CNIL (Autoritatea de supraveghere a protecției datelor din Franța) spunea într-un raport faptul că „dezbaterea asupra faptului dacă este sau nu necesar a reglementa inteligența artificială trece cu vederea faptul că algoritmii sunt reglementați de aproximativ 40 de ani” și oferă mai departe exemplul primei legi a protecției datelor din Franța care datează din anul 1978[1].
În România, prima lege a protecției datelor a apărut în 2001 (Legea 677/2001) care conținea, încă de atunci, aspecte precise privind reglementarea inteligenței artificiale. Așadar, putem observa faptul că România are legislație cu privire la AI de 19 ani. Legea a fost abrogată în 2018.
Începând cu 25 mai 2018, în toată Europa, inclusiv în România, se aplică Regulamentul General Privind Protecția Datelor care a abrogat vechea directivă[2], Regulament care, prin articolul 22, reglementează, în mod specific, inteligența artificială și drepturile omului în fața deciziilor exclusiv automate ale mașinilor[3]. Deși prin acest articol vom dezbate art. 22, ar fi util de menționat faptul că și alte dispoziții din RGPD sunt aplicabile inteligenței artificiale, cum ar fi dreptul de a fi informat cu privire la algoritmii utilizați (art. 13) – inteligența artificială, dreptul de a-ți rectifica sau șterge datele dintr-un sistem informatic, dreptul de a avea acces la propriile date dintr-un sistem informatic etc. RGPD nu este o lege care protejează doar protecția datelor în mod abstract, ci prin asigurarea protecției datelor se contribuie la respectarea și altor drepturi și libertăți fundamentale.
Sigur că RGPD nu utilizează, în mod concret, termenul de „inteligență artificială”, însă referirea la AI se deduce indirect din interpretarea sintagmei utilizate în prevederile art. 22, respectiv „decizie bazată exclusiv pe prelucrarea automată”.
Te-ar putea interesa și: Dreptul la viață privată contează pentru că…
Inteligența artificială este reglementată și prin alte instrumente juridice, cum ar fi Regulamentul P2B[4].
Cu toate acestea, legislația nu este perfectă și lasă loc de îmbunătățiri, însă înainte de a discuta despre legile viitorului, ar trebui să aflăm ce prevede concret legislația care se aplică în prezent pentru a ști ce anume ar trebui îmbunătățit.
Ce prevede RGPD?
Notă: textele de mai jos sunt lungi și dacă nu ai timp (sau răbdare), poți trece la secțiunea finală din articol unde am sintetizat informația.
Articolul 22 din RGPD prevede:
„(1) Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată[i], inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
(2) Alineatul (1) nu se aplică în cazul în care decizia:
(a) este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date;
(b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau
(c) are la bază consimțământul explicit al persoanei vizate.
(3) În cazurile menționate la alineatul (2) literele (a) și (c), operatorul de date pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia.
(4) Deciziile menționate la alineatul (2) nu au la bază categoriile speciale de date cu caracter personal menționate la articolul 9 alineatul (1), cu excepția cazului în care se aplică articolul 9 alineatul (2) litera (a) sau (g) și în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”
KIT GDPR Premium
Considerentele 71-72 din RGPD prevăd:
(71) Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii, care poate include o măsură, care evaluează aspecte personale referitoare la persoana vizată, care se bazează exclusiv pe prelucrarea automată și care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronică, fără intervenție umană. O astfel de prelucrare include „crearea de profiluri”, care constă în orice formă de prelucrare automată a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoană fizică, în special în vederea analizării sau preconizării anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă. Cu toate acestea, luarea de decizii pe baza unei astfel de prelucrări, inclusiv crearea de profiluri, ar trebui permisă în cazul în care este autorizată în mod expres în dreptul Uniunii sau în dreptul intern care se aplică operatorului, inclusiv în scopul monitorizării și prevenirii fraudei și a evaziunii fiscale, desfășurate în conformitate cu reglementările, standardele și recomandările instituțiilor Uniunii sau ale organismelor naționale de supraveghere, și în scopul asigurării securității și fiabilității unui serviciu oferit de operator sau în cazul în care este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator sau în cazul în care persoana vizată și-a dat în mod explicit consimțământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, care ar trebui să includă o informare specifică a persoanei vizate și dreptul acesteia de a obține intervenție umană, de a-și exprima punctul de vedere, de a primi o explicație privind decizia luată în urma unei astfel de evaluări, precum și dreptul de a contesta decizia. O astfel de măsură nu ar trebui să se refere la un copil. Pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată, având în vedere circumstanțele specifice și contextul în care sunt prelucrate datele cu caracter personal, operatorul ar trebui să utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, să implementeze măsuri tehnice și organizatorice adecvate pentru a asigura în special faptul că factorii care duc la inexactități ale datelor cu caracter personal sunt corectați și că riscul de erori este redus la minimum, precum și să securizeze datele cu caracter personal într-un mod care să țină seama de pericolele potențiale la adresa intereselor și drepturilor persoanei vizate și care să prevină, printre altele, efectele discriminatorii împotriva persoanelor pe motiv de rasă sau origine etnică, opinii politice, religie sau convingeri, apartenență sindicală, caracteristici genetice, stare de sănătate sau orientare sexuală sau care să ducă la măsuri care să aibă astfel de efecte. Procesul decizional automatizat și crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise numai în condiții specifice.
