avocatnet.ro 
Poate că GDPR-ul a devenit un act normativ cu oarecare vechime, dar aplicările sale practice se dezvoltă în continuare. Iar când spunem conformare în zona GDPR, spunem, în mod automat, instruirea periodică a oamenilor care lucrează cu date personale, fie că sunt din mediul public, fie din mediul privat.
Ca atare, le arătăm angajaților ce nu trebuie să facă cu datele personale și care sunt riscurile. O extindere a exemplelor de utilizare neconformă trebuie să se facă, în contextul actual, inclusiv cu privire la platformele de inteligență artificială generativă, precum e ChatGPT.
Așa cum punctam într-un alt material, anul trecut, e greu de interzis angajaților să folosească A.I.-ul în legătură cu sarcinile de lucru - și, dintr-o perspectivă mai amplă, nici nu ar fi indicat să le interzicem să utilizeze ceva ce le-ar putea face munca mai ușoară, mai calitativă sau ce ar putea contribui la dobândirea de noi competențe, adaptate pieței muncii pentru următorii ani. Ca atare, în loc să le interzicem, trebuie să le oferim direcțiile, limitările și condițiile pe care le identificăm potrivite. Totodată, le solicităm transparență atunci când se folosesc de instrumentele respective.
În mod specific însă ar trebui să ne uităm și înspre prelucrările de date. În ceea ce privește datele personale cu care unii angajați operează, fie că vorbim de datele clienților sau ale angajaților companiei, e important ca salariații să nu furnizeze platformelor precum ChatGPT:
- datele de identificare ale persoanelor: nume, prenume, adrese de domiciliu, numere de telefon, adrese de e-mail personale, CNP-uri, numere de pașaport sau orice alte numere de identificare;
- datele financiare: numere de cont bancar, date ale cardurilor de credit, informații despre salarii;
- datele medicale: informații despre starea de sănătatea persoanei sau unor membri ai familiei sale, istoricul medical, asigurările de sănătate;
- datele biometrice: amprente, scanări ale irisului, vocea sau orice alte date biometrice;
- datele judiciare: informații despre condamnări penale sau infracțiuni.
Și în acest context vorbim, practic, de divulgări accidentale sau neautorizate de date personale ce pot conduce la pierderea confidențialității datelor personale, la creșterea riscului de expunere la fraude, iar angajatorul riscă să fie sancționat pentru nerespectarea GDPR.
Și dacă, totuși, angajatul vrea să utilizeze ChatGPT, de pildă, pentru a analiza și prelucra mai repede niște documente ce includ și date personale? Pentru a asigura conformitatea cu GDPR și a minimiza riscurile amintite mai sus, ideală este (a) anonimizarea datelor - astfel, înainte de a introduce orice informație într-o platformă A.I., angajatul ar trebui să se asigure că toate datele personale sunt eliminate sau anonimizate într-o manieră care împiedică orice posibilitate de re-identificare a persoanei. Apoi, o variantă ar fi (b) folosirea exemplelor generice și a datelor fictive care nu se referă la persoane reale.
Înainte de a utiliza orice nouă platformă de A.I., este esențială revizuirea cu atenție a termenilor și condițiilor acesteia, mai ales cum sunt tratate datele personale introduse, este recomandarea dată fix de ChatGPT, care ne trimite la termenii și condițiile OpenAI, dezvoltatorul său.
Cu toate acestea, dacă ne referim la sisteme intern dezvoltate ce au la bază inteligența artificială și pe care angajații trebuie să le utilizeze putem presupune că angajatorul are sau ar trebui să aibă un control asupra riscurilor atunci când A.I.-ului îi sunt furnizate date personale. Situația nu este, practic, comparabilă cu cea în care angajații se folosesc de platforme externe de A.I., accesibile oricui, gratuit sau contra unui abonament.
Sorin Zaharia
Comentarii articol (0)