Komisioni Evropian ndërmerr hapa për të zbutur rregullat e GDPR-së për inteligjencën artificiale dhe gjurmimin me “cookies”
Komisioni Evropian po përgatit rishikime rrënjësore të Rregullores së Përgjithshme për Mbrojtjen e të Dhënave (GDPR) që mund të ripërcaktojnë mënyrën se si ndërmarrjet trajtojnë të dhënat personale – nga gjurmimi i cookie-ve deri te trajnimi i modeleve të inteligjencës artificiale – në atë që avokatët e privatësisë paralajmërojnë se mund të dobësojë kuadrin e privatësisë së BE-së.
Sipas një drafti të publikuar të raportuar nga grupi gjerman i avokimit Netzpolitik.org, paketa e ardhshme e Komisionit “Digital Omnibus” do t’i japë fund kërkesës që faqet e internetit të kërkojnë pëlqim të qartë përpara se të vendosin cookie gjurmimi dhe do të lejojë në mënyrë të qartë trajnimin e inteligjencës artificiale mbi të dhënat personale kur justifikohet nga “interesat legjitime” të kompanive.
Propozimi pritet të zbulohet zyrtarisht më 19 nëntor.
Drafti do të fuste Nenin 88a në GDPR për të mbuluar “përpunimin e të dhënave personale në dhe nga pajisjet terminale”, duke e zhvendosur në mënyrë efektive rregullimin e cookie-ve nga Direktiva ePrivacy në vetë GDPR-në.
Aktualisht, Neni 5(3) i Direktivës për Privatësinë Elektronike kërkon që faqet e internetit të marrin pëlqimin e qartë përpara se të ruajnë ose të kenë akses në cookie-t jo-thelbësore në pajisjet e përdoruesve. Komisioni argumentoi se kjo ka çuar në pasiguri ligjore dhe “kosto më të larta të pajtueshmërisë” për shkak të mbikëqyrjes së mbivendosur nga autoritetet kombëtare.
Sipas ndryshimit të propozuar, faqet e internetit mund të përpunojnë të dhëna të mbledhura përmes cookie-ve bazuar në një “listë të mbyllur qëllimesh me risk të ulët” ose mbi çdo bazë ligjore sipas GDPR-së, duke përfshirë interesin legjitim. Kjo do të shënonte një ndryshim të madh nga gjurmimi me zgjedhje për t’u regjistruar në gjurmimin me zgjedhje për t’u çregjistruar.
Në vend që t’u kërkonin përdoruesve leje paraprakisht, kompanitë mund t’i gjurmonin ata automatikisht – duke i lënë individët të kundërshtonin më pas.
“Ndërsa pëlqimi kërkohet për të siguruar kontrollin e subjekteve të të dhënave, ai nuk është gjithmonë baza ligjore më e përshtatshme për përpunimin e mëvonshëm”, thuhej në draft . “Për më tepër, regjimi i dyfishtë i ePrivatësisë dhe Rregullores së Përgjithshme të Mbrojtjes së të Dhënave çoi në autoritete të ndryshme kombëtare që ishin kompetente për të mbikëqyrur rregullat e dy kornizave ligjore.”
Grupet e privatësisë thanë se Komisioni po përdor “lodhjen nga cookie-t” si pretekst për të dobësuar standardet e privatësisë.
“GDPR, kuadri i ePrivacy dhe Akti i IA-së nuk janë pengesa për inovacionin – ato janë themeli i modelit dixhital të përqendruar te njeriu të Evropës”, shkroi European Digital Rights (EDRi) në një blog në tetor. “Megjithatë, nën pretekstin e koherencës, Komisioni duket se është i përgatitur të dobësojë mbrojtjet e ePrivacy.”
Drafti përshkroi gjithashtu Nenin 88b, i cili do të kërkonte që shfletuesit ose sistemet operative të transmetojnë automatikisht preferencat e pëlqimit të përdoruesit sapo të përcaktohen standardet teknike, duke e eliminuar potencialisht valën aktuale të banderolave të cookie-ve.
