A zbatohet LPD-ja për mjetet IA si ChatGPT ose Copilot të përdorura në ndërmarrje?
Po. Sapo këto mjete përpunojnë të dhëna personale të personave fizikë të identifikueshëm (emra, emaile, informacione mbi punonjësit ose klientët), nLPD zbatohet. Ndërmarrja që përdor këto mjete është përgjegjëse e përpunimit. Ajo duhet të sigurojë që qëllimi të jetë i dokumentuar, që personat të jenë informuar dhe që të dhënat të mos ripërdoren për qëllime të paparashikuara nga furnizuesi. Një verifikim i kushteve kontraktuale të furnizuesit është i domosdoshëm, në veçanti mbi lokalizimin e të dhënave dhe ripërdorimin për trajnimin e modeleve.
A duhet ndërmarrja ime të emërojë një delegat për mbrojtjen e të dhënave (DPO) për të përdorur IA-në?
nLPD nuk e bën DPO-në të detyrueshëm në të njëjtat kushte si RGPD-ja. Megjithatë, emërimi ose mandatimi i një përgjegjësi për mbrojtjen e të dhënave është shumë i rekomanduar sapo ndërmarrja juaj zbaton sisteme IA që përpunojnë të dhëna personale në shkallë të gjerë ose të dhëna të ndjeshme. Ky përgjegjës mund të jetë i brendshëm ose i jashtëm (këshilltar juridik, konsulent i specializuar). Roli i tij: mbikëqyrja e konformitetit, kryerja e AIPD-ve, menaxhimi i kërkesave të personave të interesuar dhe sigurimi i lidhjes me PFPDT-in nëse nevojitet.
Çfarë është një AIPD dhe në cilat raste është e detyrueshme për një projekt IA?
Një Vlerësim i Ndikimit mbi Mbrojtjen e të Dhënave (AIPD) është një vlerësim i dokumentuar i rreziqeve që një përpunim të dhënash paraqet mbi të drejtat dhe liritë e personave të interesuar. Është i detyrueshëm nën nLPD kur përpunimi ka gjasa të paraqesë rrezik të lartë: përpunimi i të dhënave të ndjeshme në shkallë të gjerë, profilimi i gjerë, vendimet e automatizuara me efekte të rëndësishme, ose mbikëqyrja sistematike. Për shumicën e projekteve IA ambicioze në ndërmarrje (IA HR, vlerësimi i klientëve, analiza e sjelljes), një AIPD është e nevojshme. Ajo duhet të kryhet para zbatimit.
A mund të trajnohet një model IA me të dhënat e klientëve ose punonjësve të ndërmarrjes?
Po, me kushte. Duhet të disponohet fillimisht një bazë ligjore e vlefshme për këtë përpunim të ri (mbledhja fillestare e të dhënave nuk mjafton nëse qëllimi ishte i ndryshëm). Personat e interesuar duhet të informohen mbi këtë përdorim. Nëse të dhënat janë të ndjeshme, kërkohet pëlqim eksplicit ose një bazë tjetër e fortë ligjore. Lokalizimi i modelit është vendimtar: një model i pritur në serverë jashtë Zvicrës ose jashtë EEE-së implikon një transferim ndërkombëtar të dhënash, i nënshtruar garancive shtesë. Dokumentimi i këtyre vendimeve në regjistrin tuaj të përpunimit është i domosdoshëm.
Cilat praktika IA janë të ndaluara nga nLPD?
nLPD nuk vendos një listë shteruese por PFPDT ka precizuar se disa aplikime janë të papajtueshme me të drejtat themelore që ajo mbron: njohja e gjerë e fytyrës në kohë reale në hapësirat publike, sistemet e vlerësimit social (social scoring) që vlerësojnë sistematikisht sjelljen e individëve, dhe çdo mbledhje ose përpunim i të dhënave biometrike ose të ndjeshme pa bazë ligjore solide. AI Act i BE-së, që ndalon eksplicit disa nga këto praktika, mund të zbatohet indirekt për ndërmarrjet zvicerane që përpunojnë të dhëna të banorëve të BE-së.
