Noi linii directoare ICO pentru conformitatea cu AI și PII privind confidențialitatea datelor

Publicat: 2022-11-16

Pe măsură ce IA devine din ce în ce mai răspândită în viața noastră de zi cu zi, companiile din întreaga lume trebuie să se cufunde în peisajul în creștere al obligațiilor legale și de reglementare legate de utilizarea sistemelor AI.

În noiembrie 2022, ICO a anunțat un set de linii directoare privind modul în care organizațiile pot utiliza AI și datele personale atât din punct de vedere etic, cât și legal, în conformitate cu cadrul de protecție a datelor din Regatul Unit.

Acesta este completat de o serie de întrebări frecvent adresate cu privire la utilizarea IA și a datelor cu caracter personal, cum ar fi dacă ar trebui efectuate evaluări de impact, dacă rezultatele trebuie să respecte principiul acurateții și dacă organizațiile necesită autorizare pentru a analiza datele cu caracter personal.

Acest ghid explică modul în care regulile de protecție a datelor se aplică inițiativelor de inteligență artificială, ținând cont în același timp de numeroasele avantaje pe care le-ar putea oferi astfel de proiecte, ajutând organizațiile să reducă riscurile care apar în mod specific din punctul de vedere al protecției datelor.

Citiți mai multe despre această direcție pe site-ul ICO.

Cum să colectați în mod legal date AI

Îndrumarea ICO recunoaște că, deși utilizarea AI are avantaje incontestabile, poate pune în pericol libertățile și drepturile oamenilor atunci când protecția datelor nu este luată în serios. În acest scop, îndrumările lor oferă un cadru util pentru modul în care întreprinderile ar trebui să evalueze și să atenueze aceste riscuri.

Ghidul acoperă opt elemente strategice pe care companiile le pot adopta pentru a îmbunătăți modul în care gestionează inteligența artificială și datele personale:

1. Utilizați o procedură bazată pe risc atunci când creați și implementați IA

Când utilizați AI, ar trebui să determinați dacă este necesar pentru situație. AI este de obicei considerată o tehnologie cu risc ridicat atunci când interacționează cu informațiile personale. O companie are nevoie de cantități mari de date pentru a-și îmbunătăți sistemele să funcționeze corect, iar datele noastre ar putea fi revândute, neștiind cine le primește sau cum sunt folosite.

Astfel, poate exista un substitut mai eficient și care să păstreze confidențialitatea.

După cum afirmă ICO, trebuie să evaluați riscurile și să puneți în aplicare garanțiile organizatorice și tehnice necesare pentru a le reduce. În mod realist, este imposibil să eliminați complet toate riscurile, iar legile privind protecția datelor nu vă obligă să faceți acest lucru, dar asigurați-vă că:

Folosiți o evaluare a impactului asupra protecției datelor (DPIA) pentru a determina și a reduce riscul de a nu respecta legile privind protecția datelor pe care le implică utilizarea de către dvs. a AI, precum și pentru a preveni vătămările asupra persoanelor
Căutați informații de la multe grupuri pe care utilizarea dvs. de inteligență artificială le poate afecta pentru a înțelege mai bine pericolul

Când un DPIA este obligatoriu din punct de vedere legal, trebuie să efectuați unul înainte de a implementa un sistem AI și să introduceți garanții organizatorice și tehnice adecvate care vă vor ajuta să reduceți sau să gestionați riscurile pe care le găsiți. Înainte de a avea loc orice procesare, sunteți legal obligat să vorbiți cu ICO dacă identificați un risc pe care nu îl puteți atenua în mod adecvat.

2. Luați în considerare modul în care veți explica deciziile sistemului dvs. AI celor care vor fi afectați

Potrivit ICO, poate fi dificil să explici modul în care AI generează anumite decizii și rezultate, mai ales când vine vorba de învățare automată și algoritmi complicati - dar asta nu înseamnă că nu ar trebui să oferi explicații oamenilor.

Iată ce recomandă ICO:

Fiți clar, deschis și transparent cu oamenii despre cum și de ce colectați și folosiți datele lor personale
Gândiți-vă la ce justificare este necesară în mediul în care va fi utilizat sistemul dvs. AI
Luați în considerare modul în care oamenii vor percepe explicația dvs
Analizați efectele probabile ale alegerilor sistemului dvs. AI pentru a determina cât de amănunțită ar trebui să fie justificarea dvs
Luați în considerare modul în care vor fi gestionate cererile de drepturi individuale

3. Adunați doar informațiile necesare pentru a vă crea sistemul AI

ICO recomandă limitarea colectării datelor ori de câte ori este posibil. Acest lucru nu înseamnă că datele nu pot fi colectate - înseamnă doar că datele sunt gestionate într-un mod care respectă standardele GDPR.

Tu ar trebui:

Asigurați-vă că informațiile personale pe care le utilizați sunt exacte, adecvate, relevante și limitate - acest lucru va diferi în funcție de contextul în care utilizați AI
Gândiți-vă ce metode de păstrare a confidențialității sunt potrivite pentru situația în care utilizați AI pentru a procesa datele personale

Principiul acurateții pentru protecția datelor nu necesită ca un sistem AI să fie 100% corect. În schimb, organizațiile ar trebui să se asigure că există proceduri pentru a garanta corectitudinea și acuratețea generală a rezultatelor.

