Лоренцо Котіно (Валенсія, 52 роки) з 26 лютого очолив Іспанське агентство із захисту даних (AEPD). Він змінив Мар Еспанью, яка пішла на пенсію після дев'яти років керівництва органом — на чотири роки довше, ніж передбачено, через відсутність згоди між PP та PSOE щодо її наступника. Доктор права та випускник Університету Валенсії, де він є професором конституційного права, Котіно є автором 14 монографій та координатором ще 26, пов'язаних із приватністю, захистом даних та прозорістю.

Котіно приймає кермо влади в момент, коли розгортаються нормативи для регулювання використання штучного інтелекту (ШІ), що надають AEPD нові повноваження у цій сфері. «Ми є, були і будемо відповідальним органом щодо будь-якої обробки даних за допомогою ШІ», — зазначає Котіно в першому інтерв'ю після свого призначення.

Запитання: Якими будуть основні напрямки вашого мандату?

Відповідь: Ми зосередимося на проривних технологіях, насамперед на ШІ. Це буде центральна тема, адже суспільство змінюється під впливом цієї технології. Про дані вже давно говорять, що це «нафта XXI століття», але в Європі ми ще не повністю навчилися видобувати цю цінність, зокрема тому, що це потрібно робити, захищаючи персональні дані. Ми намагатимемося досягти прогресу в цьому напрямку. Також існує тема, яка, як ми знаємо, може «вибухнути» — це квантові технології. Це не є нашим основним об'єктом уваги, але ми повинні бути готові. І, звісно, є інші питання, в яких Агентство досягло великих успіхів, як-от приватність та захист даних неповнолітніх.

Запитання: Як ви підходите до питання захисту неповнолітніх, яке було центральним для вашої попередниці?

Відповідь: Ми переорієнтуємо фокус. Неповнолітні, безперечно, дуже важливі, але нам потрібно розширити спектр, тому що вразливими тепер є не лише вони, люди похилого віку чи особи з інвалідністю. Штучний інтелект створює нові групи постраждалих. Це те, що ми називаємо цифровою вразливістю.

Запитання: Що саме ви маєте на увазі під цифровою вразливістю?

Відповідь: Це новий термін, який згадується аж 27 разів у Європейському регламенті щодо ШІ. Сьогодні традиційно вразливі групи вже не єдині, хто може зазнати впливу на свої права через ШІ. Ми продовжимо приділяти їм увагу, але також спробуємо виявити, де з'являються нові групи, що страждають від технологій, наприклад, певні професійні об'єднання, щоб, у межах наших повноважень, розробити превентивні механізми. Існують середовища, такі як охорона здоров'я, соціальна допомога або використання цифрових медіа, які можуть бути особливо проблемними. Нам доведеться вдаватися до нових методів гарантування прав, таких як системи оцінки впливу інструментів ШІ перед їх випуском на ринок.

Запитання: В AEPD працює 228 фахівців. Чи достатньо цього для виконання завдань з нагляду за ШІ, які покладає на вас законопроєкт про ШІ?

Відповідь: Бажання у нас є, але можливості обмежені. Зростання цих питань триває вже 30 років. Снігова куля захисту даних у технологічному середовищі не припиняє рости. Якщо нам ще й додають нові повноваження, то нам буквально потрібно буде зростати, інакше ми не зможемо відповідати на деякі вимоги.

Запитання: Чи вдалося досягти домовленостей про розширення штату?

Відповідь: Я тут лише місяць і можу сказати, що це ключове питання, над яким ми працюємо у відповідних інстанціях. Ми намагаємося, наразі прагнемо, щоб нас врахували.

Запитання: Якщо штат не буде посилено, чи вважаєте ви можливим виконати обов'язки, покладені на вас законопроєктом?

Відповідь: Бажання нам не бракує. З тим, що маємо, ми будемо виконувати наші обов'язки в міру наших можливостей.

«Дуже важко громадянину поставити під сумнів, чи правильно обробляються його дані за допомогою ШІ, якщо він не знає про існування цих систем».

Запитання: Чи могли б ви розповісти про заплановані дії у сфері нових технологій?

Відповідь: Ми є контрольним органом у сфері обробки даних за допомогою ШІ, і це залишається нашим ядром. Ми повинні діяти як і раніше: зосереджуючись на профілактиці, «євангелізації», донесенні до суспільства думки, що багато застосувань ШІ є чудовими, але є й «темний бік», який слід враховувати. З практичної точки зору, стартапу чи малому/середньому підприємству може бути непросто дотримуватися Загального регламенту про захист даних (GDPR) у сфері ШІ. Ми маємо супроводжувати їх, випускаючи посібники та технічні нотатки.