Cilat janë sanksionet në rast shkelje të nLPD-së në kontekstin IA?
nLPD sanksionon personat fizikë, jo drejtpërdrejt ndërmarrjen. Gjobat mund të arrijnë 250'000 CHF për shkelje. Drejtorët, përgjegjësit e informatikës dhe bashkëpunëtorët e implikuar janë personalisht të ekspozuar. Shkeljet më të sanksionueshme: mosnjoftimi i personave të interesuar, mosnjoftimi i një shkeljeje të dhënash, ose shkelja e rregullave mbi vendimet individuale të automatizuara. Duhet depozituar ankesë për të nisur një procedurë. Rreziku reputacional është shpesh më shqetësues se vetë gjoba.
A zbatohen nLPD dhe RGPD njëkohësisht në ndërmarrjen time zvicerane?
Kjo varet nga aktiviteti juaj. Nëse përpunoni të dhëna të banorëve të BE-së (klientë, partnerë, prospekte), RGPD zbatohet për këto përpunime, pavarësisht nëse ndërmarrja juaj është në Zvicër ose jo. nLPD zbatohet për të gjitha përpunimet e të dhënave të personave në Zvicër. Në praktikë, shumë ndërmarrje zvicerane duhet të respektojnë të dy kuadret. Lajmi i mirë: të dy janë kryesisht të harmonizuara dhe një politikë konformiteti e ndërtuar mirë mbulon të dyja, me kusht që të merren parasysh disa ndryshime (sanksionet, DPO, afatet e njoftimit).
A i intereson AI Act europian ndërmarrjeve me seli në Zvicër?
AI Act i BE-së nuk zbatohet drejtpërdrejt në Zvicër, e cila nuk është anëtare e BE-së. Megjithatë, nëse ndërmarrja juaj vendos në tregun europian sisteme IA, ose nëse sistemet tuaja prodhojnë efekte mbi personat në BE, rregullat e AI Act mund t'ju prekin. Për më tepër, Zvicra ka nënshkruar Konventën e Këshillit të Europës për IA-në (mars 2025), ratifikimi i së cilës do të fusë detyrime plotësuese, në veçanti për sistemet IA me rrezik të lartë.
Si të zgjidhni një furnizues IA konform me nLPD-në?
Tre kritere kryesore: lokalizimi i të dhënave (preferoni serverë në Zvicër ose BE/EEE për të shmangur transferimet ndërkombëtare të pastrukturuara), politika e ripërdorimit të të dhënave (a i përdor furnizuesi të dhënat tuaja për të trajnuar modelet e tij? Nëse po, me çfarë baze ligjore?), dhe transparenca kontraktuale (a mund t'ju sigurojë furnizuesi një regjistër nënkontraktorësh, një DPA, garanci sigurie të dokumentuara?). Modelet me burim të hapur të zbatuar në infrastrukturën tuaj ose në një infrastrukturë europiane ofrojnë përgjithësisht përgjigjen më të mirë ndaj këtyre tre kritereve.
A zbatohet nLPD për modelet IA me burim të hapur të zbatuar brendësisht?
Po. nLPD zbatohet për përgjegjësin e përpunimit, domethënë ndërmarrjen tuaj, pavarësisht nga natyra e modelit (me burim të hapur ose pronar, i pritur brendësisht ose nga një palë e tretë). Nëse modeli juaj me burim të hapur përpunon të dhëna personale, të gjitha detyrimet e nLPD-së zbatohen: informimi, minimizimi, siguria, AIPD nëse ka rrezik të lartë, etj. Avantazhi i burimit të hapur të zbatuar brendësisht është pikërisht t'ju japë kontroll total mbi të dhënat dhe të eliminojë rrezikun e transferimit të padëshiruar te një palë e tretë.