Framtidsspaningar för dataskydd och AI 2024

År 2024 har inletts med fortsatt högt ränteläge, spännande tekniska framsteg och tillhörande reglering, val i både USA och EU samt krig och elände i olika delar av världen. Det finns därför anledning för oss på Knowit Cybersecurity & Law att placera fingret i skyn och avgöra var dataskyddsvindarna blåser under 2024. Vi har deltagit på tre olika webinarier där dataskyddsexperter världen över har diskuterat vilka förväntningar man kan ha på dataskyddsområdet under 2024. Bejakandes dessa perspektiv går vi igenom en rad olika frukter; somliga lägre hängande än andra, som kulminerar i den otvetydiga slutsatsen att regelefterlevnad inte bör placeras i baksätet under tuffa tider och än mindre vad gäller dataskyddsrättsliga satsningar i detta tidevarv som vi kallar samtiden.

Det kan vid det här laget uppfattas som ett uttjatat ämne, men trots allt står AI högt på agendan både inom näringsliv och offentlig sektor. Företeelsen engagerar både förkämpar och skeptiker; med rätta då det å ena sidan kan förbättra, effektivisera och automatisera alla möjliga processer som fram tills nyligen varit människans exklusiva domän, samtidigt som det å andra sidan förväntas ersätta en stor mängd yrken. En ökad arbetslöshet är inte den enda baksidan vilket vi tidigare skrivit om i denna blogg; ett culpöst eller uppsåtligt användande av diverse AI-tekniker kan leda till omfattande inskränkningar i den personliga integriteten. Det som ligger närmast till hands är möjligtvis de deep-fakes som florerat i etern och avbildat prominenta figurer så som exempelvis påven, Donald Trump och Tom Cruise. Tanken med detta blogginlägg är dock inte att slå in öppna dörrar utan snarare det motsatta; att bidra med nya och matnyttiga observationer till den personliga integritetsdiskursen.

Tre webinarier om 2024

Vi lyssnade på webinariet Privacy 2024 – What to expect som samlade en mängd experter inom dataskydd. Panelsamtalet handlade dels om vilka förändringar vi kan räkna med under året, och dels vilka förändringar som yrkesverksamma inom skrået önskar att lagstiftaren vidtar men även hur attityden bör förändras inom både offentlig och privat verksamhet. Spaningen som samtliga deltagare kunde enas om var att stor vikt bör läggas vid användande och utveckling av AI, vilket får sägas ligga väl i tiden. Däremot skiftades fokus ganska omgående till att farhågorna främst riktades mot lagstiftaren. En illa utformad och förhastad AI-reglering kan leda till att den personliga integriteten inte erhåller den uppmärksamhet och omsorg som den möjligtvis hade kunnat via en försiktig och rigorös lagstiftningsprocess. Läget är förstås ett moment 22 där EU och övriga lagstiftande organ världen över inte kan göra samtliga nöjda; det finns sannolikt en stor mängd individer som tycker att den nuvarande processen tar alldeles för lång tid och mer än gärna hade sett att exempelvis AI-förordningen trädde i kraft redan under 2023. AI-system som inte behäftas med oacceptabel risk enligt nuvarande förslag till förordning kan enligt somliga som deltog på webinariet vara oförenliga per definition med den europeiska dataskyddslagstiftningen hur mycket man än vrider och vänder på saken. Som exempel användes stora språkmodeller och träningen av dessa. Det är av allt att döma oundvikligt att en stor mängd personuppgifter behöver inkluderas i underlaget för att träna dessa system och det är långt ifrån självklart att denna typ av behandling framgångsrikt kan stödja sig på ett legitimt intresse enligt GDPR. Vidare får det anses klargjort att rätten till tillgång samt radering snarast är en omöjlighet för de registrerade att utöva på det sätt som förordas av GDPR gentemot tillhandahållare av denna typ av tjänst.

Ytterligare en farhåga som togs upp under webinariet var det faktum att dark patterns tros komma att användas i högre grad med hjälp av AI-teknologi. Med dark patterns eller vilseledande webbdesign menas att med hjälp av färger, form eller andra sätt aktivt förmå individer att ta vissa beslut som de annars kanske inte hade gjort om dark patterns inte hade använts. Det är vanligt i webcookie-sammanhang och de allra flesta har stött på det; godkänn-knappen på en cookie-banner kan vara en annan färg, inte sällan grön, som uppfattas inbjudande. Knappen för att avvisa användandet av icke-nödvändiga cookies är samtidigt ofta grå eller på något annat vis inte lika tillfredställande att klicka på. Det är bara ett exempel på hur dark patterns kan användas och EDPB har publicerat en vägledning om denna typ av förfarande på sociala medier som den nyfikne kan läsa mer om här. Det problematiken bottnar i för just detta exempel är att det framför allt står i strid med frivillighetskriteriet för samtycke som rättslig grund och därmed inte utgör ett giltigt samtycke enligt GDPR.

Hur AI ska komma att användas för att vilseleda individer på ett sätt som gör att deras personuppgifter behandlas på ett oförutsägbart vis gick inte talarna in på i mer detalj. Vi finner det emellertid vara en rimlig spaning; det är inte otänkbart att ett AI-verktyg exempelvis kan användas för att läsa av och analysera en individs beteendemönster och hur den tar in och svarar på vissa mönster och därefter individualisera innehåll på hemsidor som i sin tur leder till att individen omedvetet delar med sig av mer personuppgifter än den hade tänkt, eller på något annat vis inte agerar i sitt eget bästa intresse. Det finns dock en viktig balansgång för lagstiftaren att förhålla sig till vad gäller att å ena sidan skydda medborgare och å andra sidan värna om näringsfriheten och teknisk innovation. Att skapa en hemsida som kan individualisera innehåll på ett effektivt vis har förmodligen ett omfattande användningsområde. Vidare bör det även tilläggas att gränsdragningen för vad som anses vara dark patterns eller inte är i bästa fall oklar och i värsta fall omöjlig att utröna. Att kunna fatta informerade beslut och vara skyddad mot att få sin personliga integritet kränkt är en fundamental rättighet. Somliga anser möjligtvis emellertid att en för långtgående lagstiftning som förbjuder teknisk utveckling inte heller är önskvärt och att man därmed offrar innovationen på dataskyddets altare.

Det andra webinariet för framtidsspaningar vi lyssnade på var Research & insights: priorities and predictions for privacy and AI governance. Evenemanget leddes av IAPP:s team för forskning och insikter där de samtalade om prioriteringar och prognoser inom områdena personlig integritet och AI. Panelen kunde enas om att 2024 kommer att bli året då frågor omsätts i praktiken och utmaningen att anpassa den växande mångfalden av lagar, policyer och den generella tekniska utvecklingen. Övergången från antagande till genomförande står på dagordningen för EU:s institutioner och framtagande av god styrning inom organisationer kommer att vara avgörande för regelefterlevnad. I linje med företagens styrning av strategi för dataskydd är det viktigt att styrningen av AI-användning inte är isolerad. Framöver bör fokus, både globalt och nationellt, inom olika sektorer och internt i organisationer, ligga på att tänka helhetsmässigt. Detta inkluderar samordning av regelverk och implementering av effektiv styrning parallellt med den tekniska utvecklingen. Sammantaget tar vi med oss från webinariet att det fortsatt krävs noggrann koordinering och tydliga riktlinjer för att möta de komplexa utmaningar som är förknippade med både AI och dataskydd.

Det tredje webinariet vi lyssnade in på var IAPP:s Data Privacy Day and 2024 Predictions där paneldeltagarna härrörde både från stora privata aktörer såsom IBM och Mastercard, men även tillsynsmyndigheten för dataskydd i USA, the Federal Trade Commission. De kom fram till följande tre punkter som de viktigaste för år 2024:

På första plats hamnade huruvida det slutliga utkastet av AI-förordningen kommer att godkännas av parlamentet i april med detaljerade ändringsförslag från Frankrike. Det får sägas vara en väntad men rimlig slutsats med tanke på vilken effekt det kan få för samtliga intressenter.

På andra plats landade hanteringen och genomförandet av ny digital EU-lagstiftning, d.v.s. alla de rättsakter som beslutats om i samband med EU:s Digital Decade. Här delade paneldeltagarna med sig av sina erfarenheter från respektive organisation där de själva hade huvudansvaret för att övervaka, hantera och administrera dataskydd inom respektive organisation. De fastslår att ett centraliserat team bör ansvara för att bedöma integritetsrisker samt riskerna med att använda teknik som AI. Genom att centralisera ansvaret till ett team behöver interna intressenter bara förhålla sig till en enda bedömning som tar hänsyn till efterlevnad av flera lagar och perspektiv, i stället för att drunkna i olika bedömningar och kontakt med olika avdelningar.

De två punkter som kammade hem en delad tredjeplats handlade om något annorlunda ämnen. Det ena om förslag gällande att använda internationella standarder som ett verktyg för att genomföra regleringar, såsom AI Act, eftersom de nya regleringarna sett till utformning kommer att variera beroende på geografiskt område (EU kontra USA ex.). Trots detta kommer enligt paneldeltagarna det finnas en viss interoperabilitet genom olika standarder såsom ISO och NIST och därmed länka samman föreskrifterna. Den andra punkten som hamnade på delad tredje plats är det faktum att det går en trend i att integritetsteam rapporterar om miljömässiga, sociala och bolagsstyrningsaspekter av företagets digitala fotavtryck, vilket också påverkar företagets koldioxid- och CO2-utsläpp, liksom företagets ökande användning av data som lagras på olika geografiska platser. Detta på grund av att det finns vissa gemensamma nämnare mellan dessa, exempelvis å ena sidan efterlevnad av principen om dataminimering och å andra sidan energiåtgång som ett resultat av att man lagrar data i serverhallar.

En ytterligare framtidsspaning som vi på Knowit Cybersecurity & Law har diskuterat är det faktum att praxis på dataskyddsområdet har expanderat med en stor mängd avgöranden från EU-domstolen vilket skiljer sig markant från tidigare år. Det har i sin tur klargjort rättsläget för en rad olika avvägningar som dessförinnan varit gråzoner där vi som jobbar med dessa frågor blivit tvungna att applicera ett visst mått av försiktighet. Det har nog sin främsta förklaring i att dataskydd komparativt sett är ett ungt rättsområde; idéerna om rätten till den personliga integriteten var inte prioriterat i utarbetningen av den romerska rätten till skillnad från exempelvis avtalsrätten och straffrätten som har över 2000 år gamla anor. Denna osäkerhet genomsyrar stora delar av dataskyddsrätten och har blivit en nästintill självklar del av att arbeta med frågorna, och förhoppningen är att domstolen fortsätter i denna takt eller till och med lägger i en växel till. Däremot går det nog redan nu att säga att 2024 inte kommer vara året vi får ett genomgående glasklart rättsläge; arbetsbördan som krävs för att reda ut varje oklar del av GDPR får betraktas som ett monumentalt åtagande. Men kanske kommer många av de vanligaste frågorna som ännu saknar ett självklart svar bli utredda och det kan i sin tur få flerfaldig effekt. Om rättsläget blir tydligare kommer juridisk rådgivning i sin tur bli effektivare eftersom man då slipper göra omfattande undersökningar av frågor som saknar tydliga svar. Däremot bör man räkna med att tillsynsmyndigheter samtidigt kan vara mer aggressiva i sitt tillsynsarbete om utvecklingen av praxis följer tangentens riktning; tydliga prejudikat leder till mer krut i bössan för påföljder.

Summa summarum kan det sägas att det finns en i viss mån splittrad uppfattning om hur dataskyddslandskapet kommer att förändras under innevarande år och att den konsensus som råder är att det kommer bli ett händelserikt år.