Ca specialist în protecția datelor, guvernanța lor și guvernanța inteligenței artificiale, fiind implicat în proiecte cu peste 250 de clienți din lumea întreagă, având niște certificări de la Maastricht European Centre on Privacy and Cybersecurity (ECPC), Universitatea din Maastricht, Facultatea de Drept, plus fiind student doctorand la Universitatea Națională de Știință și Tehnologie Politehnica București cu o lucrare în domeniul eticii AI, și altele (veți vedea către final de ce îmi încordez mușchii), mă amuză când tot aud „Europa supra-reglementează în timp ce Statele Unite și China inovează”. Fiindcă știu ce legislații există în aceste țări – de exemplu, în China, dacă folosești AI în postări sau în orice, trebuie să spui explicit acest lucru. Nu ți-e bine când încalci legea. Vrei să prelucrezi datele cetățenilor chinezi? Hehe, succes la depus cererea în cantonul din care vrei să prelucrezi datele, în limba chineză, la ghișeu.
Da, dar Statele Unite…
Statele Unite, în 2024, aveau peste 82 de acte normative – pentru susținerea AI, suport financiar, guvernanță și reglementări. La guvernanță și reglementări – aia unde Europa este acuzată că reglementează – există 58 de acte normative, versus 45 în Europa. „Cum, nu știați?” – vorba lui Funar, că în curând revine și ăsta în politică.
Acordul de liber schimb de date Privacy Shield dintre Europa și Statele Unite a fost declarat ilegal de Curtea de Justiție a Uniunii Europene, din cauza unor legi extrem de dure din Statele Unite, ce permit serviciilor americane să obțină date personale aflate pe servere ale unor companii americane, indiferent unde s-ar afla. Mai mult, acele persoane uneori nici nu pot fi înștiințate. Pentru curioși, avem așa:
- FISA 702 – Foreign Intelligence Surveillance Act.
- Executive Order 12333–United States intelligence activities – ăsta este de pe vremea lui Reagan, din 1981.
- Presidential Policy Directive – Signals Intelligence Activities (PPD-28), din 2014 (da, Obama), înlocuită cu Executive Order 14086 (Enhancing Safeguards for United States Signals Intelligence Activities), din 2022 – asta a permis semnarea noului acord de schimb de date personale între UE și Statele Unite, pentru companiile din platforma Data Privacy Framework.
- U.S. CLOUD Act (Clarifying Lawful Overseas Use of Data Act) – 2018, onor dl Trump.
Și acestea sunt doar pe date, da? Pe AI lucrurile se complică…
Statele Unite permit guvernului american, aflat sub controlul direct al Președintelui, să interzică exportul unor tehnologii americane considerate a fi „esențiale”. În timp ce în Europa o asemenea decizie ar trece prin câteva filtre, în Statele Unite poate fi pusă în practică în 90 minute. Ceea ce s-a și întâmplat în cazul Anthropic.
Nu am să intru în detaliile tehnice, că nu s-au înțeles, cine și ce a zis, bla bla. Că ce-o să se mai bată Anthropic cu guvernul american și că ce o să-i facă. Prea multe, până când nu „limitează” puterile celor două tehnologii – Fable 5 și Mythos 5 – nu se vor întâmpla.
Există și alte complicații, ce țin de patente, de „indemnification” (dacă tu, ca client al firmei X, ești dat în judecată pentru un patent al firmei Y pe care X l-a băgat în produsul folosit de tine, fiindcă Y consideră că X a încălcat patentul – plătești și tu, dacă nu ai „indemnification”), de responsabilități, legi locale, drepturi de autor și așa mai departe.
Cum se traduce asta pentru clienții europeni ai firmelor americane?
Unul dintre aspectele asupra cărora insist este conceptul de GUVERNANȚĂ. Modus operandi documentat, analiza tuturor proceselor de business, a riscurilor, gestiunea schimbărilor și așa mai departe. Inclusiv analiza riscurilor legale – legi pe care o companie le-ar putea încălca și riscuri comerciale – ce pot suferi clienții acestor firme dacă se întâmplă ceva. În zona de cybersecurity, unul dintre cele mai importante aspecte – reglementat de DORA sau de NIS2 – este TPRM – Third Party Risk Management. Tu trebuie să te asiguri că furnizorii tăi au suficiente garanții de securitate cibernetică, bazate pe dovezi, nu pe declarații.
