Διαχείριση κινδύνων συστημάτων Τεχνητής Νοημοσύνης: Κατευθυντήριες Οδηγίες του Ευρωπαίου Επόπτη Προστασίας Δεδομένων

Ένα νέο κείμενο Κατευθυντηρίων Οδηγιών εξέδωσε ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, στο πλαίσιο της αρμοδιότητάς του για τον έλεγχο της συμμόρφωσης των οργάνων της Ευρωπαϊκής Ένωσης με τις απαιτήσεις της προστασίας δεδομένων.

Πρόκειται για το έγγραφο με τίτλο «Guidance for Risk Management of Artificial Intelligence systems», το οποίο εκδόθηκε στα αγγλικά και αποσκοπεί στην καθοδήγηση των ενωσιακών οργάνων κατά την αναγνώριση και τον μετριασμό των κινδύνων από τη χρήση συστημάτων Τεχνητής Νοημοσύνης.

Όπως παρατηρείται στον πρόλογο του κειμένου:

Η ανάπτυξη, η προμήθεια και η εφαρμογή συστημάτων τεχνητής νοημοσύνης (AI) που περιλαμβάνουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά όργανα, τους οργανισμούς, τις υπηρεσίες και τα γραφεία της Ευρωπαϊκής Ένωσης (EUIs) ενέχει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, μεταξύ αυτών, της ιδιωτικής ζωής και της προστασίας των δεδομένων.

Ως θεμέλιο του Κανονισμού (ΕΕ) 2018/1725 (EUDPR), η αρχή της λογοδοσίας, η οποία κατοχυρώνεται στο Άρθρο 4 παρ.2 (για διοικητικά δεδομένα προσωπικού χαρακτήρα) και στο Άρθρο 71 παρ.4 (για επιχειρησιακά δεδομένα προσωπικού χαρακτήρα), απαιτεί από τα EUIs να εντοπίζουν και να μετριάζουν αυτούς τους κινδύνους, καθώς και να αποδεικνύουν τον τρόπο με τον οποίο το έπραξαν.

Αυτό είναι ακόμη πιο σημαντικό, στην περίπτωση των συστημάτων τεχνητής νοημοσύνης, τα οποία αποτελούν προϊόντα περίπλοκων αλυσίδων εφοδιασμού που συχνά περιλαμβάνουν πολλούς φορείς οι οποίοι επεξεργάζονται δεδομένα προσωπικού χαρακτήρα υπό διαφορετικές ιδιότητες.

Οι παρούσες Κατευθυντήριες Οδηγίες αποσκοπούν στο να καθοδηγήσουν τα EUIs, όταν ενεργούν ως υπεύθυνοι επεξεργασίας δεδομένων, στην αναγνώριση και τον μετριασμό ορισμένων από αυτούς τους κινδύνους.

Πιο συγκεκριμένα, εστιάζουν στον κίνδυνο μη συμμόρφωσης με ορισμένες αρχές προστασίας δεδομένων που απορρέουν από τον EUDPR και για τις οποίες οι στρατηγικές μετριασμού που οφείλουν να εφαρμόσουν οι υπεύθυνοι επεξεργασίας μπορεί να είναι τεχνικής φύσεως — δηλαδή, αντικειμενικότητα, ακρίβεια, ελαχιστοποίηση δεδομένων, ασφάλεια και δικαιώματα των υποκειμένων των δεδομένων.

Ως εκ τούτου, τα τεχνικά μέτρα ελέγχου που παρατίθενται στις παρούσες Κατευθυντήριες δεν είναι εξαντλητικά και δεν απαλλάσσουν τα EUIs από τη διενέργεια της δικής τους αξιολόγησης των κινδύνων που προκύπτουν από τις συγκεκριμένες δραστηριότητες επεξεργασίας τους. Στο πλαίσιο αυτό, το έγγραφο αποφεύγει να κατατάξει τους κινδύνους ανάλογα με την πιθανότητα ή τη σοβαρότητά τους.

Κατά πρώτον, το παρόν έγγραφο παρέχει επισκόπηση της μεθοδολογίας διαχείρισης κινδύνων σύμφωνα με το πρότυπο ISO 31000:2018 (Ενότητα 2).

Κατά δεύτερον, περιγράφει τον τυπικό κύκλο ζωής ανάπτυξης συστημάτων τεχνητής νοημοσύνης, καθώς και τα διάφορα στάδια που περιλαμβάνονται στην προμήθειά τους (Ενότητα 3).

Κατά τρίτον, εξετάζει τις έννοιες της ερμηνευσιμότητας και της εξηγησιμότητας ως διατομεακές παραμέτρους, οι οποίες καθορίζουν τη συμμόρφωση με όλες τις διατάξεις που καλύπτονται στις παρούσες Κατευθυντήριες (Ενότητα 4).

Τέλος, το κείμενο αναλύει τις τέσσερις γενικές αρχές που προαναφέρθηκαν — δηλαδή αντικειμενικότητα, ακρίβεια, ελαχιστοποίηση δεδομένων και ασφάλεια — σε συγκεκριμένους κινδύνους, καθένας από τους οποίους περιγράφεται και συνοδεύεται από τεχνικά μέτρα που μπορούν να εφαρμόσουν οι υπεύθυνοι επεξεργασίας για να τους μετριάσουν (Ενότητα 5).

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ) εκδίδει τις παρούσες κατευθυντήριες οδηγίες υπό την ιδιότητά του ως αρχή εποπτείας της προστασίας δεδομένων και όχι υπό την ιδιότητά του ως αρχή εποπτείας της αγοράς δυνάμει του Κανονισμού για την Τεχνητή Νοημοσύνη (AI Act).

Οι παρούσες οδηγίες δεν θίγουν τον Κανονισμό για την Τεχνητή Νοημοσύνη (AI Act).

Το έγγραφο είναι διαθέσιμο εδώ.