Amendă de 15 milioane de euro pentru neconformitate cu prevederile GDPR a ChatGPT

Prima condamnare pentru nerespectarea RGPD în materie de IA generativă

IA în contextul RGPD: Autoritatea de protecție a datelor din Italia aplică, în premieră, o amendă de 15 milioane de euro Open AI pentru neconformitate cu prevederile RGPD a ChatGPT, în versiunea sa inițială.

Decizia Autorității de protecție a datelor din Italia (Autorita Garante per la protezione di dati personali), publicată la 20 decembrie 2024, de a aplica o amendă de 15 milioane de euro Open AI pentru neconformitate cu prevederile RGPD a ChatGPT, în versiunea sa inițială, reprezintă o premieră; este vorba de întâia condamnare pentru nerespectarea prevederilor regulamentului privind protecția datelor, în materie de inteligență artificială generativă. Autoritatea italiană reproșează firmei tech sancționate următoarele nerespectări ale dispozițiilor juridice pertinente:

– Se impută Open AI de a nu fi notificat Autorității încălcarea securității datelor, care a avut loc în martie 2023 (RGPD, art. 35). Ea a notificat Autorității irlandeze, în timp ce mecanismul de ghișeu unic nu putea să se aplice în cauză și să suplinească neîndeplinirea aceluiași act și în Italia;

– Baza legală a tratamentului datelor în scopul formării de instrument al IA. Instanța italiană consideră că baza legală și adecvarea sa nu au fost identificate înainte de punerea în funcțiune a IA. Ea reține, în consecință, o nerespectare a articolului 5 din RGPD. De remarcat faptul că această decizie a fost publicată după ce Comitetul european de protecție a datelor a emis, la cererea Autorității de protecție a datelor irlandeză, un aviz în care se afirmă că interesul legitim poate să constituie o bază legală valabilă pentru utilizare de date personale pentru dezvoltarea și implantarea de modele de IA, ceea ce permite astfel să nu se obțină în mod sistematic consimțământul persoanelor vizate (Avizul nr. 28/2024);

– Politica de confidențialitate. Se invocă nerespectarea prevederilor art. 5 (1) lit. a) și ale articolelor 12 și 13 din RGPD, din cauza lipsei de transparență a sistemului de tratament al datelor, în special al celor relative la utilizatorii serviciilor, ceea ce are ca efect împiedicarea persoanelor vizate să îşi exercite drepturile lor;

– Verificarea vârstei. Se reține, în această privință, nerespectarea dispozițiilor aferente art. 24 și 25 (1) din RGPD prin faptul că Open AI nu a stabilit sisteme adecvate de verificare a vârstei persoanelor. Utilizarea ChatGPT expune copiii mai mici de 13 ani „la răspunsuri inadaptate nivelului lor de dezvoltare și de conștiință de sine”;

– Producția de date inexacte. În decizia Autorității italiene se relevă că această chestiune e departe de a fi rezolvată, că măsurile stabilite de Open AI sunt rezultatul unui proces constant și continuu, că sistemele de IA sunt în continuă dezvoltare, așa încât nerespectarea e și ea permanentă, în așa fel încât acest fapt nu mai aparține competenței sale;

– Măsuri complementare. S-a cerut firmei tech să lanseze o campanie de comunicare de șase luni în media (televiziune, radio, ziare, internet). Respectiva măsură vizează sensibilizarea publicului față de funcționarea instrumentelor bazate pe inteligența artificială generativă, precum și pentru a le reaminti drepturile pe care le consacră RGPD (dreptul de rectificare, dreptul de opoziție etc.). Decizia de sancționare precizează că, în ceea ce priveşte conținutul respectivei campanii, acesta trebuie convenit cu Garante. Open AI stabilise deja, la cererea Autorității italiene (ordonanța din aprilie 2023), o primă campanie de comunicare, dar aceasta a fost considerată ca nefiind satisfăcătoare, în special din cauza absenței de concertare;

