Regulamentul general privind protecția datelor (GDPR) stabilește, în temeiul articolului 5, securitatea ca principiu în prelucrarea datelor cu caracter personal. Acesta este un rol avansat pentru securitate și o schimbare conceptuală importantă față de trecut, când securitatea era o simplă prevedere tehnico-organizațională pe lângă operațiunea de prelucrare. Conform GDPR, securitatea este o condiție prealabilă, iar neimplementarea măsurilor de securitate adecvate invalidează prelucrarea și o face ilegală. Similar cu celelalte principii de protecție a datelor GDPR, securitatea nu este o opțiune, ci o necesitate.
Articolul 32 din GDPR solicită măsuri de securitate care trebuie extinse în funcție de riscul de probabilitate și severitate variate pentru drepturile și libertățile persoanelor vizate. Prin urmare, „activul” de protejat cu măsuri de securitate este exercitarea neconstrânsă a drepturilor persoanelor, și nu numai activul informațional în sine. Datele personale trebuie protejate într-un mod progresiv (cu cât riscurile sunt mai mari, cu atât măsurile sunt mai stricte). Securitatea este o modalitate de a consolida drepturile și libertățile indivizilor în ansamblu și permite centralitatea oamenilor față de mașini. Sistemele AI sunt sisteme logice și, ca atare, este posibil să nu fie pe deplin consecvente și complete, ceea ce înseamnă că oamenii nu vor putea niciodată să prezică, de la început, în timpul fazei de proiectare, toți posibilii factori contextuali care le pot afecta funcționarea. Acest lucru îi expune pe indivizi la riscurile inerente ale rezultatelor neașteptate în cazul în care rezultatele unui sistem AI nu sunt limitate în mod corespunzător.
Securitatea este, de asemenea, un instrument de protecție a datelor prin proiectare, așa cum este prevăzut la articolul 25 din GDPR. Luând în considerare o serie de factori contextuali (cum ar fi stadiul tehnicii), operatorii de date trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate (16). Aceste măsuri trebuie să fie implementate pentru a asigura principiile de protecție a datelor într-o manieră eficientă, de la minimizarea până la acuratețea datelor, integrând garanțiile necesare în prelucrare. În special, GDPR menționează în mod specific pseudoanonimizarea ca una dintre acele măsuri eficiente. Dimensiunea securității pentru protecția datelor, în contextul AI, este foarte importantă pentru a putea introduce garanțiile tehnice și organizatorice necesare (pentru protecția drepturilor și libertăților persoanelor) deja în faza de proiectare a noilor aplicații AI.
În acest scop, securitatea poate fi, de asemenea, un facilitator al noilor tipuri de operațiuni de procesare, în special legate de tehnologiile emergente, precum AI. De exemplu, implementarea unor măsuri de securitate specifice, cum ar fi pseudoanonimizarea sau criptarea, poate aduce datele într-un nou format, astfel încât acestea să nu poată fi atribuite unei anumite persoane vizate fără utilizarea unor informații suplimentare (cum ar fi o cheie de decriptare). Aceste opțiuni ar putea fi explorate în contextul mediului AI, pentru a modela noi relații între oameni și mașini, într-un mod în care indivizii nu pot fi identificați implicit de către mașini decât dacă doresc să facă acest lucru. De exemplu, pentru a inversa efectul pseudoanonimizării sau criptării implementate.
Punerea securității printre principiile protecției datelor, așa cum s-a spus, înseamnă că aceasta este o condiție prealabilă pentru prelucrare. Cu toate acestea, o abordare interpretată greșit bazată exclusiv pe evaluarea riscurilor economice ar putea să nu favorizeze adoptarea de măsuri de securitate, împiedicând implementarea efectivă a acestui principiu. Acest fenomen este larg cunoscut (17) și poate determina actorii economici să negocieze riscuri cu investiții, acceptând riscuri de securitate a informațiilor (uneori riscuri foarte mari) în ipoteza că incidentele de securitate sunt puțin probabile, iar orice investiție care poate determina doar reducerea unei pierderi economice așteptate poate fi mereu amânată (18). GDPR oferă o posibilă scăpare din acest impas, ridicând securitatea la nivelul principiilor de protecție a datelor și promovează securitatea ca semn de responsabilitate la cea mai mare scară posibilă, inclusiv nenumărații actori ai lanțului valoric AI foarte complex. Punctul de cotitură este trecerea de la securitate ca instrument defensiv la securitate ca element funcțional al ecosistemului digital. Securitatea nu ar trebui implementată doar pentru a preveni pierderile, ci pentru a crea valoare. Doar dacă amenințările de securitate nu se materializează, ecosistemul AI poate genera încredere, atrage investiții, reține utilizatorii și poate crea un feedback pozitiv pentru a dezvolta de fiecare dată noi aplicații benefice.
În acest sens, ar putea fi explorate două opțiuni strategice în ceea ce privește securitatea:
- reflectarea asupra rolului funcțional necesar pe care îl poate avea securitatea în funcționarea ireproșabilă a unui sistem AI și asupra modului de încorporare a securității încă din stadiul incipient al proiectării (security by design) pentru a crea încredere în noile aplicații AI;
- luarea în considerare a rolului pozitiv pe care îl poate avea certificarea de securitate în promovarea unei culturi a securității în rândul actorilor economici, mai ales având în vedere că certificarea poate scuti părțile interesate de complexitatea deciziei manageriale între a fi inactiv și acceptarea riscurilor de securitate, sau a investi pentru consolidarea securității.
Note
16 Acest lucru se aplică atât la momentul determinării mijloacelor de prelucrare, cât și la momentul prelucrării în sine.
17 Lawrence Gordon și Martin Loeb, The Economics of Information Security Investment, în ACM Transactions on Information and System Security, vol. 5, n. 4, noiembrie 2002, pp. 438–457, și Lawrence Gordon și Martin Loeb, You May Be Fighting the Wrong Security Battles, în Wall Street Journal, 26 septembrie 2011
18 Astfel de incidente pot duce la riscuri grave care pot compromite și pot afecta protecția datelor și drepturile și libertățile fundamentale ale persoanelor.
Sursa: ENISA, AI Cybersecurity Challenges – Threat Landscape for Artificial Intelligence, December 2020. Editora: Apostolos Malatras, Georgia Dede – European Union Agency for Cybersecurity. © European Union Agency for Cybersecurity (ENISA), 2020. Traducere și adaptare independentă: Nicolae Sfetcu
© 2021 MultiMedia Publishing, Introducere în inteligența artificială
Lasă un răspuns