Daniel-Mihail Șandru, Relația dintre protecția datelor și inteligența artificială. Impactul reglementării inteligenței artificiale în Uniunea Europeană, Revista română de drept european, nr. 1/2023, p. 84-91
Daniel-Mihail Sandru – relevant activities in the field of personal data protection
REZUMAT
Propunerea de regulament al Parlamentului European și al Consiliului de stabilire a unor norme armonizate privind inteligența artificială („Legea privind inteligența artificială”) ne pune în față posibilitatea discutării nu doar a aspectelor de drept pozitiv al acestei reglementări sau a viitorului impact al reglementării privind inteligența artificială în privința datelor cu caracter personal, dar și a aspectelor curente ale relației dintre cele două elemente: datele cu caracter personal și inteligența artificială. Articolul evidențiază, în primul rând, implicațiile inteligenței artificiale în aplicarea Regulamentului general privind protecția datelor. În al doilea rând, se realizează o evaluare a condițiilor juridice de prelucrare a datelor în cadrul sistemelor de inteligență artificială.
Cuvinte cheie: drepturi fundamentale, date cu caracter personal, inteligență artificială, date biometrice, măsuri tehnice și organizatorice, operator
ABSTRACT
The Proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on Artificial Intelligence (the Artificial Intelligence Act) gives the opportunity to discuss not only issues related to positive law or the future impact of artificial intelligence regulation on data with personal character but also topical aspects of the relationship between the two elements: personal data and artificial intelligence. The article highlights, first of all, the implication of artificial intelligence for the application of the General Data Protection Regulation. Secondly, an assessment is made of the legal conditions for data processing in artificial intelligence systems.
Keywords: fundamental rights, personal data, artificial intelligence, biometric data, technical and organizational measures, controller
Introducere
Dezbateri ample privind viitorul juridic al societății europene trebuie să se facă între factori decidenți, politici, de la nivel european și național, dar cu suport științific consistent din partea entităților de profil. Uniunea Europeană nu duce lipsă de resurse și voință politică, iar strategia Comisiei Europene privind digitalizarea[1] a luat în considerare și inteligența artificială. În cadrul acestei strategii, unul dintre piloni, „Tehnologia în serviciul cetățenilor”, are ca prioritate faptul că „se va asigura că inteligența artificială respectă drepturile oamenilor și le câștigă încrederea”[2]. Încă din aceste documente programatice rezultă o preocupare specială pentru respectarea drepturilor omului în introducerea noilor tehnologii, ca etapă a utilizării acestora în masă în Uniunea Europeană. Într-un alt document al Comisiei Europene, intitulat „Excelență și încredere în inteligența artificială”, este evocată din nou „încrederea”, atribut care după cum am observat este realizat prin aplicarea drepturilor fundamentale. Se au în vedere diferite criterii pentru a stabili gradul de reglementare, de la inacceptabil, la risc ridicat, risc limitat și respectiv risc minim[3].
În cadrul comunităților virtuale putem avea în vedere mai multe tipuri de riscuri, cum ar fi riscul ridicat de utilizare a inteligenței artificiale în privința „formării educaționale sau profesionale, care ar putea determina accesul la educație și traiectoria profesională a unei persoane (de exemplu, notarea examenelor)”[4], inclusiv prin utilizarea unor sisteme de arhivare și de algoritmi, încă din școala gimnazială[5]. Comisia consideră risc limitat privind inteligența artificiale prezentă în utilizarea gratuită a filtrelor spam bazate pe această tehnologie. „Marea majoritate a sistemelor de IA se încadrează în această categorie. Prin urmare, noile norme nu li se aplică, deoarece în cazul acestor sisteme riscul la adresa drepturilor sau siguranței cetățenilor este fie minim, fie inexistent”[6].