(72) Crearea de profiluri este supusă normelor prezentului regulament care reglementează prelucrarea datelor cu caracter personal, precum temeiurile juridice ale prelucrării sau principiile de protecție a datelor. Comitetul european pentru protecția datelor instituit prin prezentul regulament („comitetul”) ar trebui să poată emite orientări în acest context.
Ce vor să spună concret textele de mai sus?
- 22 RGPD interzice unei mașini să ia decizii cu privire la o persoană (decizie fără intervenție umană) atunci când acea decizie poate avea un impact juridic sau un impact semnificativ asupra omului.
- 13 alin. 2. Lit. f) din RGPD spune că persoana are dreptul de a fi informată cu privire la logica utilizată algoritm și cu privire la consecințele acestei prelucrări prin sisteme inteligente.
- 22 alin. (3) RGPD instituie în favoarea persoanei vizate două drepturi cu privire la deciziile luate de AI: dreptul de a contesta decizia și de a solicita intervenție umană.
- 22 și considerentele 71-72 din RGPD spun, printre altele, faptul că AI-ul poate fi implementat cu garanții adecvate pentru persoana vizată pentru a se evita consecințele mai puțin plăcute asupra drepturilor și libertăților fundamentale.
- 22 și considerentele 71-72 din RGPD protejează în mod special copiii.
- 22 și considerentele 71-72 din RGPD protejează omul împotriva discriminării realizate de AI.
Mai departe….
CNIL arată că legislația actuală ar putea fi îmbunătățită[5]. În primul rând RGPD se focusează doar pe inteligența artificială care prelucrează date cu caracter personal, fiind exclusă inteligența artificială care prelucrează exclusiv date fără caracter personal, iar în al doilea rând, există și o problemă a eficacității acestei legi deorece există un dezechilibru de putere între cei care controlează astfel de sisteme AI și cei ale căror date sunt prelucrate, aceștia din urmă putând avea piedici în a-și exercita drepturile, cum ar fi dreptul la contestație sau dreptul de a obține intervenție umană.[6]
***
Surse:
[1] Victor Demiaux, CNIL, How can humans keep the upper hand? The ethical matters raised by algorithms and artificial intelligence the ethical issues, decembrie 2017, p. 45.
[2] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, JO L 281, 23.11.1995, p. 31-50
[3] A se vedea și Ruxandra SAVA, Când decizia o ia maşina… Despre profilare, drepturi şi echilibru într-un univers digital, disponibil la juridice, link accesat 11.11.2020.
[4] Regulamentul (UE) 2019/1150 al Parlamentului European și al Consiliului din 20 iunie 2019 privind promovarea echității și a transparenței pentru întreprinderile utilizatoare de servicii de intermediere online (Text cu relevanță pentru SEE), PE/56/2019/REV/1, JO L 186, 11.7.2019, p. 57-79.
[5] Victor Demiaux, CNIL, op.cit., p. 45.
[6] Ibidem.
[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]