Cele 7 măsuri pe care companiile trebuie să le adopte pentru a evita riscul de neconformare GDPR în utilizarea soluţiilor AI

Efervescenţa adoptării soluţiilor bazate pe inteligenţa artificială a cuprins toate mediile, economic şi social în special, mai ales în contextul extinderii digitalizării şi a lucrului online. Ceea ce, bineînţeles, este de bun augur, cel puţin din punct de vedere al eficientizării timpului de lucru, a timpului de răspuns către clienţi şi parteneri sau al modelelor de business, care se pot adapta mai repede condiţiilor concurenţei.

Cadrul de lucru la nivelul membrilor UE a fost adoptat şi intră în vigoare de la 1 august 2024, aşa-numitul AI Act sau Regulamentul UE 2024/1689 de stabilire a unor norme armonizate privind inteligenţa artificială. Acesta reglementează, în cele 180 de articole ale sale, în cele mai mici detalii modul, principiile şi normele la care companiile – provideri şi beneficiari deopotrivă – să fie atente în procesul de creaţie şi, respectiv utilizare al soluţiilor de tip AI.

Dacă beneficiile adoptării soluţiilor AI par a avea doar beneficii, sigur că există şi riscuri,  care trebuie avute în vedere la utilizarea acestor soluţii AI, de care companiile trebuie să ţină cont înainte de toate şi să realizeze, anterior implementării acestora, o analiză în detaliu beneficii-riscuri-efecte. AI Act emis de UE explică, de altfel, şi categoriile de risc în care pot fi încadrate soluţiile AI.

Unul dintre riscurile majore este acela de neconformare cu regulile privind protecţia datelor, respectiv GDPR, tocmai de aceea sunt necesare măsuri specifice, astfel:

Evaluarea riscurilor şi clasificarea aplicaţiilor AI. Vorbim despre identificarea şi evaluarea riscurilor asociate cu utilizarea soluţiilor de inteligenţă artificială, precum şi de clasificarea aplicaţiilor AI conform categoriilor de risc stabilite de regulamentul UE: risc minim, risc limitat, risc ridicat şi risc inacceptabil. Pe baza acestor evaluări, companiile vor putea adopta exact acea soluţie AI care să răspundă cerinţelor interne, inclusiv de conformitate cu regulile GDPR, astfel încât să fie evitată maximum posibil compromiterea datelor personale şi sensibile, prin atacuri cibernetice sau scurgeri de informaţii.

2. Transparenţa şi explicabilitatea. Cu alte cuvinte, sistemele AI trebuie să fie transparente şi clare, astfel încât modul lor de funcţionare să  poată fi explicat utilizatorilor şi autorităţilor de reglementare, în egală măsură. Conform GDPR, o soluţie de AI trebuie să explice in nota de informare, astfel încât să se înţeleagă cât mai uşor, ce date, cum şi în ce scopuri le prelucrează. Pe de altă parte, este obligatorie Documentarea clară privind modul de funcţionare a algoritmilor şi a proceselor decizionale.

3. Responsabilitate şi supraveghere. În cadrul fiecărei companii este necesară stabilirea clară a persoanelor responsabile şi a responsabilităţilor pentru supravegherea utilizării AI. Cu alte cuvinte, organizaţia trebuie să dedice resurse care să supravgheze procesul de implementare, impactul organizaţional, dacă există riscuri de utilizare pentru angajaţi ai solutiei de AI, dar şi performanţa acestei soluţii raportat la costurile de implementare şi utilizare.  Este necesar ca angajaţii să lucreze pe mecanisme de supraveghere şi audit intern bine puse la punct, pentru a putea monitoriza în mod adecvat conformitatea cu reglementările în vigoare.

4. Protecţia datelor şi confidenţialitatea. Vorbim aici despre implementarea măsurilor de protecţie a datelor personale, conform Regulamentului General privind Protecţia Datelor (GDPR) şi asigurarea anonimizării sau pseudonimizării datelor, acolo unde este posibil, dar şi despre obligaţia de acurateţe a informaţiilor personale ce sunt parte din bazele de învăţare ale algoritmului.

De fapt, este vorba despre a analiza înainte de implementare, împreună cu providerul soluţiilor de tip AI, componentele soluţiei, astfel încât aceasta să fie de la bun început concepută în acord perfect cu regulile GDPR. Nerespectarea reglementărilor legale poate duce la sancţiuni, amenzi şi daune reputaţionale.

5. Măsuri de protecţie privind riscurile de securitate cibernetică. Sistemele AI pot fi ţinta atacurilor cibernetice, care pot compromite integritatea şi disponibilitatea lor. Implementarea măsurilor de securitate cibernetică solide, inclusiv firewall-uri, sisteme de detectare a intruziunilor şi testare regulată a vulnerabilităţilor este mai mult decât necesară.

Asigurarea actualizării constante a software-ului şi a infrastructurii pentru a proteja împotriva ameninţărilor noi, implementarea unor protocoale solide de backup şi recuperare în caz de dezastru, testarea riguroasă a soluţiilor AI înainte de implementare şi monitorizarea continuă a performanţei acestora sunt doar câteva măsuri obligatorii.  Iar pentru a minimiza impactul problemelor operaţionale, compania trebuie să pregătească un plan de răspuns rapid la incidente.

6. Bias şi nediscriminare. Identificarea şi eliminarea potenţialelor biais-uri din datele de antrenament şi din algoritmii AI, plus asigurarea că sistemele AI nu discriminează pe baza criteriilor protejate (de ex., rasă, gen, vârstă). Algoritmii AI pot perpetua sau amplifica bias-urile existente în datele de antrenament, ceea ce va duce la decizii nedrepte sau discriminatorii. De exemplu, în cazul utilizării unei soluţii AI în procesul de recrutare, trebuie verificate scenariile de risc în ceea ce priveşte discriminarea candidaţilor. De aceea este obligatorie evaluarea şi curăţarea datelor de antrenament pentru a elimina biais-urile.

7. Formare şi educaţie. Toţi angajaţii implicaţi în dezvoltarea şi utilizarea AI vor fi obligatoriu instruiţi, punctual şi continuu, cu privire la riscuri şi utilizarea responsabilă a AI. Devine deja obligatorie promovarea unei culturi organizaţionale care să susţină etica şi conformitatea în utilizarea AI.

Angajaţii trebuie să fie conştienţi de regulile GDPR şi de importanţa aplicării acestora în utilizarea soluţiilor AI. Formarea continuă şi sensibilizarea în privinţa confidenţialităţii datelor sunt esenţiale pentru a asigura respectarea reglementărilor.

Integrarea soluţiilor AI este esanţială pentru companiile care doresc să rămână competitive în era digitală, dar cu respectarea reglementărilor GDPR, crucială pentru a proteja drepturile şi libertăţile persoanelor. Prin adoptarea măsurilor adecvate pentru protecţia datelor şi asigurarea transparenţei în utilizarea AI, companiile pot beneficia de avantajele tehnologice ale AI, respectând în acelaşi timp cerinţele legale şi etice.

Companiile ar trebui să colaboreze cu experţi în protecţia datelor pentru a dezvolta şi implementa soluţii AI ce respectă GDPR, iar consultarea regulată cu ofiţerii de protecţie a datelor (DPO) poate ajuta la identificarea riscurilor şi implementarea măsurilor adecvate.