În 2021, Comisia Europeană a inițiat, în cadrul procedurii legislative, un proiect de regulament privind inteligența artificială[7]. Așa cum se menționează în expunerea de motive, „propunerea are la bază valorile și drepturile fundamentale ale UE și urmărește să ofere oamenilor și altor utilizatori încrederea de a adopta soluții bazate pe IA, încurajând, în același timp, întreprinderile să le dezvolte”. Dintre drepturile fundamentale reglementate în Uniunea Europeană, vom analiza, prin raportare la inteligența artificială, „protecția datelor cu caracter personal” (art. 8), drept fundamental introdus în Carta drepturilor fundamentale a Uniunii Europene (în continuare „carta”)[8]. În Concluziile Consiliului European din 2017 a fost evidențiat impactul datelor cu caracter personal în utilizarea inteligenței artificiale și necesitatea unei reglementări proporționale a acesteia din urmă[9]. Impactul asupra drepturilor fundamentale este subliniat într-o subsecțiune („3.5. Drepturi fundamentale”) în care sunt enumerate nu mai puțin de 17 articole din Carta drepturilor fundamentale care au legătură cu propunerea de regulament privind inteligența artificială. În cadrul secțiunii privind coerența cu reglementările existente, se subliniază că propunerea asigură „coerența cu Carta drepturilor fundamentale a Uniunii Europene și cu legislația secundară existentă a Uniunii privind protecția datelor, protecția consumatorilor, nediscriminarea și egalitatea de gen. Propunerea nu aduce atingere Regulamentului general privind protecția datelor [Regulamentul (UE) 2016/679[10]] și Directivei privind protecția datelor în materie de asigurare a respectării legii [Directiva (UE) 2016/680[11]] și le completează cu un set de norme armonizate aplicabile proiectării, dezvoltării și utilizării anumitor sisteme de [inteligență artificială] cu grad ridicat de risc și cu restricții privind anumite utilizări ale sistemelor de identificare biometrică la distanță”. În privința temeiului juridic al propunerii, avem, pe de o parte, art. 114 TFUE și, pe de altă parte, art. 16 TFUE, un temei cel puțin interesant, având în vedere și motivarea potrivit căreia reglementarea inteligenței artificiale „conține anumite norme specifice privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, în special restricții privind utilizarea sistemelor de [inteligență artificială] pentru identificarea biometrică la distanță „în timp real” în spațiile accesibile publicului în scopul asigurării respectării legii, este oportun ca prezentul regulament să se întemeieze, în ceea ce privește normele specifice respective, pe articolul 16 din TFUE” (a se vedea și considerentul (2) din propunere).
Trebuie menționat că Propunerea de regulament privind inteligența artificială, deși are în vedere problematica defecțiunilor și a notificării acestora, nu se face trimitere la directiva privind răspunderea pentru produsele cu defect[12]. În octombrie 2021, Comisia Europeană a deschis o procedură de consultare, „Răspunderea civilă – adaptarea normelor privind răspunderea la era digitală și la inteligența artificială”[13], pentru ca părțile interesate să își exprime opiniile privind „revizuirea Directivei privind răspunderea pentru produse și dacă alte norme naționale în materie de răspundere oferă în continuare securitate juridică și protecție a consumatorilor într-o eră a produselor și serviciilor inteligente și bazate pe inteligență artificială”. Comisia sublinia că „siguranța acestor produse și servicii nu depinde doar de proiectarea și producția lor, ci și de actualizările software, fluxurile de date și algoritmi. Normele actuale de răspundere se bazează pe doi piloni: Directiva privind răspunderea pentru produse și normele naționale nearmonizate privind răspunderea. Directiva privind răspunderea pentru produse protejează consumatorii care suferă răni sau daune materiale din cauza produselor defecte și acoperă produse, de la scaune de grădină până la medicamente, mașini și produse bazate pe inteligență artificială. Normele naționale de răspundere nearmonizate includ diverse reguli de răspundere, care acoperă diferite tipuri de daune și pretenții împotriva oricărei persoane răspunzătoare”[14]. În materia protecției datelor răspunderea este și mai disparată, în pofida existenței unui regulament specific[15]. Legiuitorul european acordă o atenție deosebită răspunderii în contextul societății digitale. Două proiecte legislative, din septembrie 2022, au ca obiect răspunderea pentru produse cu defecte și răspunderea în materie de inteligență artificială[16].