Megjithatë, ekziston një përjashtim për kompanitë mediatike. Organizatat e lajmeve mund të vazhdojnë të kërkojnë pëlqim të qartë, të cilin Komisioni e justifikoi si mbrojtje të “bazës ekonomike” të gazetarisë.
Propozimi trajtoi drejtpërdrejt një nga çështjet më të diskutueshme në ligjin e BE-së për privatësinë: nëse kompanitë mund të trajnojnë sisteme të inteligjencës artificiale duke përdorur të dhëna personale.
Drafti deklaroi se trajnimi, testimi dhe validimi i inteligjencës artificiale mund të kryhen sipas parimit të “interesit legjitim” të GDPR-së, për sa kohë që kompanitë zbatojnë masa mbrojtëse të tilla si minimizimi i të dhënave, transparenca dhe një e drejtë e pakushtëzuar për të kundërshtuar.
“Përpunimi i të dhënave personale për trajnimin në inteligjencën artificiale mund të kryhet për qëllime të një interesi legjitim”, thuhej në draft, duke shtuar se zhvilluesit duhet të sigurohen që trajnimi të jetë “i dobishëm për subjektin e të dhënave dhe shoqërinë në përgjithësi”.
Komisioni përmendi nevojën për të zbuluar paragjykimet dhe për të siguruar rezultate të sakta të modelit si shembuj të qëllimeve “të dobishme”.
Megjithatë, avokatët e privatësisë thanë se thirrja në interes legjitim për përpunimin e inteligjencës artificiale mund të hapë derën për minierimin e të dhënave në shkallë të gjerë pa pëlqimin individual, diçka që GDPR fillimisht ishte hartuar për ta parandaluar.
Drafti do të prezantojë gjithashtu një përjashtim të kufizuar për të dhënat e kategorisë së veçantë (të ndjeshme) që shfaqen pa dashje në grupet e të dhënave të inteligjencës artificiale. Nëse heqja e të dhënave të tilla do të kërkonte “përpjekje joproporcionale”, kompanitë mund t’i ruanin ato sipas masave mbrojtëse që parandalojnë përdorimin ose zbulimin e tyre.
Në një ndryshim tjetër të diskutueshëm, propozimi do të ngushtonte përkufizimin e të dhënave të ndjeshme sipas Nenit 9 të GDPR-së. Mbrojtje më të forta do të zbatoheshin vetëm kur informacioni zbulon drejtpërdrejt karakteristika si raca, feja ose shëndeti, duke përjashtuar të dhënat që nënkuptojnë këto tipare vetëm përmes analizës ose nxjerrjes së përfundimeve.
“Për shumicën e llojeve të të dhënave personale të listuara në Nenin 9(1), nuk ka rreziqe kaq të rëndësishme kur të dhënat nuk janë në thelb të ndjeshme”, thuhej në draft.
Kritikët paralajmërojnë se kjo mund t’u lejojë kompanive të nxjerrin karakteristika të mbrojtura – të tilla si orientimi seksual ose mendimet politike – nga të dhëna në dukje neutrale pa shkaktuar mbrojtje më të larta ligjore.
Instituti Europian i Ligjit pranoi në reagimin e tij të 14 tetorit se përditësimet e kufizuara të GDPR mund të jenë të nevojshme, por paralajmëroi se “përmirësimet nuk duhet të vijnë në kurriz të mbrojtjes së të drejtave themelore”.
Ndryshimet e propozuara mund të ndryshojnë ndjeshëm qeverisjen e të dhënave të korporatave në të gjithë Evropën. Kompanitë nuk do të kenë më nevojë për sisteme menaxhimi të pëlqimit për shumicën e cookie-ve të gjurmimit, por do të duhet të mbajnë dokumentacion të detajuar për të justifikuar përpunimin sipas “interesit legjitim”.
Rrjeti Evropian i të Drejtave Dixhitale e kritikoi konsultimin si “përjashtim me qëllim” me afate kohore “jashtëzakonisht të shkurtra” dhe verifikime të realitetit të përqendruara “pothuajse ekskluzivisht te zërat e industrisë”.
Komisioni nuk iu përgjigj menjëherë një kërkese për koment.