​Responsabilitatea operatorilor pentru deciziile automate in cadrul GDPR
In cadrul diferitelor comunitati de specialisti, Regulamentul UE privind protectia generala a datelor - GDPR a declansat o dezbatere plina de viata cu privire la faptul ca persoanele vizate au un "drept de explicatie" al deciziilor automate luate in legatura cu acestea. La un capat al spectrului, vedem argumente in sensul ca nu exista un astfel de drept in cadrul GDPR, ci doar un "drept limitat la informatie". In schimb, altii au sustinut ca aceasta pozitie se bazeaza pe o citire foarte restransa a dispozitiilor relevante ale GDPR si ca o interpretare contextuala arata ca GDPR ofera intr-adevar un drept de explicatie in ceea ce priveste deciziile individuale automatizate. Majoritatea sunt de acord cu aceasta din urma interpretare si in continuare incercam sa explicam acest lucru.
Cerinta de responsabilitate
Furnizarea de informatii in avans catre persoanele vizate privind luarea deciziilor automate si logica acestora sau o explicatie adresata persoanelor vizate cu privire la deciziile automate dupa ce acestea sunt facute reprezinta responsabilitatea operatorului; prevederea privind responsabilizarea dpdv GDPR (art. 5 alin.2 si art.22 din GDPR) impune ca operatorii sa demonstreze respectarea obligatiilor lor materiale in temeiul GDPR, in special cerintele de legalitate, corectitudine si transparenta.
Acest lucru impune operatorilor sa demonstreze ca toate corelatiile aplicate in algoritmi ca "reguli de decizie" sunt semnificative (de exemplu, nu exista o suprematie intre corelatii fara o cauzalitate dovedita) si sunt impartiale (nediscriminatorii) si constituie, prin urmare, o justificare legitima a deciziilor automate despre persoanele vizate. Amintim faptul ca transparenta pentru persoanele vizate si dreptul persoanelor vizate de a accesa, de exemplu, datele lor permit in primul rand persoanelor in cauza sa-si exercite celelalte drepturi, cum ar fi dreptul de a se opune crearii de profiluri (art.21), dreptul de a solicita stergerea sau rectificarea profilului lor (art.17) sau dreptul de a contesta deciziile automate referitoare la acestea (art.22 alin.3).
Principiul responsabilitatii impune operatorilor sa demonstreze ulterior respectarea obligatiilor materiale GDPR.
Operatorii trebuie sa poata demonstra ca toate corelatiile aplicate in algoritm pot fi utilizate in mod legitim pentru justificarea deciziilor automate. Pentru a da un exemplu foarte simplist, o explicatie a logicii unei decizii poate fi aceea ca individul relevant face parte dintr-o minoritate etnica specifica. Persoana vizata poate contesta aceasta decizie ca fiind discriminatorie. Operatorul va trebui apoi sa demonstreze ca utilizarea acestei "reguli" pentru decizia relevanta nu constituie o discriminare ilegala pentru a continua aceasta prelucrare. Daca persoana vizata nu este multumita, va depune o plangere, iar autoritatile de supraveghere ale UE vor investiga aspectele sesizate.
Responsabilitatea algoritmica
Pentru a-si indeplini obligatiile in ceea ce priveste luarea deciziilor automate, operatorii vor trebui sa isi elaboreze, dezvolte si sa aplice algoritmii intr-o maniera transparenta, previzibila si verificabila. In acest sens, expresia "algoritmul a facut-o" nu este o scuza acceptabila. Responsabilitatea algoritmica implica o obligatie de a raporta si justifica procesul de luare a deciziilor algoritmice si de a atenua orice impact social negativ sau potentiale daune. Aceste preocupari nu se limiteaza la legile UE. Comisia Federala a Comertului din SUA-U.S. Federal Trade Commission a emis recomandari care promoveaza principii similare de legalitate si corectitudine atunci cand aplica algoritmi la luarea deciziilor, iar cercetatorii americani au abordat problema ca luarea deciziei automate in contextul ocuparii fortei de munca poate avea un impact disparat pentru clasele protejate, incalca legile antidiscriminare din SUA. Pentru ca organizatiile sa se fereasca de o cerere de impact diferita, trebuie sa demonstreze ca impactul disparat este justificat si nu ilegal.
Potrivit raportului Autoritatii norvegiene pentru protectia datelor, privind inteligenta artificiala si viata privata:
"O organizatie trebuie sa fie capabila sa explice si sa documenteze si, in unele cazuri, sa demonstreze ca prelucreaza datele cu caracter personal in conformitate cu regulile (...) In cazul in care se suspecteaza ca un cont dat de o organizatie este gresit sau contine informatii eronate, poate cere organizatiei sa verifice detaliile rutinelor si evaluarilor (...) Acest lucru poate fi necesar atunci cand, de exemplu, exista o suspiciune ca un algoritm utilizeaza date pentru care organizatia nu are nicio baza pentru procesare sau daca exista o suspiciune ca algoritmul coreleaza date care vor conduce la un rezultat discriminatoriu. "
Informatii sau explicatii?
In ceea ce priveste dreptul la informatie , GDPR, in art.13 alin.2 lit.(f) si art.14 alin.2 lit.(g), solicita in mod explicit operatorilor care utilizeaza date cu caracter personal in luarea deciziilor automate urmatoarele:
(a) sa informeze persoanele vizate in prealabil cu privire la activitatile decizionale automatizate; si
(b) sa furnizeze persoanelor vizate informatii semnificative despre logica implicata, importanta luarii deciziilor si consecintele preconizate pentru aceste persoane.
In avizul sau privind luarea deciziilor automate si profilarea, Grupul de lucru "Articolul 29" a recunoscut ca "dezvoltarea si complexitatea invatarii automate pot face dificila intelegerea modului in care functioneaza un proces decizional automatizat sau profilare". In ciuda acestui fapt, "compania ar trebui sa gaseasca modalitati simple de a informa persoana vizata cu privire la rationamentul din spatele sau criteriile invocate pentru a ajunge la decizie fara a incerca intotdeauna o explicatie complexa a algoritmilor utilizati sau dezvaluirea algoritmului complet".
Observam ca, pentru ca Operatorul sa poata explica aceste criterii, va trebui sa stie ce reprezinta aceste criterii in primul rand, adica algoritmul nu poate constitui o "cutie neagra".
Pentru dreptul la o explicatie , art. 22 alin. 3 din GDPR cere unui operator sa puna in aplicare masuri de protectie adecvate atunci cand elaboreaza decizii automate, care ar trebui sa includa cel putin dreptul de a obtine o interventie umana, sa isi exprime punctul de vedere si sa conteste decizia. Considerentul 71 mentioneaza o protectie suplimentara: dreptul la o explicatie a unei decizii automate specifice. Cei care pretind ca art.22 nu ofera dreptul la o explicatie subliniaza ca acest drept este inclus numai in preambulul GDPR si ca preambulul nu are forta obligatorie (asa cum a confirmat Curtea de Justitie a Uniunii Europene). Cu toate acestea, CJEU explica, de asemenea, ca acest lucru nu priveaza preambulul de orice inteles; acesta interzice pur si simplu utilizarea preambulului pentru a interpreta o dispozitie intr-o maniera care este in mod vadit contrara textului sau.
Art.22 alin.3 precizeaza ca trebuie sa fie incluse cel putin garantiile in proiectarea deciziilor automate. Aceasta formulare da destul de mult spatiu pentru a solicita alte garantii, cum ar fi dreptul la o explicatie a unei decizii automate specifice mentionate in considerentul 71. Din nou, pentru ca operatorul sa explice decizia astfel incat persoana vizata sa inteleaga rezultatul, operatorul de date trebuie sa stie ce "reguli de decizie" sunt setate in primul rand.
