W obliczu coraz większego zapotrzebowania na wykorzystanie modeli AI i jednocześnie wobec braków w zakresie regulacji wykorzystania AI w taki sposób aby nie prowadziło do naruszania prywatności osób warto odnotować pojawienie się narzędzia udostępnionego przez francuski odpowiednik PUODO. CNIL (CNIL - Commission Nationale de l'Informatique et des Libertés) udostępniła zestaw wytycznych („how-to sheets”) oraz checklistę dla takich projektów AI, które obejmują fazę projektowania modeli, przygotowania im danych treningowych i ich treningu. Są to dość uniwersalne momenty skutkujące zazwyczaj możliwością popełnienia błędu prowadzącego do naruszenia prywatności.

Wytyczne takie mogą być wzorcem praktycznych wytycznych, które ułatwią organizacjom wdrożenie AI w sposób zgodny z prywatnością, zanim pojawią się dalsze wytyczne - europejskie (na poziomie AI Act), krajowe czy uczelniane (akty wewnętrzne Politechniki Wrocławskiej). Należy pamiętać, że RODO nie przestaje mieć znaczenia gdy zaczyna się stosowanie AI Act. Te akty prawne i regulacje są komplementarne i się uzupełniają. RODO obowiązuje równolegle z AI Act i może dotyczyć zarówno danych, jak i modeli – szczególnie tam gdzie mówi o profilowaniu i zautomatyzowanym podejmowaniu decyzji czy przetwarzaniu danych. Części projektów AI nie da się ocenić przez post-hoc compliance i nadal niezbędne jest podejście oparte na ryzyku podczas projektowania - privacy by design od pierwszych faz rozwoju modelu.

Zastosowanie tych pomocy podczas prac nad projektami z użyciem AI ma pozwolić na:

• Określenie prawnej podstawy przetwarzania danych osobowych na etapie projektu AI;
• Zdefiniowanie celu systemu i określenie odpowiedzialności uczestniczących podmiotów (administrator, joint controller, podmiot przetwarzający);
• Ocenę możliwości ponownego użycia danych osobowych i sprawdzenie legalności tego użycia;
• Zaplanowanie i przeprowadzenie Data Protection Impact Assessment (DPIA) tam, gdzie jest to wymagane (w Polsce te wymagania określa Komunikat PUODO w Monitorze Polskim);
• Uwzględnienie bezpieczeństwa systemu i danych w trakcie projektowania i treningu;
• Sprawdzenie, czy model będzie musiał podlegać RODO, np. z tego powodu, że „zapamiętuje” dane treningowe;

CNIL opublikował też „Development of AI Systems: What should be checked?” — praktyczny spis punktów, które należy sprawdzić żeby rozwijany system AI uwzględniał ochronę danych osobowych i pozostawał legalny w świetle RODO.