IMY: Η Σουηδική Προσέγγιση στο AI-GDPR
Η σουηδική Integritetsskyddsmyndigheten (IMY) εξέδωσε το 2024 ολοκληρωμένες κατευθυντήριες γραμμές:
«Artificial Intelligence and Personal Data» (IMY, Φεβρουάριος 2024):
- 60 σελίδες τεχνικών οδηγιών
- Καλύπτει LLM, generative AI, automated decision-making
- Απαιτήσεις για training data, inference, output
Βασικές Απαιτήσεις IMY για AI Systems
1. Training Data Audits: Εάν LLM εκπαιδεύτηκε σε προσωπικά δεδομένα χωρίς νομική βάση → ολόκληρο το model ενδέχεται να πρέπει να καταστραφεί (right to erasure κληρονομιά).
2. Output Monitoring: Εάν AI παράγει αναγνωρίσιμες πληροφορίες για πραγματικά άτομα (memorized training data) → παραβίαση GDPR.
3. Ανωνυμοποίηση Inference Inputs: Τα inputs σε AI systems πρέπει να ανωνυμοποιούνται πριν αποσταλούν σε εξωτερικά AI APIs.
Νορδική Προσέγγιση vs Νότια Ευρώπη
| Νορδική (IMY, Datatilsynet) | Νότια (Garante, AEPD) | |
|---|---|---|
| Εστίαση | Τεχνικά μέτρα | Νομική ερμηνεία |
| AI θέση | Τεχνικές κατευθύνσεις | Ρυθμιστικές αποφάσεις |
| Εκπαίδευση | Συνεργασία με industry | Επιθεωρήσεις |
Πηγές: