Badan privasi Uni Eropa menanggapi isu yang muncul mengenai keabsahan GenAI. Dewan mengeksplorasi celah hukum yang mungkin dieksploitasi oleh pengembang AI untuk memproses data pribadi tanpa melanggar undang-undang yang berlaku.
Dewan Perlindungan Data Eropa mengajukan pertanyaan mengenai dasar hukum bagi pengembang AI dalam memproses data pribadi pengguna. Dalam opini yang diterbitkan pada 17 Desember, dewan membahas berbagai hal yang berlaku umum dalam kepatuhan terhadap Pasal 64(2) GDPR.
Dewan privasi Uni Eropa menanggapi isu-isu dalam perlindungan data dan penerapan AI
Dewan Perlindungan Data Eropa (EDPB) mengeluarkan opini atas permintaan otoritas pengawas Irlandia. Dewan mencatat bahwa mereka memiliki mandat hukum berdasarkan Regulasi Perlindungan Data Umum (GDPR) untuk mengeluarkan opini tentang masalah yang mempengaruhi lebih dari satu negara anggota dalam Uni Eropa.
Agen tersebut menunjukkan permintaan yang diajukan oleh badan Irlandia terkait pemrosesan data pribadi selama fase pengembangan dan penerapan Kecerdasan Buatan (AI). Mereka mempersempit opini menjadi empat isu terkait perlindungan data dalam Uni Eropa.
Isu-isu tersebut termasuk kapan dan bagaimana model AI dapat dianggap anonim dan bagaimana pengendali dapat menggambarkan kebutuhan kepentingan sah dalam penerapan. Dewan juga mengeksplorasi konsekuensi dari pemrosesan data yang melanggar hukum selama fase pengembangan model AI terhadap operasi selanjutnya dari model AI tersebut.
Mengenai pertanyaan kapan dan bagaimana anonimitas model AI dapat ditentukan, badan tersebut menyatakan bahwa otoritas lokal yang kompeten harus membuat penentuan tersebut berdasarkan kasus per kasus. Dewan mengungkapkan bahwa mereka tidak menganggap semua model AI yang dilatih menggunakan data pribadi bersifat anonim.
Badan tersebut merekomendasikan agar otoritas pengawas nasional mengevaluasi dokumentasi relevan yang disediakan oleh pengendali untuk menentukan anonimitas model. Mereka menambahkan bahwa pengendali juga harus mengambil langkah-langkah relevan untuk membatasi pengumpulan data pribadi selama pelatihan dan mengurangi potensi serangan.
Mengenai pertanyaan tentang kepentingan sah sebagai dasar hukum yang tepat untuk memproses data pribadi selama penerapan model AI, dewan menyerahkan kepada pengendali untuk menentukan dasar hukum yang tepat untuk memproses data tersebut.
EDPB menekankan tes tiga langkah untuk menentukan kepentingan sah oleh badan pengawas. Langkah-langkah tersebut termasuk mengidentifikasi kepentingan sah yang sebenarnya dan menganalisis kebutuhannya. Pengendali juga harus menilai apakah kepentingan sah seimbang dengan hak dan kebebasan subjek data.
Dalam menilai konsekuensi, badan tersebut merujuk pada kebijaksanaan otoritas pengawas di negara masing-masing. Mereka menambahkan bahwa SAs harus memilih konsekuensi yang sesuai tergantung pada fakta setiap skenario.
Komisi Perlindungan Data Irlandia memberikan komentar tentang opini EDPB mengenai regulasi model AI
Komisi Perlindungan Data Irlandia merespons dalam sebuah pernyataan yang mencatat bahwa opini tersebut akan mempromosikan regulasi model AI yang efektif dan konsisten di UE. Komisioner Dale Sunderland mengomentari:
Ini juga akan mendukung keterlibatan DPC dengan perusahaan yang mengembangkan model AI baru sebelum diluncurkan di pasar UE, serta penanganan banyak keluhan terkait AI yang telah diajukan ke DPC.
Dale Sunderland
Keluhan terhadap pembuat ChatGPT, OpenAI, dilaporkan telah disampaikan dalam beberapa bulan terakhir. Otoritas Perlindungan Data Polandia mengajukan pertanyaan tahun lalu tentang kepatuhan pengembang AI terhadap GDPR.
Otoritas tersebut mengklaim bahwa OpenAI mengabaikan persyaratan seperti konsultasi sebelumnya dengan regulator ketika ada risiko pelanggaran data pribadi. Regulator mencatat bahwa OpenAI meluncurkan ChatGPT tanpa berkonsultasi dengan regulator lokal yang bertentangan dengan pedoman GDPR.
Garante Italia juga memerintahkan OpenAI untuk menghentikan pemrosesan data pribadi pada tahun 2023 sebelum menangani isu yang telah diidentifikasi dengan platform perusahaan. Mereka menyoroti bahwa perusahaan yang berbasis di San Francisco tersebut tidak memiliki langkah-langkah untuk mencegah anak-anak mengakses teknologi sesuai dengan ketentuan hukum.
Otoritas regulasi memperingatkan bahwa kegagalan untuk mematuhi pedoman akan mengakibatkan sanksi, termasuk empat persen dari omset tahunan atau dua puluh juta euro, mana yang lebih besar.
Dapatkan Pekerjaan Web3 dengan Gaji Tinggi dalam 90 Hari: Peta Jalan Utama