În continuare vom discuta două aspecte ale relației inteligenței artificiale cu protecția datelor cu caracter personal. Pe de o parte, vom avea în vedere faptul că inteligența artificială nu poate funcționa fără date, cu caracter personal sau nu, datele făcând parte din structura „inteligenței”, iar pe de altă parte, vom analiza utilizarea inteligenței artificiale, în locul oamenilor, atunci când se utilizează formulare ușor modificate în implementarea măsurilor tehnice și organizatorice ale operatorului, precum și în aplicarea art. 22 din Regulamentul general privind protecția datelor[17] („Procesul decizional individual automatizat, inclusiv crearea de profiluri”).
Datele cu caracter personal – element constitutiv al sistemelor de inteligență artificială
Așa cum se subliniază în expunerea de motive a Propunerii de regulament privind inteligența artificială, „promovarea inovării bazate pe IA este strâns legată de Legea privind guvernanța datelor[18], de Directiva privind datele deschise[19] și de alte inițiative din cadrul Strategiei UE privind datele[20], care vor institui mecanisme și servicii de încredere pentru reutilizarea, partajarea și punerea în comun a datelor care sunt esențiale pentru dezvoltarea unor modele de [inteligență artificială] bazate pe date de înaltă calitate”. Prelucrarea datelor este de natura inteligenței artificiale, întrucât „natura inteligenței artificiale […] se bazează adesea pe seturi mari și variate de date și care pot fi încorporate în orice produs sau serviciu care circulă liber pe piața internă” (expunerea de motive, cit. supra). Putem decela mai multe stagii de prelucrare a datelor, din care enunțăm aici: a) datele cu caracter personal; b) date cu caracter personal sensibile sau speciale (date biometrice)[21] și c) date cu caracter personal agregate și utilizarea algoritmilor.
Prelucrarea datelor biometrice prin intermediul unor sisteme de recunoaștere facială a condus la mai multe sancțiuni aplicate de autorități naționale de supraveghere a prelucrării datelor cu caracter personal. În Spania, un magazin a utilizat aceste sisteme pentru prelucrarea datelor tuturor clienților și angajaților fiind încălcate o serie de principii, cum ar fi minimizarea[22], necesitatea și proporționalitatea, sancțiunea finală fiind de 2 520 000 euro. În Suedia, prelucrarea datelor biometrice și utilizarea recunoașterii faciale în cadrul unei școli au fost de asemenea sancționate[23].
O privire specială trebuie acordată aplicării art. 22 din Regulamentul general privind protecția datelor. Primul alineat se poate aplica și în acest moment sistemelor de inteligență artificială: „Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă”. Urmează apoi excepțiile, la care se adaugă și propunerea de regulament analizată aici. Propunerea de regulament este o mare excepție de la Regulamentul privind datele cu caracter personal, nu doar în privința datelor biometrice[24], dar și pentru restul categoriilor de date sau de prelucrări. Nediscriminarea este un drept fundamental reglementat de cartă, în art. 21, și unul din elementele cheie al aplicării art. 22 din RGPD[25]. Utilizarea algoritmilor în materia resurselor umane, în primul rând în privința angajărilor, a salariilor sau bonificațiilor, a resurselor sau a timpului efectiv de lucru, precum și analizei clienților[26] sunt practici (re)curente[27].
Utilizarea inteligenței artificiale în procedurile de aplicare a legislației privind protecția datelor
Information Commissioner’s Office („ICO”), autoritatea de protecția datelor din Regatul Unit, a publicat un ghid privind inteligența artificială și protecția datelor cu elemente relevante privind aplicarea principiilor protecției datelor[28], respectiv principiul responsabilității, care se aplică și sistemelor de inteligență artificială utilizate în prelucrarea datelor, necesității și proporționalității, legalității[29], echității[30], transparenței[31], securității și minimizării – unele dintre acestea instituite și drept principii ale sistemelor de inteligență artificială. Acest document, care se adresează în primul rând operatorilor, formulează opinii juridice privind necesitatea evaluării impactului asupra protecției datelor (DPIA) în contextul inteligenței artificiale[32].
