Τέσσερα κενά συμμόρφωσης σε ένα AI SaaS, εντοπισμένα πριν από το launch

Το briofy είναι ένα AI SaaS που αναπτύχθηκε εσωτερικά και παράγει λεζάντες για τα social από φωτογραφίες και βίντεο, προγραμματίζοντας παράλληλα τις δημοσιεύσεις. Πριν από το launch έτρεξε πάνω του ένα Tier-1 AI governance audit, με το ίδιο ακριβώς πλαίσιο που εφαρμόζεται και στους πελάτες, και εντοπίστηκαν τέσσερα κρίσιμα κενά.

Τα τέσσερα κενά

Το πρώτο ήταν η παντελής απουσία δήλωσης AI. Ο EU AI Act (Άρθρο 50) απαιτεί ο χρήστης να γνωρίζει ότι αλληλεπιδρά με περιεχόμενο παραγόμενο από AI, και εδώ δεν υπήρχε τίποτα, ούτε ετικέτα ούτε disclaimer. Το δεύτερο ήταν η έλλειψη DPA με τον πάροχο cloud : αφού αποθηκεύονται στο cloud φωτογραφίες και βίντεο χρηστών, χωρίς υπογεγραμμένο Data Processing Agreement η αποθήκευση αυτή δεν είναι σύμφωνη με την GDPR, όσο προσεκτικός κι αν είσαι κατά τα άλλα. Το τρίτο ήταν η απουσία αξιολόγησης GDPR για φωτογραφίες που απεικονίζουν πρόσωπα, καθώς οι χρήστες ανεβάζουν εικόνες με αναγνωρίσιμα άτομα που δεν είναι οι ίδιοι, κάτι που δεν είχε αξιολογηθεί ποτέ επίσημα. Και το τέταρτο ήταν η έλλειψη ρήτρας στους όρους χρήσης για τη συναίνεση τρίτων : αν κάποιος ανεβάσει φωτογραφία με το πρόσωπο άλλου, δεν υπάρχει καμία συμβατική προστασία, και οι όροι οφείλουν να ξεκαθαρίζουν ότι ο χρήστης φέρει την ευθύνη να έχει εξασφαλίσει αυτή τη συναίνεση.

Το μάθημα

Κανένα από αυτά τα κενά δεν είναι πρόβλημα κώδικα· είναι ζήτημα paperwork, δουλειά εβδομάδων και όχι μηνών, και το σημαντικό είναι ότι εντοπίστηκαν προτού επηρεαστεί κανένας πελάτης. Το άβολο συμπέρασμα είναι ότι, ακόμη κι όταν ξέρεις ένα προϊόν καλύτερα από τον καθένα, αυτά τα κενά δεν σου έρχονται στο μυαλό μέχρι να σε ρωτήσει κάποιος. Γι' αυτόν ακριβώς τον λόγο υπάρχουν οι σωστές ερωτήσεις : κάποιος πρέπει να τις κάνει, κι αυτή είναι ολόκληρη η δουλειά.