coerentă, potrivită pentru a aborda în mod corespunzător provocările reprezentate de cele mai recente evoluții din spațiul digital.
Din punctul de vedere al protecției datelor, cele două acte pot fi considerate, poate mai ușor decât legea privind IA în sine, mecanisme care “însoțesc” GDPR-ul, în special în contextul creșterii importanței furnizorilor de servicii digitale. Giganții din domeniul tehnologiei (FAANG, sau poate MAANG acum, în urma „rebranduirii” relativ recente a Facebook) nu numai că și-au făcut produsele esențiale pentru viața noastră de zi cu zi, până la punctul în care ne-ar fi greu să trăim „deconectați” de ele, dar s-au asigurat, de asemenea, că reușesc să colecteze cât mai multe date despre utilizatorii lor, facilitându-le dezvoltarea afacerilor și strategiilor de marketing. Colectarea și prelucrarea datelor a fost întotdeauna cheia pentru stabilirea dominației pe piață și, mai mult ca sigur, va continua să fie așa și în viitor, mai ales dacă luăm în considerare introducerea a tot mai multe sisteme automatizate de luare a deciziilor sau chiar integrarea inteligenței artificiale în aceste platforme.
În această măsură, este important să luăm în considerare nu numai modul în care aceste servicii au creat oportunități de creștere a afacerilor sau au satisfăcut cu succes nevoia noastră de acces instantaneu la informații sau divertisment, ci și faptul că, de cele mai multe ori, aceste numeroase avantaje au venit pe seama faptului că noi am furnizat (de bună voie sau nu) date personale valoroase pentru a fi monetizate și prelucrate în continuare. Astfel, în discuția despre piețele digitale și furnizorii de servicii digitale, nu trebuie să ne concentrăm doar asupra aspectelor privind pericolele pe care le reprezintă pentru competitivitatea pieței acest „Cartel” digital, ci și asupra aspectelor care sunt mai importante pentru siguranța și securitatea utilizatorilor, cum ar fi chestiunile legate de influența nejustificată asupra democrației, societăților sau drepturilor fundamentale. Prin diverse utilizări ale unor algoritmi complecși care mențin oamenii într-o stare constantă de dependență sau de sevraj (deși nu fac neapărat parte din F/MAANG, algoritmii TikTok pot fi un bun exemplu, deoarece sunt de departe cei mai avansați și mai eficienți și s-a demonstrat în diverse studii că pot provoaca un comportament asemănător dependenței la utilizatori, în special la copii și adulți tineri), acești „gatekeeperi”, așa cum sunt descriși în cele două cadre, tind să influențeze alegerile consumatorilor și devin astfel foarte influenți în relația dintre utilizatorii de internet și întreprinderi.
(i) Legea privind piețele digitale (DMA)
Scopul Legii privind piețele digitale este de a asigura condiții de concurență echitabile pentru toate companiile digitale, indiferent de mărimea acestora. Regulamentul urmărește să creeze un cadru pentru marii actori de pe piață, definiți și sub numele de „gatekeepers”, care să îi împiedice să își abuzeze poziția dominantă pe piață și să impună condiții inechitabile atât consumatorilor, cât și concurenților. Printre aceste practici interzise se numără interdicția de a acorda un tratament preferențial propriilor produse ale „gatekeeper-ului” pe site-ul lor (în detrimentul altor produse vândute sau oferite în alt mod pe același site de către terți) sau de a instala de către „gatekeeper” aplicații „dezinstalabile” (constrângând astfel utilizatorii să utilizeze aplicația sau software-ul „gatekeeper-ului” în locul celor ale concurenței).
Printre criteriile introduse de DMA pentru identificarea marilor platforme online ca fiind „gatekeeperi”, legea va conferi, de asemenea, Comisiei Europene competența de a efectua investigații de piață mai amănunțite, permițând o mai bună monitorizare a acestor gatekeeperi și actualizarea constantă a obligațiilor acestora, atât în funcție de comportamentul lor, cât și de interesele de protecție a consumatorilor și a concurenței.
Legea privind piețele digitale a intrat în vigoare la 1 noiembrie 2022, iar normele sale au început să se aplice la 2 mai 2023. Comisia Europeană ar fi trebuit să desemneze gatekeeperii până, cel târziu la 6 septembrie 2023, ceea ce ar permite apoi acestor întreprinderi desemnate să dispună de maximum șase luni pentru a se conforma noului act. Termenul final de conformare a fost astfel stabilit în martie 2024. Se presupune că acest cadru este astfel pe deplin funcțional, dar timpul îi va arăta eficiența în ceea ce privește sancționarea acestor gatekeepers pentru eventualele abuzuri împotriva intereselor consumatorilor.
