Inteligența artificială – un pericol pentru protecția datelor sau un instrument de conformare la GDPR
11 ianuarie 2019 | Vlad BERCU
Vlad Bercu
I. J. Good[1] afirma în 1965 că: inventarea unei mașini utrainteligente va fi ultimul lucru pe care trebuie să-l facă omul, cu condiția că aceasta să fie suficient de docilă, încât să ne arate cum s-o ținem sub control.
În anul 2018, o „popularitate”, sau mai bine zis o atenție sporită, au cunoscut-o două domenii relativ noi, al căror impact asupra persoanelor fizice și juridice, cât și asupra societății umane, urmează să crească în progresie geometrică în cel mai scurt timp. Din cuprinsul titlului reiese că vom discuta despre: Protecția datelor – prin intrarea în vigoare la data de 25 mai 2018 a Regulamentului general privind protecția datelor (GDPR) – și Inteligența artificială (în continuare „IA”).
GDPR reglementează, în principal, obligațiile operatorilor de date cu caracter personal și persoanelor împuternicite de operator în raport cu drepturile persoanelor vizate, atunci când datele acestora sunt prelucrate de cei dintâi. „Nodul gordian[2]” al GDPR îl reprezintă datele cu caracter personal, care înseamnă: orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”).
Inteligența artificială reprezintă un concept care descrie un sistem informatic care are capacitatea de a prelucra o cantitate de informații, a crea modele, tipare, categorii etc., în baza cărora poate genera concluzii/ori poate dobândi capacitatea de a lua decizii. Într-o formulare mai simplistă – programele bazate pe IA au ca scop simularea gândire umană.
Domeniul IA cunoaște mai multe ramuri de dezvoltare, în funcție de rezultatele care se urmăresc a fi atinse, de exemplu machine larning, supervised learning, deep learning, sisteme de decizie, robotică inteligentă ș.a.m.d.
Articolul nu are ca scop explicarea detaliilor tehnice ale fiecăreia dintre ramurile IA. Totuși, pentru o înțelegere mai bună a ceea ce reprezintă IA și cum poate aceasta interacționa cu datele cu caracter personal, indicăm câteva exemple practice cu privire la modul de operare a unui program IA.
Machine learning – reprezintă o ramură de cercetare în cadrul IA, bazată pe conceptul analizei unei cantități de date, introduse în cadrul sistemului, identificarea anumitor modele (din eng. patterns) și luarea deciziilor în baza acestora.
Deep learning – este o extensie a celei descrise anterior, se bazează la fel ca machine learning pe introducerea unei cantități de informații, o caracteristică distinctă, însă, o reprezintă capacitatea acesteia de a păstra în memorie acțiunile sale din trecut și de a învața în baza acestora, practic având capacitatea de a se autoinstrui.
Supervised learning – este o ramificație a deep learning, diferența fiind modul de instruire a softului, inițial acest are o funcție de observator al acțiunilor îndeplinite de o persoană, pe parcursul scurgerii timpului softul urmează să deprindă aptitudinile individului supravegheat.
Exemplu practic al utilizării softurilor IA. La sfârșitul anilor ’90, începutul anilor 2000, au fost elaborate primele sisteme de filtrare a mesajelor „SPAM”. Acestea funcționau conform următorului algoritm: Pasul 1: soft-ul este încărcat cu un anumit număr de mailuri (de exemplu, 100 de e-mailuri), care au fost sortate manual în două categorii: „SPAM” și „NOT SPAM”; Pasul 2: softul le analizează, iar pe parcursul analizei urmează să identifice anumite cuvinte, elemente cheie (patterns) care se regăsesc mai des în mesajele marcate ca „SPAM” (de exemplu: cumpărați, accesați linkul, reducere etc.). Ulterior procesării tuturor mesajelor și determinării acestor cuvinte-cheie, softul va dobândi capacitatea să sorteze în mod autonom noile mesaje care vor trece prin sistem, conform categoriilor „SPAM” și „NOT SPAM”.
Din cele menționate supra putem creiona următoarea concluzie: orice soft bazat pe IA nu poate exista în lipsa unei cantități de informații care să-l „alimenteze” într-o etapă incipientă al ciclului său vital. Cu titlu de exemplu, marile companii precum Google, Apple, Amazon ș.a.m.d. intenționează să utilizeze softuri IA și în domeniul HR, adică pentru recrutarea de personal.
Pilonii de legalitate de bază ai Regulamentului General privind Protecția Datelor îi regăsim în cuprinsul art. 5, în care sunt enunțate principiile legate de prelucrarea legală a datelor cu caracter personal:
– principiul legalității, echității și transparenței;
– principiul limitării prelucrării datelor legate de scop;
– principiul reducerii la minimum a datelor;
– principiul exactității datelor cu caracter personal;
– principiul limitării legate de perioada de stocare;
– principiul integrității și confidențialității;
– principiul responsabilității operatorului.
Utilizatorii de sisteme informatice bazate pe tehnologiile IA, urmează să ia în calcul dacă softurile superinteligente funcționează în activitatea lor sub egida acestor principii de bază ale GDPR. În aceeași măsură, dezvoltatorii de software din domeniul IA trebuie să ia în considerare pentru o conformare autentică cu principiile de bază a GDPR în special următoarele aspecte:
1. Principiul echității prelucrării datelor cu caracter de personal
În perioada 2014-2017, Amazon a proiectat un sistem, bazat pe machine learning, care urma să degreveze compania de sarcina susțenerii câtorva mii de interviuri pentru angajarea personalului pe posturile de muncă vacante. Sistemul a fost încărcat cu un număr mare de CV-uri și a selectat un număr de patterns, care ar trebui să se regăsească la candidații cei mai promițători pentru locurile vacante existente în cadrul companie. În esență, Amazon dorea ca din cele 100 de CV-uri sistemul să selecteze un număr de cinci CV-uri (the top ones), care corespund cel mai bine criteriilor avute în vedere de companie pentru posturile vacante, fără necesitatea unei intervenții umane. Interesant este faptul că după un timp în care sistemul IA a fost supravegheat, pentru a depista dacă existau nereguli în funcționarea acestuia, respectiv abateri de la respectarea dispozițiilor legale aplicabile, dezvoltatorii software au observat că bărbații erau cei favorizați, chestiune ce intră în contradicție cu dispozițiile normative ce interzic discriminarea între femei și bărbați, precum și necesitatea respectării egalității de șanse. Discriminarea persoanelor de gen feminin s-a produs din cauza faptului că sistemul a luat în calcul inclusiv elemente ca probabilitatea acestora de a rămâne însărcinate.
Cazul descris prezintă o problemă prioritară pentru dezvoltatorii tehnologiilor bazate pe IA, ori conform principiului legalității, echității și transparenței prelucrării datelor cu caracter personal, acesta impune ca operatorul de date să prevină tratamentele discriminatorii în privința persoanelor vizate, ale căror date sunt supuse prelucrării. Principalul impediment tehnic îl reprezintă așa numita „Black box of Artificial Intelligence[3]”, care este în contradicție și cu principiul transparenței prelucrării datelor cu caracter personal
2. Principiul transparenței prelucrării dateor cu caracter personal
„Black Box of AI” poate fi explicată foarte simplu: se cunosc datele care sunt introduse în cadrul sistemului (input), cât și rezultatul prelucrării datelor introduse de sistem (output), însă nu se știe ce se petrece propriu-zis în cadrul sistemului în perioada procesării informațiilor introduse.
Circumstanțe care nu pot fi calificate nicidecum favorabile art. 13 și art. 14 din GDPR, care prevede că persoana vizată are dreptul de a fi informată referitor la modul în care vor fi utilizate datele cu caracter personal, cine va avea acces la date și în ce scopuri vor fi utilizate. Art. 12 din GDPR impune operatorului de date cu caracter personal obligația de a lua măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 13 și 14 din GDPR, într-un limbaj cât se poate de clar pentru aceasta.
Aceste cerințe sunt dificil de îndeplinit în momentul în care interacționăm cu tehnologiile hi-tech, care reprezintă o provocare chiar și pentru specialiștii în domeniu.
3. Procesul decizional automatizat – art. 22
Conform Ghidului Grupului de Lucru, art. 29 privind procesul decizional individual automatizat și crearea de profiluri în sensul Regulamentului (UE) 2016/679, prin proces decizional automatizat înțelegem capacitatea de a luare a deciziilor prin intermediul mijloacelor tehnologice, fără intervenția umană.
Desigur că această categorie înglobează în sine și IA, în momentul în care procesul este automatizat 100% și produce efecte legale ori similare, care pot afecta persoana vizată. În astfel de situații fiind aplicabile dispozițiile art. 22 din GDPR. De exemplu, lipsirea de anumite sporuri ca urmare a unei analize automatizate la locul de muncă; refuzul de acordare a unui credit față de persoana care a aplicat pentru obținerea acestuia; sau aplicarea în practică a exemplului Amazon de mai sus).
Operatorul de date cu caracter personal are obligația de a fi conștient că utilizarea unui proces decizional automatizat este mai mult o excepție pentru anumite cazuri [art. 22 alin. (2) GDPR] decât un drept al său.
Din cele relatate la punctele 1, 2 și 3, deducem că domeniul inteligenței artificiale, care în ultima perioadă și-a luat un avânt în evoluția tehnologică, urmează a lua în calcul, încă din momentul conceperii sistemelor, dar și pe toată durata lor de existență, importanța securității datelor cu caracter personal și imperativul necesității respectării drepturilor personelor vizate.
Într-o altă ordine de idei, pentru a încheia într-o notă de optimism, IA poate reprezenta o oportunitate inedită pentru securitatea datelor cu caracter personal putând deveni:
a) „Antivirusul” pentru prelucrarea neautorizată a datelor cu caracter personal: depistarea de către de operatorul de date cu caracter personal a unor data breach-uri, chiar și prin utilizarea unor sisteme software, la momentul de față lasă de dorit. Un soft IA care să fie „omniprezent” în cadrul bazelor de date ale operatorului, care să vegheze asupra manipulărilor datelor personale ale persoanelor vizate ar putea fi o soluție. Totuși un asemenea sistem ar putea fi considerat prea intruziv (în dependență de ce entități au acces la acesta).
b) IA și DPIA: evaluarea de impact privind protecția datelor cu caracter personal (art. 35 GDPR) reprezintă un proces conceput pentru a identifica și minimaliza riscurile în cadrul activității de prelucrare a datelor. Art. 35 reglementează foarte concis DPIA, iar Autoritățile Naționale de Supraveghere a Protecției Datelor cu Caracter Personal, conform GDPR, emit Liste ale operațiunilor pentru care este obligatorie realizarea DPIA. ANSPDCP din România a emis Decizia nr. 174/2018 privind lista operațiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal[4]. Evaluarea de impact reprezintă un proces de analiză detaliată, finalizată cu emiterea unor concluzii și recomandări. În acest sens, Autoritatea de Supraveghere franceză a elaborat un mecanism similar, denumit PIA (Protect Impact Assesment).
În concluzie, inteligența artificială este un domeniu unde „combustibilul” principal este informația, iar conformarea la GDPR reprezintă o necesitate vitală pentru asigurarea protecției datelor personelor vizate, în condițiile în care popularitatea utilizării IA crește pentru tot mai multe și diverse sfere de activitate.
[1] I. J. Good, The Estimation of Probabilities: An Essay on Modern Bayesian Methods, 1965.
[2] „Nodul Gordian” – este o expresie utilizată pentru a ilustra o problemă, care, aparent nu are soluție.
[3] Fenomenul numit „Cutia neagră a IA” este explicat de către dezvoltatorii softurilor bazate pe IA, drept imposibilitatea de a înțelege ce se petrece în cadrul softurilor IA în momentul procesării informațiilor în cadrul sistemului, și ce stă la baza deciziilor softului care se materializează în rezultatul prezentat de acesta persoanelor care monitorizează activitatea programului informatic.
[4] Disponibil aici.
Vlad Bercu
Research assistant SĂVESCU & ASOCIAȚII
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