Responsabilitatea algoritmica necesita dezvoltarea "cutiei albe"
Desi suntem departe de a pune piatra de temelie pentru ceea ce ar necesita dezvoltarea "cutiei albe", exista cateva orientari care trebuie luate in considerare atunci cand se elaboreaza algoritmi pentru luarea deciziilor automate. Prin documentarea acestor etape si evaluari, operatorul va respecta, de asemenea, cerinta de a efectua o evaluare a impactului privind protectia datelor.
Operatorii ar trebui sa efectueze evaluari frecvente cu privire la seturile de date pe care le proceseaza pentru a verifica eventualele prejudecati si pentru a dezvolta modalitati de abordare a oricaror elemente prejudiciabile, inclusiv a oricarei dependente excesive de corelatii. Efectuarea auditurilor in privinta algoritmilor si revizuirile periodice ale preciziei si pertinentei procesului decizional automatizat, inclusiv profilarea in cadrul sistemelor constituie alte masuri utile.
Operatorii ar trebui sa introduca proceduri si masuri adecvate pentru a preveni erorile, inexactitatile sau discriminarile pe baza categoriilor speciale de date. Aceste masuri ar trebui utilizate in mod ciclic, nu numai in stadiul de proiectare, ci si in mod continuu, deoarece profilul este aplicat persoanelor fizice. Rezultatul acestor teste ar trebui sa revina in proiectarea sistemului.
Concluzie: Informatii, explicatii sau justificari?
Raspunsul nostru este: toate cele trei.
Principalele rationamente ale legislatiei UE privind protectia datelor impiedica inegalitatea informatiilor si nedreptatea in materie de informatii. Aceste rationamente pot fi respectate numai daca operatorii nu se pot ascunde in spatele algoritmilor pentru luarea deciziei individuale automate. Operatorii vor fi responsabili pentru rezultatul final. Actuala dezbatere privind drepturile persoanelor fizice in contextul decizional automatizat si al profilarii ar putea sa nu aiba o imagine mai mare, cu conditia ca organizatiile sa si faca aceste lucruri, in sensul conformarii fata de cerintele GDPR .
Cerinta de responsabilitate
Furnizarea de informatii in avans catre persoanele vizate privind luarea deciziilor automate si logica acestora sau o explicatie adresata persoanelor vizate cu privire la deciziile automate dupa ce acestea sunt facute reprezinta responsabilitatea operatorului; prevederea privind responsabilizarea dpdv GDPR (art. 5 alin.2 si art.22 din GDPR) impune ca operatorii sa demonstreze respectarea obligatiilor lor materiale in temeiul GDPR, in special cerintele de legalitate, corectitudine si transparenta.
Acest lucru impune operatorilor sa demonstreze ca toate corelatiile aplicate in algoritmi ca "reguli de decizie" sunt semnificative (de exemplu, nu exista o suprematie intre corelatii fara o cauzalitate dovedita) si sunt impartiale (nediscriminatorii) si constituie, prin urmare, o justificare legitima a deciziilor automate despre persoanele vizate. Amintim faptul ca transparenta pentru persoanele vizate si dreptul persoanelor vizate de a accesa, de exemplu, datele lor permit in primul rand persoanelor in cauza sa-si exercite celelalte drepturi, cum ar fi dreptul de a se opune crearii de profiluri (art.21), dreptul de a solicita stergerea sau rectificarea profilului lor (art.17) sau dreptul de a contesta deciziile automate referitoare la acestea (art.22 alin.3).
Principiul responsabilitatii impune operatorilor sa demonstreze ulterior respectarea obligatiilor materiale GDPR.
Operatorii trebuie sa poata demonstra ca toate corelatiile aplicate in algoritm pot fi utilizate in mod legitim pentru justificarea deciziilor automate. Pentru a da un exemplu foarte simplist, o explicatie a logicii unei decizii poate fi aceea ca individul relevant face parte dintr-o minoritate etnica specifica. Persoana vizata poate contesta aceasta decizie ca fiind discriminatorie. Operatorul va trebui apoi sa demonstreze ca utilizarea acestei "reguli" pentru decizia relevanta nu constituie o discriminare ilegala pentru a continua aceasta prelucrare. Daca persoana vizata nu este multumita, va depune o plangere, iar autoritatile de supraveghere ale UE vor investiga aspectele sesizate.
Responsabilitatea algoritmica
Pentru a-si indeplini obligatiile in ceea ce priveste luarea deciziilor automate, operatorii vor trebui sa isi elaboreze, dezvolte si sa aplice algoritmii intr-o maniera transparenta, previzibila si verificabila. In acest sens, expresia "algoritmul a facut-o" nu este o scuza acceptabila. Responsabilitatea algoritmica implica o obligatie de a raporta si justifica procesul de luare a deciziilor algoritmice si de a atenua orice impact social negativ sau potentiale daune. Aceste preocupari nu se limiteaza la legile UE. Comisia Federala a Comertului din SUA-U.S. Federal Trade Commission a emis recomandari care promoveaza principii similare de legalitate si corectitudine atunci cand aplica algoritmi la luarea deciziilor, iar cercetatorii americani au abordat problema ca luarea deciziei automate in contextul ocuparii fortei de munca poate avea un impact disparat pentru clasele protejate, incalca legile antidiscriminare din SUA. Pentru ca organizatiile sa se fereasca de o cerere de impact diferita, trebuie sa demonstreze ca impactul disparat este justificat si nu ilegal.
Potrivit raportului Autoritatii norvegiene pentru protectia datelor, privind inteligenta artificiala si viata privata:
"O organizatie trebuie sa fie capabila sa explice si sa documenteze si, in unele cazuri, sa demonstreze ca prelucreaza datele cu caracter personal in conformitate cu regulile (...) In cazul in care se suspecteaza ca un cont dat de o organizatie este gresit sau contine informatii eronate, poate cere organizatiei sa verifice detaliile rutinelor si evaluarilor (...) Acest lucru poate fi necesar atunci cand, de exemplu, exista o suspiciune ca un algoritm utilizeaza date pentru care organizatia nu are nicio baza pentru procesare sau daca exista o suspiciune ca algoritmul coreleaza date care vor conduce la un rezultat discriminatoriu. "
Informatii sau explicatii?
In ceea ce priveste dreptul la informatie , GDPR, in art.13 alin.2 lit.(f) si art.14 alin.2 lit.(g), solicita in mod explicit operatorilor care utilizeaza date cu caracter personal in luarea deciziilor automate urmatoarele:
(a) sa informeze persoanele vizate in prealabil cu privire la activitatile decizionale automatizate; si
(b) sa furnizeze persoanelor vizate informatii semnificative despre logica implicata, importanta luarii deciziilor si consecintele preconizate pentru aceste persoane.
In avizul sau privind luarea deciziilor automate si profilarea, Grupul de lucru "Articolul 29" a recunoscut ca "dezvoltarea si complexitatea invatarii automate pot face dificila intelegerea modului in care functioneaza un proces decizional automatizat sau profilare". In ciuda acestui fapt, "compania ar trebui sa gaseasca modalitati simple de a informa persoana vizata cu privire la rationamentul din spatele sau criteriile invocate pentru a ajunge la decizie fara a incerca intotdeauna o explicatie complexa a algoritmilor utilizati sau dezvaluirea algoritmului complet".
Observam ca, pentru ca Operatorul sa poata explica aceste criterii, va trebui sa stie ce reprezinta aceste criterii in primul rand, adica algoritmul nu poate constitui o "cutie neagra".
Pentru dreptul la o explicatie , art. 22 alin. 3 din GDPR cere unui operator sa puna in aplicare masuri de protectie adecvate atunci cand elaboreaza decizii automate, care ar trebui sa includa cel putin dreptul de a obtine o interventie umana, sa isi exprime punctul de vedere si sa conteste decizia. Considerentul 71 mentioneaza o protectie suplimentara: dreptul la o explicatie a unei decizii automate specifice. Cei care pretind ca art.22 nu ofera dreptul la o explicatie subliniaza ca acest drept este inclus numai in preambulul GDPR si ca preambulul nu are forta obligatorie (asa cum a confirmat Curtea de Justitie a Uniunii Europene). Cu toate acestea, CJEU explica, de asemenea, ca acest lucru nu priveaza preambulul de orice inteles; acesta interzice pur si simplu utilizarea preambulului pentru a interpreta o dispozitie intr-o maniera care este in mod vadit contrara textului sau.
