Pe scurt
Instrumentele de inteligență artificială precum ChatGPT, Claude sau Microsoft Copilot sunt extrem de utile, însă nu reprezintă un spațiu sigur pentru datele confidențiale ale companiilor. Introducerea în prompturi a datelor cu caracter personal, a secretelor comerciale sau a informațiilor contractuale interne poate genera încălcări ale normelor privind protecția datelor, expunerea informațiilor sensibile și consecințe de natură juridică sau de reglementare. Acest articol explică ce categorii de date nu ar trebui introduse în astfel de instrumente, de ce granița dintre informațiile permise și cele sensibile este adesea neclară și cum pot organizațiile să elaboreze politici interne solide privind utilizarea inteligenței artificiale de către angajați.
Imaginați-vă că un specialist din compania dumneavoastră solicită ajutorul ChatGPT pentru formularea optimă a unei clauze contractuale și, în acest scop, introduce în prompt întregul proiect al unui contract de furnizare care nu a fost încă semnat. Sistemul oferă un răspuns util și relevant. Ceea ce nu este însă vizibil este faptul că respectivul conținut contractual a fost procesat pe servere aflate în afara controlului direct al companiei și că organizația nu mai deține control deplin asupra modului în care aceste informații sunt gestionate sau stocate.
Acest scenariu nu reprezintă o excepție. El se produce zilnic în organizații de toate dimensiunile și reflectă o problemă pe care multe companii încă o subestimează: instrumentele de inteligență artificială sunt productive și ușor de utilizat, însă puțini angajați înțeleg pe deplin implicațiile privind protecția datelor, securitatea informațiilor și conformitatea cu reglementările atunci când trimit un prompt.
Diferența dintre un prompt riscant și unul conform cu regulile nu ține, de cele mai multe ori, de intenție, ci de nivelul de cunoaștere. Iar dezvoltarea și transmiterea sistematică a acestor cunoștințe reprezintă una dintre cele mai importante provocări ale managementului modern.
Poarta invizibilă către date
Sistemele de inteligență artificială generativă funcționează diferit față de un motor de căutare. Atunci când cineva efectuează o căutare pe Google, transmite un termen sau o expresie de căutare. În schimb, atunci când introduce un prompt într-un model lingvistic de mari dimensiuni (Large Language Model), poate furniza întregul context al unei situații – documente, nume, cifre sau informații specifice. Tocmai acest context reprezintă problema.
Regulamentul General privind Protecția Datelor (GDPR) nu prevede excepții pentru aplicațiile de inteligență artificială. Datele cu caracter personal – adică informațiile care permit identificarea directă sau indirectă a unei persoane fizice – pot fi prelucrate numai în baza unui temei legal valabil și cu respectarea principiilor reducerii la minimum a datelor și limitării scopului. Acest lucru este valabil inclusiv atunci când un angajat introduce într-un prompt numele unui client sau data nașterii unui pacient.
În plus, mulți furnizori de soluții de inteligență artificială generativă operează centre de date situate în afara Spațiului Economic European. Transferul de date către state terțe care nu asigură un nivel adecvat de protecție este, în principiu, interzis în temeiul art. 44 și următoarele din GDPR, cu excepția situațiilor în care există garanții adecvate. În ce măsură aceste garanții sunt efectiv aplicate de marii furnizori de AI rămâne o chestiune care nu este pe deplin clarificată din punct de vedere juridic și constituie o preocupare constantă pentru responsabilii cu protecția datelor.
Ce categorii de date nu ar trebui introduse niciodată în prompturi
Următoarea prezentare nu reprezintă o listă exhaustivă, ci un cadru orientativ care și-a demonstrat utilitatea în practica de consultanță.
