Κανονισμός για την Τεχνητή Νοημοσύνη και GDPR
Σε σειρά αρθρογραφίας μας ασχοληθήκαμε με τον Κανονισμό για την Τεχνητή Νοημοσύνη (ΤΝ) και, μεταξύ άλλων, με τις υποχρεώσεις που βαρύνουν τους Φορείς συστημάτων Υψηλού Κινδύνου. Επιπλέον, με τις πρόσθετες υποχρεώσεις χρήσης της ΤΝ των Φορέων συστημάτων Υψηλού Κινδύνου στον εργασιακό τομέα. Ολοκληρώνοντας τη θεματική για τον συγκεκριμένο Κανονισμό σημαντική είναι η ανίχνευση της πολυεπίπεδης σύνδεσής του με τον GDPR.
Εισαγωγικά
Ο GDPR αποτέλεσε, αδιαμφισβήτητα, πρότυπο του Κανονισμού για την ΤΝ. Η μεταξύ τους σύνδεση διαπιστώνεται, μεταξύ άλλων, από τη ρητή παραπομπή του Κανονισμού για την ΤΝ στον GDPR αλλά και από την ίδια τη φύση της λειτουργίας των συστημάτων ΤΝ. Τα τελευταία λειτουργούν και τροφοδοτούνται με δεδομένα. Η χρήση τους οφείλει, αυτονοήτως, να είναι σύμφωνη τόσο με τον Κανονισμό για την ΤΝ όσο και με τον γενικώς εφαρμοζόμενο GDPR.
Από τον Κανονισμό για την ΤΝ ευθέως προκύπτει (αρ. 2) ότι ο GDPR εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σε σχέση με τα δικαιώματα και τις υποχρεώσεις που σ΄εκείνον (:Κανονισμό για την ΤΝ) προβλέπονται. Η παράλληλη λειτουργία των εν λόγω Κανονισμών είναι, επομένως, προφανής, συμπληρωματική και αναγκαία.
Σκοπός Επεξεργασίας Δεδομένων & Εκτίμηση Αντικτύπου
Για τη συμμόρφωση ενός συστήματος ΤΝ με τον GDPR και τον Κανονισμό για την ΤΝ, η έννοια του σκοπού αποτελεί το σημείο αναφοράς. Η εν λόγω συμμόρφωση (ή μη) της λειτουργίας ενός συστήματος ΤΝ εξαρτάται, σε κάθε περίπτωση, από τον σκοπό που εξυπηρετείται με τη χρήση του. Έτσι, ο Φορέας που παρέχει το σύστημα ΤΝ πρέπει να δηλώσει τον σκοπό επεξεργασίας. Η νόμιμη βάση της συγκατάθεσης αντιμετωπίζεται (και εδώ) με δυσπιστία, ιδιαιτέρως σε περιπτώσεις που ο Φορέας έχει δεσπόζουσα θέση. Ως προτεινόμενη βάση προκρίνεται, σε αυτήν την περίπτωση, το έννομο συμφέρον.
Μετά την επιλογή της νόμιμης βάσης απαιτείται η διενέργεια Εκτίμησης Αντικτύπου σχετικά με την Προστασία Δεδομένων (Data Protection Impact Assessment ή «DPIA»). Η DPIA είναι υποχρεωτική, όταν είναι πιθανό η επεξεργασία να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων.
Επεξεργασία Ειδικών Κατηγοριών Δεδομένων Προσωπικού Χαρακτήρα από Συστήματα ΤΝ
Σύμφωνα με τον GDPR η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (π.χ. γενετικά δεδομένα, βιομετρικά δεδομένα κλπ) απαγορεύεται. Η απαγόρευση αίρεται σε ορισμένες περιπτώσεις, όπως στην περίπτωση της συγκατάθεσης. Ο Κανονισμός για την ΤΝ προβλέπει μία πρόσθετη εξαίρεση που δικαιολογεί την επεξεργασία των προσωπικών δεδομένων και την καθιστά επιτρεπτή. Καθίσταται επιτρεπτή η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, στον βαθμό που είναι απολύτως αναγκαίο για τον σκοπό της διασφάλισης της ανίχνευσης και της διόρθωσης περιπτώσεων μεροληψίας σε σχέση με τα συστήματα ΤΝ υψηλού κινδύνου. Οι πάροχοι στην συγκεκριμένη περίπτωση μπορούν, κατ’ εξαίρεση, να επεξεργάζονται ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη κατάλληλων διασφαλίσεων για τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Η δικαιολογική βάση της νομιμότητας επεξεργασίας των δεδομένων αυτών εντοπίζεται στην ανάγκη εκπαίδευσης του συστήματος, ώστε να αποφευχθεί η αναπαραγωγή προκαταλήψεων. Η εφαρμογή της εξαίρεσης απαιτεί ορισμένες προϋποθέσεις:
(α) Η ανίχνευση και διόρθωση περιπτώσεων μεροληψίας δεν μπορούν να επιτευχθούν αποτελεσματικά με την επεξεργασία άλλων δεδομένων, περιλαμβανομένων των συνθετικών ή των ανωνυμοποιημένων δεδομένων.
(β) Απαιτείται η επιβολή τεχνικών μέτρων για τη μη περαιτέρω διαβίβαση και χρήση τους.
(γ) Τα δεδομένα αυτά θα πρέπει να υπόκεινται σε ειδικό καθεστώς ασφάλειας, ώστε να αποφεύγεται η κακή χρήση και να διασφαλίζεται ότι μόνο εξουσιοδοτημένα πρόσωπα με κατάλληλες υποχρεώσεις εμπιστευτικότητας έχουν πρόσβαση.
(δ) Μόλις διορθωθεί η ελεγχόμενη μεροληψία (bias) ή όταν φθάσουν στο τέλος της περιόδου διατήρησής τους (όποιο από τα δύο συμβεί πρώτο) τα επίμαχα δεδομένα θα πρέπει να διαγράφονται.
Απαγορευμένες Πρακτικές ΤΝ & Προσωπικά Δεδομένα
Ο Κανονισμός ΤΝ απαγορεύει ρητά ορισμένες πρακτικές ΤΝ (π.χ κοινωνική βαθμολόγηση κλπ). Οι πρακτικές αυτές, ωστόσο, σε μεγάλο βαθμό θα ήταν ούτως ή άλλως απαγορευμένες σύμφωνα με τον GDPR. Αυτή η επικάλυψη απαγορεύσεων ενισχύει την πρόθεση του ενωσιακού νομοθέτη για απαγόρευση των συγκεκριμένων πρακτικών και την προστασία των δεδομένων προσωπικού χαρακτήρα. Επιπλέον, προστίθεται ένα επιπλέον, ειδικότερο, επίπεδο προστασίας. Η απαγόρευση των πρακτικών αυτών σύμφωνα με τον Κανονισμό για την ΤΝ ισχύει ανεξαρτήτως της νομιμότητας επεξεργασίας σύμφωνα με τον GDPR.
Όσον αφορά τη συρροή των απαγορεύσεων και κατά συνέπεια και των πιθανών παραβιάσεων, υποστηρίζεται ότι σύμφωνα με την αρχή non bis in idem δεν θα έπρεπε να επιβληθεί διπλή κύρωση.
Ρυθμιστικό Δοκιμαστήριο ΤΝ
Ο Κανονισμός ΤΝ (αρ. 59) δικαιολογεί την επεξεργασία προσωπικών δεδομένων με σκοπό την ανάπτυξη συστημάτων ΤΝ προς το δημόσιο συμφέρον. Η ανάπτυξη αυτή λαμβάνει χώρα στο πλαίσιο ενός ρυθμιστικού δοκιμαστηρίου ΤΝ. Ο θεσμός αυτός έχει ως στόχο να επιτρέπει στους παρόχους ΤΝ να πειραματίζονται ελεύθερα, προωθώντας την καινοτομία, σε ένα προστατευμένο περιβάλλον υπό διοικητική άδεια και εποπτεία.
Η επεξεργασία αυτή είναι νόμιμη υπό αυστηρές προϋποθέσεις:
(α) Τα δεδομένα είναι αναγκαία για τη συμμόρφωση με μία ή περισσότερες από τις απαιτήσεις για τα συστήματα υψηλού κινδύνου (κεφάλαιο ΙΙΙ τμήμα 2), όταν οι εν λόγω απαιτήσεις δεν μπορούν να ικανοποιηθούν αποτελεσματικά με την επεξεργασία ανωνυμοποιημένων, συνθετικών ή άλλων δεδομένων μη προσωπικού χαρακτήρα.
(β) Υπάρχουν αποτελεσματικοί μηχανισμοί παρακολούθησης για τον εντοπισμό τυχόν υψηλών κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων καθώς και μηχανισμοί απόκρισης για τον άμεσο μετριασμό των συγκεκριμένων κινδύνων.
(γ) Τα δεδομένα βρίσκονται σε λειτουργικά χωριστό, απομονωμένο και προστατευόμενο περιβάλλον επεξεργασίας υπό τον έλεγχο του μελλοντικού παρόχου, και μόνο εξουσιοδοτημένα πρόσωπα έχουν πρόσβαση στα εν λόγω δεδομένα.
(δ) Τα δεδομένα πρέπει να ανταλλάσσονται περαιτέρω μόνο σύμφωνα με το ενωσιακό δίκαιο για την προστασία των δεδομένων και τα δεδομένα που δημιουργούνται στο δοκιμαστήριο δεν μπορούν να κοινοποιηθούν εκτός του δοκιμαστηρίου.
(ε) Οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του δοκιμαστηρίου δεν οδηγεί στη λήψη μέτρων ή αποφάσεων που επηρεάζουν τα υποκείμενα των δεδομένων ούτε επηρεάζει την εφαρμογή των δικαιωμάτων τους, που προβλέπονται στο ενωσιακό δίκαιο για την προστασία των δεδομένων προσωπικού χαρακτήρα.
(στ) Τα δεδομένα προσωπικού χαρακτήρα προστατεύονται με κατάλληλα τεχνικά και οργανωτικά μέτρα και διαγράφονται μόλις λήξει η συμμετοχή στο δοκιμαστήριο ή τα δεδομένα φτάσουν στη λήξη της περιόδου διατήρησής τους.
(η) Απαιτείται η τήρηση αρχείων καταγραφής της επεξεργασίας δεδομένων προσωπικού χαρακτήρα μαζί με πλήρη και λεπτομερή περιγραφή και περίληψη του έργου.
(θ) Απαιτείται πλήρης και λεπτομερής περιγραφή της διαδικασίας και του σκεπτικού στο οποίο βασίζεται η εκπαίδευση, η δοκιμή και η επικύρωση του συστήματος ΤΝ, μαζί με τα αποτελέσματα των δοκιμών, ως μέρος του τεχνικού φακέλου. Επιπλέον, σύντομη περίληψη του έργου ΤΝ που αναπτύχθηκε στο δοκιμαστήριο, των στόχων του και των αναμενόμενων αποτελεσμάτων δημοσιεύεται στον δικτυακό τόπο των αρμόδιων αρχών (εξαιρουμένων των ευαίσθητων επιχειρησιακών δεδομένων).
Αυτοματοποιημένη Λήψη Αποφάσεων από ΤΝ & GDPR
Ακόμα ένα σημαντικό σημείο τομής των δύο Κανονισμών εντοπίζεται και στο άρ. 22 του GDPR. Η εν λόγω διάταξη, η οποία φέρει τον τίτλο «Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ», ορίζει ως γενικό κανόνα ότι το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας. Απαγορεύεται, με άλλα λόγια, η λήψη τέτοιου είδους δυσμενών αποφάσεων κατόπιν αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ως αυτοματοποιημένη λήψη απόφασης λογίζεται και η περίπτωση που η ανθρώπινη παρέμβαση δεν έχει ουσιώδη χαρακτήρα.
Σύμφωνα με διευκρινιστικές γραμμές της Ομάδας του άρθρου 29 (σημερινό Ευρωπαϊκό Συμβούλιο Προσωπικών Δεδομένων), το άρθρο 22 πρέπει να ερμηνεύεται ως απαγόρευση. Ωστόσο, η απαγόρευση αυτή ανατρέπεται σε τρεις συγκεκριμένες εξαιρέσεις: η επεξεργασία είναι αναγκαία για τη σύναψη/εκτέλεση σύμβασης, προβλέπεται από εθνικό/ενωσιακό νομοθέτη ή βασίζεται σε ρητή συγκατάθεση του υποκειμένου. Σε αυτές τις περιπτώσεις η απαγόρευση αίρεται. Παρά ταύτα ακόμα και στην περίπτωση της κατ’ εξαίρεση επεξεργασίας το υποκείμενο εξοπλίζεται με ένα δικαίωμα εξήγησης της απάντησης που ελήφθη αυτοματοποιημένα. Αντικείμενο εξήγησης αποτελεί η ενημέρωση για την εσωτερική λειτουργία του συστήματος ΤΝ, για τον τρόπο, δηλ., που επεξεργάζονται τα δεδομένα από το σύστημα και τον τρόπο που εξάγεται το αποτέλεσμα και εκδίδεται η απόφαση.
Νομολογιακά έχει κριθεί ότι ακόμα και αν το σύστημα ΤΝ προστατεύεται ως δικαίωμα διανοητικής διαδικασίας, το υποκείμενο δεν στερείται το δικαίωμα εξήγησης. Οι σχετικές πληροφορικές χορηγούνται στην αρμόδια αρχή, η οποία με τη σειρά της θα κρίνει, στο πλαίσιο της αρχής της αναλογικότητας, ποιες πληροφορίες θα διαβιβαστούν στο υποκείμενο.
Ο Κανονισμός για την ΤΝ δημιουργεί σημαντικές υποχρεώσεις που βαρύνουν τους Φορείς συστημάτων Υψηλού Κινδύνου˙ ακόμα περισσότερες όταν πρόκειται για την αξιοποίησή τους στο πλαίσιο εργασιακών σχέσεων. Η διαχείριση, πάντως, προσωπικών δεδομένων από συστήματα ΤΝ απαιτεί ιδιαίτερη προσοχή και εκρήγορση. Ας μην ξεχνάμε, εξάλλου, τις επαπειλούμενες κυρώσεις, για τις οποίες προηγούμενη αρθρογραφία μας…
Managing Partner
Koumentakis and Associates Law Firm
Σημ.: Το παρόν άρθρο αποτελεί τμήμα ευρύτερης ενότητας αρθρογραφίας της Δικηγορικής μας για την Τεχνητή Νοημοσύνη και τις Επιχειρήσεις. Στην ενότητα αυτή επιχειρούμε την προσέγγιση των βασικών, σχετικών, υποχρεώσεων υπό το πρίσμα του Κανονισμού (ΕΕ) 2024/1689.