Inteligența artificială – un pericol pentru protecția datelor sau un instrument de

conformare la GDPR
I.J. Good afrima în 1965 că inventarea unei mașini utrainteligente va fi ultimul lucur pe care
trebuie să-l facă omul, cu condiția că această să fie suficient de docilă, încât să ne arate cum s-o
ținem sub control.
În anul 2018 o „popularitate”, sau mai bine zis o atenție sporită, au cunoscut-o două domenii
relativ noi, impactul cărora asupra individului, persoanelor juridice, cât și a societății umane,
urmează să crească în progresie geometrică în timpul apropiat. Din titlul articolului, cât și revista
în care se regăsește, este clar că vorbim de: 1. Protecția datelor – prin intrarea în vigoare la 25
mai 2018 a Regulamentul general privind protecția datelor (GDPR); 2. Inteligența artificială.
GDPR reglementează în principal obligațiile operatorilor de date cu caracter personal și drepturile
persoanelor vizate, atunci când datele acestora sunt prelucrate de cei dintâi. Nodul gordian al
GDPR îl reprezintă datele cu caracter personal, care înseamnă:
orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”).
Inteligența artificială (în continuare „IA”) reprezintă un concept care descrie un sistem informatic
care are capacitatea de a prelucra o cantitate de informație, a crea modele, tipare, categorii, etc.
în baza cărora poate genera concluzii/ori dobândește capacitatea de a lua decizii, sau într-o
definiție mai simplistă - poate simula gândire umană.
Domeniul IA cunoaște mai multe ramuri de dezvolatare, în dependență de rezultatele care se
urmăresc a fi atinse, e.g. machine larning, supervised learning, deep learning, sisteme de decizie,
robotică intelgintă, ș.a.m.d. În acest articol nu vom căuta să explicăm în detaliu aspectele tehnice
ale fiecărei din ramurile IA, ori aceste nuanțe nu reprezintă o necesitate pentru tema abordată.
Totuși, pentru o înțelegere mai bună a ceea ce este IA și cum poate intereacționa aceasta cu
datele cu caracter personal, vom aduce câteva exemple practice cu privire la modul de operare
a unui program IA.
Machine learning – reprezintă o ramură de cercetare în cadrul IA, bazată pe conceptul analizei
unei cantități de date, introduse în cadrul sistemului, identitificare anumitor modele (din eng.
patterns) și luarea deciziilor în baza acestora.
Un exemplu elocvent ar fi cel al utilizării unui sistem similar în cadrul filtrării mesajelor spam.
Pasul 1: soft-ul este încărcat cu un număr de mailuri (să zicem 100), care au fost sortate manual
în două categorii: SPAM și NOT SPAM. Pasul 2: softul le analizează, iar pe parcursul analizei
urmează să identifice anumite cuvinte (patterns) care se regăsesc mai des în mesajele marcate
ca SPAM (de exemplu: cumpărați, accesați linkul, reducere, etc.). Ulterior procesării tuturor
mesajelor și determinării acestor cuvinte cheie, softul va dobândi capacitatea să sorteze în mod
autonom noile mesaje care vor trece prin sistem conform categoriilor SPAM și NOT SPAM.
Din cele menționate supra putem creiona următoarea concluzie, orice soft bazat pe IA nu poate
exista în lipsa unei cantități de informație care este încărcată la o etapă incipientă al ciclului său
vital. E.g. marile companii precum Google, Apple, Amazon, șamd intenționează să utilizeze softuri
IA și în domeniul HR, adică pentru recrutarea de personal (despre care în detaliu mai jos).
Coloana vertebrală a Regulamentului General privind Protecția Datelor o regăsim la art. 5, unde
sunt enunțate principiile legate de prelucrarea datelor:

 principiul legalității, echității și transparenței;

 principiul limitării prelucrării datelor legate de scop;
 principiul reducerii la minimum a datelor;
 principiul exactității datelor cu caracter personal;
 principiul limitării legate de perioada de stocare;
 principiul integrității și confidențiaității;
 principiul responsabilității operatorului.
Utilizatorii de sisteme informatice IA urmează să ia în calcul dacă softurile superinteligente sunt
limitate în activitatea lor de aceste principii de baza. În continuare, vom prezenta unle probleme
care urmează a fi depășite de dezvoltatorii din domeniul IA penru o conformare autentică la
principiile de bază GDPR.
1. Principiul echității
În perioada 2014-2017, Amazon a proiectat un sistem, bazat pe machine learning, care urma să
scape compania de miile de interviuri pentru angajarea personalului pe posturile de muncă
vacante. Sitemul a fost încărcat cu un număr mare de CV-uri, și a selectat un număr de patterns,
care ar trebui să se regăsească la candidații cei mai promițători pentr locurile vacante în cadrul
companii. În esența, Amazon dorea ca din 100 de CV-uri sistemul să selecteze 5 de top, fără
necesitatea unei intervențe umane. Interesant este faptul că după un timp în care sistemul IA a
fost supravegheat, pentru a depista dacă existau careva nereguli, dezvoltatorii au observat că
bărbații erau favorizați. Discriminarea sexului feminin s-a datorat faptului că sistemul a luat în
calcul inclusiv elemente ca posibilitatea gravidității la acestea.
Cazul descris prezintă o problemă prioritară pentru dezvoltatorii IA, ori conform principiului
legalității, echității și transparenței acesta impune ca operatorul să prevină tratamentele
discriminatorii în privința persoanelor vizate, a căror date au fost prelucrate. Prinicipalul
impediment tehnic îl reprezintă așa numita „Black box of AI”, care se bate cap în cap și cu
principiul transparenței prelucării datelor.
2. Principiul transparenței
Cutia neagră a IA poate fi explicată simplu prin următoarea afirmație a dezvoltatorilor IA: noi știm
ce introducem în cadrul sistemului (input) și vedem rezultatul (output), însă habar nu avem ce se
petrece în cadrul sistemului în perioada procesării datelor introduse.
În temeiul art. 13 și 14 din GDPR persoana vizată are dreptul de a fi informată în privința cum
informația va fi utilizată, cine va acces la informație pe lângă operatorul de date, și cum va fi
prelucrată. Art. 12 incubă operatorului obligația de lua măsuri adecvate pentru a furniza
persoanei vizate orice informații menționate la articolele 13 și 14, într-un limbaj cât se poate de
clar pentru această. Aceste cerințe sunt problematic de îndeplinit în momentul în care vorbim de
tehnologiile hi-tech, care reprezintă o provocare și pentru specialiștii în domeniu.
3. Procesul decizional automatizat – art. 22
Conform Ghidului wp29 privind procesul decizional individual automatizat și crearea de profiluri
în sensul Regulamentului (UE) 2016/679, prin procesul decizional automatizat vom înțelege
capacitatea de a lua decizii prin mijloace tehnologice, fără implicarea umană.
Desigur că această categorie înglobează în sine și IA, în momentul în care procesul este
automatizat 100% și produce efecte legale, ori similare care pot afecta persoana vizată (exemple:
lipsirea de anumite premii la locul de muncă ca urmare a unei analize automatizate la locul de
muncă; în cazul în care persoana vizată aplică pentru obținerea unei creditări online, și este
refuzata; sau aplicarea în practică a exemplului cu Amazon de mai sus), din acest considerent
sunt aplicabile condițiile art. 22 .
Operatorul de date are obligația de a fi conștient de faptul că utilizarea unui proces decizional
automatizat este mai mult o excepție pentru anumite cazuri (art. 22 alin. (2) GDPR) decât un
drept al operatorului de date.
Din cele relatate la pct. 1, 2 și 3, putem deduce că domeniul inteligenței artificiale care în ultima
perioadă și-a luat un avânt în evoluția tehnologică, urmează a lua în calcul importanța securității
datelor și respectarea drepturilor personelor vizate.
Într-o altă ordine de idei, pentru a încheia pe o notă promițătoare acest articol, IA reprezintă o
oportunitate inedită pentru decuritatea datelor cu caracter personal, în acest sens IA poate
deveni:
1. Antivirusul pentru prelucrarea neautorizată a datelor (sau artificial DPO): depistarea de către
personalul împuternicit a unor data breach, chiar și utilizând unele sisteme software, la
momentul de față lasă de dorit, un soft IA care să fie „omniprezent” în cadrul bazelor de date a
operatorului și să vegheze asupra manipulărilor cu datele personale ale persoanelor vizate ar
putea fi o soluție. Totuși un asemenea sistem ar putea fi considerat prea intruziv, dacă ar fi legat
direct cu Autoritatea de Supraveghere.
2. IA și DPIA: evaluarea de impact privind protecția datelor cu caracter personal (art. 35 GDPR),
aceasta reprezintă un proces conceput pentru a identifica și minimaliza riscurile în cadrul
activității de prelucrare a datelor. Art. 35 reglementează foart coincis DPIA, iar Autoritățile
Naționale de Supraveghere emit Liste a operațiunilor pentru care este obligatorie realizarea DPIA.
Evaluarea de impact reprezintă un proces de analiză detaliată și emiterea unor concluzii și
recomandări, ceea ce în esență este principal activitate în fișa postului pentru IA.
În concluzie, inteligența artificială este un domeniu unde alimentul principal îl reprezintă
informația, conformare la GDPR reprezintă o necestate vitală pentru asigurarea protecție datelor
a personelor vizate, în realitatea în care polpularitatea utilizării IA crește pentru tot mai multe și
mai diverse sfere de activitate.