Utilizarea inteligenței artificiale poate căpăta aspecte practice în implementarea RGPD de către operatori și persoanele împuternicite de operatori. Adaptarea minimală a anumitor proceduri necesare în activitatea de protecție a datelor s-ar putea realiza prin programe de inteligență artificială. Acestea nu ar fi lipsite de riscuri dacă nu ar fi asistate, verificate și monitorizate de oameni. În final, răspunderea este doar a operatorului, ceea ce ne conduce la ideea că utilizarea inteligenței artificiale în aplicarea RGPD este extrem de limitată (sau plină de riscuri)[33]. Rolul responsabilului cu protecția datelor va crește și nu va diminuat de utilizarea sistemelor de inteligență artificială.
Inteligența artificială și unele elemente ale acesteia, cum ar fi algoritmii, pot fi utilizate pentru atacuri împotriva datelor personale, așadar pot fi elemente distructive, dar pot fi utilizate și ca sisteme de control și verificare pentru penetrarea sistemului operatorului[34].
Drepturile persoanelor vizate pot fi realizate prin sisteme de inteligență artificială, dar prin ele însele nu trebuie să încalce drepturi fundamentale[35].
Din punct de vedere practic, când operatorul utilizează sisteme de inteligență artificială operatorul este obligat să evalueze orice program informatic și să decidă dacă riscurile pe care le presupune acesta, inclusiv utilizarea inteligenței artificiale, respectă principiile Regulamentului general privind protecția datelor și există temei juridic pentru prelucrarea datelor în context. Protecția datelor cu caracter personal de către operator impune aplicarea dispozițiilor procedurale, în special art. 22 („Procesul decizional individual automatizat, inclusiv crearea de profiluri”) și art. 35 („Evaluarea impactului asupra protecției datelor”) din Regulamentul general privind protecția datelor.
Concluzii
Reglementarea inteligenței artificiale este necesară în cadrul Uniunii Europene. Temeiul juridic privind piața internă este relevant, iar funcționarea pieței interne în afara sistemelor de inteligență artificială ar fi pusă în pericol. În plus, la nivel internațional și alte organizații internaționale, cum ar fi Consiliul Europei, sunt preocupate de reglementarea inteligenței artificiale. Nu numai că este necesară reglementarea, dar inteligența artificială este deja utilizată și sunt zone în care interpretarea reglementărilor anterioare nu acoperă procesele și deciziile, nu reglementează drepturile fundamentale ale persoanelor vizate de aceste tehnologii. Datele cu caracter personal au rol de constituire a sistemului de inteligență artificială; structurate sau nu, datele fac parte din natura inteligenței artificiale. Acesta este unul din primele motive de discuție, referitor la protecția adecvată a datelor în prelucrarea operatorilor care utilizează inteligență artificială. Articolul discută și oportunitatea pentru piața muncii, respectiv ideea că în acest moment inteligența artificială nu poate înlocui omul în aplicarea măsurilor tehnice și organizatorice privind respectarea Regulamentului general privind protecția datelor.
[1] Strategia Comisiei „O Europă pregătită pentru era digitală”, cu subtitlul „Punerea la dispoziția cetățenilor a unei noi generații de tehnologii”, este disponibilă la https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_ro; cu titlu de monografie, a se vedea D. Hallinan, R. Leenes, Paul De Hert (ed.), Data Protection and Privacy, Volume 13. Data Protection and Artificial Intelligence, Hart Publishing, 2021; Ch. Kerrigan, Artificial Intelligence. Law and Regulation, Eward Elgar, 2022.