4. Etichetați riscurile de părtinire și discriminare într-un stadiu incipient

Există moduri în care un sistem AI poate fi părtinitor sau poate duce la discriminare. Acest lucru poate crea seturi de date inexacte, dezechilibrate, iar abordarea din timp a acestei probleme este un aspect important al respectării confidențialității datelor.

ICO vă recomandă să:

Stabiliți dacă datele pe care le colectați sunt exacte, reprezentative, de încredere, relevante și actualizate pentru comunitatea sau diferitele grupuri de persoane afectate de sistemul AI
Determinați dacă judecățile făcute de sistemul AI sunt acceptabile prin cartografierea implicațiilor potențiale și a rezultatelor pentru diferite grupuri

5. Investiți timp și resurse în pregătirea corectă a datelor

După cum sa menționat deja, AI este la fel de fiabilă ca și datele pe care le colectează. Prin urmare, organizațiile trebuie să se asigure că sunt dedicate suficiente resurse și timp pentru culegerea datelor necesare.

ICO recomandă ca:

Când vine vorba de etichetarea datelor care implică caracteristici protejate sau date de categorii speciale, ar trebui să existe criterii și linii de responsabilitate definite
Pentru a menține consistența și a ajuta în situații neobișnuite, ar trebui să implicați mai mulți etichetatori umani

6. Asigurați-vă că sistemul dvs. AI este în siguranță

Sistemele AI au potențialul de a crește riscurile sau de a introduce noi vulnerabilități de securitate.

Când vine vorba de măsuri de securitate, nu există o abordare universală. Cu toate acestea, trebuie să respectați legea și să puneți în aplicare garanțiile organizatorice și tehnice adecvate, astfel încât să asigurați un nivel de securitate proporțional cu orice riscuri identificate.

Utilizați inteligența artificială într-un mod sigur

ICO recomandă companiilor:

Efectuați o evaluare a riscurilor de securitate care să includă un inventar curent al tuturor sistemelor AI, astfel încât să puteți obține o concepție generală despre unde pot avea loc incidente potențiale
Efectuați depanarea modelului, care este procesul de identificare și abordare a defectelor din modelul dvs. - fie de către un auditor intern de securitate, fie de către un auditor extern de securitate
Implementați un sistem de monitorizare proactiv și analizați eventualele nereguli

7. Evaluările umane ale deciziilor AI ar trebui să fie semnificative

Ar trebui să se determine din timp dacă rezultatele sunt utilizate pentru a ajuta un factor de decizie uman sau dacă deciziile sunt complet autonome, în funcție de scopul AI.

ICO subliniază că persoanele vizate au dreptul de a ști dacă alegerile care implică datele lor au fost făcute în întregime pe cont propriu sau cu ajutorul AI. Orientările sugerează, de asemenea, că ar trebui să fie evaluate în mod semnificativ atunci când sunt folosite pentru a ajuta o persoană.

Pentru a vă asigura că aceste recenzii sunt semnificative, recenzenții ar trebui să fie:

Suficient de calificat pentru a evalua și a pune sub semnul întrebării rezultatele sistemului AI
Capabil să răstoarne o judecată automată
Conștient de factori suplimentari care nu s-au reflectat în datele de intrare

Atunci când o decizie are un impact juridic sau de alt tip substanțial, persoanele vizate au dreptul, în temeiul GDPR, să nu fie supuse acesteia. Ei au, de asemenea, dreptul de a aștepta informații semnificative despre raționamentul din spatele deciziei.

Prin urmare, chiar dacă este declarată ca o recomandare, revizuirea umană este totuși necesară atunci când AI ia decizii importante.

8. Consultați-vă cu un furnizor extern pentru a vă asigura că utilizarea de către dvs. a AI este adecvată

Achiziționarea unui sistem AI de la o terță parte nu vă exonerează de responsabilitatea de a respecta legislația privind protecția datelor. În cele mai multe cazuri, tu vei fi controlorul de date, hotărând cum să implementezi sistemul AI.

În consecință, trebuie să puteți demonstra modul în care sistemul AI aderă la legislația privind protecția datelor.

ICO sugerează că întreprinderile:

Alegeți un furnizor adecvat efectuând diligența necesară înainte de orice achiziție
Angajați-vă cu furnizorul extern pentru a efectua o evaluare înainte de implementare (cum ar fi un DPIA)
Stabiliți roluri și îndatoriri cu furnizorul extern și înregistrați-le (de exemplu, cine va răspunde solicitărilor de drepturi individuale sau va efectua controale de securitate)
Solicitați documentație de la furnizorul extern care să demonstreze că respectă „privacy by design”
Luați în considerare dacă orice date cu caracter personal vor fi transferate la nivel internațional - dacă da, asigurați-vă că drepturile de confidențialitate ale oamenilor sunt respectate

GDPR și AI

Deși AI are potențialul de a fi un instrument valoros, pe măsură ce se dezvoltă, prezintă, de asemenea, un risc pentru securitatea și confidențialitatea datelor, precum și preocupările de reglementare.

Este dificil să eviți prezentarea Regulamentului general privind protecția datelor (GDPR) în timp ce discutăm despre regulile de inteligență artificială (AI). Datele sunt componenta esențială pentru aplicațiile AI, iar GDPR a avut cea mai mare influență la nivel mondial în ceea ce privește crearea unei piețe de date mai reglementate.

Consultați GDPR și centrul nostru de confidențialitate a datelor, care analizează în profunzime reglementări și conformitate.