Date cu caracter personal în sensul GDPR
Nume, adrese, adrese de e-mail, numere de telefon, adrese IP, coduri de client – orice informație referitoare la o persoană identificată sau identificabilă. Deosebit de sensibile sunt categoriile speciale de date cu caracter personal prevăzute la art. 9 din GDPR: date privind sănătatea, date biometrice, informații referitoare la convingeri politice sau orientarea sexuală. Aceste categorii beneficiază de cerințe sporite de protecție, care, în practică, nu pot fi respectate prin simpla introducere a datelor într-un instrument comercial de inteligență artificială.
Date interne de afaceri și secrete comerciale
Rezultate financiare nepublicate, documente strategice, planuri de fuziuni și achiziții, proiecte de dezvoltare a produselor sau calcule interne intră sub incidența protecției acordate secretelor comerciale. Introducerea unor astfel de informații într-un serviciu extern de inteligență artificială, fără existența unui acord de prelucrare a datelor și a unor garanții adecvate de confidențialitate, poate constitui o conduită neglijentă și poate compromite protecția acestor informații sensibile.
Date contractuale și documente juridice
Proiecte de contracte, condiții comerciale, clauze contractuale și poziții de negociere în cadrul unor negocieri aflate în desfășurare. Scenariul descris anterior este deosebit de relevant în acest context. Odată ce astfel de informații sunt introduse într-un serviciu de inteligență artificială, compania pierde controlul asupra unor date care pot avea o importanță competitivă semnificativă și a căror confidențialitate este adesea impusă prin lege sau prin contract.
Date de acces și informații de autentificare
Parole, chei API, certificate digitale sau alte elemente utilizate pentru autentificare nu ar trebui introduse niciodată într-un prompt. Deși acest lucru poate părea evident, în practică apar frecvent situații în care dezvoltatorii utilizează instrumente de inteligență artificială pentru depanare și includ fragmente de cod care conțin date de acces încorporate.
Date privind personalul și evaluările interne
Structuri salariale, evaluări de performanță, concedii medicale sau informații rezultate din proceduri disciplinare beneficiază de un nivel ridicat de protecție, atât în temeiul GDPR, cât și al legislației muncii. Utilizarea unui instrument de inteligență artificială generativă pentru formularea sau fundamentarea deciziilor privind personalul implică riscuri semnificative din perspectiva protecției datelor și poate afecta drepturile de consultare și participare ale reprezentanților angajaților.
De ce este atât de dificil de trasat limita
Complexitatea reală nu apare în cazurile evidente. Ea se regăsește în zona gri: într-un proiect de răspuns la o solicitare a unui client, în care apare accidental un număr de cont; într-un proces-verbal al unei ședințe interne, introdus într-un instrument AI pentru a genera un rezumat; sau într-un tichet de suport care conține informații medicale.
Angajații iau decizii privind introducerea informațiilor într-un instrument de inteligență artificială în fracțiuni de secundă – adesea fără o instruire adecvată, fără repere clare și sub presiunea timpului. Aceasta nu reprezintă o eroare individuală, ci o problemă sistemică, care trebuie abordată la nivel organizațional și structural.
Situația este complicată și de faptul că furnizorii marilor platforme de inteligență artificială își actualizează periodic condițiile de utilizare și politicile privind prelucrarea datelor. Ceea ce astăzi poate părea acoperit printr-un acord de prelucrare a datelor ar putea fi evaluat diferit mâine, ca urmare a unei modificări a termenilor și condițiilor. Departamentele juridice și responsabilii cu protecția datelor se confruntă astfel cu provocarea de a monitoriza permanent un cadru aflat într-o continuă schimbare.
De la liste de interdicții la un cadru de guvernanță
O simplă listă de interdicții nu rezolvă problema. Ea contribuie la conformitate, dar nu creează o cultură a conformității. Organizațiile care doresc să îi ajute pe angajați să utilizeze inteligența artificială în mod sigur și responsabil au nevoie de mai mult decât un set de reguli afișate pe un panou informativ.
În practica de consultanță s-a dovedit eficientă o abordare structurată pe trei niveluri. Primul este nivelul tehnic, care presupune controale de acces susținute prin politici interne și care stabilesc ce instrumente de inteligență artificială pot fi utilizate în organizație și în ce condiții. Al doilea este nivelul procedural, care include procese clare pentru utilizarea AI în domenii sensibile precum resursele umane, juridice sau financiare. Al treilea este nivelul cultural, bazat pe programe periodice de instruire care nu se limitează la interdicții, ci dezvoltă competențele necesare pentru utilizarea responsabilă a tehnologiei.
Pentru organizațiile care utilizează servicii de încredere calificate, acest context oferă și o oportunitate strategică. Companiile care lucrează deja cu identități digitale, semnături electronice și infrastructuri de autentificare de încredere dețin baza tehnologică necesară pentru a gestiona utilizarea inteligenței artificiale în conformitate cu cerințele legale și organizaționale. Controlul asupra persoanelor care introduc date în diferite sisteme și asupra tipului de informații utilizate este, în esență, o chestiune de arhitectură a identității și a accesului – un domeniu în care furnizorii de servicii de încredere pot aduce o valoare semnificativă.
Ce ar trebui să conțină o politică privind utilizarea AI de către angajați
O politică solidă privind utilizarea inteligenței artificiale nu este un instrument menit să împiedice utilizarea AI, ci un mecanism care permite folosirea acesteia într-un mod responsabil.
Printre elementele esențiale care nu ar trebui să lipsească se numără:
- o clasificare clară a instrumentelor AI permise și nepermise, în funcție de scopul utilizării și de tipul datelor prelucrate;
- o descriere explicită a categoriilor de date care nu pot fi introduse în prompturi, însoțită de exemple concrete;
- reguli privind utilizarea instanțelor AI interne ale companiei, care funcționează într-un mediu controlat, comparativ cu serviciile publice accesibile online;
- proceduri de escaladare și obligații de raportare în cazul unor neclarități sau incidente;
- o precizare clară privind responsabilitatea: inteligența artificială este un instrument, însă responsabilitatea pentru conținutul și consecințele rezultatelor rămâne întotdeauna la utilizatorul uman.
Riscul real nu este inteligența artificială
Cei care reduc discuția despre siguranța prompturilor la un simplu exercițiu de conformitate tehnică ratează esențialul. Riscul real nu este reprezentat de inteligența artificială în sine, ci de lacunele organizaționale care apar atunci când adoptarea tehnologiei avansează mai rapid decât nivelul de înțelegere a implicațiilor sale.
Inteligența artificială generativă nu este o tendință trecătoare care poate fi ignorată până dispare. Ea transformă modul în care informația este creată, procesată și comunicată în organizații din toate industriile și de toate dimensiunile. Companiile care construiesc încă de astăzi structurile de guvernanță necesare pentru o utilizare productivă și conformă a AI își creează un avantaj competitiv durabil – nu în pofida cerințelor de reglementare, ci tocmai datorită acestora.
Organizațiile cel mai bine pregătite sunt cele care nu privesc încrederea doar ca pe o obligație de conformitate, ci ca pe o resursă strategică. În acest punct, serviciile digitale de încredere și guvernanța inteligenței artificiale se întâlnesc și devin două fațete ale aceleiași realități.
Concluzie
Siguranța în formularea și utilizarea prompturilor nu este o notă marginală într-un manual de protecție a datelor, ci o competență esențială pe care organizațiile trebuie să o dezvolte activ încă de astăzi. Întrebarea nu este dacă angajații vor utiliza instrumente de inteligență artificială, ci dacă le vor utiliza având cunoștințele și competențele necesare.
Companiile care investesc în politici interne, programe de instruire și infrastructura tehnologică adecvată nu protejează doar datele sensibile, ci consolidează și încrederea clienților, partenerilor și autorităților. În era digitală, încrederea nu este o simplă abilitate interpersonală. Ea reprezintă un factor esențial de competitivitate.