– Competența Autorității. Instituția italiană a putut să se recunoască drept competentă să emită respectiva decizie întrucât Open AI nu avea sediul în Uniunea Europeană la momentul în care a debutat ancheta. Nu mai e cazul în prezent, când și-a stabilit sediul și la Dublin (Open AI Ireland) cu efect de la 15 februarie 2024. De atunci, sistemul de ghișeu unic conduce la desemnarea competenței Autorității irlandeze ca autoritate de supraveghere principală (RGPD, art. 60 și urm.). În speță, Autoritatea europeană a reținut competența sa pentru toate nerespectările aferente RGPD anterioare datei de 15 februarie 2024 și neavând caracter continuu. Cea mai mare parte a nerespectărilor sunt considerate ca fiind comise la 30 noiembrie 2022, la momentul lansării ChatGPT. Soluția poate fi discutabilă; în avizul său 8/2019 privind competența unei autorități de control în caz de schimbare a circumstanțelor privind sediul principal sau unic, CEPD a indicat că instituirea unui stabiliment principal ori unic ori transferul său dintr-o țară terță către EEE (într-o procedură care a fost inițial angajată fără cooperare) în cursul procedurii ar permite responsabilului tratamentului să beneficieze de ghișeul unic (pct. 30 din Aviz). Nu e lipsit de interes de arătat că, după modelul Autorității italiene, alte 14 Autorități au deschis proceduri împotriva Open AI de această natură.

Deschizătoare de drumuri, decizia italiană are plusurile și minusurile sale. Open AI a calificat-o ca disproporționată și a declarat că va face apel împotriva ei, precizând că amenda aplicată reprezintă aproape de douăzeci de ori veniturile pe care le-a realizat în cursul acestei perioade. Ea s-a angajat să ofere o IA care respectă drepturile utilizatorilor în materie de protecție a vieții private. Dincolo de Open AI, cuantumul amenzii ridică semne de întrebare asupra poziției operatorului, în sensul plasării sale între respectarea strictă a RGPD și voința de a stimula și promova inovația. În acest sens, apărarea Open AI merită să fie relevată: ea, fiind surprinsă de succesul lui ChatGPT, nu ar fi anticipat numărul ridicat de utilizatori. Italia nu era o țară țintă, ceea ce poate să explice de ce interfața serviciului nu a fost disponibilă decât în limba engleză. Resursele sale umane erau limitate și a fost depășită de cererile de informații din partea mai multor Autorități de protecție a datelor într-un termen foarte scurt. Firma a indicat, de asemenea, că, în fața succesului important și rapid al ChatGPT, a întreprins numeroase puneri în conformitate.

Avizul EDPB din17 decembrie 2024 privind tratamentul datelor personale în contextul modelelor de IA

IA în contextul RGPD: Comitetul European pentru Protecția Datelor (European Data Protection Board – EDPB) trasează direcţiile privind compatibilizarea RGPD cu modelele de IA, în contextul în care regulile regulamentului nu au fost gândite deloc la origine pentru ele.

Comitetul European pentru Protecția Datelor (European Data Protection Board – EDPB) a fost sesizat, la 4 septembrie 2024, de Autoritatea irlandeză de protecție a datelor personale, cu o cerere de aviz, întemeiată pe prevederile art. 64 (2) din RGPD, privind tratamentul datelor personale în cadrul fazelor dezvoltării și implementării modelelor de IA. După ce a consultat părțile interesate la 5 noiembrie 2024, EDPB a emis avizul său la 17 decembrie 2024, răspunzând în concret la următoarele patru întrebări: când și cum un model de IA poate să fie considerat ca „anonim”?; cum responsabilii tratamentului pot să demonstreze temeinicia interesului legitim ca bază juridică în fazele de dezvoltare și de implementare a unui model de IA? și care sunt consecințele tratamentului ilicit al datelor cu caracter personal în faza dezvoltării unui model de IA privind tratamentul ori în cea a exploatării ulterioare a modelului de IA?

Soluțiile formulate de Comitet au ca misiune să facă compatibile modelele de IA și regulile RGPD care nu au fost gândite deloc la origine pentru ele. Pentru aceasta, EDPB trasează în acest aviz marile linii a ceea ce ar putea fi analizat ca o viitoare mutație a RGPD, în scopul de a se permite o compatibilizare, totuși sub condiții, a regulilor regulamentului cu modelele de IA. În acest sens, Comitetul păstrează caracterul foarte larg asupra noțiunii însăși de model de IA, omițând total legătura sa naturală cu conceptul de „model de IA de uz general” consacrat de AI Act și reține apoi o abordare cazuistică, propunând astfel autorităților naționale de protecție a datelor ale celor 27 de state membre de a studia, de la caz la caz, fiecare model de IA particular, oferind, totodată, acestora, pentru fiecare din cele patru chestiuni ridicate de Autoritatea irlandeză, un ansamblu de recomandări și de criterii indicative ce permit orientarea răspunsurilor lor, recomandări și criterii ce nu sunt exceptate de la un anumit număr de alunecări semantice, de generalizare contra legem și de separare, chiar de contradicții interne.

1. Chestiuni implicite relative la definirea modelului de IA și la ciclul de viață al modelului de IA; tăcerea avizului EDPB asupra modelelor de IA de uz general consacrate de AI Act. Cu titlu prealabil la răspunsurile concrete aferente celor patru întrebări adresate oficial, EDPB a înțeles să se refere la două aspecte implicite dar importante, respectiv semnificațiile unui model de IA și cele ale unui ciclu de viață al său. Referitor la prima chestiune prealabilă, organismul amintește că conceptul de model de IA nu e definit în articolele AI Act și aceasta, contrar celui de sistem de IA [art. 3 (1)]. Nu se evocă nici un moment subspeciile acestora, precum modelul de IA de uz general (AI Act, art. 3.63) și modelul de IA de uz general care prezintă riscuri sistemice (AI Act art. 3.3 și 51 și urm.) care primesc, totuși, o definiție și un regim juridic în Regulamentul (UE) nr. 2024/1689 (RIA). EDPB se mărginește a cita considerentul 97 al AI Act care precizează, indecis că modelul de IA e elementul central al SIA, sistem care nu poate totuși funcționa pe baza unei singure componente, având nevoie și de altele complementare, în primul rând de cele ale unei interfețe cu utilizatorul. Modelul de IA rămânând deci un concept parțial nedefinit de RIA, organismul european optează a se concentra asupra câmpului material al sesizării sale, așa cum era el definit în cererea de aviz formulată de Autoritatea irlandeză.

Pentru a o face, el relevă că demersul irlandez are ca vocație a viza „modelele de IA analizându-le în produsul de mecanisme de învățare aplicate la o serie de date de învățare, în contextul de inteligență artificială, ale machine learning, ale deep learning și de alte contexte de tratare conexe. În plus, avizul are vocația de a se aplica „modelelor de IA ce sunt destinate să suporte o învățare „fine tuning” și/sau o dezvoltare complementară, precum și modelelor de IA care nu le sunt”. Documentul solicitator precizează, în final, că el nu va viza și aceasta, în mod logic față de RGPD, decât modelele care au fost antrenate pe seriile de date de învățare cuprinzând datele personale.

Relativ la cel de-al doilea aspect-chestiune prealabil(ă) privind ciclul de viață a modelului, Comitetul notează că cererea face referință la „ciclul de viață” a modelelor de IA, precum și la diverse etape privind, între altele, „crearea”, „dezvoltarea”, „formarea”, „actualizarea”, „reglajul fin – fine tuning”, „exploatarea” ori „post-formarea” modelelor de inteligență artificială. În scopul de a răspunde solicitării Autorității irlandeze, s-a considerat că e important să se raționalizeze categorisirea etapelor susceptibile a se produce. În consecință, EDPB se referă la „faza de dezvoltare” și la „faza de implementare”. Prima, acoperă toate etapele care preced implementarea modelului de IA și cuprinde, între altele, dezvoltarea codului, colectarea datelor personale de antrenament, pre-tratarea lor și tratamentul. La rândul său, implementarea acoperă toate etapele relative la utilizarea modelului și poate include toate operațiile intervenite după faza de dezvoltare. Această distincție nu e fără de apel la conceptele prezente în RIA, care diferențiază între „furnizorii” (dezvoltatorii) „de sisteme și de modele de IA” [art. 3 (3)] și „implementatorii” acestora [art. 3 (4)]. În alți termeni, cele două precizări prealabile semnifică implicit că, avizul privește, referitor la câmpul său de aplicare materială, din moment ce respectivele modele sunt luate în ciclul de date incluzând datele cu caracter personal, fazele de dezvoltare, apoi de implementare:

– nu numai modelele de IA de uz special nereglementate de AI Act; de exemplu, modelele antrenate, pe durata fazei de dezvoltare, exclusiv privind datele de sănătate, în vederea devenirii, în faza de implementare, elementul central al unui sistem de IA vizat de diagnostic medical;

– modelele de IA de uz general arătate la art. 3 (63) din Regulamentul (UE) 2024/1689 și subspecia sa modelele de IA de uz general prezentând riscuri sistemice (art. 51 și urm. din RIA).

