I lavoratori continuano a divulgare informazioni proprietarie ai sistemi di intelligenza artificiale, oltre al recupero
Nel mondo in rapido sviluppo dell'intelligenza artificiale (AI), il rispetto delle normative sulla protezione dei dati sta diventando una sfida significativa per le organizzazioni in vari settori.
Uno dei problemi chiave risiede nell'uso dell'AI ombra, un termine coniato per descrivere i sistemi AI non ufficialmente approvati da un'organizzazione. Il HIPAA, il Health Insurance Portability and Accountability Act, richiede trail di audit per l'accesso alle informazioni dei pazienti. Tuttavia, la natura clandestina dell'AI ombra rende impossibile mantenere questi trail necessari, ponendo un rischio significativo per la privacy dei pazienti.
In modo simile, il Regolamento Generale sulla Protezione dei Dati (GDPR) richiede registri di tutte le attività di elaborazione. Tuttavia, le organizzazioni trovano difficile tracciare ciò che i dipendenti caricano sui chatbot, un'altra forma di AI ombra, ulteriormente complicando gli sforzi di conformità.
Mentre l'Europa si prepara per il voto coordinato sotto la legislazione dell'UE sulla protezione dei dati, un'ampia gamma di compagnie e istituzioni, comprese le manifatturiere industriali, i fornitori di servizi IT, le compagnie commerciali e di servizi, si stanno preparando per conformarsi al Data Act dell'UE e all'Act dell'UE sull'IA, che entreranno in vigore nel 2025. I fornitori di cure e le compagnie coinvolte nella regolamentazione dello Spazio dei Dati Sanitari Europei (EHDS) stanno allineando le loro strutture e processi con le nuove regole di governance dei dati che riguardano l'uso secondario dei dati sanitari. I governi nazionali stanno prendendo misure per coordinare le loro posizioni a livello UE, con bozze di gabinetto che vengono preparate prima dei voti a Bruxelles.
Per i Chief Information Security Officers (CISOs), il controllo tecnico è fondamentale. Si stanno concentrando sul bloccare i caricamenti dei dati sensibili e sull'analizzare il contenuto prima che raggiunga le piattaforme AI. Tuttavia, le compagnie finanziarie e pubbliche affrontano gli stessi problemi con SOX e i controlli correlati.
Un trend preoccupante è che la maggior parte delle compagnie non è in grado di rispondere a domande basilari come quali strumenti AI conservano i dati dei clienti o come eliminarli se un regolatore lo richiede. Questa mancanza di trasparenza è una preoccupazione che i regolatori non stanno ignorando. Le multe per la non conformità stanno essendo emesse, sottolineando l'urgenza di affrontare questi problemi.
Patrick Spencer, VP di Marketing e Ricerca di Kiteworks, ha dichiarato in modo appropriato, "Le organizzazioni non possono proteggere ciò che non possono vedere". La visibilità sull'uso dell'AI all'interno di un'organizzazione è cruciale per mantenere la conformità.
L'addestramento dei dipendenti è importante, ma non può stare da solo. Un approccio completo che include controlli tecnici, trasparenza e istruzione dei dipendenti è necessario per navigare il paesaggio complesso della conformità dell'AI. Con il numero di normative sull'AI che continua a crescere - le agenzie degli Stati Uniti hanno emanato 59 nuove normative sull'AI nel 2024, più del doppio dell'anno precedente - la necessità di un approccio proattivo e olistico alla conformità dell'AI diventa sempre più urgente.
Ogni prompt dei dipendenti a un chatbot potrebbe potenzialmente diventare un fallimento della conformità senza visibilità. Pertanto, le organizzazioni devono prioritizzare la trasparenza e i controlli tecnici per garantire che non solo si conformino alle normative, ma proteggano anche i dati dei loro clienti.
Leggi anche:
- L' IAA in difficoltà cerca clienti in tempi difficili
- Vietnam co-capogruppo della risoluzione dell'Assemblea generale delle Nazioni Unite su un vertice di emergenza sulla preparazione alle pandemie
- Iniziativa: Capilene 4 Pro con cerniera da Patagonia
- I texani invitati a definire le priorità future dell'assistenza sanitaria rurale
