Începând cu 1 august 2024, ne aflăm în fața unui nou capitol în ceea ce privește reglementarea tehnologiei, marcat de intrarea în vigoare a Regulamentului European privind inteligența artificială („AI Act”). AI Act marchează un moment crucial în ceea ce privește modul în care conceptualizăm, dezvoltăm și implementăm inteligența artificială („AI”) în activitățile zilnice, având totodată scopul de a atinge un echilibru fragil: promovarea progresului tehnologic, protejând în același timp drepturile fundamentale ale omului.
În acest articol realizat de Diana Ciubotaru și Silvana Curteanu, Avocați Colaboratori în cadrul casei de avocatură bpv GRIGORESCU ȘTEFĂNICĂ, cu o experiență bogată în domeniul tehnologiei, este analizată interacțiunea dintre inovarea din domeniul AI și utilizarea seturilor vaste și complexe de date (așa-numitele „big data”), cu respectarea, în același timp, a protecției datelor cu caracter personal, în special în concordanță cu prevederile Regulamentului general privind protecția datelor („GDPR”).
Articolul reprezintă o radiografie a contextului actual privit din perspectiva reglemetărilor din domeniul protecției datelor cu caracter personal și a disponibilității lor algoritmice, trecând totodată în revistă principalele dispoziții relevante din GDPR ce vizează implementarea și folosirea AI și modul în care AI Act impactează normele GDPR.
AI Act – De la concept la realitate
Parcursul AI Act de la stadiul de concept la realitate este marcat de o serie de etape progresive, iar aplicarea efectivă a dispozițiilor sale va avea loc în patru etape, după cum urmează:
Click pe imagine pentru o dimensiune mai mare.
Cine intră în sfera de aplicare a AI Act?
AI Act se aplică unei vaste categorii de entități implicate în dezvoltarea, implementarea și utilizarea sistemelor de AI în Uniunea Europeană („UE”). În special, acesta se aplică:
- Furnizorilor de AI: organizații și persoane fizice care introduc pe piața din UE sisteme de AI sau modele de AI de uz general, indiferent dacă furnizorii respectivi își au sediul sau sunt situați în UE sau într-o țară terță;
- Implementatorilor de AI: entități care utilizează sisteme de AI în activitățile lor profesionale, inclusiv întreprinderi, autorități publice și alte organizații, mai ales în cazul în care utilizează aplicații de AI cu grad ridicat de risc, și care își au sediul sau sunt situate în UE;
- Furnizorilor sau Implementatorilor de AI: entități care își au sediul sau sunt situate într-o țară terță, în cazul în care rezultatul produs de sistemul AI este utilizat în UE;
- Importatorilor și Distribuitorilor de sisteme de AI care introduc sisteme de AI pe piața UE;
- Fabricanților de produse care introduc pe piață sau pun în funcțiune un sistem de AI împreună cu produsul lor și sub numele sau marca lor comercială.
Excepții
AI Act nu se aplică în cazul:
- sistemelor care nu se califică drept AI (e.g., tehnologii care nu implică învățarea automată, prelucrarea limbajului natural sau tehnici similare de AI similare);
- aplicații militare utilizate exclusiv în scopuri militare;
- activităților de cercetare și dezvoltare care implică utilizarea sistemelor de AI exclusiv în scopuri de cercetare și dezvoltare, în special într-un context necomercial;
- uzului personal: sisteme de AI utilizate de persoane fizice în scopuri personale, în afara activității profesionale (e.g., asistenți personali sau sisteme de automatizare a locuinței care nu au impact asupra altor persoane);
- anumitor servicii publice care nu implică aplicații de AI cu grad ridicat de risc cu risc, în funcție de contextul specific și de cazul de utilizare (e.g., servicii publice de sănătate),
- întreprinderilor mici: deși AI Act se aplică tuturor organizațiilor, anumite dispoziții sau cerințe nu sunt aplicabile în cazul întreprinderilor mici, în special în ceea ce privește obligațiile acestora de conformitate;
- programelor informatice gratuite și cele cu sursă deschisă – open-source (cu excepția cazului în care utilizarea lor le-ar clasifica drept sisteme de AI interzise sau cu grad ridicat de risc, sau utilizarea lor le-ar supune unor obligații de transparență).