Totuși EDPB nu trage apoi nici o consecință din includerea implicită a modelului de IA de uz general și a celui de acest gen ce prezintă riscuri sistemice, atât la stadiul fazei de dezvoltare, cât și cât și al celei de implementare, în cadrul categoriei modelului de IA pe care îl reține cu titlul de soluții propuse la cele patru întrebări puse. Pentru rest, esența se exprimă în maniera cazuistică a modelelor de IA; această metodă constă în propunerea autorităților naționale de protecție a datelor de a studia caz cu caz fiecare model de IA particular și să ofere, pentru fiecare chestiune ridicată de Autoritatea irlandeză, un ansamblu de reglementări și de criterii indicative care să permită orientarea răspunsurilor particulare, recomandărilor și criteriilor care să depășească alunecările semantice, interpretările contra legem ori care sunt uneori contradictorii între ele.

1. Prima chestiune: când și cum un model de IA poate să fie considerat ca anonim? (deplasarea anonimizării datelor, spre anonimatul modelului). Este vorba de a determina dacă modelul, odată dezvoltat, e anonim și nu „regurgitează” datele personale pe baza cărora s-a constituit. Mai întâi demonstrarea anonimatului modelului permite să se creeze o barieră etanșă între faza de dezvoltare a modelului, pe baza unui ansamblu de date personale și cele de implementare a lui. Altfel spus, în caz de recunoaștere a anonimatului modelului, se va considera că datele inițial tratate în timpul fazei de învățare nu mai aveau vocația de a fi tratate în cea de implementare. Numai cele utilizate ca intrări (prompts, context, inputs) în cadrul fazei de implementare a sistemului creat pe baza unui model, care fac obiectul unui tratament și care impune aplicarea RGPD. Invers, dacă modelul nu e considerat ca anonim, toate datele care au servit în timpul fazei de învățare vor fi reutilizate și retratate, de fiecare dată când modelul e implementat într-un sistem de IA, și mai precis ori de câte ori un prompt (o intrare, un context) e formulat în vederea deducerii unui rezultat. E ceea ce ar trebui să declanșeze aplicarea RGPD, față de datele utilizate inițial în faza de învățare a modelului, la fiecare nou tratament al acestuia, cu ocazia utilizării, în faza implementării, a sistemului ce include modelul. În al doilea rând, crearea unei bariere etanșe între faza de dezvoltare a modelului, pe baza unui set de date personale, și cea de implementare a lui ar putea fi interesantă pentru responsabilii tratamentului de date în caz de caracter ilicit al tratamentului datelor în timpul fazei de învățare a modelului, întrucât ar putea permite ca o fază de învățare ce nu respectă RGPD, să fie „înălbită” prin anonimizarea modelului în vederea implantării sale.

Spre a răspunde acestei prime chestiuni, EDPB a fost forțat să opereze o primă alunecare semantică, întrucât, pentru prima dată, el nu trebuie să-și mai pună problema anonimizării datelor în cadrul unei baze ori ansamblu de date, ci trebuie să aprecieze anonimatul unui model de IA înțeles ca un tot complex, constituit dintr-o combinare de mai multe elemente, dintre care, în special o structură de date și parametri care le populează determinate în timpul unei faze de învățare. În fața complexității modelului, în aviz se consideră, mai întâi, că „atunci când un model de IA nu a fost în mod intenționat conceput pentru a produce informații relative la o persoană fizică identificată sau identificabilă plecând de la date de învățare, informațiile ansamblului de date de învățare, inclusiv datele cu caracter personal, pot întotdeauna să rămână „absorbite” în parametrii modelului, adică reprezentate de obiecte matematice. Ele pot să difere de punctele de date de antrenament originale, dar pot păstra tot timpul informațiile originale ale acestor date, care pot, în cele din urmă, să fie extrase ori obținute în alt mod, direct ori indirect, plecând de la model”. Păstrând concluziile prezentate în avizul său din 2014 privind tehnicile de anonimizare ale datelor personale (Opinion 05/2014 on Anonymisation Techniques, WP 29, 10 avril 2014). Comitetul apreciază că afirmațiile anonimatului unui model de IA trebuie să fie evaluate caz cu caz de autoritățile de protecție a datelor competente. Se consideră că, mai exact, pentru ca un atare model să fie calificat anonim se impune, utilizând mijloace rezonabile, ca probabilitatea extragerii directe (inclusiv probabilistă) de date cu caracter personal privind persoanele ale căror date cu caracter personal au fost utilizate pentru a forma modelul, precum și probabilitatea de a obține, în mod intenționat sau nu, asemenea date pornind de la cereri, să fie nesemnificative pentru orice persoană vizată. Dacă un atare caracter insignifiant nu e întrunit, implicit, autoritățile naționale vor avea vocația de a aplica o evaluare aprofundată a probabilității de identificare, pentru a parveni la o concluzie asupra eventualei lor naturi anonime. Respectiva probabilitate va avea vocația de a fi evaluată ținând cont de „toate mijloacele susceptibile în mod rațional să fie utilizate” de responsabilul tratamentului, ori de o altă persoană și ar trebui, de asemenea, să ia în considerație (re)utilizarea ori divulgarea involuntară a modelului. În acest sens avizul furnizează o listă nenormativă și neexhaustivă a metodelor ce pot fi utilizate de responsabilul de tratament pentru a demonstra anonimatul și care pot deci să fie luate în calcul de autoritățile naționale atunci când evaluează afirmarea anonimatului unui responsabil de tratament. Acesta acoperă, de exemplu, abordările adoptate de responsabilii tratamentului, în cursul fazei de dezvoltare pentru a împiedica ori minimaliza colectarea de date cu caracter personal utilizate pentru formare, reducerea potențialei lor identificări, a împiedica extracția ori pentru a furniza proba rezistenței modelului la atacurile posibile. Se notează, în final, că dacă o autoritate nu e în măsură să confirme, după ce a evaluat cererea de anonimat, inclusiv în lumina documentației transmise, că au fost luate măsuri eficiente pentru a face modelul anonim, autoritatea va avea vocația de a considera că responsabilul tratamentului nu și-a îndeplinit obligațiile sale de responsabilitate în virtutea art. 5 par. 2 din RGPD. În consecință, conformitatea cu alte dispoziții ale regulamentului va avea, de asemenea, vocația să fie examinată, operațiune al cărei conținut e conex întrebărilor 2 și 4 ale solicitării irlandeze.

A doua și a treia problemă. „Cum pot responsabilii tratamentului să demonstreze temeinicia interesului legitim ca bază juridică în fazele de dezvoltare și de implementare a unui model de IA?”: Generalizarea contra legem a „așteptărilor rezonabile” ale titularului datelor personale și înlăturarea regimului modelelor de IA de uz general care prezintă riscuri sistemice.

Cea de-a doua și a treia chestiune sunt cele mai importante din acest set și, în special cea legată de faza de dezvoltare a modelului.

Răspunsurile EDPB în acest sens, formulate într-o logică de compatibilizare, sub condiție, a regulilor din RGPD cu modelele de IA, concentrează mutațiile cele mai importante ale interpretării actului legislativ unional-european. Ele constau, pe de o parte, într-o generalizare contra legem a regulilor RGPD și o îndepărtare a impactului asupra lui a regimului modelelor de IA de uz general prezent în cadrul AI Act, pentru a consacra, sub anumite condiții, valabilitatea bazei legale a interesului legitim, denumită „test de punere în balanță” a intereselor responsabilului tratamentului și cele ale partenerilor săi, cu interesele și drepturile fundamentale ale titularului datelor personale. Cele trei condiții aferente expuse în aviz sunt: a) identificarea interesului legitim urmărit de responsabilul tratamentului ori de un terț; b) analizarea necesității tratamentului în scopuri de/ori interese legitime urmărite (denumit și „test de necesitate”) și c) evaluarea că interesele sau libertățile și drepturile fundamentale ale persoanelor vizate nu prevalează asupra intereselor legitime („test de punere în balanță a intereselor”).

În ceea ce privește prima cerință (liceitatea în sine a interesului), avizul amintește că un interes poate fi considerat legitim dacă sunt îndeplinite trei condiții: a) e licit; b) e formulat în mod clar și precis și c) e real și actual.

Referitor la cea de-a doua – testul de necesitate – documentul arată că evaluarea necesității implică examinarea: a) dacă activitatea de tratament ar permite urmărirea unui interes legitim și b) dacă nu există un mijloc mai puțin intrusiv de urmărire a acestui interes.

În ceea ce privește a treia cerință (condiție) – testul de comparare a intereselor – se precizează că acesta trebuie să fie efectuat nu numai ținând cont de circumstanțele specifice ale fiecărui caz ci, de asemenea, studiind, în special, patru puncte: a) interesele și drepturile și interesele fundamentale ale titularului datelor; b) impactul tratamentului datelor personale, în faza de dezvoltare și cea de implementare a modelului, asupra titularului datelor; c) așteptările rezonabile ale acestuia din urmă; d) posibilitatea de a lua măsuri de atenuare în situația unei balanțe de interese defavorabile lui.

Astfel evocate, cele trei condiții precum și subcondițiile aferente concentrează mutațiile cele mai profunde ale interpretării RGPD.

A patra chestiune: „Care sunt consecințele tratamentului ilicit de date cu caracter personal în faza de dezvoltare a unui model de IA privind tratamentul ori exploatarea ulterioară a modelelor de IA?; Consacrarea unei frontiere între liceitatea modelului și liceitatea interesului legitim. Referitor la aceasta, Avizul invocă, în mod general, faptul că autoritățile naționale de protecție a datelor dispun de competență discreționară pentru a evalua săvârșirea sau nu de infracțiuni posibile și a alege măsurile apropriate, necesare și proporționale, ținând cont de circumstanțele fiecărui caz. Sunt exprimate apoi trei scenarii. În primul, datele cu caracter personal sunt consacrate în modele de IA (ceea ce înseamnă că acestea nu pot fi considerate ca anonime) și sunt tratate ulterior de același responsabil al tratamentului; se precizează că problema de a ști dacă fazele de dezvoltare și de implantare implică finalități distincte și măsura în care absența bazei juridice pentru activitatea de tratament inițială are o incidență asupra liceității tratamentului ulterior, trebuind să fie evaluate de la caz la caz, în funcție de contextul cauzei.

În scenariul 2, datele cu caracter personal sunt conservate în model și tratate de un alt responsabil al tratamentului, în cadrul implantării modelului. Se indică, în acest sens, că autoritățile de control trebuie să țină seama de faptul că responsabilul tratamentului care implantează modelul a procedat la o evaluare adecvată, în cadrul obligațiilor sale de a respecta prevederile art. 5 (1) și art. 6 din RGPD.

În cel de-al treilea scenariu, un responsabil de tratament tratează în mod ilegal datele cu caracter personal pentru a dezvolta modelul IA, apoi a asigurat anonimizarea lor înainte ca însuși responsabilul tratamentului ori un alt responsabil al acestuia să procedeze la un alt tratament de date cu caracter personal în cadrul implantării. Față de acesta, Avizul arată că, dacă se poate demonstra că exploatarea ulterioară a modelului nu implică tratamentul datelor cu caracter personal, EDPB consideră că RGPD nu se aplică. În consecință, legalitatea tratamentului inițial nu ar fi trebuit să aibă incidență asupra exploatării ulterioare a modelului. În plus, se apreciază că, atunci când responsabilii tratamentului tratează ulterior datele cu caracter personal colectate în cursul fazei de implementare, după ce modelul a fost făcut anonim, RGPD se aplică acestor operațiuni. În acest caz, avizul consideră că în ceea ce privește acest regulament, legalitatea tratamentului efectuat în cursul fazei de implementare nu ar trebui să fie afectată de ilegalitatea tratamentului inițial. Partajarea strictă altor faze de dezvoltare și cea de implementare a modelului în cele trei scenarii, ridică întrebarea dacă atunci când ilegalitatea fazei de dezvoltare a modelului, în particular în cauza unei nerespectări a RGPD – dar s-ar putea, de asemenea, gândi și în privința nerespectării regulilor dreptului proprietății intelectuale – nu are un impact sistematic (scenariile 1 și 2), chiar unul asupra tot (scenariul 3) asupra fazei de implementare a modelului.

O problemă se ridică: cu ocazia răspunsului la cea de-a doua și a treia chestiune formulate de Autoritatea irlandeză: EDPB a amintit prima condiție pentru a putea caracteriza un interes legitim, în sensul art. 6 (1)1 lit. f) din RGPD, respectiv a ști dacă interesul trebuie să fie licit în sine. Cum un model de IA, care a fost dezvoltat cu respectarea respectivului regulament ori a altor reguli juridice, ar putea oferi, în mod valabil, la stadiul fazei de implementare, un „interes licit în sine” care permite implementatorului modelului să se prevaleze în mod valabil de o bază legală a interesului legitim în sensul art. 6 (1)1 lit. f) din RGPD?

Răspunsul complet și convingător rămâne în așteptare.

S.U.A.: Revocarea decretului prezidențial privind IA

S.U.A.: revocarea decretelor privind IA marchează o întoarcere la situația de absență a unui cadru juridic federal în materie de reglementare a IA în S.U.A. cu efecte în ceea ce priveşte compatibilitatea legislației americane cu RGPD și celelalte reglementări europene relative la date și guvernanța lor.

La 20 ianuarie 2025, președintele S.U.A., Donald Trump, a revocat 26 decrete (ordine executive) ale predecesorului său la Casa Albă, Joe Biden, printre care și Executive Order no. 1410 din 30 octombrie 2023 relativ la securitatea și încrederea în dezvoltarea și utilizarea inteligenței artificiale (Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence). Această decizie marchează o întoarcere la situația de absență a unui cadru juridic federal în materie de reglementare a IA în S.U.A. Decretul revocat instituia o reglementare juridică generală prin care se impuneau dezvoltatorilor și utilizatorilor de IA obligații legate de transparență și responsabilitate, incluzând audituri, teste de securitate, în special pe calea mecanismelor de red-teaming în contextul în care hackerii etici efectuau atacuri cibernetice simulate și nedistructive în scopul de a testa eficacitatea mecanismelor de cybersecuritate, precum și declarații obligatorii pentru modelele de IA considerate de „risc înalt” (de exemplu, cele care puteau să afecteze securitatea națională, infrastructurile critice sau drepturile civice).

Respectivul text viza, de asemenea, consolidarea protecției drepturilor civile, cerând agențiilor federale să prevină prejudecățile algoritmice în domeniile sensibile, precum locurile de muncă, locuințele și justiția, conform cadrelor legale de genul Fair Housing Act și Civil Rights Act. În materie de viață privată, decretul impunea măsuri de protecție întărite, cu precădere prin utilizarea de tehnologii de confidențialitate, și prevedea o evaluare a riscurilor înainte de publicarea datelor federale, în scopul de a garanta conformitatea cu legile privind protecția datelor personale. Ordinul executiv comporta, totodată, dispoziții referitoare la supravegherea destinată prevenirii utilizării răuvoitoare a resurselor (precum serviciile cloud ale Google, Microsoft ori Amazon), în particular de entitățile străine. În plus, el încuraja o cooperare internațională și o armonizare juridică cu partenerii străini, pentru astabili o reglementare globală a riscurilor legate de IA în conformitate cu principiile drepturilor omului și securității naționale.

Revocarea acestui cadru juridic ar putea antrena o reevaluare a compatibilității legislației S.U.A. cu RGPD și celelalte reglementări europene relative la date și guvernanța lor.

Absența, de acum înainte, a unei încadrări legale specifice a IA în S.U.A., în contrast cu eforturile europene, ar putea genera tensiuni juridice și comerciale transatlantice, în special în domeniul conformității schimburilor tehnologice, alimentând, totodată, îngrijorările europene în privința respectării RGPD și a protecției datelor sensibile și a secretelor industriale.

Atacurile formulate, în ultima perioadă, de reprezentanții giganților tech americani împotriva reglementării europene a digitalului și a IA, în numele unei pretinse „libertăți absolute de expresie”, au generat reacții diverse din partea mediului economic și tehnico-științific european, în care se cere „aplicarea strictă și uniformă a legilor europene la toate platformele ce operează pe teritoriul Uniunii, fără excepție”. Aceasta include: o întărire a mecanismelor de control și de aplicare de sancțiuni rapide și disuasive, precum cele prevăzute de Digital Service Act (DSA) și digital Market Act (DMA); „protecția proceselor democratice contra oricărei forme de manipulare ori de dezinformare, cu mijloace întărite pentru regulatori”; „obligații crescute de responsabilitate și transparență, în special față de provocările puse de dezvoltarea inteligenței artificiale și toate în numele prezervării libertăților noastre individuale și a modelului nostru de civilizație” (Apelul a 100 de personalități europene „E imperativ ca giganții digitalului să respecte reglementările europene ale țărilor unde operează, 26 ianuarie 2025).