Ce efecte au legislațiile pentru date și IA asupra companiilor? Ca să ajungem aici trebuie să pornim de la filmele americane versus filmele europene 🙂
Cine n-a văzut un film Marvel din alea peste (cred) 30 care au apărut? Acțiune, bubuieli, gălăgie, întâmplări fantastice, reușite în ciuda tuturor adversităților, iar, în final, binele învinge. Spre deosebire de acest tablou, filmul european e artistic, încet, poate alb-negru, există tristețe, eforturi, nu se termină cu bine întotdeauna. Clasica separație dintre Europa și America, superioritatea americană versus înapoierea europeană.
La fel e și când vorbim despre tehnologie. America e țara Marvel, unde totul e posibil din punct de vedere al inovației și filmele companiile sunt mega succese, iar Europa e țara filmelor companiilor încete, care nu inovează și care par triste în comparație cu partenerii americani. Auzim chestiile astea destul de des, iar marele motiv pentru care companiile europene sunt văzute astfel este că nu există suficient capital de risc care să încurajeze inovația. Ah, și mai e și treaba aia cu reglementarea. Cică sunt prea multe reglementări care sufocă companiile. Chiar așa o fi?
Cam aici ne aflăm cu dilema și asta vreau să investigăm în acestă analiză. Mai exact, investigăm care e impactul reglementărilor noi cu privire la date și inteligență asupra companiilor. Ne-am concentrat până acum pe cetățeni, dar trebuie să vedem și alte puncte de vedere, deoarece transformarea digitală afectează cetățenii, statul, dar și sectorul privat.
Why do we care?
- dacă lucrezi într-o companie de tech sau probabil faci produse tech, urmează perioade interesante. Cum te pregătești pentru asta?
- auzim mult de legislația europeană și de birocrația europeană versus mirajul climatului investițional și de reglementare din SUA. Oare chiar așa de nasol ar fi?
Deci despre ce e vorba?
- discutăm despre elementele principale ale legislațiilor europene în materie de date, inteligență artificială și securitate cibernetică
- vedem care e impactul asupra companiilor și cum sau dacă poate ajuta UE în alte feluri pentru a reduce impactul
- concluzionăm prin a discuta cum ar trebui să vă pregătiți pentru o serie de schimbări
Să purcedem, deci.
Ce mai face UE de data asta?
Ce nu face? 🙂 Aceasta este întrebarea. Ne apropiem de finalul mandatului Comisiei Von der Leyen, iar regulamentele și propunerile de reforme legate de spațiul digital au fost în număr mare. Enumăr aici doar câteva dintre ele, cu mențiunea că vedeți aici întreg universul:
- legislație privind inteligența artificială
- legislații privind datele (guvernanța datelor și actul privind datelor)
- actul privind reziliența cibernetică
- actul Gigabit
- legislație privind identitatea digitală
- legislație privind reglementarea muncii pe platforme de ride-sharing
- actul european privind cipurile
- actul privind solidaritatea cibernetică
- actul privind serviciile digitale
- actul privind piețele digitale
- directiva privind “network and information systems” 2
Despre majoritatea din ele am discutat deja pe site, dar mai degrabă din perspectiva influenței asupra României și a cetățenilor. Dar cu sectorul privat cum rămâne? Vorbim cu adevărat de strangularea inovației și a sectorului privat prin reglementări stufoase și greu de aplicat? Unele reglementări se aplică tuturor companiilor (cum ar fi GDPR, care reglementează protecția datelor), altele doar sectorial (proiectul de directivă privind munca pe platforme), altele se axează mai degrabă pentru protecția consumatorilor și impactează companiile prin prisma protecției consumatorilor.
O să ne oprim pe scurt la câteva din ele, cu impact asupra sectorului IT, cât și a companiilor non-IT, care sunt mai avansate și mai cu impact:
- actul privind inteligența artificială
- legislațiile privind datele
Actul privind Inteligența Artificială
Am mai discutat aici despre actul privind inteligența artificială, dar să reluăm pe scurt principalele elemente ale legislației pentru a avea o fundație cu privire la impactul previzionat asupra companiilor. Încă nu a intrat în vigoare, dar se așteaptă că va intra în vigoare în anul 2024. Principalele chestii ale legislației sunt:
- definiția sistemului IA: un sistem bazat pe mașină care este proiectat să funcționeze cu niveluri variabile de autonomie și care poate, pentru obiective explicite sau implicite, să genereze output-uri precum predicții, recomandări sau decizii care influențează medii fizice sau virtuale. (traducere realizată cu Bard)
- clasificarea sistemelor IA pe 4 categorii de risc:
Cine ce obligații are?
Legislația clasifică mai multe tipuri de actori care sunt implicați în realizarea, comercializarea, importul sau distribuirea sistemelor de IA, anume: furnizori, cei care implementează aceste sisteme, importatorii, distribuitorii și producătorii de dispozitive. Principalele obligații pe care le au aceștia se vor materializa DOAR DACĂ oricare din acești actori vor pune pe piață sisteme cu risc ridicat. După unele estimări, 30% din sistemele IA produse la nivelul UE ar fi în această categorie, evaluarea de impact a UE spune că sunt mai puține, în jur de 15%. Va fi clară treaba doar după ce aceste sisteme de mare risc se vor înregistra în baza de date europeană cerută de legislație.
Să spicuim din textul de compromis realizat între Parlament și Consiliu.
Furnizorii trebuie:
- să realizeze evaluări de conformitate înainte de a pune pe piață sisteme de risc ridicat (se pot face intern dar și externalizat) pe 3 paliere – sistemul de management al calității, documentația tehnică și evaluarea conformității dintre documentația tehnică și procesul de design și dezvoltare
- să se asigure că persoanele fizice care realizează supravegherea umană a sistemelor IA sunt informate despre riscul biasului de confirmare (adică să știe că nu ar trebui să se bazeze în luarea deciziilor doar pe rezultatul dat de sistemul IA)
- să ofere specificații pentru datele cu care sistemul IA se antrenează, inclusiv informații despre limitările și posibilele ipoteze deja existente în interiorul setului de date. De ex., dacă datele sunt preponderent dintr-o anumită regiune geografică, ceea ce ar putea crea limitări în utilizarea sistemelor în alte regiuni
- să realizeze documentație tehnică
- să realizeze acțiuni de corecție pentru a duce sistemul în conformitate și să informeze importatorul și cel care implementează
Atenție! Devii furnizor dacă faci modificări substanțiale la un sistem IA deja pus pe piață, fie de risc ridicat, fie dacă-l schimbi și devine de risc ridicat. Sau dacă îți pui marca pe un sistem care există deja.
Cei care implementează astfel de sisteme trebuie:
- să se asigure că pun în funcțiune sistemele în conformitate cu instrucțiunile de folosință
- dacă exercită control asupra sistemului, să implementeze sisteme de supravegherea umană
- să se asigure că persoanele care supraveghează sistemul sunt “competente, calificate și pregătite în mod adecvat și au resursele pentru a asigura supravegherea sistemului IA”
- să se asigure că monitorizează măsurile de securitate cibernetică puse în aplicare
- (dacă exercită control asupra datelor de intrare), trebuie să se asigure că sunt relevante și reprezentative pentru scopul intenționat al sistemului
- să informeze producătorul, importatorul sau distribuitor și autoritățile naționale competente dacă utilizarea sistemului ar putea rezulta într-un risc la adresa sănătății, siguranței sau la adresa drepturilor fundamentale ale cetățenilor și vor suspenda folosirea sistemului
- să țină jurnalul generat în mod automat, dacă au acces și se află sub controlul lor
- înainte de a pune în funcțiune un sistem la locul de muncă, trebuie să informeze reprezentanții angajaților și să ajungă la un acord cu privire la utilizarea sa. Dacă e necesar, trebuie să facă și o evaluare de impact asupra protecției datelor
- să realizeze o evaluare de impact în contextul destinat de utilizare (cu câteva excepții – cum ar fi sistemele de siguranță din managementul traficului sau furnizarea de utilități)
Importatorii trebuie să se asigure că:
- furnizorul a realizat o evaluare de impact
- există documentație tehnică și instrucțiuni de utilizare
- sistemul are marca de conformitate
Dacă sistemul interacționează cu persoane fizice, atunci furnizorii trebuie să informeze utilizatorii că aceștia interacționează cu un sistem IA. Utilizatorii de sisteme din categoria deep-fake trebuie să scoată în evidență că acel conținut este falsificat sau creat în mod artificial.