(ii) Legea privind serviciile digitale (DSA)
DSA urmărește să ofere utilizatorilor mai multe informații cu privire la motivele pentru care li se recomandă un anumit conținut. Cu toate acestea, un instrument important pe care îl creează această lege este opțiunea utilizatorilor de a alege să nu fie incluși în posibile activități de profilare. În plus, publicitatea personalizată va fi interzisă atât pentru minori, cât și atunci când ea este bazată utilizarea de date sensibile (așa cum sunt definite în GDPR, adică orientarea sexuală, religia sau etnia).
DSA va conține, de asemenea, norme privind vânzarea de produse online. Actul urmărește să creeze obligații care să asigure că aceste produse sunt în conformitate cu standardele UE de calitate și siguranță, precum și să îmbunătățească transparența, oferind utilizatorilor mai multe informații cu privire la vânzători.
DSA a intrat în vigoare la 16 noiembrie 2022 și ar fi trebuit să fie direct aplicabilă în întreaga UE până la 17 februarie 2024. Cu toate acestea, platformele și motoarele de căutare online foarte mari au avut totuși la dispoziție un timp suplimentar pentru a asigura conformitatea cu legea, astfel că li s-a acordat un termen de maximum patru luni de la desemnarea lor de către Comisie. Prima rundă de desemnare a platformelor foarte mari a avut loc la 25 aprilie 2023 și, prin urmare, la fel ca în cazul DMA, eficacitatea acestor cadre va trebui evaluată ulterior.
Alte evoluții internaționale relevante:
(i) Legea canadiană privind inteligența artificială și datele (Artificial Intelligence and Data Act - AIDA)
În iunie 2022, Canada a introdus primul său cadru juridic care încearcă să reglementeze utilizarea și dezvoltarea sistemelor de inteligență artificială. Legea urmează o abordare similară bazată pe riscuri, dar diferă de normele regăsite atât în Legea privind IA, cât și în GDPR, în măsura în care nu interzice utilizarea instrumentelor de luare automată a deciziilor, chiar și în domenii care ar putea fi considerate sensibile (sănătate sau aplicarea legii). Mai degrabă, AIDA introduce obligația dezvoltatorilor de a crea un plan de atenuare și de a spori transparența, care servește, în cel mai bun caz, ca o jumătate de măsură, având în vedere potențialele pericole pe care acestea le pot reprezenta pentru drepturile fundamentale ale omului.
(ii) Statele Unite: Carta drepturilor IA și inițiative de stat
Statele Unite ale Americii nu au adoptat încă o legislație federală care să reglementeze aplicațiile IA. În schimb, administrația Biden și Institutul Național de Standarde și Tehnologie (NIST) au publicat orientări generale privind IA pentru utilizarea în siguranță a sistemelor de IA.
Pentru a contracara această lipsă de reglementare, statele urmăresc crearea propriilor lor cadre, dar până în prezent acestea au vizat, în general, cazuri de utilizare specifice pentru IA, mai degrabă decât să aibă ca scop reglementarea tehnologiei în sine.
Cu toate acestea, există totuși la nivel federal documente cu caracter de sugestie privind viziunea dezvoltării acestor sisteme. Carta drepturilor IA, este un document care urmărește să prezinte obiectivele dezvoltării IA în SUA, precum și să definească o viziune pentru produsele de IA dezvoltate la nivel național, care vor urma, cel puțin în teorie, norme mai stricte de protecție a datelor și vor asigura o mai bună protecție împotriva discriminării algoritmice.
(iii) China: Transparența algoritmilor și promovarea dezvoltării industriei IA
China nu a creat încă un cadru juridic concludent pentru sistemele de IA, cel puțin la nivel federal. Cu toate acestea, PCC a introdus recent o lege care reglementează modul în care companiile private pot utiliza algoritmi online în scopuri de marketing, creând obligația de a informa consumatorul în cazul în care este utilizată tehnologia IA, precum și interzicând utilizarea datelor financiare pentru a oferi prețuri personalizate. Totuși, aceste legi nu se aplică guvernului și vizează doar utilizarea IA de către entitățile private.
În septembrie 2022, Shanghai a adoptat o lege axată pe dezvoltarea IA în sectorul privat. Regulamentul din Shanghai privind promovarea dezvoltării industriei IA are ca scop crearea unui cadru care să permită dezvoltatorilor regionali de IA să își proiecteze produsele în conformitate cu alte cadre internaționale.
Mihai Alexe
Data protection trainee