Запитання: Днями група громадських організацій закликала створити своєрідний реєстр публічних алгоритмів, які можуть впливати на життя громадян. Чи вважаєте ви це хорошою ініціативою?

Відповідь: Я опублікував дві книги про алгоритмічну прозорість та два посібники про те, як впроваджувати реєстри публічних алгоритмів. Ми маємо перший досвід у Валенсійській спільноті, де було ухвалено один із перших законів у Європі про реєстри публічних алгоритмів. Гадаю, так, Закон про управління штучним інтелектом повинен враховувати ці механізми. Дуже важко громадянину поставити під сумнів, чи правильно обробляються його дані за допомогою ШІ, якщо він не знає про існування цих систем, що використовуються в охороні здоров'я, освіті, для розподілу державних субсидій чи в питаннях безпеки.

Запитання: Що ви думаєте про проєкт органічного закону про захист неповнолітніх у цифровому середовищі? Чи вважаєте ви, що права дітей належним чином захищені цим нормативом?

Відповідь: Агентство брало участь у редакційних комітетах цього нормативного акту та розробляло низку попередніх звітів. Я вважаю, що загалом це покращення.

Запитання: Текст зобов'язує верифікувати вік неповнолітніх. Розробка інструменту верифікації не входить до вашої компетенції, а належить Міністерству цифрової трансформації та державної служби, хоча агентство співпрацює в цьому процесі. Чи є якийсь прогрес?

Відповідь: Я не можу говорити про розробку інструменту, бо цим займаємося не ми. Але можу сказати, що Європейський комітет із захисту даних у січні цього року висловив думку щодо механізмів верифікації віку, яка збігається з нашою ідеєю. Ця європейська думка, яка тепер є спільною для 27 держав-членів, по суті, відповідає критеріям Іспанії.

Запитання: Ваша попередниця, Мар Еспанья, в інтерв'ю сказала, що у школах не повинно бути екранів для дітей молодше шести років. Чи вважаєте ви цю «червону лінію» правильною?

Відповідь: Я вважаю, що завданням агентства не є визначати питання, які безпосередньо не стосуються приватності та захисту даних. З огляду на це, схоже, сьогодні доведено, що використання екранів до шести років справді завдає шкоди, яка, сподіваємося, не буде непоправною. Проте, завданням агентства є виявлення випадків, коли якась соціальна мережа використовує алгоритм, що генерує адиктивні патерни. Це дуже пов'язано зі шкодою, яку екрани завдають неповнолітнім.

«Існує занепокоєння щодо США. До нас доходить інформація, що Білий дім стежить за тим, що робиться в Європі також у сфері захисту даних».

Запитання: Минулого року агентство представило звіт саме про адиктивні патерни деяких додатків і оголосило про розслідування щодо деяких компаній. Чи є якась еволюція в цьому розслідуванні?

Відповідь: Я не можу коментувати справи, які веде агентство в рамках своєї інспекційної та санкційної функції.

Запитання: Компанія 23andme, проти якої AEPD відкрило справу минулого року, щойно оголосила про банкрутство. Чи захищені генетичні дані її іспанських клієнтів?

Відповідь: Як ви сказали, справу відкрито, тому ми не можемо її коментувати. Але правда, що виник певний ажіотаж, оскільки ця компанія працює не з чим іншим, як з генетичними даними. Ми спробуємо з'ясувати, наскільки це може вплинути на Іспанію, про скількох людей йдеться, і, якщо компанія справді зникне, подивимося, в якому становищі опиняться їхні дані. Буде зроблено все можливе для дотримання європейського законодавства, яке включає, в разі необхідності, видалення даних та контроль за їх передачею у випадку правонаступництва компаній.

Запитання: Компанія є американською. Наскільки ускладнює ці дії позиція нинішнього керівництва США щодо Європи?

Відповідь: Існує занепокоєння. Захист даних дуже важливий, але, можливо, він не перебуває в епіцентрі поточної геостратегічної та геополітичної проблеми, яка більше зосереджена на іншому законодавстві, такому як Закон про цифрові послуги, що стосується платформ. Проте, до нас доходить інформація, що уряд Сполучених Штатів, так би мовити, «стежить» за тим, що робиться в Європі також у сфері захисту даних. У цьому сенсі ми — дуже маленьке агентство, але 27 органів захисту даних разом — це вже не так мало. Ми повинні бути як ніколи єдиними, щоб реагувати та намагатися забезпечити дотримання європейського законодавства.