Redactia StartupCafe.ro.
Odată cu intrarea în vigoare a legislaței europene privind inteligența artificială (AI Act), de la 1 august 2024, este bine ca firmele din România să ia măsuri pentru a pune în conformitate soluțiile AI pe care le utilizează cu regulamentul de protecție a datelor persoanle GDPR.
Într-o analiză transmisă, joi, publicației StartupCafe.ro, Cristiana Deca, CEO și cofondatoare Decalex, identifică 7 măsuri pe care firmele ar trebui să le ia atunci când folosesc inteligența artificială, cu respectarea regulamentului GDPR:
Cele 7 măsuri pe care companiile trebuie să le adopte pentru a evita riscul de neconformare GDPR în utilizarea soluțiilor AI
Efervescența adoptării soluțiilor bazate pe inteligența artificială a cuprins toate mediile, economic și social în special, mai ales în contextul extinderii digitalizării și a lucrului online. Ceea ce, bineînțeles, este de bun augur, cel puțin din punct de vedere al eficientizării timpului de lucru, a timpului de răspuns către clienți și parteneri sau al modelelor de business, care se pot adapta mai repede condițiilor concurenței.
Cadrul de lucru la nivelul membrilor UE a fost adoptat și intră în vigoare de la 1 august 2024, așa-numitul AI Act sau Regulamentul UE 2024/1689 de stabilire a unor norme armonizate privind inteligența artificială. Acesta reglementează, în cele 180 de articole ale sale, în cele mai mici detalii modul, principiile și normele la care companiile – provideri și beneficiari deopotrivă – să fie atente în procesul de creație și, respectiv utilizare al soluțiilor de tip AI.
Dacă beneficiile adoptării soluțiilor AI par a avea doar beneficii, sigur că există și riscuri, care trebuie avute în vedere la utilizarea acestor soluții AI, de care companiile trebuie să țină cont înainte de toate și să realizeze, anterior implementării acestora, o analiză în detaliu beneficii-riscuri-efecte. AI Act emis de UE explică, de altfel, și categoriile de risc în care pot fi încadrate soluțiile AI.
Unul dintre riscurile majore este acela de neconformare cu regulile privind protecția datelor, respectiv GDPR, tocmai de aceea sunt necesare măsuri specifice, astfel:
- Evaluarea riscurilor și clasificarea aplicațiilor AI. Vorbim despre identificarea și evaluarea riscurilor asociate cu utilizarea soluțiilor de inteligență artificială, precum și de clasificarea aplicațiilor AI conform categoriilor de risc stabilite de regulamentul UE: risc minim, risc limitat, risc ridicat și risc inacceptabil. Pe baza acestor evaluări, companiile vor putea adopta exact acea soluție AI care să răspundă cerințelor interne, inclusiv de conformitate cu regulile GDPR, astfel încât să fie evitată maximum posibil compromiterea datelor personale și sensibile, prin atacuri cibernetice sau scurgeri de informații.
- Transparența și explicabilitatea. Cu alte cuvinte, sistemele AI trebuie să fie transparente și clare, astfel încât modul lor de funcționare să poată fi explicat utilizatorilor și autorităților de reglementare, în egală măsură. Conform GDPR, o soluție de AI trebuie să explice in nota de informare, astfel încât să se înțeleagă cât mai ușor, ce date, cum și în ce scopuri le prelucrează. Pe de altă parte, este obligatorie Documentarea clară privind modul de funcționare a algoritmilor și a proceselor decizionale.
- Responsabilitate și supraveghere. În cadrul fiecărei companii este necesară stabilirea clară a persoanelor responsabile și a responsabilităților pentru supravegherea utilizării AI. Cu alte cuvinte, organizația trebuie să dedice resurse care să supravgheze procesul de implementare, impactul organizațional, dacă există riscuri de utilizare pentru angajați ai solutiei de AI, dar și performanța acestei soluții raportat la costurile de implementare și utilizare. Este necesar ca angajații să lucreze pe mecanisme de supraveghere și audit intern bine puse la punct, pentru a putea monitoriza în mod adecvat conformitatea cu reglementările în vigoare.
- Protecția datelor și confidențialitatea. Vorbim aici despre implementarea măsurilor de protecție a datelor personale, conform Regulamentului General privind Protecția Datelor (GDPR) și asigurarea anonimizării sau pseudonimizării datelor, acolo unde este posibil, dar și despre obligația de acuratețe a informațiilor personale ce sunt parte din bazele de învățare ale algoritmului. De fapt, este vorba despre a analiza înainte de implementare, împreună cu providerul soluțiilor de tip AI, componentele soluției, astfel încât aceasta să fie de la bun început concepută în acord perfect cu regulile GDPR. Nerespectarea reglementărilor legale poate duce la sancțiuni, amenzi și daune reputaționale.
- Măsuri de protecție privind riscurile de securitate cibernetică. Sistemele AI pot fi ținta atacurilor cibernetice, care pot compromite integritatea și disponibilitatea lor. Implementarea măsurilor de securitate cibernetică solide, inclusiv firewall-uri, sisteme de detectare a intruziunilor și testare regulată a vulnerabilităților este mai mult decât necesară. Asigurarea actualizării constante a software-ului și a infrastructurii pentru a proteja împotriva amenințărilor noi, implementarea unor protocoale solide de backup și recuperare în caz de dezastru, testarea riguroasă a soluțiilor AI înainte de implementare și monitorizarea continuă a performanței acestora sunt doar câteva măsuri obligatorii. Iar pentru a minimiza impactul problemelor operaționale, compania trebuie să pregătească un plan de răspuns rapid la incidente.
- Bias și nediscriminare. Identificarea și eliminarea potențialelor biais-uri din datele de antrenament și din algoritmii AI, plus asigurarea că sistemele AI nu discriminează pe baza criteriilor protejate (de ex., rasă, gen, vârstă). Algoritmii AI pot perpetua sau amplifica bias-urile existente în datele de antrenament, ceea ce va duce la decizii nedrepte sau discriminatorii. De exemplu, în cazul utilizării unei soluții AI în procesul de recrutare, trebuie verificate scenariile de risc în ceea ce privește discriminarea candidaților. De aceea este obligatorie evaluarea și curățarea datelor de antrenament pentru a elimina biais-urile.
- Formare și educație. Toți angajații implicați în dezvoltarea și utilizarea AI vor fi obligatoriu instruiți, punctual și continuu, cu privire la riscuri și utilizarea responsabilă a AI. Devine deja obligatorie promovarea unei culturi organizaționale care să susțină etica și conformitatea în utilizarea AI. Angajații trebuie să fie conștienți de regulile GDPR și de importanța aplicării acestora în utilizarea soluțiilor AI. Formarea continuă și sensibilizarea în privința confidențialității datelor sunt esențiale pentru a asigura respectarea reglementărilor.
Integrarea soluțiilor AI este esanțială pentru companiile care doresc să rămână competitive în era digitală, dar cu respectarea reglementărilor GDPR, crucială pentru a proteja drepturile și libertățile persoanelor. Prin adoptarea măsurilor adecvate pentru protecția datelor și asigurarea transparenței în utilizarea AI, companiile pot beneficia de avantajele tehnologice ale AI, respectând în același timp cerințele legale și etice.
Companiile ar trebui să colaboreze cu experți în protecția datelor pentru a dezvolta și implementa soluții AI ce respectă GDPR, iar consultarea regulată cu ofițerii de protecție a datelor (DPO) poate ajuta la identificarea riscurilor și implementarea măsurilor adecvate.