Pe măsură ce instrumentele de AI devin din ce în ce mai integrate în activitățile noastre zilnice, asigurarea conformității acestora cu prevederile GDPR este fundamentală. Interferența dintre normele GDPR și dispozițiile AI Act este esențială, având în vedere că AI Act oferă, de asemenea, cadrul pentru o nouă categorie de modele de AI, așa-numitele modele de AI de uz general, exemplul tipic de astfel de modele fiind reprezentat de modelele de AI generative, caracterizate de capacitatea lor de a răspunde cu ușurință unei game largi de sarcini distincte, iar unele dintre acestea, și de capacitatea de autoînvățare.
Cu toate acestea, rămâne totuși o întrebare: Vor fi majoritatea sarcinilor umane automatizate prin AI? Pot sistemele de AI să îmbunătățească sau să înlocuiască raționamentul și empatia umană? Sau este posibil ca acestea să coexiste în echilibru?
Perspectiva GDPR – observații generale
După cum se poate observa cu ușurință, GDPR este neutru în privința AI și nu reglementează în mod specific colectarea și prelucrarea datelor cu caracter personal prin sistemele de AI. AI Act completează prevederile GDPR prin stabilirea condițiilor pentru dezvoltarea și implementarea unor sisteme de AI de încredere, introducând unele noutăți legate de datele cu caracter personal și de anumite activități de prelucrare.
Indiferent de tipul de activitate pe care o desfășoară și care implică utilizarea sistemelor sau instrumentelor de AI, furnizorii și implementatorii de AI trebuie să își delimiteze foarte atent obligațiile, având în vedere în special interacțiunile dintre prevederile GDPR și AI Act și aplicabilitatea lor combinată. De exemplu, ambele regulamente abordează conceptul de „luare automată a deciziilor”, dar din unghiuri diferite, care sunt în mod incontestabil interconectate.
În mod similar, în timp ce modelele de AI sunt antrenate pe baza unor volume mari de date, GDPR abordează prelucrarea automată pe scară largă a datelor cu caracter personal. În mod specific, crearea de profiluri și procesele decizionale automatizate sunt unele dintre principalele probleme care apar în cadrul utilizării AI pentru a furniza și obține o predicție sau o recomandare cu privire la persoane.
Dar cum determinăm regulamentul aplicabil în situații concrete?
În esență, AI Act se aplică exclusiv sistemelor și modelelor de AI, iar GDPR este aplicabil pentru orice prelucrare a datelor cu caracter personal. Astfel, se pot identifica patru potențiale scenarii:
Impactul AI Act asupra protecției datelor cu caracter personal
În pofida obiectivului comun al ambelor cadre normative - protejarea drepturilor fundamentale ale persoanelor fizice (inclusiv prelucrarea datelor cu caracter personal prin sisteme de AI în mod legal) - există, în mod inevitabil, anumite „tensiuni” între prevederile GDPR și cele ale AI Act.
La o primă vedere, alinierea principiilor limitării legate de scop, reducerii la minimum a datelor și a restricțiilor privind procesele decizionale automatizate prevăzute de GDPR, pe de o parte, cu prelucrarea unor volume considerabile de date cu caracter personal pentru scopuri insuficient de precis determinate în contextul domeniul de aplicare al AI Act, pe de altă parte, ar putea părea problematică.