TPRM nu se aplică doar în cybersecurity ci și în business… ce te faci când tu pui o garanție de bună execuție, cu garantarea termenelor de livrare, și unul dintre furnizorii tăi dispare? Sau nu poate livra? Aceste riscuri trebuie adresate, identificate planuri de reducere a riscurilor, planuri B – adică alți furnizori.
Pe scurt, firmele europene sunt foarte expuse prejudiciilor comerciale aduse de astfel de decizii politice sau legale din Statele Unite. Gândiți-vă la companiile care au apucat să pună servicii peste Fable/Mythos, eventual le-au și vândut clienților și acum se trezesc cu probleme comerciale mari – daune, pierderea clienților etc; și nu, nu merge cu șmecheria românească „îi fac eu din vorbe”; în caz de ceva, clauzele cu penalități se execută imediat.
Și totuși, cum reducem riscurile?
În primul rând, trebuie înțelese riscurile. Toate tehnologiile „rachetă” – Anthropic, OpenAI, Meta AI, Grok etc – au probleme de „guvernanță”. Clauzele lor contractuale permit multe chestii și sunt făcute strict în avantajul acestor companii. Ceea ce înseamnă că dacă se întâmplă buba, tu ca client al lor și furnizor de servicii sau produse pentru alții, ești în cucu gol.
De exemplu, PocketOS a rămas fără baza de date din Anthropic. I-a șters-o Claude. Belo, o companie din State, a rămas fără acces la agenții săi din Claude, fiindcă Anthropic le-a revocat accesul peste noapte, invocând activitate suspectă în cont. Știți ce înseamnă să rămâi fără furnizor și fără back-up? Bani pierduți, procese și eventual și amenzi GDPR (datele ce nu pot fi accesate de clienții tăi).
Există aici câteva metode de reducere a riscurilor:
- Termen scurt: furnizori de tehnologii AI ce au clauze de penalități în caz de probleme cu modelele sau cu disponibilitatea resurselor.
- Termen mediu: furnizori europeni.
- Termen lung: „creșterea” unor modele AI bazate pe instanțe virtualizate în cloud sau pe mașini dedicate. Și aici este pariul meu: nu ai nevoie de modele cu jdemiliarde de parametrii ca să-ți revoluționeze business-ul.
Moment publicitar: AI on-prem.
M-am jucat câteva zile cu un supercomputer ASUS GX-10. Este o bestie ce-ți poate rula o serie de sisteme „grele” AI. Dar mai avem NVIDIA DGX, foarte similar. Mac Studio, ce probabil curând va „primi” un update cu procesoarele M5 Max.
Important: investiția în aceste tehnologii este finanțabilă cu fonduri europene. Clienții mei deja accesează astfel de fonduri pentru achiziția unor supercomputere și pentru dezvoltarea unor modele puternice pentru clienții lor.
Și totuși… what’s next?
Reîntoarcerea la masa de proiectare. Serios. Revizuirea tuturor proceselor interne, a guvernanței datelor, a guvernanței AI. Știi că prin simpla revizuire a proceselor de business – poți reduce costurile cu 15-20%, fără să bagi nicio tehnologie?
Înainte de a hotărî ce AI vrei, repară-ți procesele, curăță-ți datele. Toate acestea le discutăm la partea de workshop-uri de discovery. Apropo, aveți ceva gratuit, pentru puțin timp: AI Maturity Index Report. Nu va fi gratuit.
Și un cuvânt de final: nu mai reinventați roata! O companie americană a tăiat accesul la tehnologii și multe companii au fost prinse cu chiloții-n vine. Nu este prima dată, nu va fi ultima dată. Plan B, testat, implementat, gata de execuție. Există standarde pentru așa ceva, există BCP – Business Continuity Plan.
De ce mi-am încordat mușchii: fiindcă dacă veniți să-mi spuneți ce minunate sunt Statele Unite și ce nașpa este Europa, trebuie să veniți cu argumente concrete, cum am venit și eu. Atât.
Let’s do this!
