Matematica expunerii zilnice
Cercetarea Cyberhaven a constatat că angajații din întreprinderi fac în medie 3,8 paste de date sensibile în ChatGPT pe utilizator pe zi. Pentru o echipă de suport pentru clienți de 100 de persoane, această cifră se traduce în 380 de instanțe de date sensibile care intră în ChatGPT zilnic — fiecare instanță putând constitui o încălcare a minimizării datelor GDPR conform articolului 5(1)(c), care cere ca datele personale să fie "adecvate, relevante și limitate la ceea ce este necesar".
Cifra de 3,8 nu este o cifră pentru angajații care ignoră politica. Reflectă comportamentul obișnuit al fluxului de lucru: agenții copiază corespondența clienților pentru a redacta răspunsuri, lipesc textul plângerilor pentru a genera răspunsuri empatice, includ detalii de cont pentru a obține sugestii conștiente de context. Fiecare paste este o acțiune legitimă de productivitate care include incidental date personale. Angajatul nu a decis să expună datele clienților; expunerea a fost un produs secundar al deciziei de a utiliza eficient un instrument de IA.
Un audit UE din 2024 a constatat că 63% din datele utilizatorilor ChatGPT conțineau informații de identificare personală. Doar 22% din utilizatori știau că ar putea renunța la colectarea datelor prin setările ChatGPT. Combinația — majoritatea datelor conțin PII, majoritatea utilizatorilor nu sunt conștienți de controale — produce expunere sistematică zilnică la scară în orice organizație care nu a implementat controale tehnice.
De ce comportamentul nu poate fi eliminat prin instruire
Fluxul de lucru de copiere și lipire este profund obișnuit. Utilizatorii copiază și lipesc text ca o interacțiune fundamentală cu calculatorul de zeci de ani. Adăugarea unui chatbot de IA ca destinație pentru textul lipit nu a schimbat comportamentul subiacent; a extins un model stabilit la o nouă țintă.
Instruirea politicii care spune "nu lipi PII-ul clienților în ChatGPT" necesită angajaților să insereze o decizie de clasificare — "acest text conține PII?" — într-o acțiune obișnuită care nu include în mod natural o pauză. Efectul instruirii se diminuează pe măsură ce comportamentul revine la obișnuință. Fiecare decizie individuală de paste este o micro-decizie cu risc scăzut; efectul cumulativ al 380 de decizii zilnice este un risc de conformitate sistematic pe care instruirea politicii nu poate aborda în mod fiabil.
Soluția tehnică operează la nivelul în care se formează obișnuința: acțiunea de paste în sine. Extensia Chrome interceptează conținutul clipboard în momentul paste, înainte ca conținutul să ajungă în câmpul de intrare. Interceptarea nu este o barieră de aplicare a politicii (utilizatorii pot oricând să o anuleze) — este un instrument de transparență. Modalul de previzualizare arată angajatului ce a fost detectat, oferindu-i un moment de vizibilitate în decizia de clasificare înainte de a continua.
Pentru liderul echipei de suport al companiei de comerț electronic din Germania care redactează răspunsuri la plângerile clienților: fluxul de lucru rămâne "copiază plângere, lipește în ChatGPT, generează răspuns". Extensia Chrome adaugă o pauză de 2 secunde în care agentul vede că au fost detectate nume, adrese și numere de comandă și vor fi anonimizate înainte de trimitere. Agentul face clic pe continuare. Fluxul de lucru continuă. Încălcarea conformității nu apare.
Surse: