Inteligenta artificiala - un pericol pentru protectia datelor cu caracter personal sau un instrument de conformare la GDPR
I.J. Good afirma in 1965 ca inventarea unei masini utrainteligente va fi ultimul lucru pe care trebuie sa-l faca omul,cu conditia ca aceasta sa fie suficient de docila, incat sa ne arate cum s-o tinem sub control.
In anul 2018, o popularitate , sau mai bine zis o atentie sporita, au cunoscut-o doua domenii relativ noi, al caror impact asupra persoanelor fizice si juridice, cat si asupra societatii umane, urmeaza sa creasca in progresie geometrica in cel mai scurt timp.
Din cuprinsul titlului reiese ca vom discuta despre:
1. Protectia datelor prin intrarea in vigoare la 25 mai 2018 a Regulamentului general privind protectia datelor (GDPR);
2. Inteligenta artificiala (in continuare IA ).
GDPR reglementeaza in principal obligatiile operatorilor de date cu caracter personal si persoanele imputernicite de operator in raport cu drepturile persoanelor vizate, atunci cand datele acestora sunt prelucrate de cei dintai. Nodul gordian al GDPR il reprezinta datele cu caracter personal, care inseamna: orice informatii privind o persoana fizica identificata sau identificabila ( persoana vizata ).
Inteligenta artificiala reprezinta un concept care descrie un sistem informatic care are capacitatea de a prelucra o cantitate de informatii, a crea modele, tipare, categorii etc. in baza carora poate genera concluzii/ ori poate dobandicapacitatea de a lua decizii. Intr-o formulare maisimplista programele bazate pe IA au ca scop simularea gandirii umane.
Domeniul IA cunoaste mai multe ramuri de dezvoltare, in functie de rezultatele care se urmaresc a fi atinse, de exemplu machine learning, supervised learning, deep learning,sisteme de decizie,robotica inteligenta s.a.m.d.
Articolul nu are ca scop explicarea detaliilor tehnice ale fiecareia dintre ramurile IA. Totusi, pentru o intelegere mai buna a ceea ce reprezinta IA si cum poate aceasta interactiona cu datele cu caracter personal, indicam cateva exemple practice cu privire la modul de operare a unui program IA.
Machine learning reprezinta o ramura de cercetare in cadrul IA, bazata pe conceptul analizei uneicantitati de date, introduse in cadrulsistemului, identificarea anumitor modele (din eng. patterns)si luarea deciziilor in baza acestora.
Deep learning este o extensie a celei descrise anterior, se bazeaza, la fel ca machine learning, pe introducerea unei cantitati de informatii, o caracteristica distincta, insa o reprezinta capacitatea acesteia de a pastra in memorie actiunile sale din trecut si de a invata in baza acestora, practic avand capacitatea de a se autoinstrui.
Supervised learning este o ramificatie a deep learning, diferenta fiind modul de instruire a softului, initial acesta are o functie de observator al actiunilor indeplinite de o persoana; pe parcursulscurgerii timpului, softul urmeaza sa deprinda aptitudinile individului supravegheat.
Exemplu practic al utilizarii softurilor IA. La sfarsitul anilor 90 , inceputul anilor 2000, au fost elaborate primele sisteme de filtrare a mesajelor SPAM . Acestea functiona conform urmatorului algoritm: Pasul 1: soft-ul este incarcat cu un anumit numar de de mailuri (de exemplu 100 de e-mailuri),care au fostsortate manual in doua categorii: SPAM si NOT SPAM ; Pasul 2: softul le analizeaza, iar pe parcursul analizei urmeaza sa identifice anumite cuvinte, elemente-cheie (patterns) care se regasesc mai desin mesajele marcate ca SPAM (de exemplu: cumparati, accesati linkul, reducere etc.). Ulterior procesarii tuturor mesajelor si determinarii acestor cuvinte-cheie, softul va dobandi capacitatea sa sorteze in mod autonom noile mesaje care vor trece prin sistem conform categoriilor SPAM si NOT SPAM .
Din cele mentionate supra putem creiona urmatoarea concluzie: orice soft bazat pe IA nu poate exista in lipsa unei cantitati de informatii care sa-l alimenteze intr-o etapa incipienta a cicluluisau vital. Cu titlu de exemplu, marile companii precum Google, Apple, Amazon s.a.m.d. intentioneaza sa utilizeze softuri IA si in domeniul HR, adica pentru recrutarea de personal.
Pilonii de legalitate de baza ai Regulamentului General privind Protectia Datelor ii regasim in cuprinsul art. 5, in care sunt enuntate principiile legate de prelucrarea legala a datelor cu caracter personal:
In anul 2018, o popularitate , sau mai bine zis o atentie sporita, au cunoscut-o doua domenii relativ noi, al caror impact asupra persoanelor fizice si juridice, cat si asupra societatii umane, urmeaza sa creasca in progresie geometrica in cel mai scurt timp.
Din cuprinsul titlului reiese ca vom discuta despre:
1. Protectia datelor prin intrarea in vigoare la 25 mai 2018 a Regulamentului general privind protectia datelor (GDPR);
2. Inteligenta artificiala (in continuare IA ).
GDPR reglementeaza in principal obligatiile operatorilor de date cu caracter personal si persoanele imputernicite de operator in raport cu drepturile persoanelor vizate, atunci cand datele acestora sunt prelucrate de cei dintai. Nodul gordian al GDPR il reprezinta datele cu caracter personal, care inseamna: orice informatii privind o persoana fizica identificata sau identificabila ( persoana vizata ).
Inteligenta artificiala reprezinta un concept care descrie un sistem informatic care are capacitatea de a prelucra o cantitate de informatii, a crea modele, tipare, categorii etc. in baza carora poate genera concluzii/ ori poate dobandicapacitatea de a lua decizii. Intr-o formulare maisimplista programele bazate pe IA au ca scop simularea gandirii umane.
Domeniul IA cunoaste mai multe ramuri de dezvoltare, in functie de rezultatele care se urmaresc a fi atinse, de exemplu machine learning, supervised learning, deep learning,sisteme de decizie,robotica inteligenta s.a.m.d.
Articolul nu are ca scop explicarea detaliilor tehnice ale fiecareia dintre ramurile IA. Totusi, pentru o intelegere mai buna a ceea ce reprezinta IA si cum poate aceasta interactiona cu datele cu caracter personal, indicam cateva exemple practice cu privire la modul de operare a unui program IA.
Machine learning reprezinta o ramura de cercetare in cadrul IA, bazata pe conceptul analizei uneicantitati de date, introduse in cadrulsistemului, identificarea anumitor modele (din eng. patterns)si luarea deciziilor in baza acestora.
Deep learning este o extensie a celei descrise anterior, se bazeaza, la fel ca machine learning, pe introducerea unei cantitati de informatii, o caracteristica distincta, insa o reprezinta capacitatea acesteia de a pastra in memorie actiunile sale din trecut si de a invata in baza acestora, practic avand capacitatea de a se autoinstrui.
Supervised learning este o ramificatie a deep learning, diferenta fiind modul de instruire a softului, initial acesta are o functie de observator al actiunilor indeplinite de o persoana; pe parcursulscurgerii timpului, softul urmeaza sa deprinda aptitudinile individului supravegheat.
Exemplu practic al utilizarii softurilor IA. La sfarsitul anilor 90 , inceputul anilor 2000, au fost elaborate primele sisteme de filtrare a mesajelor SPAM . Acestea functiona conform urmatorului algoritm: Pasul 1: soft-ul este incarcat cu un anumit numar de de mailuri (de exemplu 100 de e-mailuri),care au fostsortate manual in doua categorii: SPAM si NOT SPAM ; Pasul 2: softul le analizeaza, iar pe parcursul analizei urmeaza sa identifice anumite cuvinte, elemente-cheie (patterns) care se regasesc mai desin mesajele marcate ca SPAM (de exemplu: cumparati, accesati linkul, reducere etc.). Ulterior procesarii tuturor mesajelor si determinarii acestor cuvinte-cheie, softul va dobandi capacitatea sa sorteze in mod autonom noile mesaje care vor trece prin sistem conform categoriilor SPAM si NOT SPAM .
Din cele mentionate supra putem creiona urmatoarea concluzie: orice soft bazat pe IA nu poate exista in lipsa unei cantitati de informatii care sa-l alimenteze intr-o etapa incipienta a cicluluisau vital. Cu titlu de exemplu, marile companii precum Google, Apple, Amazon s.a.m.d. intentioneaza sa utilizeze softuri IA si in domeniul HR, adica pentru recrutarea de personal.
Pilonii de legalitate de baza ai Regulamentului General privind Protectia Datelor ii regasim in cuprinsul art. 5, in care sunt enuntate principiile legate de prelucrarea legala a datelor cu caracter personal:
- principiul legalitatii, echitatiisi transparentei;
- principiul limitarii prelucrarii datelor legate de scop;
- principiul reducerii la minimum a datelor;
- principiul exactitatii datelorcu caracter personal;
- principiul limitarii legate de perioada de stocare;
- principiul integritatii siconfidentialitatii;
- principiul responsabilitatii operatorului.
Utilizatorii de sisteme informatice bazate pe tehnologiile IA urmeaza sa ia in calcul daca softurile superinteligente functioneaza in activitatea lor sub egida acestor principii de baza ale GDPR. In aceeasi masura, dezvoltatorii de software din domeniul IA trebuie sa ia in considerare pentru o conformare autentica cu prncipiile de baza a GDPR in special urmatoarele aspecte:
1. Principiul echitatii prelucrarii datelor cu caracter de personal
In perioada 2014-2017, Amazon a proiectat un sistem, bazat pe machine learning, care urma sa degreveze compania de sarcina sustineriicatorva mii de interviuri pentru angajarea personalului pe posturile de munca vacante.
Sistemul a fost incarcat cu un numar mare de CV-uri si a selectat un numar de patterns, care ar trebui sa se regaseasca la candidatii cei mai promitatori pentru locurile vacante existente in cadrul companiei. In esenta, Amazon dorea ca din cele 100 de CV-uri sistemul sa selecteze un numar de cinci CV-uri (the top ones), care corespund cel mai bine criteriilor avute in vedere de companie pentru posturile vacante, fara necesitatea unei interventii umane. Interesant este faptulca dupa un timp in care sistemul IA a fost supravegheat, pentru a depista daca existau nereguli in functionarea acestuia, respectiv abateri de la respectarea dispozitiilor legale aplicabile, dezvoltatorii software au observatca barbatii erau cei favorizati, chestiune ce intra in contradictie cu dispozitiile normative ce interzic discriminarea intre femeisi barbati, precum si necesitatea respectarii egalitatii de sanse. Discriminarea persoanelor de gen feminin s-a produs din cauza faptului ca sistemul a luat in calcul inclusiv elemente ca probabilitatea acestora de a ramane insarcinate.
Cazul descris prezinta o problema prioritara pentru dezvoltatorii tehnologiilor bazate pe IA, ori conform principiului legalitatii, echitatii si transparentei prelucrarii datelor cu caracter personal, acesta impune ca operatorul de date sa previna tratamentele discriminatorii in privinta persoanelor vizate, a caror date sunt supuse prelucrarii. Principalul impediment tehnic il reprezinta asa-numita Black box of Artificial Intelligence , care este in contradictie sicu principiul transparentei prelucrarii datelor cu caracter personal.
2. Principiul transparentei prelucrarii datelor cu caracter personal
Black Box of AI poate fi explicata foarte simplu:se cunosc datele care sunt introduse in cadrul sistemului (input), cat si rezultatul prelucrarii datelor introduse de sistem (output), insa nu se stie ce se petrece propriu-zisin cadrulsistemului in perioada procesarii informatiilor introduse.
Aceasta in conditiile in care in temeiul art. 13 si 14 din GDPR, persoana vizata are dreptul de a fi informata referitor la modul in care vor fi utilizate datele cu caracter personal,cine va avea acces la date si in ce scopuri vor fi utilizate. Art. 12 GDPR impune operatorului de date cu caracter personal obligatia de lua masuri adecvate pentru a furniza persoanei vizate orice informatii mentionate la articolele 13 si 14 din GDPR, intr-un limbaj cat se poate de clar pentru aceasta.
Aceste cerinte sunt dificil de indeplinit in momentul in care interactionam cu tehnologiile hi-tech, care reprezinta o provocare chiar si pentru specialistii in domeniu.
3. Procesul decizional automatizat art. 22
Conform Ghidului Grupului de Lucru art. 29 privind procesul decizional individual automatizat si crearea de profiluri in sensul Regulamentului (UE) 2016/679, prin proces decizional automatizat intelegem capacitatea de luare a deciziilor prin intermediul mijloacelortehnologice, fara interventia umana.
Desigur ca aceasta categorie inglobeaza in sine si IA, in momentul in care procesul este automatizat 100% si produce efecte legale ori similare, care pot afecta persoana vizata. In astfel de situatii fiind aplicabile dispozitiile art. 22 din GDPR. De exemplu: lipsirea de anumite sporuri ca urmare a unei analize automatizate la locul de munca; refuzul de acordare a unui credit fata de persoana care a aplicat pentru obtinerea acestuia; sau aplicarea in practica a exemplului Amazon de mai sus).
Operatorul de date cu caracte personal are obligatia de a fi constient ca utilizarea unui proces decizional automatizat este mai mult o exceptie pentru anumite cazuri (art. 22 alin. (2)GDPR) decat un drept.
Din cele relatate la punctele 1, 2 si 3, deducem ca domeniul inteligentei artificiale, care in ultima perioada si-a luat un avant in evolutia tehnologica, urmeaza a lua in calcul, inca din momentul conceperii sistemelor, dar si pe toata durata lor de existenta, importanta securitatii datelor cu caracter personalsi imperativul necesitatii respectarii drepturilor personelor vizate.
Intr-o alta ordine de idei, pentru a incheia intr-o nota de optimism, IA poate reprezenta o oportunitate inedita pentru securitatea datelor cu caracter personal putand deveni:
a) Antivirusul pentru prelucrarea neautorizata a datelor cu caracter personal: depistarea de catre operatorul de date cu caracter personal a unor data breach-uri,chiar si prin utilizarea unor sisteme software, la momentul de fata lasa de dorit. Un soft IA care sa fie omniprezent in cadrul bazelor de date ale operatorului, care sa vegheze asupra manipularilor datelor personale ale persoanelor vizate ar putea fi o solutie. Totusi, un asemenea sistem ar putea fi considerat prea intruziv (in functie de entitatile care au acces la acesta).
b) IA si DPIA: evaluarea de impact privind protectia datelor cu caracter personal (art. 35 GDPR) reprezinta un proces conceput pentru a identifica si a minimaliza riscurile in cadrul activitatii de prelucrare a datelor. Art. 35 reglementeaza foarte concis DPIA, iar Autoritatile Nationale de Supraveghere a Protectiei Datelor cu Caracter Personal, conform GDPR, emit Liste a operatiunilor pentru care este obligatorie realizarea DPIA. ANSPDCP din Romania a emis Decizia nr. 174/2018 privind lista operatiunilor pentru care este obligatorie realizarea evaluarii impactului asupra protectiei datelor cu caracter personal. Evaluarea de impact reprezinta un proces de analiza detaliata, finalizata cu emiterea unor concluzii si recomandari. In acest sens, Autoritatea de Supraveghere franceza a elaborat un mecanism similar, denumit PIA (Protect Impact Assesment).
In concluzie, inteligenta artificiala este un domeniu in care combustibilul principal este informatia, iar conformarea la GDPR reprezinta o necesitate vitala pentru asigurarea protectiei datelor personelor vizate, in conditiile in care popularitatea utilizarii IA creste pentru tot mai multe si diverse sfere de activitate.
NOTE
1 I. J. Good, The Estimation of Probabilities: An Essay on Modern Bayesian Methods, 1965.
2 Nodul Gordian este o expresie utilizata pentru a ilustra o problema care, aparent, nu are solutie.
3 Fenomenul numit Cutia neagra a IA este explicat de catre dezvoltatorii softurilor bazate pe IA, drept imposibilitatea de a intelege ce se petrece in cadrul softurilor IA in momentul procesarii informatiilor in cadrul sistemului, si ce sta la baza deciziilor softului care se materializeaza in rezultatul prezentat de acesta persoanelor care monitorizeaza activitatea programului informatic.
4 https://www.juridice.ro/612968/anspdcp-lista-operatiunilor-pentru-care-este-obligatoriedpia.html
1. Principiul echitatii prelucrarii datelor cu caracter de personal
In perioada 2014-2017, Amazon a proiectat un sistem, bazat pe machine learning, care urma sa degreveze compania de sarcina sustineriicatorva mii de interviuri pentru angajarea personalului pe posturile de munca vacante.
Sistemul a fost incarcat cu un numar mare de CV-uri si a selectat un numar de patterns, care ar trebui sa se regaseasca la candidatii cei mai promitatori pentru locurile vacante existente in cadrul companiei. In esenta, Amazon dorea ca din cele 100 de CV-uri sistemul sa selecteze un numar de cinci CV-uri (the top ones), care corespund cel mai bine criteriilor avute in vedere de companie pentru posturile vacante, fara necesitatea unei interventii umane. Interesant este faptulca dupa un timp in care sistemul IA a fost supravegheat, pentru a depista daca existau nereguli in functionarea acestuia, respectiv abateri de la respectarea dispozitiilor legale aplicabile, dezvoltatorii software au observatca barbatii erau cei favorizati, chestiune ce intra in contradictie cu dispozitiile normative ce interzic discriminarea intre femeisi barbati, precum si necesitatea respectarii egalitatii de sanse. Discriminarea persoanelor de gen feminin s-a produs din cauza faptului ca sistemul a luat in calcul inclusiv elemente ca probabilitatea acestora de a ramane insarcinate.
Cazul descris prezinta o problema prioritara pentru dezvoltatorii tehnologiilor bazate pe IA, ori conform principiului legalitatii, echitatii si transparentei prelucrarii datelor cu caracter personal, acesta impune ca operatorul de date sa previna tratamentele discriminatorii in privinta persoanelor vizate, a caror date sunt supuse prelucrarii. Principalul impediment tehnic il reprezinta asa-numita Black box of Artificial Intelligence , care este in contradictie sicu principiul transparentei prelucrarii datelor cu caracter personal.
2. Principiul transparentei prelucrarii datelor cu caracter personal
Black Box of AI poate fi explicata foarte simplu:se cunosc datele care sunt introduse in cadrul sistemului (input), cat si rezultatul prelucrarii datelor introduse de sistem (output), insa nu se stie ce se petrece propriu-zisin cadrulsistemului in perioada procesarii informatiilor introduse.
Aceasta in conditiile in care in temeiul art. 13 si 14 din GDPR, persoana vizata are dreptul de a fi informata referitor la modul in care vor fi utilizate datele cu caracter personal,cine va avea acces la date si in ce scopuri vor fi utilizate. Art. 12 GDPR impune operatorului de date cu caracter personal obligatia de lua masuri adecvate pentru a furniza persoanei vizate orice informatii mentionate la articolele 13 si 14 din GDPR, intr-un limbaj cat se poate de clar pentru aceasta.
Aceste cerinte sunt dificil de indeplinit in momentul in care interactionam cu tehnologiile hi-tech, care reprezinta o provocare chiar si pentru specialistii in domeniu.
3. Procesul decizional automatizat art. 22
Conform Ghidului Grupului de Lucru art. 29 privind procesul decizional individual automatizat si crearea de profiluri in sensul Regulamentului (UE) 2016/679, prin proces decizional automatizat intelegem capacitatea de luare a deciziilor prin intermediul mijloacelortehnologice, fara interventia umana.
Desigur ca aceasta categorie inglobeaza in sine si IA, in momentul in care procesul este automatizat 100% si produce efecte legale ori similare, care pot afecta persoana vizata. In astfel de situatii fiind aplicabile dispozitiile art. 22 din GDPR. De exemplu: lipsirea de anumite sporuri ca urmare a unei analize automatizate la locul de munca; refuzul de acordare a unui credit fata de persoana care a aplicat pentru obtinerea acestuia; sau aplicarea in practica a exemplului Amazon de mai sus).
Operatorul de date cu caracte personal are obligatia de a fi constient ca utilizarea unui proces decizional automatizat este mai mult o exceptie pentru anumite cazuri (art. 22 alin. (2)GDPR) decat un drept.
Din cele relatate la punctele 1, 2 si 3, deducem ca domeniul inteligentei artificiale, care in ultima perioada si-a luat un avant in evolutia tehnologica, urmeaza a lua in calcul, inca din momentul conceperii sistemelor, dar si pe toata durata lor de existenta, importanta securitatii datelor cu caracter personalsi imperativul necesitatii respectarii drepturilor personelor vizate.
Intr-o alta ordine de idei, pentru a incheia intr-o nota de optimism, IA poate reprezenta o oportunitate inedita pentru securitatea datelor cu caracter personal putand deveni:
a) Antivirusul pentru prelucrarea neautorizata a datelor cu caracter personal: depistarea de catre operatorul de date cu caracter personal a unor data breach-uri,chiar si prin utilizarea unor sisteme software, la momentul de fata lasa de dorit. Un soft IA care sa fie omniprezent in cadrul bazelor de date ale operatorului, care sa vegheze asupra manipularilor datelor personale ale persoanelor vizate ar putea fi o solutie. Totusi, un asemenea sistem ar putea fi considerat prea intruziv (in functie de entitatile care au acces la acesta).
b) IA si DPIA: evaluarea de impact privind protectia datelor cu caracter personal (art. 35 GDPR) reprezinta un proces conceput pentru a identifica si a minimaliza riscurile in cadrul activitatii de prelucrare a datelor. Art. 35 reglementeaza foarte concis DPIA, iar Autoritatile Nationale de Supraveghere a Protectiei Datelor cu Caracter Personal, conform GDPR, emit Liste a operatiunilor pentru care este obligatorie realizarea DPIA. ANSPDCP din Romania a emis Decizia nr. 174/2018 privind lista operatiunilor pentru care este obligatorie realizarea evaluarii impactului asupra protectiei datelor cu caracter personal. Evaluarea de impact reprezinta un proces de analiza detaliata, finalizata cu emiterea unor concluzii si recomandari. In acest sens, Autoritatea de Supraveghere franceza a elaborat un mecanism similar, denumit PIA (Protect Impact Assesment).
In concluzie, inteligenta artificiala este un domeniu in care combustibilul principal este informatia, iar conformarea la GDPR reprezinta o necesitate vitala pentru asigurarea protectiei datelor personelor vizate, in conditiile in care popularitatea utilizarii IA creste pentru tot mai multe si diverse sfere de activitate.
NOTE
1 I. J. Good, The Estimation of Probabilities: An Essay on Modern Bayesian Methods, 1965.
2 Nodul Gordian este o expresie utilizata pentru a ilustra o problema care, aparent, nu are solutie.
3 Fenomenul numit Cutia neagra a IA este explicat de catre dezvoltatorii softurilor bazate pe IA, drept imposibilitatea de a intelege ce se petrece in cadrul softurilor IA in momentul procesarii informatiilor in cadrul sistemului, si ce sta la baza deciziilor softului care se materializeaza in rezultatul prezentat de acesta persoanelor care monitorizeaza activitatea programului informatic.
4 https://www.juridice.ro/612968/anspdcp-lista-operatiunilor-pentru-care-este-obligatoriedpia.html
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Analize si solutii GDPR
05Mar2019
​Operatiuni fiscal-contabile simple ce atrag consecinte complicate in sfera protectiei datelor cu caracter personal
de Colectivul de Specialisti Rentrop&Straton
05 Mar 2019
25Feb2019
​Responsabilitatea operatorilor pentru deciziile automate in cadrul GDPR
de Colectivul de Specialisti Rentrop&Straton
25 Feb 2019
20Ian2019
Scurta retrospectiva privind activitatea autoritatilor de supraveghere UE si practica GDPR pentru anul 2018
de Colectivul de Specialisti Rentrop&Straton
20 Ian 2019
20Ian2019
Consimtamantul - obtinere, dovada, gestionare si revocare
de Laurentiu Petre
20 Ian 2019
07Ian2019
10 sfaturi pentru manageri cu privire la GDPR
de Colectivul de Specialisti Rentrop&Straton
07 Ian 2019
Un produs marca