Cu toate acestea, principiile privind protecția datelor pot fi interpretate și aplicate într-o manieră consecventă cu avantajele tehnologiilor de inteligență artificială și ale utilizării unor volume mari de date, de exemplu:
- principiul limitării legate de scop permite reutilizarea datelor cu caracter personal când o astfel de reutilizare este compatibilă cu scopul inițial;
- principiul reducerii la minimum a datelor poate fi aplicat prin reducerea posibilității de identificare a datelor, mai mult decât prin reducerea volumului de date - de exemplu, prin pseudonimizare;
- interdicția privind luarea automată a deciziilor prevăzută de GDPR este însoțită, cu titlu general, de nuanțe și excepții particulare, fără a împiedica, astfel, dezvoltarea sau implementarea viitoare a AI în această privință.
Abordarea cuprinzătoare a ambelor cadre de reglementare ar putea fi esențială pentru promovarea unei culturi a conformității, transparenței și încrederii în diverse sectoare de activitate (inclusiv în ceea ce privește angajații și relațiile de muncă). Asigurarea echilibrului dintre protejarea vieții private și inovația tehnologică este un obiectiv fezabil, existând o complementaritate semnificativă între GDPR și AI Act.
În esență, cele mai relevante elemente ale GDPR ce pot fi interconectate cu utilizarea sistemelor de AI sau a altor tehnologii de automatizare conexe (inclusiv în contextul activităților de prelucrare a datelor cu caracter personal ale angajaților) sunt:
- dreptul de a fi informat și dreptul de acces
Articolele 13, 14 și 15 din GDPR stipulează obligația operatorilor de date cu caracter personal de a oferi informații detaliate în legătură cu activitățile lor de prelucrare, în special în cadrul utilizării proceselor decizionale automatizate sau a profilării. Această obligație include furnizarea de explicații privind logica din spatele unor astfel de procedee și potențialele consecințe pe care acestea le au pentru persoanele fizice. În mod similar, AI Act pune accentul pe transparență atât în dezvoltarea, cât și în utilizarea sistemelor de AI. Astfel, cerințele de transparență din GDPR sunt completate de obligațiile suplimentare prevăzute de AI Act, care consolidează nevoia informării clare referitoare la prelucrările de date realizate prin AI, spre exemplu:
- obligația furnizorilor de AI de a informa persoanele fizice despre interacțiunea lor cu un sistem de AI, dacă această interacțiune nu reiese în mod evident din context;
- obligația implementatorilor de AI de a informa persoanele fizice în legătură cu operarea sistemelor de AI utilizate pentru recunoașterea emoțiilor sau clasificare biometrică;
- obligația furnizorilor de AI de a pune la dispoziție și a distribui public un sumar detaliat privind datele de antrenament utilizate pentru sistemele de AI de uz general;
- obligația implementatorilor de AI care au calitatea de angajatori de a notifica reprezentanții angajaților și angajații vizați în legătură cu utilizarea sistemelor de AI cu grad ridicat de risc la locul de muncă.
- dreptul la opoziție
După cum subliniază articolul 21 din GDPR, persoanele vizate se pot opune prelucrării datelor lor cu caracter personal, în special profilării.
Astfel, GDPR oferă deja utilizatorilor (unui sistem/instrument de AI) posibilitatea de a refuza utilizarea unor informații personale, de exemplu, în scopul antrenării sistemelor de AI. Dreptul de a se opune prelucrării asigură prevenirea utilizării datelor cu caracter personal ale persoanelor fizice în dezvoltarea unui model de AI, în mod special când aceasta implică profilare și procese decizionale automatizate.
Prin urmare, cadrul actual al GDPR conferă o protecție adecvată vieții private a utilizatorilor în contextul utilizării AI, eliminând necesitatea introducerii, prin AI Act, a unor mecanisme suplimentare prin care utilizatorii să se opună utilizării datelor lor cu caracter personal.
- procese decizionale automatizate
Articolul 22 și preambulul 71 din GDPR acordă persoanelor vizate dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată (inclusiv profilare), în special în cazul în care astfel de decizii produc un impact juridic sau afectează într-o modalitate similară persoana vizată.