[2] A se vedea Comisia Europeană, „Conturarea viitorului digital al Europei”, la https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/shaping-europe-digital-future_ro
[3] De pildă: „măsuri de aplicare a legii care ar putea interfera cu drepturile fundamentale ale oamenilor (de exemplu, evaluarea fiabilității probelor); gestionarea migrației și azilului și controlul frontierelor (de exemplu, verificarea autenticității documentelor de călătorie); administrarea justiției și procesele democratice (de exemplu, aplicarea legii pentru un set concret de fapte)”. A se vedea, pentru ultimul element, D.-M. Șandru, Spațiul administrativ virtual, în E. Bălan, C. Iftene, M. Văcărelu (ed.), Democrație, constituție și spațiul administrativ în secolul XXI, Wolters Kluwer, București, 2021, p. 11 și urm.; a se vedea pe larg, cu toate documentele soft law publicate până în prezent, Comisia Europeană, „Excelență și încredere în inteligența artificială”, https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/excellence-trust-artificial-intelligence_ro; Comisia Europeană, Cartea albă privind inteligența artificială – O abordare europeană axată pe excelență și încredere, COM(2020)65, 2020.
[4] Comisia Europeană, Excelență și încredere în inteligența artificială, cit. supra, n. 3.
[5] A se vedea, pentru situația aplicării dreptului Uniunii Europene în acest sector de activitate, A.-M. Șandru, D.-M. Șandru, Catalogul școlar online – riscuri asupra vieții private și în privința protecției datelor, în R.R.D.E. nr. 2/2021, pp. 91-96.
[6] Comisia Europeană, Excelență și încredere în inteligența artificială, cit. supra, n. 3.
[7] Propunere de regulament al Parlamentului european și al Consiliului de stabilire a unor norme armonizate privind inteligența artificială (Legea privind inteligența artificială) și de modificare a anumitor acte legislative ale Uniunii, COM(2021)206, 2021/0106(COD), 21 aprilie 2021. Detalii privind procedura la https://eur-lex.europa.eu/legal-content/RO/HIS/?uri=CELEX:52021PC0206. Cu privire la legiferarea unor domenii noi, tehnice și necesitatea punerii în acord cu viața socială și economică, a se vedea, C. Twigg-Flesner, Disruptive Technology – Disrupted Law? How the Digital Revolution Affects (Contract) Law, în A. De Franceschi, European Contract Law and the Digital Single Market, Intersentia, 2016; M. Chum, Balancing GDPR requirements for the protection of data subjects with the policy goal of strengthening AI uptake and innovation under the European Commission’s ‘AI Regulation’ proposal of April, 2022, la https://edoc.hu-berlin.de/bitstream/handle/18452/26205/master_chum_marie.pdf Pentru situația din cadrul Consiliului Europei, a se vedea, D.-M. Șandru, Consultare privind reglementarea inteligenței artificiale în cadrul Consiliului Europei, în P.R. nr. 2/2021, pp. 137-138.
[8] A.-M. Șandru, Privire critică asupra jurisprudenței Curții de Justiție a UE referitoare la interpretarea art. 8 privind protecția datelor cu caracter personal din Carta drepturilor fundamentale a Uniunii Europene (CDFUE), în P.R. nr. 1/2018, pp. 26-33; C. Fischer, The legal protection against inferences drawn by AI under the GDPR, 2022, la https://arno.uvt.nl/show.cgi?fid=151926
[9] Consiliul European, Concluziile reuniunii din 19 octombrie 2017, EUCO 14/17, 2017, p. 8.
[10] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1), denumit în continuare și „RGPD”.
[11] Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO 2016, L 119, p. 89).
[12] Directiva 85/374/CEE a Consiliului din 25 iulie 1985 de apropiere a actelor cu putere de lege și a actelor administrative ale statelor membre cu privire la răspunderea pentru produsele cu defect (JO 1985, L 210, p. 29, Ediție specială, 15/vol. 1, p. 183).
[13] Comisia Europeană, Răspunderea civilă – adaptarea normelor privind răspunderea la era digitală și la inteligența artificială, la https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12979-Raspunderea-civila-adaptarea-normelor-privind-raspunderea-la-era-digitala-si-la-inteligenta-artificiala_ro; Raport al Comisiei către Parlamentul European, Consiliu și Comitetul Economic și Social European – Raport privind implicațiile în materie de siguranță și răspundere ale inteligenței artificiale, ale internetului obiectelor și ale roboticii, COM(2020)64, 19 februarie 2020. Centrul de Studii de Drept European a organizat un focus grup dedicat acestei consultări: Focus grup Consultarea Comisiei Europene „Răspunderea civilă – adaptarea normelor privind răspunderea la era digitală și la inteligența artificială”, 28 octombrie 2021 (online), la https://www.csde.ro/?p=3630. A se vedea și lucrarea realizată sub egida Institutului European de Drept (European Law Institute), C. Twigg-Flesner, Pilot Innovation Paper on Guiding Principles for Updating the EU Product Liability Directive for the Digital Age, 2021, la https://www.europeanlawinstitute.eu/fileadmin/user_upload/p_eli/Publications/ELI_Guiding_Principles_for_Updating_the_PLD_for_the_Digital_Age.pdf
[14] Comisia Europeană, Commission collects views on making liability rules fit for the digital age, Artificial Intelligence and circular economy, la https://digital-strategy.ec.europa.eu/en/news/commission-collects-views-making-liability-rules-fit-digital-age-artificial-intelligence-and; E. Karner, M. A Geistfeld, B. A. Koch, Comparative law study on civil liability for artificial intelligence, Direcția generală Justiție și Consumatori (Comisia Europeană), 2021, disponibil la https://op.europa.eu/en/publication-detail/-/publication/8a32ccc3-0f83-11ec-9151-01aa75ed71a1/language-en
[15] Regulamentul general privind protecția datelor, cit. supra, n. 10. D.-M. Șandru, Analiza jurisprudenței române privind acordarea de daune morale pentru nerespectarea protecției datelor cu caracter personal, în Revista română de drept privat nr. 3/2020, pp. 310-323.
[16] Propunerea de directivă a Parlamentului European și a Consiliului privind răspunderea pentru produsele cu defecte, COM(2022)495, 2022/0302(COD), respectiv Propunerea de directivă a Parlamentului European și a Consiliului privind adaptarea normelor în materie de răspundere civilă extracontractuală la inteligența artificială (Directiva privind răspunderea în materie de IA), COM(2022)496, 2022/0302(COD).
[17] Cu privire la impactul legislației europene asupra legislației privind inteligența artificială la nivel național, a se vedea, P. Krõõt Tupay, M. Ebers, J. Juksaar, K. Kohv, Is European Data Protection Toxic for Innovative AI? An Estonian Perspective, în Juridica International, 30/2021, p. 99 și urm. Acesta este și unul dintre motivele promovării propunerii de regulament european privind inteligența artificială: fragmentarea legislativă la nivel național pune piedici serioase existenței pieței interne. A se vedea și T. Douville, La régulation de l’IA en Europe. Quelle articulation avec le RGPD?, 10 decembrie 2021, la https://univ-droit.fr/recherche/actualites-de-la-recherche/manifestations/39513-la-regulation-de-l-ia-en-europe
[18] Regulamentul (UE) 2022/868 al Parlamentului European și al Consiliului din 30 mai 2022 privind guvernanța datelor la nivel european și de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanța datelor (JO 2022, L 152, p. 1).
[19] Directiva (UE) 2019/1024 a Parlamentului European și a Consiliului din 20 iunie 2019 privind datele deschise și reutilizarea informațiilor din sectorul public (JO 2019, L 172, p. 56).
[20] Comunicarea Comisiei – O strategie europeană privind datele, COM(2020)66, 19 februarie 2020.
[21] M. van Bekkum, F. Z. Borgesius, Using sensitive data to prevent discrimination by artificial intelligence: Does the GDPR need a new exception?, Computer Law & Security Review, vol. 48, aprilie 2023.
