Однією з найбільш схвальних характеристик Європейського регламенту про штучний інтелект (ШІ) є режим санкцій, узгоджений 27 країнами-членами.

Щоб гарантувати, що заборонені або кваліфіковані як високоризикові програми ШІ не використовуються, регламент передбачає суворі штрафи до 35 мільйонів євро або 7% від річного світового обороту компанії-порушника. Але регламент залишає на розсуд кожної держави-члена, які види санкцій застосовувати, коли порушником норм є адміністрація.

Іспанський законопроект про належне використання та управління ШІ, який розробляє європейський регламент, є явно м'яким у контролі державного сектору.

Так вважають принаймні вісім організацій та асоціацій із захисту цифрових прав, яких турбує, що текст, який готує уряд, передбачає лише «попередження», «застереження» та «дисциплінарні стягнення» у таких випадках, як встановлено в пункті 4 статті 30 законопроекту. Тобто, зловживання адміністрацією забороненою технологією, такою як системи віддаленої біометричної ідентифікації в реальному часі, спричинить лише попередження.

У спільно поданих запереченнях ці групи скаржаться, що виключення органів влади та організацій державного сектору з накладення адміністративних штрафів, «скопійоване з Органічного закону про захист даних, не тільки є порівняльним ускладненням щодо компаній, але й відсутністю публічної показовості та, перш за все, серйозним ризиком для прав громадян, оскільки на практиці залишає безкарними заборонені та високоризикові види використання ШІ органами влади та державними організаціями».

Тому вони пропонують застосовувати до них адміністративні штрафи за зловживання (заборонені або високоризикові) ШІ та конкретизувати «дисциплінарні стягнення», про які йдеться в тексті. Вони також вимагають замінити попередження для органів влади та керівного персоналу на позбавлення права (тимчасове або остаточне) обіймати державну посаду.

Законопроект зараз перебуває на стадії публічних консультацій. За словами джерел у Міністерстві цифрової трансформації та державної служби, «отримано дуже великий обсяг заперечень», які вивчаються. Деякі з них є дуже технічними, пояснюють ті ж джерела, тому важко сказати, скільки часу знадобиться на їх обробку. Після завершення цього процесу міністерство повинно буде вирішити, включати чи ні до остаточного тексту пропозиції, отримані таким чином. Коли проект буде готовий, його буде розглянуто в Конгресі депутатів, де він має бути схвалений більшістю.

Безкарність чи адміністративна гнучкість?

Законопроект встановлює градацію покарань від «дуже серйозних» до «легких». Найсуворіші передбачають штраф від 7,5 до 35 мільйонів євро, або від 2% до 7% від світового річного обороту компанії-порушника. До цього припущення входять використання заборонених технологій, систем віддаленої біометричної ідентифікації в реальному часі без дозволу, не видалення даних цієї ідентифікації, якщо цього вимагають органи влади, або неповідомлення про використання такої технології.

Але якщо порушником є державний орган, організацію, що діє, буде попереджено, і можуть бути встановлені «заходи, які необхідно вжити для припинення поведінки або виправлення наслідків вчиненого порушення, за винятком накладення адміністративних штрафів». Крім того, передбачаються «дисциплінарні стягнення, якщо для цього є достатні підстави». І у випадку, якщо будь-який орган державної влади зловживає ШІ, ігноруючи попередні технічні звіти, відповідальних «попереджають».

«Моє головне занепокоєння щодо законопроекту полягає в наступному: хто захистить мої права як громадянина? Ми знаємо, що адміністрація використовує ШІ для стеження за нами. Чому ми не можемо стежити за адміністрацією?», – підсумовує Борха Адсуара, експерт з цифрового права. Цей юрист був ініціатором заперечень, зосереджених на відсутності відчутних покарань для державного сектору, поданих вісьмома асоціаціями та організаціями, серед яких OdiseIA, Enatic, Іспанська асоціація професіоналів конфіденційності (APEP), España Digital та Internautas.

Для Адсуари основна проблема полягає не в тому, що адміністрація не повинна платити, коли зловживає технологією. «Справа не в грошах, а в тому, щоб стали відомі зловживання. Якщо закон не має режиму санкцій, це не закон, а пісня сонцю», – додає він. Адвокат вважає, що повинен бути суддя, який би втручався в системи спостереження за громадянами, так само, як є той, хто займається CNI, щоб побачити, чи порушує державний сектор норми чи ні.

«Цілком законно, що громадянське суспільство вимагає санкцій, але, можливо, слід було б більше зосередитися на можливостях дій, коли виявляється, що є можливі порушення, і особливо на запобіганні», – стверджує зі свого боку Лоренцо Котино, президент Іспанського агентства із захисту даних (AEPD). «Нас набагато більше цікавитиме наявність реєстрів цих систем, щоб виявляти їх вчасно. І шукати співпрацю та участь, щоб зробити це до того, як ці системи будуть впроваджені, тому що інакше потім доведеться їх паралізувати».

Котино захищав в інтерв’ю Джерело новини створення реєстру публічних алгоритмів, який міг би слугувати основою для відстеження цих цифрових інструментів. «Якщо система не відповідає закону, з моменту виявлення її можна призупинити та паралізувати. Те, що потім будуть санкції чи ні, також може бути важливим, але я думаю, що громадянина найбільше має турбувати наявність гарантій, щоб мати можливість діяти з першої хвилини», – зазначає він.