GDPR και AI: Σύγχρονες προκλήσεις για επιχειρήσεις και οργανισμούς

Το τελευταίο χρονικό διάστημα διαπιστώνεται στους Οργανισμούς τόσο του ιδιωτικού όσο και του δημοσίου Τομέα, αυξανόμενη χρήση επιχειρησιακών λύσεων και εφαρμογών που βασίζονται στην τεχνητή νοημοσύνη (Artificial Intelligence – AI) τόσο στο σκέλος της καθημερινής τους δραστηριότητας όσο και σε αυτό της ανάπτυξης και παροχής νέων προϊόντων και υπηρεσιών.

Τα συστήματα τεχνητής νοημοσύνης (AI) είναι σχεδιασμένα ώστε να προσομοιάζουν σε στοιχεία της ανθρώπινης νοημοσύνης και να αντιλαμβάνονται το περιβάλλον, συνήθως μέσω της επεξεργασίας μεγάλου όγκου δεδομένων (Big Data) και συναφών μεθόδων μηχανικής εκμάθησης (machine learning), με στόχο -αναλόγως της περίπτωσης- την αυτόνομη λήψη αποφάσεων και την εξαγωγή συμπερασμάτων με σκοπό την επίτευξη καθορισμένου αποτελέσματος ή/και την επίλυση ποικίλων προβλημάτων.

Ενδεικτικά, σε εφαρμογές τεχνητής νοημοσύνης μπορεί να βασίζονται, μεταξύ άλλων, συστήματα αναγνώρισης προσώπων και σχετικά βιομετρικά λογισμικά, εφαρμογές επεξεργασίας της γλώσσας (π.χ. κατανόηση και αυτόματη μετάφραση ομιλούμενων γλωσσών), λύσεις εκτέλεσης υλικοτεχνικού σχεδιασμού ή βελτιστοποίησης βιομηχανικών διεργασιών (π.χ. μέσω της συλλογής και επεξεργασίας κλιματολογικών και άλλων δεδομένων μέσω αισθητήρων), οι εφαρμογές των αυτοκινούμενων οχημάτων, καθώς και πολλές εφαρμογές και υπηρεσίες ηλεκτρονικού εμπορίου, όπως οι αυτοματοποιημένες προτάσεις αγορών, βάσει συλλογής, ανάλυσης και συσχέτισης χαρακτηριστικών, συνηθειών και προτιμήσεων των καταναλωτών.

Οι μεγάλες δυνατότητες εφαρμογών της τεχνητής νοημοσύνης έχουν καλλιεργήσει μεγάλες προσδοκίες σχετικά με τα οφέλη που αναμένεται να αποφέρουν στον οικονομικό, επιστημονικό και κοινωνικό τομέα. Ωστόσο, λαμβάνοντας υπόψη τόσο την πολυπλοκότητα των τεχνολογιών τεχνητής νοημοσύνης όσο και το ότι πολλές από τις σχετικές εφαρμογές βασίζονται στην τροφοδότησή τους με μεγάλες ποσότητες δεδομένων -είναι χαρακτηριστικό ότι ο όγκος των δεδομένων που παράγονται σε παγκόσμιο επίπεδο αναμένεται να αυξηθεί ραγδαία τα επόμενα έτη- η ανάπτυξη της τεχνητής νοημοσύνης εγκυμονεί, παράλληλα, και κινδύνους ιδιωτικότητας για τα φυσικά πρόσωπα, μέσω ενδεχόμενης μη νόμιμης και αδιαφανούς επεξεργασίας των δεδομένων τους.

Τίθεται, ως εκ τούτου, ένα βασικό ερώτημα: Είναι η ανάπτυξη και εφαρμογή της τεχνητής νοημοσύνης συμβατή με το ρυθμιστικό πλαίσιο για την προστασία των δεδομένων προσωπικού χαρακτήρα όπως αυτό έχει τεθεί σε επίπεδο Ευρωπαϊκής Ένωσης με τη θέσπιση και εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), και αν ναι, ποιες είναι οι προκλήσεις αλλά και οι διαθέσιμες λύσεις για τους οργανισμούς και τις επιχειρήσεις που έχουν ενσωματώσει στη λειτουργία τους συστήματα και εφαρμογές τεχνητής νοημοσύνης ή αναπτύσσουν σχετικά προϊόντα και υπηρεσίες;

Αρχικά θα πρέπει να επισημανθεί ότι αν και στις διατάξεις του GDPR δεν αγνοούνται οι τεχνολογικές διαστάσεις της επεξεργασίας των δεδομένων, πρόκειται για έναν Κανονισμό τεχνολογικά ουδέτερο, με σκοπό την προστασία των δικαιωμάτων των φυσικών προσώπων. Υπό αυτό το πρίσμα, αν και η τεχνητή νοημοσύνη και η ανάλυση μεγάλου όγκου δεδομένων θέτουν εγγενείς προκλήσεις στη συμμορφούμενη με τις αρχές του GDPR επεξεργασία, ο Κανονισμός μπορεί και πρέπει να ερμηνεύεται με τρόπο τέτοιο ώστε να μην παρεμποδίζεται η ανάπτυξη της σχετικής τεχνολογίας και να διασφαλίζεται παράλληλα η προστασία των υποκειμένων των δεδομένων.

Μεγάλη σημασία θα πρέπει να δίνεται στη νομιμότητα της επεξεργασίας καθώς οι ιδιαιτερότητες της τεχνητής νοημοσύνης θέτουν “παγίδες” στην επιλογή της κατάλληλης νομικής βάσης – για παράδειγμα η συγκατάθεση του υποκειμένου, μια νομική βάση που ενδεχομένως αποτελεί ελκυστική επιλογή για πολλούς υπευθύνους επεξεργασίας

Περαιτέρω, η θεμελιώδης αρχή της διαφάνειας της επεξεργασίας, η οποία επιτυγχάνεται κυρίως μέσω της δέουσας, πλήρους, διαφανούς και ευσύνοπτης ενημέρωσης στα υποκείμενα των δεδομένων δοκιμάζεται από τις ιδιαίτερες συνθήκες λειτουργίας της τεχνητής νοημοσύνης, καθώς ο προσανατολισμός της τεχνολογίας αυτής προς την όσο το δυνατόν αυτόνομη λήψη αποφάσεων, άρα και την εξαγωγή αποτελεσμάτων μερικώς ή πλήρως άγνωστων εξαρχής στους υπεύθυνους επεξεργασίας, καθιστά δυσχερή την εξήγηση της διαδικασίας άρα και τη διαφανή ενημέρωση των υποκειμένων των δεδομένων, όπως αυτή ορίζεται στον GDPR.

Η μη προβλεψιμότητα του αποτελέσματος σε πολλές περιπτώσεις εφαρμογών τεχνητής νοημοσύνης, στενά συνδεδεμένη και με την πολλαπλότητα των σκοπών επεξεργασίας που δεν μπορούσαν, ενδεχομένως, να προβλεφθούν κατά το στάδιο της εκκίνησης της εφαρμογής, δημιουργεί προβλήματα στη συμμόρφωση, με την αρχή του περιορισμού του σκοπού επεξεργασίας ενώ, παράλληλα, δυσχεραίνει ακόμα περισσότερο την παροχή πλήρους και διαφανούς ενημέρωσης στα υποκείμενα των δεδομένων.

 

Τι πρέπει να κάνουν λοιπόν οι επιχειρήσεις που επιθυμούν να αναπτύξουν ή να χρησιμοποιήσουν εφαρμογές AI;

 

  • Να εξετάσουν εάν η επεξεργασία που πραγματοποιούν απαιτεί πράγματι την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Συχνά, αυτό δεν συμβαίνει, οπότε σε αυτές τις περιστάσεις οι οργανισμοί θα πρέπει να χρησιμοποιούν κατάλληλες τεχνικές για να ανωνυμοποιήσουν τα προσωπικά δεδομένα στα σύνολα δεδομένων τους πριν την επεξεργασία.
  • Να δίνουν ιδιαίτερο βάρος στη διαφάνεια της επεξεργασίας προσωπικών δεδομένων χρησιμοποιώντας έναν συνδυασμό καινοτόμων προσεγγίσεων και τεχνικών διαστρωματωμένης ενημέρωσης προκειμένου να παρέχουν στα φυσικά πρόσωπα την προσήκουσα πληροφόρηση στα κατάλληλα στάδια επεξεργασίας,
  • Να υιοθετήσουν πολιτική απορρήτου βάσει σχεδιασμού στην ανάπτυξη και την εφαρμογή της ανάλυσης μεγάλων δεδομένων τους, λαμβάνοντας τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την αντιμετώπιση των όποιων ζητημάτων ανακύπτουν, συμπεριλαμβανομένων της ανωνυμοποίησης, της ψευδωνυμοποίησης και της ελαχιστοποίησης των δεδομένων με την εξέταση της εκάστοτε επεξεργασίας υπό το πρίσμα των αρχών της αναγκαιότητας και της αναλογικότητας.
  • Να εφαρμόσουν καινοτόμες τεχνικές για την ανάπτυξη αλγόριθμων μηχανικής μάθησης (έλεγχοι αναφορικά με το σκεπτικό των αλγοριθμικών αποφάσεων, την μεροληψία και τις διακρίσεις).
  • Είναι εξαιρετικά πιθανό, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), να απαιτείται η διενέργεια μελέτης εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (Data Protection Impact Assessment – DPIA) επί των επεξεργασιών που λαμβάνουν χώρα μέσω εφαρμογών τεχνητής νοημοσύνης, ώστε οι Οργανισμοί ως Υπεύθυνοι Επεξεργασίας να εξετάσουν τα παραπάνω ζητήματα και τις πιθανές επιπτώσεις στα δικαιώματα των φυσικών προσώπων επί των δεδομένων προσωπικού χαρακτήρα.

Συμπερασματικά, και καθώς αναμένεται η τεχνητή νοημοσύνη στο πλαίσιο των τεχνολογικών εξελίξεων να επικρατήσει στο άμεσο μέλλον σε όλο και περισσότερους τομείς, θα πρέπει οι εμπλεκόμενοι οργανισμοί να μεριμνήσουν ώστε η εφαρμογή της να είναι εντός των κανονιστικών πλαισίων, με τη διενέργεια πλήρους μεθοδολογικά και επαρκώς τεκμηριωμένης μελέτης εκτίμησης αντικτύπου για την προστασία των δεδομένων να θεωρείται το αποτελεσματικότερο εργαλείο συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων.

Πηγή: capital.gr

Μετάβαση στο περιεχόμενο

Share This

Copy Link to Clipboard

Copy