[22] A se vedea Agencia Española de Protección de Datos, Procedimiento Nº: PS/00120/2021, Resolución de terminación del procedimiento por pago voluntario, https://www.aepd.es/es/documento/ps-00120-2021.pdf
[23] Integritetsskyddsmyndigheten (Autoritatea suedeză pentru protecția datelor), decizia din 20 august 2019, dosarul DI-2019-2221, disponibilă la adresa https://www.imy.se/globalassets/dokument/beslut/facial-recognition-used-to-monitor-the-attendance-of-students.pdf
[24] Considerentul (8) al Propunerii de regulament privind inteligența artificială: „Noțiunea de sistem de identificare biometrică la distanță, astfel cum este utilizată în prezentul regulament, ar trebui definită din punct de vedere funcțional ca fiind un sistem de [inteligență artificială] destinat identificării persoanelor fizice la distanță prin compararea datelor biometrice ale unei persoane cu datele biometrice conținute într-o bază de date de referință și fără a se cunoaște în prealabil dacă persoana vizată va fi prezentă și dacă poate fi identificată, indiferent de tehnologia, procesele sau tipurile specifice de date biometrice utilizate. Având în vedere diferitele caracteristici și moduri în care sunt utilizate, precum și diferitele riscuri implicate, ar trebui să se facă o distincție între sistemele de identificare biometrică la distanță „în timp real” și „ulterior”. În cazul sistemelor „în timp real”, captarea datelor biometrice, compararea și identificarea se efectuează instantaneu, aproape instantaneu sau, în orice caz, fără întârzieri semnificative. În acest sens, nu ar trebui să existe posibilități de eludare a normelor prezentului regulament privind utilizarea „în timp real” a sistemelor de [inteligență artificială] în cauză prin prevederea unor întârzieri minore. Sistemele „în timp real” implică utilizarea de materiale „în direct” sau „aproape în direct”, cum ar fi înregistrări video, generate de o cameră video sau de un alt dispozitiv cu funcționalitate similară. În schimb, în cazul sistemelor de identificare „ulterioară”, datele biometrice au fost deja captate, iar compararea și identificarea au loc numai după o întârziere semnificativă. Este vorba despre materiale, cum ar fi imagini sau înregistrări video generate de camere de televiziune cu circuit închis sau de dispozitive private, care au fost generate înainte de utilizarea sistemului în legătură cu persoanele fizice în cauză”.
[25] Information Commissioner’s Office (ICO), Human bias and discrimination in AI systems, 25 iunie 2019, la https://ico.org.uk/about-the-ico/news-and-events/ai-blog-human-bias-and-discrimination-in-ai-systems
[26] A se vedea decizia autorității ungare de supraveghere a prelucrării datelor cu caracter personal: Comitetul european pentru protecția datelor, Data protection issues arising in connection with the use of Artificial Intelligence, 20 mai 2022, https://edpb.europa.eu/news/national-news/2022/data-protection-issues-arising-connection-use-artificial-intelligence_en
[27] A se vedea plângerea organizației noyb, Help! My recruiter is an algorithm!, 22 decembrie 2021, la https://noyb.eu/en/complaint-filed-help-my-recruiter-algorithm, împotriva practicilor Amazon de angajare, plângere formulată în fața autorității de protecție a datelor din Luxemburg.
[28] ICO, Guidance on AI and data protection, https://ico.org.uk/for-organisations/guide-to-data-protection/key-dp-themes/guidance-on-ai-and-data-protection, versiunea din 30 iulie 2020; A se vedea și documentul, elaborat de aceeași autoritate, Big data, artificial intelligence, machine learning and data protection, la https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf
[29] D.-M. Șandru, Elemente privind reglementarea consimțământului în prelucrarea datelor cu caracter personal, potrivit art. 6 din Regulamentul 2016/679, în R.R.D.A. nr. 5/2017, pp. 129-135; D.-M. Șandru, Situații în care este permisă prelucrarea datelor cu caracter personal fără consimțământul persoanei vizate, în A. Săvescu (ed.), Regulamentul general privind protecția datelor cu caracter personal. Comentarii și explicații, Editura Hamangiu, 2018 , pp. 39-48.
[30] D.-M. Şandru, Principiul echității în prelucrarea datelor cu caracter personal, în P.R. nr. 3/2018, pp. 57-63.