Posibilitatea exercitării acestui drept, inclusiv eventuala contestare a unei astfel de decizii automatizate, necesită și implică intervenție umană. Pornind din acest punct, în ceea ce privește sistemele de AI cu grad ridicat de risc, articolul 14 din AI Act impune asigurarea unui nivel suplimentar de supraveghere umană în special în special în proiectarea și dezvoltarea sistemelor de AI cu grad ridicat de risc, în scopul prevenirii riscurilor pentru sănătate, siguranță sau drepturile fundamentale. Prin urmare, sub aspectul intervenției umane în procesul decizional automatizat, sistemele de AI cu grad de risc scăzut sau minim sunt supuse exclusiv cerințelor GDPR.
- (iv) evaluarea riscurilor și cerințe de documentare
Articolul 35 din GDPR impune evaluarea impactului asupra protecției datelor (DPIA) în privința prelucrărilor de date cu caracter personal care presupun un grad ridicat de risc, precum crearea de profiluri la scară largă utilizând AI (e.g., crearea de profiluri ale candidaților/angajaților utilizând un sistem de AI).
În mod similar, AI Act prevede obligația realizării unei evaluări a conformității, de către furnizorii de AI, precum și obligația realizării unei evaluări a impactului sistemelor de AI asupra drepturilor fundamentale (FRIA), de către implementatorii de AI.
FRIA presupune evaluarea riscurilor pe care sistemele de AI le prezintă pentru persoanele fizice și determinarea strategiilor de combatere a acestor riscuri. În timp ce DPIA se axează pe impactul prelucrării datelor cu caracter personal, FRIA analizează consecințele mai vaste ale utilizării AI asupra drepturilor persoanelor fizice.
Articolul 27 alin. (4) din AI Act evidențiază caracterul complementar al acestor documentații, nefiind doar o suprapunere birocratică, ci evaluări distincte, dar interconectate, care abordează diferite aspecte ale punerii în aplicare a AI și efectele acesteia asupra drepturilor fundamentale.
AI Act aduce căteva noutăți de impact în materia prelucrării datelor
În mod evident, AI Act și GDPR se completează reciproc. Cu toate acestea, având în vedere că cele două cadre juridice nu au același obiect de reglementare, acestea nu au nevoie de aceeași abordare. Astfel, în anumite privințe, AI Act oferă un regim mai flexibil din perspectiva prelucrării datelor cu caracter personal.
De exemplu, AI Act prevede că:
- autoritățile competente pentru aplicarea legii pot utiliza sisteme de identificare biometrică la distanță în timp real în spațiile accesibile publicului în circumstanțe excepționale, cum ar fi în scopul localizării victimelor traficului de persoane, prevenirii amenințărilor iminente sau identificării unei persoane suspectate de săvârșirea unei infracțiuni (i.e., articolul 5 din AI Act). Aceste cazuri pot fi considerate excepții de la articolul 9 din GDPR, care interzice în general colectarea și prelucrarea datelor biometrice.
- furnizorii de sisteme AI cu grad ridicat de risc pot prelucra categorii speciale de date cu caracter personal dacă acest lucru este strict necesar pentru detectarea și corectarea prejudecăților generate de sisteme de AI (i.e., articolul 10 din AI Act). Această prelucrare trebuie să respecte condițiile stricte prevăzute la articolul 9 din GDPR.
- reutilizarea datelor sensibile, cum ar fi datele genetice, biometrice și de sănătate, în cadrul spațiilor de testare în materie de reglementare în domeniul AI pentru a sprijini dezvoltarea sistemelor cu un interes public semnificativ (e.g., sistemul de sănătate). Aceste spații de testare vor fi supravegheate de către o autoritate națională competentă (i.e., articolul 59 din AI Act).
Care sunt sancțiunile?
Chiar dacă cele două regulamente se completează reciproc, sancțiunile ce pot fi aplicate pentru nerespectarea prevederilor acestora diferă.
Sancțiunile principale care se pot aplica sunt:
