Politica de confidențialitate privind IA și procesul decizional automatizat

Politica de confidențialitate privind IA și procesul decizional automatizat definește cerințe obligatorii de confidențialitate pentru activități de inteligență artificială, creare de profiluri, scorare, recomandare, suport decizional și proces decizional automatizat care implică informații cu caracter personal (PII). Domeniul său de aplicare include sisteme, aplicații, modele, servicii, fluxuri de lucru, motoare decizionale, modele analitice și procese decizionale automatizate activate de IA care utilizează, deduc, generează, divulgă sau prelucrează în alt mod informații cu caracter personal (PII) în domeniul de aplicare al PIMS. De asemenea, acoperă PII utilizate pentru instruire, testare, validare, ajustare, monitorizare, inferență în producție, revizuirea rezultatelor, măsurarea performanței, investigarea incidentelor și scoaterea din uz a modelelor. Politica se aplică în contexte de operator de date, operator asociat, persoană împuternicită și persoană subîmputernicită, inclusiv furnizori, persoane împuternicite, persoane subîmputernicite, destinatari ai partajării datelor și rute de transfer internațional legate de IA. Scopul politicii este de a asigura că activitățile de IA, creare de profiluri și proces decizional automatizat care implică informații cu caracter personal (PII) sunt identificate, documentate, evaluate din perspectiva riscurilor, transparente, contestabile, monitorizate și controlate prin PIMS, fără a crea artefacte de guvernanță duplicative specifice IA. Politica precizează explicit că nu creează un cadru complet de guvernanță IA, un sistem de management IA, un inventar IA, un inventar al modelelor, un registru de risc al modelelor, un registru al echității, un registru al algoritmilor, un registru al incidentelor IA, un comitet IA, un rol de proprietar al modelului, un rol de proprietar al sistemului IA, un flux de lucru pentru consultanță juridică sau un formular separat de aprobare IA. În schimb, impune ca obligațiile de confidențialitate legate de IA să fie demonstrate prin obiectele canonice de dovezi existente: REG02, REG04, REG06, REG07, REG08, REG09, REG10 și REG12. Operațional, politica impune proprietarilor de proces / proprietarilor activității să stabilească dacă sistemele, fluxurile de lucru sau procesele noi ori modificate semnificativ ale organizației utilizează IA, creare de profiluri, scorare, recomandare, suport decizional sau proces decizional automatizat care implică informații cu caracter personal (PII) și să înregistreze determinarea în REG02. Înainte de începerea prelucrării PII legate de IA, politica impune documentarea scopului prelucrării, a categoriilor de PII, a categoriilor de persoane vizate, a surselor de date, a categoriilor de date deduse sau derivate, a categoriilor de rezultate, a categoriilor de destinatari, a temeiului juridic și a corelării cu retenția. Pentru crearea de profiluri, scorare, recomandare, suport decizional sau proces decizional automatizat utilizat în producție, contextul deciziei, efectul preconizat asupra persoanelor vizate, implicarea umană și ruta de exercitare a drepturilor trebuie documentate în REG02 și REG04. Guvernanța riscurilor este o parte centrală a politicii. Înainte de lansarea sau modificarea semnificativă a prelucrării PII legate de IA, Responsabilul pentru confidențialitate / Managerul PIMS trebuie să finalizeze evaluarea preliminară a riscurilor privind confidențialitatea și să înregistreze decizia DPIA în REG04. Atunci când prelucrarea implică crearea de profiluri, decizii automatizate, evaluare la scară largă, date din categorii speciale, date privind condamnările penale și infracțiunile, persoane vizate vulnerabile, evaluarea angajaților, copii, monitorizare comportamentală, date de localizare, date biometrice, scorare cu impact ridicat sau efecte semnificative, Responsabilul cu protecția datelor / Consilierul pentru confidențialitate trebuie să revizuiască riscul privind confidențialitatea și să înregistreze recomandarea în REG04. Dacă riscul rezidual ridicat privind confidențialitatea rămâne după tratamentul planificat, Conducerea de vârf trebuie să aprobe, să respingă sau să impună tratament suplimentar înainte de utilizarea în producție, iar decizia este înregistrată în REG04 și REG12. Politica stabilește, de asemenea, controale pentru transparență, informații semnificative, minimizare, gestionarea drepturilor, monitorizare, furnizori și aplicare. Conținutul notei de informare privind confidențialitatea trebuie să descrie scopul legat de IA, categoriile de date, categoriile de rezultate, categoriile de destinatari, ruta de exercitare a drepturilor și ruta de contact, iar versiunile notelor de informare trebuie înregistrate în REG07. Rutele de revizuire umană, opoziție și posibilitatea de contestare sunt obligatorii pentru deciziile legate de IA cu efecte juridice, de eligibilitate, de acces, de ocupare a forței de muncă, financiare, educaționale, de serviciu, de siguranță sau efecte similare semnificative. Furnizorii și persoanele împuternicite trebuie guvernate prin REG08, iar transferurile internaționale trebuie direcționate prin REG09. Criteriile de monitorizare trebuie să acopere modificările intrărilor, modificările rezultatelor, problemele privind drepturile, rezultatele adverse pentru confidențialitate, utilizarea neautorizată și tendințele reclamațiilor, cu revizuire trimestrială pentru prelucrarea activă a PII, cu impact ridicat, legată de IA, iar neconformitățile sau acțiunile corective trebuie înregistrate în REG12.