Art.22 alin.3 precizeaza ca trebuie sa fie incluse cel putin garantiile in proiectarea deciziilor automate. Aceasta formulare da destul de mult spatiu pentru a solicita alte garantii, cum ar fi dreptul la o explicatie a unei decizii automate specifice mentionate in considerentul 71. Din nou, pentru ca operatorul sa explice decizia astfel incat persoana vizata sa inteleaga rezultatul, operatorul de date trebuie sa stie ce "reguli de decizie" sunt setate in primul rand.
Responsabilitatea algoritmica necesita dezvoltarea "cutiei albe"
Desi suntem departe de a pune piatra de temelie pentru ceea ce ar necesita dezvoltarea "cutiei albe", exista cateva orientari care trebuie luate in considerare atunci cand se elaboreaza algoritmi pentru luarea deciziilor automate. Prin documentarea acestor etape si evaluari, operatorul va respecta, de asemenea, cerinta de a efectua o evaluare a impactului privind protectia datelor.
Operatorii ar trebui sa efectueze evaluari frecvente cu privire la seturile de date pe care le proceseaza pentru a verifica eventualele prejudecati si pentru a dezvolta modalitati de abordare a oricaror elemente prejudiciabile, inclusiv a oricarei dependente excesive de corelatii. Efectuarea auditurilor in privinta algoritmilor si revizuirile periodice ale preciziei si pertinentei procesului decizional automatizat, inclusiv profilarea in cadrul sistemelor constituie alte masuri utile.
Operatorii ar trebui sa introduca proceduri si masuri adecvate pentru a preveni erorile, inexactitatile sau discriminarile pe baza categoriilor speciale de date. Aceste masuri ar trebui utilizate in mod ciclic, nu numai in stadiul de proiectare, ci si in mod continuu, deoarece profilul este aplicat persoanelor fizice. Rezultatul acestor teste ar trebui sa revina in proiectarea sistemului.
Concluzie: Informatii, explicatii sau justificari?
Raspunsul nostru este: toate cele trei.
Principalele rationamente ale legislatiei UE privind protectia datelor impiedica inegalitatea informatiilor si nedreptatea in materie de informatii. Aceste rationamente pot fi respectate numai daca operatorii nu se pot ascunde in spatele algoritmilor pentru luarea deciziei individuale automate. Operatorii vor fi responsabili pentru rezultatul final. Actuala dezbatere privind drepturile persoanelor fizice in contextul decizional automatizat si al profilarii ar putea sa nu aiba o imagine mai mare, cu conditia ca organizatiile sa si faca aceste lucruri, in sensul conformarii fata de cerintele GDPR .
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Analize si solutii GDPR
05Mar2019
​Operatiuni fiscal-contabile simple ce atrag consecinte complicate in sfera protectiei datelor cu caracter personal
de Colectivul de Specialisti Rentrop&Straton
05 Mar 2019
20Ian2019
Scurta retrospectiva privind activitatea autoritatilor de supraveghere UE si practica GDPR pentru anul 2018
de Colectivul de Specialisti Rentrop&Straton
20 Ian 2019
20Ian2019
Consimtamantul - obtinere, dovada, gestionare si revocare
de Laurentiu Petre
20 Ian 2019
20Ian2019
Inteligenta artificiala - un pericol pentru protectia datelor cu caracter personal sau un instrument de conformare la GDPR
de Colectivul de Specialisti Rentrop&Straton
20 Ian 2019
07Ian2019
10 sfaturi pentru manageri cu privire la GDPR
de Colectivul de Specialisti Rentrop&Straton
07 Ian 2019
Un produs marca