[31] D.-M. Șandru, Principiul transparenţei în protecţia datelor cu caracter personal, în P.R. nr. 4/2018, pp. 59-69.
[32] A se vedea și ICO, Simon Reader, Data Protection Impact Assessments and AI, 23 octombrie 2019, la https://ico.org.uk/about-the-ico/news-and-events/ai-blog-data-protection-impact-assessments-and-ai; de asemenea, a se vedea, ICO, How to use AI and personal data appropriately and lawfully, https://ico.org.uk/media/for-organisations/documents/4022261/how-to-use-ai-and-personal-data.pdf
[33] I. Alexe, Rolul responsabilului cu protecția datelor în respectarea drepturilor persoanei vizate, în R.R.D.A. nr. 3/2019, pp. 23-34; I. Alexe, Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR, în P.R. nr. 1/2018, pp. 34-45; G. Chan, K. Yew, M. Yip (ed.), AI, Data and Private Law. Translating Theory into Practice, Hart Publishing, 2021.
[34] În literatura de specialitate sunt analizate atacuri de tipul „model inversion” și „membership inference”, cu accent nu doar pe respectarea drepturilor de proprietate intelectuală, dar și pe protecția datelor. O serie de cercetări recente au indicat faptul că procesul de transformare a datelor prelucrate în sisteme de inteligență artificială (de tipul „machine-learning”) nu este într-un singur sens, ci în două: că datele prelucrate sau un subset al acestora pot furniza informații despre cine a fost în setul de date prelucrate și pot fi, în anumite cazuri, reconstruite după un model. Pe larg, M. Veale, R. Binns, L. Edwards, Algorithms that remember: model inversion attacks and data protection law, în Philosophical Transactions of the Royal Society A, vol. 376, nr. 2133/2018, p. 1 și urm; R. Binns, A. Paterson, Privacy attacks on AI models, la https://ico.org.uk/about-the-ico/news-and-events/ai-blog-privacy-attacks-on-ai-models De aceste probleme se leagă și actualul certificat instituit prin Regulamentul (UE) 2021/953 al Parlamentului European și al Consiliului din 14 iunie 2021 privind cadrul pentru eliberarea, verificarea și acceptarea certificatelor interoperabile de vaccinare, testare și vindecare de COVID-19 (certificatul digital al UE privind COVID) pentru a facilita libera circulație pe durata pandemiei de COVID-19 (JO 2021, L 211, p. 1). În prezent este în vigoare Regulamentul (UE) 2022/1034 al Parlamentului European și al Consiliului din 29 iunie 2022 de modificare a Regulamentului (UE) 2021/953 privind cadrul pentru eliberarea, verificarea și acceptarea certificatelor interoperabile de vaccinare, testare și vindecare de COVID-19 (certificatul digital al UE privind COVID) pentru a facilita libera circulație pe durata pandemiei de COVID-19 (JO 2022, L 173, p. 37). Considerentul (18) din acest regulament subliniază: „certificatele ar trebui să conțină un cod de bare interoperabil, care să poată fi citit digital numai pentru a acorda acces la datele relevante referitoare la certificate”. Reglementarea abuzivă, inclusiv la nivel național, prin utilizarea acestui certificat dincolo de scopul pentru are a fost conceput la nivel european, pune în discuție legitimitatea reglementărilor respective. În plus, trebuie să se discearnă între sistemele naționale de citire și stocare a informațiilor din certificatele instituite de Regulamentul 2021/953, dar utilizate la nivel național în alte scopuri. Pentru o discuție mai largă, a se vedea, F. J. Bariffi, J. M. Puaschunder, Artificial Intelligence and Big Data in the Age of COVID-19, Proceedings of the 24rd Research Association for Interdisciplinary Studies (RAIS) conference, 17 octombrie 2021, la https://ssrn.com/abstract=3981155
[35] ICO, Reuben Binns, Enabling access, erasure, and rectification rights in AI systems, 15 octombrie 2019, la https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems