Dreptul UE și revoluția IA

În prezența unei decizii individuale automatizate, informațiile utile privind logica subadiacentă tratamentului se înțeleg ca un drept la explicarea procedurii și a principiilor aplicate, în mod concret, privind datele personale ale persoanei vizate, în scopul de a obține un rezultat determinat. Aceste explicații trebuie să fie suficient de inteligibile pentru a permite persoanei respective să-și exercite drepturile sale, în special a celui de a contesta decizia.(CJ-UE, decizia din 27 februarie 2025, cauza Dun&Bradstreet Austria, aff. C-203/22).

1. Informarea asupra funcționării unui sistem de inteligență artificială (SIA), și în general a oricărui tratament automatizat, ridică probleme relative la gradul său de precizie. Din punctul de vedere al intereselor responsabilului tratamentului, protecția garantată de secretul afacerilor – singura alternativă satisfăcătoare de protecție – riscă să fie subminată în caz de divulgare integrală. Din cel al persoanei care face obiectul unei decizii automatizate, o atare divulgare ar respecta pe deplin principiul transparenței, fără totuși să garanteze o înțelegere a procesului decizional. Această balanță de interese se observă în prezența unei decizii fondate exclusiv pe un tratament automatizat, inclusiv un profilaj, care produce efecte juridice asupra unei persoane vizate, care dispune de un regim special în cadrul Regulamentului general privind protecția datelor (UE) nr. 2016/679 din 27 aprilie 2016 (RGPD). La puțin timp după importanta decizie Schufa (CJUE, hotărârea din 7 decembrie 2023, aff. C-634/21) care preciza, în special, câmpul său de aplicare, Curtea de Justiție a Uniunii Europene se pronunță din nou, precizând gradul de informare cuvenit persoanei vizate, atunci când își exercită dreptul său de acces. 2. În speța de față, Curtea de la Luxemburg a fost sesizată cu o trimitere preliminară (chestiune prejudicială) formulată în cadrul unei cauze care opunea un editor de soft de evaluare a creditului (scoring bancar) și o persoană care fusese refuzată cu încheierea unui contract de telefonie mobilă, pe motivul că rezultatul scoring-ului prezenta o solvabilitate financiară insuficientă. Tribunalul administrativ obligase editorul să furnizeze persoanei respective informații suplimentare asupra scorului său, în termenul art. 15 §1, h) din RGPD, relativ la dreptul de acces la informații utile privind softul subadiacent luării deciziei automatizate. Totuși, cererea de executare silită a hotărârii a fost respinsă, pe motivul că editorul acestuia își îndeplinise obligațiile sale, chiar în absența furnizării de informații suplimentare. Sesizată cu un recurs împotriva acestei din urmă hotărâri, jurisdicția de trimitere a estimat, pe de o parte, că numai un expert era în măsură să evalueze aceste informații, incluzând datele tratate, formula matematică, valoarea atribuită fiecărui factor, precum și scara de interval. Pe de alta, editorul softului ar trebui, de asemenea, să furnizeze o listă de scoruri de persoane care să fi făcut obiectul unei evaluări cu 6 luni mai înainte și după persoana vizată. În cazul concret, se părea că scorul atesta o bună solvabilitate a persoanei, contrar a ceea ce pretindea editorul softului și operatorul de telefonie mobilă. În acest fel, jurisdicția de trimitere întreba, în special, dacă art. 15 §1 h) din RGPD includea dreptul de a putea verifica exactitatea informațiilor comunicate de responsabilul tratamentului și dacă acesta putea să apere secretul comercial la o cerere de exercitare a dreptului de acces. Interpretând noțiunea de „informații utile vizând logica subadiacentă”, CJUE consideră că responsabilul tratamentului trebuie să explice „prin intermediul informațiilor pertinente și într-un mod precis, transparent, comprehensibil și destul de accesibil, procedura și principiile aplicate concret pentru a exploata, pe cale automatizată, datele cu caracter personal relative la această persoană, în scopul de a obține un rezultat determinat, precum un profil de solvabilitate”. Dacă această comunicare include o informare protejată de secretul afacerilor „acest responsabil e ținut să comunice aceste informații pretins protejate autorității de control ori jurisdicției competente, cărora le incumbă a pondera drepturile și interesele în cauză, în scopul de a determina întinderea dreptului de acces al persoanei”. Surprinderea contribuțiilor în materie aferentă noii jurisprudențe, permite relevarea următoarelor aspecte. 2.1. Scoring-ul bancar e un profil. Decizia Curții înlătură, în mod definitiv, îndoiala asupra aplicării regimului de luare a deciziei automatizate la scoring-ul bancar; chestiune deja tratată anterior în cadrul hotărârii din cauza Schufa, care a purtat asupra stabilirii unei note de solvabilitate în funcție de o estimare comportamentală fondată pe informații comerciale. Cu această ocazie s-a statuat că scoring-ul era o decizie în sensul prevederilor art. 2 §1 din RGPD; s-a analizat noțiunea de decizie „fondată exclusiv pe un tratament automatizat, inclusiv profilajul”, care s-a referit numai la noțiunea de profil, rămânând în suspensie interpretarea restului definiției. 2.2. Consacrarea dreptului la explicabilitatea unei decizii automatizate. Punctul central al deciziei e reprezentat de interpretarea dreptului special de informare în prezența unei decizii automatizate. Responsabilul tratamentului e ținut astfel să furnizeze persoanei vizate „informații utile privind logica subsecventă, precum și importanța și consecințele prevăzute de acest tratament pentru persoana vizată” în caz de exercitare a dreptului de acces al acesteia [RGPD, art. 15 §1, h)]. Potrivit instanței, aceste obligații implică faptul ca responsabilul tratamentului „să explice, prin intermediul informațiilor pertinente și într-un mod concis, transparent, compulsiv și ușor accesibil, procedura și principiile aplicate concret pentru a exploata, pe cale automatizată, datele cu caracter personal relative la această persoană, în scopul obținerii unui rezultat determinat, astfel un profil de solvabilitate” (pct. 66). Raționamentul Curții urmează trei timpi: un exercițiu de legistică (punctele 40 la 43); o apreciere contextuală (punctele 44 la 50) și o luare în calcul a obiectivelor RGPD (punctele 51-65). În primul rând, în vederea înțelegerii substanței noțiunii de „informații utile privind logica subînțeleasă”, instanța unional-europeană analizează diferitele traduceri ale RGPD, constatând „diversitatea accepțiunilor reținute”, care trebuie deci înțeleasă ca „o complementaritate de semnificații” (pct. 41). Rezultă deci că „utilitatea” e sinonimă „pertinenței” și că logica subadiacentă „vizează orice informație pertinentă relativă la procedură și la principiile de exploatare, pe cale automatizată, datele cu caracter personal în scopul de a obține un rezultat determinat” (pct. 43). În al doilea rând, interpretarea art. 15 §1, h) trebuie să țină seama de alte informații obținute cu titlul dreptului de acces (RGPD, art. 15 §1) din faptul că formează un ansamblu cu obligațiile speciale de informare și din aceea că responsabilul tratamentului trebuie, de asemenea, să formuleze o copie a datelor tratate în timpul exercitării dreptului de acces (RGPD, art. 15 §3). În al treilea rând, amintindu-se că RGPD are ca finalitate întărirea drepturilor persoanelor vizate, Curtea arată că obiectivul dreptului de acces e acela de a permite persoanei, pe de o parte, să verifice principiile de liceitate și de exactitudine a datelor (pct. 53) și, pe de alta, să-și exercite drepturile sale, inclusiv dreptul de a contesta decizia automatizată (pct. 51 și 55). Dacă, continuă instanța, persoana nu e în măsură să înțeleagă informațiile relative la logica subadiacentă a tratamentului, ar fi imposibil să se satisfacă obiectivele precitate (pct. 56). În consecință, articolul 15 §1 h) din RGPD „oferă persoanei vizate un veritabil drept la explicație privind funcționarea mecanismului, care subînțelege o luare de decizie automatizată căreia această persoană i-a făcut obiectul și asupra rezultatului la care această decizie a ajuns” (pct. 57). Exercitarea dreptului de acces la informațiile privind logica subadiacentă a sistemului implică, în mod evident, eliberarea unei informații. Astfel, responsabilul tratamentului trebuie să satisfacă exigențele art. 12 §1 din RGPD, care impune eliberarea unei informații „concise, transparente, comprehensibile și ușor accesibile, în termeni clari și simpli”. În lumina acestei dispoziții și a Liniilor directoare relative la luarea deciziilor individuale automatizate și la profil, Curtea arată că „nu ar satisface aceste exigențe nici simpla comunicare a unei formule matematice complexe, precum un algoritm, nici descrierea detaliată a tuturor etapelor unei luări de decizii automatizate, în măsura în care nici una din aceste modalități nu ar constitui o explicație suficient de concisă și comprehensibilă” (pct. 59). Această precizare are importanța sa, în special atunci când decizia se bazează pe un sistem de inteligență artificială în sensul Regulamentului (UE) nr. 2024/1689 din 13 iunie 2024. În consecință, ar fi permis responsabilului tratamentului să furnizeze o notă de informare complexă a sistemului său în scopul de a-și satisface obligația, fără ca persoana vizată să fie în măsură să conteste decizia automatizată a respectivului sistem. Grație precizărilor aduse de Curte, de acum înainte îi este imposibil responsabilului tratamentului de a se sustrage indirect de la obligațiile sale, punând în mișcare opacitatea sistemului său de inteligență artificială. S-a precizat, de asemenea, că informațiile utile privind logica subadiacentă trebuie „să descrie procedura și principiile aplicate în mod concret, în așa fel încât persoana vizată să poată înțelege care din datele sale cu caracter personal au fost în ce fel în cadrul luării deciziei automatizate în cauză, fără ca complexitatea operațiunilor de realizat în cadrul luării de decizii automatizate să poată exonera responsabilul tratamentului de îndatorirea sa de explicație (pct. 61). Această interpretare urmează evoluția juridică care e aferentă sistemelor de inteligență artificială și, în general, sistemelor automatizate: informația nu mai e de acum înainte sinonimă transparenței, ci explicației. Față de complexificarea sistemelor, devine evident că destinatarul informației nu are parte de tratarea ei integrală și precisă – care implică uneori miliarde de parametri – în mod contrar incidenței datelor asupra deciziei. Această logică se regăsește și în regulamentul privind inteligența artificială în cazul sistemelor care prezintă un grad ridicat de risc, unde concepția și dezvoltarea lor trebuie să fie gândite în așa fel ca funcționarea să fie „suficient de transparentă pentru a permite implementatorilor să interpreteze ieșirile... și de a le utiliza în mod corespunzător” (RGPD, art. 13 §1). Mai mult decât atât, un paralelism cu RGPD se observă prin menționarea unor informații „concise, complete, exacte în clar, care să fie pertinente, accesibile și comprehensibile pentru implementator” (RGPD, art. 13 §2). Totodată, această basculare antrenează o veritabilă schimbare de paradigmă. Dacă inițial dreptul la explicare era rezervat persoanelor aflate pe o poziție slabă – consumator ori persoană vizată –, extinderea sa la utilizatori, în mod obișnuit guvernată de contract, îi privează de o autonomie, ceea ce le poate fi prejudiciabil. Aprecierea gradului de protecție, prin informare, se deplasează astfel de la persoană la obiectul contractului. În materie de decizie automatizată, această evoluție trebuie să fie salutată în măsura în care persoana care controlează sistemul beneficiază nu numai de un avantaj informațional ci și, mai ales, de o poziție favorabilă pentru a se sustrage de la orice responsabilitate. Ei îi va fi ușor a pretinde că rezultatul unei decizii nu îi va fi imputabilă și că funcționarea procesului decizional îi este necunoscută. Pot rezulta astfel toate formele de atitudini neloiale; în primul rând faptul de a afirma că sistemul a ales soluția care îi e favorabilă, în timp ce ea ar fi revenit în realitate persoanei vizate. Este, de altfel, conținutul faptelor în speță: contractul de telefonie a fost refuzat persoanei vizate sub pretextul unui scor negativ, în timp ce apărea că datele persoanei ar fi generat unul pozitiv. Față de aceasta, Curtea arată că exercitarea dreptului la informații utile privind logica subadiacentă ar permite să se determine dacă refuzul provine de la decizia operatorului de telefonie mobilă ori din rezultatul furnizat de editorul softului de scoring (pct. 64). Se precizează, de asemenea, că această contradicție poate să fie rezolvată prin combinarea acestui drept la informare cu verificarea exactității datelor (pct. 63). În fine, se sugerează jurisdicției de trimitere să dispună responsabilului de tratament „să informeze persoana vizată în măsura în care o variație a nivelului de date cu caracter personal luată în calcul ar conduce la un rezultat diferit” (pct. 62). 2.3. Încadrarea secretului afacerilor. Dacă modul cel mai bun de a se proteja secretele sistemului său rămâne încă acela de a nu-i divulga funcționarea, soluția adusă de jurisprudență comportă obligații foarte defavorabile pentru responsabilul tratamentului. O balanță a intereselor trebuie să fie astfel mobilizată, în scopul de a prezerva interesele în prezență. Așadar, amintește instanța, dreptul la protecția datelor „nu e un drept absolut și trebuie pus în balanță cu alte drepturi fundamentale” (pct. 68), inclusiv secretul afacerilor (pct. 69). Astfel, pe de o parte, o limitare a dreptului de acces e posibilă (pct. 70) și, pe de alta, statele membre nu pot să consacre o dispoziție care să limiteze în mod sistematic acest drept în prezența unui secret de afaceri (pct. 75). Rămâne, desigur, problema spinoasă a aprecierii acestei balanțe de interese. Față de principiul de accountability, revine, în principiu, responsabilului tratamentului de a proceda la acest exercițiu. Totuși e evident că anumiți actori ar ceda tentației de a favoriza secretul afacerilor fără o reală justificare. Or, în pofida creșterii semnificative a numărului plângerilor după intrarea în vigoare a RGPD, procedura rămâne susceptibilă să descurajeze persoanele vizate și să lase astfel responsabilul tratamentului să acționeze în deplină impunitate. Valorificând jurisprudența anterioară, Curtea a mai precizat că informațiile pretins protejate prin secretul afacerilor „trebuie să fie comunicate autorității de control ori jurisdicției competente, cărora le incumbă să pondereze drepturile și interesele în cauză, în scopul de a determina întinderea dreptului de acces al persoanei vizate la datele cu caracter personal care le privesc” (pct. 74). Chiar dacă această conformare jurisprudențială dovedește un recul al principiului de accountability în profitul, în mod special al autorităților de control, soluția rămâne echilibrată. Curtea optează pentru prevenție, privilegiind interesele persoanelor vizate fără, totuși, a le acorda un drept absolut.