Πρόστιμο σε τράπεζα για παραβίαση προσωπικών δεδομένων μέσω συστήματος Τεχνητής Νοημοσύνης που αξιολογούσε τη συναισθηματική κατάσταση των πελατών σε τηλεφωνικές κλήσεις
Συγκεκριμένα, η τεχνολογία επεξεργασίας σήματος ομιλίας που βασίζεται στο σύστημα Τεχνητής Νοημοσύνης ανέλυε αυτόματα μια λίστα λέξεων-κλειδιών και τη συναισθηματική κατάσταση του ομιλητή. Τα αποτελέσματα των λέξεων-κλειδιών και των συναισθημάτων που εντοπίστηκαν αποθηκεύτηκαν επίσης μαζί με την κλήση και οι κλήσεις μπορούσαν να αναπαραχθούν ξανά στο λογισμικό φωνητικών στοιχείων για έως και 45 ημέρες. Το λογισμικό ταξινόμησε τις κλήσεις και παρείχε συστάσεις σύμφωνα με την προτεραιότητα των καλούντων για επικοινωνία.
Αν και η Αρχή Προστασίας Δεδομένων της Ουγγαρίας δεν έκρινε παράνομη την ανάλυση με Τεχνητή Νοημοσύνη των καταγεγραμμένων κλήσεων εξυπηρέτησης πελατών, εντόπισε ωστόσο τις ακόλουθες αδυναμίες στο συγκεκριμένο σύστημα:
Η ειδοποίηση για το απόρρητο της εξυπηρέτησης πελατών της τράπεζας δεν περιείχε ουσιαστικές πληροφορίες σχετικά με τη φωνητική ανάλυση. Ανέφερε μόνο τη διασφάλιση ποιότητας και την πρόληψη παραπόνων ως σκοπούς επεξεργασίας δεδομένων.
Η τράπεζα στηρίζει την επεξεργασία δεδομένων στο έννομο συμφέρον της να διατηρεί πελάτες και να βελτιώνει την αποτελεσματικότητα των εσωτερικών της λειτουργιών. Ωστόσο, οι διάφορες λειτουργίες επεξεργασίας δεδομένων που σχετίζονται με αυτό το συμφέρον δεν διαχωρίστηκαν ούτε στην ειδοποίηση απορρήτου ούτε στην διαδικασία ελέγχου εξισορρόπησης συμφερόντων (LIA).
Η αξιολόγηση αντικτύπου της προστασίας δεδομένων (DPIA) της τράπεζας κατέληξε στο συμπέρασμα ότι αυτή η επεξεργασία είναι υψηλού κινδύνου για διάφορους λόγους. Ωστόσο, η DPIA δεν παρείχε ουσιαστικές λύσεις για την αντιμετώπιση αυτών των κινδύνων.
Η τράπεζα δεν εξέτασε ουσιαστικά την αναλογικότητα της επεξεργασίας δεδομένων και τις επιπτώσεις της στα υποκείμενα των δεδομένων, και απαξίωσε τους σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα. Ρητά δεν έλαβε υπόψη το δικαίωμα των υποκειμένων των δεδομένων για επαρκείς πληροφορίες και το δικαίωμά τους να αντιταχθούν.
Η Αρχή άφησε να εννοηθεί ότι μόνο η ενημερωμένη συγκατάθεση, η οποία παρέχεται ελεύθερα και ενεργά, θα μπορούσε να αποτελέσει τη βάση για παρόμοιες διαδικασίες επεξεργασίας δεδομένων. Οι αποφάσεις της Αρχής εισηγούνται ότι σε όλες τις περιπτώσεις οι εταιρείες που χρησιμοποιούν λύσεις τεχνητής νοημοσύνης πρέπει να διασφαλίζουν ότι τα δικαιώματα ενός υποκειμένου των δεδομένων σε σχέση με την επεξεργασία προστατεύονται επαρκώς. Αυτό ισχύει ιδιαίτερα για το δικαίωμα ενημέρωσης μέσω μιας κατάλληλα συνταγμένης ειδοποίησης απορρήτου. Εάν μια εταιρεία εξακολουθεί να βασίζεται σε έννομο συμφέρον για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, πρέπει να διασφαλίσει ότι τα υποκείμενα των δεδομένων έχουν εκ των προτέρων γνώση της επεξεργασίας δεδομένων και είναι σε θέση να αντιταχθούν σε αυτήν, αφού μετά την επεξεργασία -ιδίως κατά τη βραχυπρόθεσμη ή εφάπαξ επεξεργασία δεδομένων– το δικαίωμα ένστασης ακυρώνεται. (αναδημοσίευση του άρθρου των Dóra Petrányi, Katalin Horváth and Márton Domokos στο lexology.com)
Σχόλια