Contrabalansarea acestor obligații, din care am enumerat doar o parte, stă prin măsurile conținute pentru stimularea inovației care sunt cuprinse în acest act. Principalul instrument este “regulatory sandbox”, o unealtă de experimentare a unor produse, de testare a unor inovații înainte de a fi puse pe piață sub supravegherea unor autorități competente. Nu prezintă asta ca o obligație a statelor membre, ci e o opțiune. Mai mult, propunerea cere ca startupurile și furnizorii mici să aibă prioritate la intrarea în astfel de instrumente.
Aici cred că e momentul să ne uităm la impactul și plângerile pe care le au principalii actori țintiți de această legislație. Putem începe cu asta cu privire la sandboxes:
- o organizație care reprezintă startupurile din UE afirmă că ar trebuie să fie mai clară legislația cu privire la aceste “cutii de nisip pentru joacă” pentru că startupurile adesea nu țin neapărat de un domeniu sau poate că-și mai schimbă locația
- alții sunt mai pesimiști. Un raport al AI Austria arată că 2/3 din startupurile chestionate consideră că activitatea le-ar fi încetinită, având în vedere adaptările pe care trebuie să le facă. Aproximativ 30% din startupurile incluse și-ar încadra sistemele la risc ridicat, iar costurile de adaptare s-ar ridica până la câteva sute de mii de euro
- să nu mai zicem de climatul de capital de risc, același raport arată că fondurile de capital s-ar putea reorienta, având în vedere scăderea interesului pentru sisteme de risc ridicat care ar deveni mai scumpe
Deci, cum e? Prea multă reglementare? După cum vedem, majoritatea regulilor se aplică sistemelor IA de mare risc, iar piața acestora este limitată. Încă. După estimările Comisiei, până în 15% din sisteme ar fi de mare risc. Estimările rapoartelor citate arată că undeva la 30% din sisteme ar fi afectate. Piața de IA va crește oricum, mai ales după explozia IA generativă de tipul Chat-GPT, care oricum va beneficia de alte reguli în interiorul acestei legislații, dar să nu ne lungim acum.
La o primă vedere, nu există un echilibru foarte mare între regulile puse în legislație și măsura de regulatory sandbox propusă. Compensează asta exodul capitalului de risc din UE? Poate că nu, dar fondurile puse la dispoziție la nivelul UE, prin programe cum este Digital Europe Programme, ar putea. Problema e că pitchul în fața unui VC este foarte diferit de cererea de finanțare care trebuie completată pentru a accesa astfel de fonduri. Să nu uităm că există și DIH-urile, al căror rol este să sprijine companiile să testeze soluțiile pe care vor să le pună pe piață. Problema aici e de vizibilitate, când confirmation biasul pe care AI Act vrea să-l reducă este prezent în companii. Confirmation bias de forma “mai ușor e cu VC, nu-mi bat capul că nu știu ce câștig aici etc”.
Legislațiile privind datele
Nu există inteligență artificială fără date. Actul privind Datele și Actul privind Guvernanța Datelor își propun să ușureze accesul la date pentru a putea stimula inovația. Mai multe date, mai bine antrenate sistemele, rezultate mai bune și tot așa. Wait, parcă era o chestie cu protecția datelor și minimizarea colectării? Da, așa e, dar acea chestie se referă la protecția datelor cu caracter personal, iar principiile acesteia se regăsesc în cele două regulamente. Aici vorbim mai ales despre date non-personale, cele emise de dispozitive inteligente, spre exemplu.
Speaking of, Bard a fost confuz când e vorba de cele două regulamente 🙂
Ideea e că actul privind datele se referă la cine și cum dă acces la date, cine poate beneficia de ele, iar guvernanța datelor creează cadrul prin care companiile între ele pot da acces la date sau pot cere acces la date inclusiv de la sectorul public pentru a crea valoare din ele.
Ca o companie, te poți afla în două situații aici:
- să ai date care le-ar trebui altora. Poate ai o serie de dispozitive care măsoară eficiența energetică a clădirii sau date cu privire la viteza prin care se realizează QA pe bandă. Ce faci cu ele? Nu prea-ți vine să le dai că sunt ale tale. Dar dacă poți să câștigi ceva din ele?
- să ai nevoie de date ca să dezvolți un nou produs. De unde iei datele? Testezi direct la un potențial client? Poate sunt prea limitate seturile de date sau poate vrei să scalezi deja un produs pentru altă industrie și vrei să ai acces la datele unei companii din alt sector. Poate le poți lua de la o organizație terță cu rol de “intermediar de date”
Aici intervin cele două legislații. Obligații/drepturi?
- utilizatorii care produc date prin dispozitivele pe care le folosesc, vor avea posibilitatea de a-și porta datele către alte companii. Spre exemplu, utilizatorii ar putea să-și transfere datele de utilizare pentru un serviciu de reparații terț pentru a-și repara un dispozitiv, fără limitare din partea producătorului.
- producătorii de dispozitive vor trebui să ofere informații despre cantitatea de date generate, modul de accesare a datelor din partea utilizatorului, modul de solicitare a transferului către părți terțe etc
- transferul de date de la deținătorul datelor la destinatarul datelor se va face cu compensare rezonabilă, singurele limitări fiind când vine vorba de secrete comerciale
- legislația conține prevederi care limitează prevederi incorecte față de IMM-uri în contracte de distribuire a datelor, dar creează și conceptul de “deținător de secret comercial”, cu ajutorul căruia companiile pot refuza accesul la date pe motive întemeiate concurențiale
- (din Actul privind Guvernanța Datelor) apar companii care intermediază transferul de date, deci dacă nu știi unde și cui trebuie să ceri, ai putea să apelezi la un astfel de serviciu
- pentru anumite situații de interes public și de urgență, organizațiile din sectorul public pot cere companiilor acces la datele lor
- apare posibilitatea de distribuire a datelor generate și de companii sub forma ideii de “altruism legat de date”. Distribuirea datelor nu doar atunci când există o cerere în acest sens, ci din proprie inițiativă
Ce zic cei afectați?
- DigitalEurope – organizație care reprezintă companiile mari de tehnologie din UE – spune că Actul privind Datele este o “săritură către necunoscut”, care nu explică foarte clar ce și dacă trebuie să distribuie datele
- Alianța Digital SMEs – ce reprezință IMM-urile din Europa – accentuează că IMM-urile ar trebui să fie mai protejate în această legislație, dar laudă prevederile exprese cu privire la prevederile contractuale față de IMM-uri
- International Road Transport Union – organizație care reprezintă companiile din transport și logistică – consideră benefică această legislație pentru că ei oricum făceau acorduri de distribuire a datelor și cumpărau dispozitive pentru acces la date despre consumul de combustibil, spre exemplu.
- Siemens – pe de altă parte – spune că astfel de legi ar putea pune în pericol secretul comercial – mai ales pentru companiile care fac piese after-market
Deci, cum e? Prea multă reglementare? Parcă aici problema nu e prea multă reglementare, având în vedere că cei care și-au dat cu părerea se leagă mai degrabă de ideea de a-și păstra secretul comercial. Piețele de date sunt necesare pentru transformarea digitală a companiilor. Nu mai e vorba doar de produsul pe care-l realizezi, ci și despre datele pe care le generezi.
Cum "suferă" companiile?
Intențiile reglementărilor europene se referă la promovarea valorilor etice pentru spațiul digital, dar nu lasă în urmă și perspectivele de piață, mai ales având în vedere climatul de competiție unde se află UE, exact între SUA și China.
Ce va fi nou pentru companiile europene?
- pentru IA – obligațiile de transparență față de utilizator cu privire la sistemele de inteligență artificială pe care le produc, distribuie, importă și folosesc (indiferent de categoria de risc pe care o reprezintă)
- pentru IA – evaluarea de conformitate pentru sistemele de risc ridicat care se va concretiza cu o declarație de conformitate și faimoasa marca CE
- evaluarea de impact cu privire la drepturile fundamentale ale europenilor pentru sistemele IA cu risc ridicat
- tot pentru dezvoltatorii de aplicații IA – posiblitatea realizării de “regulatory sandboxes” împreună cu autoritățile naționale
- pentru cei care implementează astfel de sisteme, obligația de a desemna o persoană cu atribuții de supraveghere a sistemului, dacă exercită control asupra acestora
- pentru cei care implementează astfel de sisteme, trebuie să informeze angajații dacă vor fi utilizate sisteme IA la locul de muncă după un acord în prealabil cu reprezentanții acestora
- pentru cei care implementează astfel de sisteme, să realizeze evaluări de impact al utilizării acestor sisteme
- în ceea ce privește legislațiile privind datele, chiar dacă nu pare, majoritatea companiilor care produc date sub o formă sau alta vor fi afectate, apărând posibilitatea de data sharing între companii sub o formă mai clară. Există potențial de realizare de venituri deoarece accesul la date este dat în schimbul unei compensații financiare corespunzătoare.
- companiile trebuie să fie bine informate și să aibă date și proceduri puse la punct cu privire la data sharing pentru a putea să se implice în acest nou ecosistem
Always be prepared...
Pe final o mică listă non-exhaustivă de lucruri la care trebuie să te gândești să implementezi când vine vorba de digitalizarea sau transformarea digitală a afacerii tale.
Ce trebuie să faci pentru a te adapta la aceste noi legislații?
- informează-te. Regulamentele despre care am vorbit sunt în fazele finale spre adoptare (cele legate de date sunt mai avansate, Actul privind Guvernanța Datelor este deja adoptat, iar Actul privind Datele urmează să fie adoptat, în timp ce Actul IA este încă în fazele finale de negociere). Dar asta nu înseamnă că trebuie să stăm cu mâinile în sân să așteptăm să se aplice pentru a ne pune la punct cu ce trebuie făcut pe ultima sută de metri.
- analizează stadiul companiei în ceea ce privește guvernanța datelor (ce și cum se colectează, unde stau, unde se duc, ce nu colectăm) – dar nu doar pentru datele personale. Pentru asta avem deja și GDPR, iar prevederile legate de date din regulamentele noi completează aspectele celui din urmă.
- un sfat venit și de la EY în ceea ce privește pregătirea pentru Actul privind IA – analizează ce modele de IA folosești deja, dar trebuie să te gândești și la ce ai în plan să achiziționezi. IA e în expansiune și “la modă”, dar trebuie să ții cont de ce și unde vei utiliza. Consultă aici (lista poate evolua) categoria de sisteme de IA de mare risc pentru a ști către ce fel de obligații te îndrepți, atât ca dezvoltator, cât și ca utilizator de business.
- pregătește resursa umană să utilizeze și să înțeleagă mai bine cum funcționează IA, ce este biasul de confirmare. De asemenea, trebuie să ai în vedere să implementezi supraveghere umană a acestor sisteme și nu uita de condițiile de transparență. Oamenii – clienții, angajații – trebuie informați dacă vor interacționa cu un sistem IA.
- începe să colectezi date, standardizează-le, încearcă să înțelegi valoarea lor atât pentru business, cât și ca valoare pe o piață a datelor.
Referințe
- https://www.digitalsme.eu/digital/uploads/DIGITAL-SME-Position-Paper-on-the-Data-Act.pdf
- https://www.eu-startups.com/2023/05/eu-ai-act-how-ai-regulation-could-affect-your-startup/#
- https://alliedforstartups.org/wp-content/uploads/2023/06/AI-Act-Open-Letter.pdf
- https://www.europarl.europa.eu/resources/library/media/20230516RES90302/20230516RES90302.pdf
- https://www.euractiv.com/section/data-privacy/news/data-act-eu-institutions-finalise-agreement-on-industrial-data-law/
- https://cdn.digitaleurope.org/uploads/2023/06/DIGITALEUROPE-Data-Act-trilogue-recommendations-June-2023.pdf
- https://www.digitaleurope.org/news/joint-statement-the-data-act-is-a-leap-into-the-unknown/
- https://www.politico.eu/article/europe-new-data-act-explained/
- https://www.ey.com/en_ch/forensic-integrity-services/the-eu-ai-act-what-it-means-for-your-business