EU AI Act এবং Guest WiFi: বিপণনকারীদের যা জানা দরকার
EU AI Act (Regulation 2024/1689) একটি ঝুঁকি-ভিত্তিক কাঠামো প্রবর্তন করেছে যা ভেন্যু অপারেটররা কীভাবে AI-চালিত WiFi বিপণন, captive portals এবং গেস্ট অ্যানালিটিক্স স্থাপন করে তার উপর সরাসরি প্রভাব ফেলে। এই নির্দেশিকাটি আইনের চারটি ঝুঁকির স্তরকে বাস্তব-বিশ্বের Guest WiFi ব্যবহারের ক্ষেত্রে ম্যাপ করে, আবেগ অনুমান (emotion inference) এবং সামাজিক স্কোরিং (social scoring) সহ নিষিদ্ধ অনুশীলনগুলি চিহ্নিত করে এবং আতিথেয়তা, খুচরা, ইভেন্ট এবং পাবলিক-সেক্টর পরিবেশে কর্মরত আইটি দল এবং বিপণন পরিচালকদের জন্য কার্যকর সম্মতিমূলক পদক্ষেপ সরবরাহ করে। আপনার স্থাপন (deployment) ঝুঁকির স্পেকট্রামের কোথায় অবস্থিত — এবং AI চ্যাটবট এবং কথোপকথনমূলক পোর্টালগুলির জন্য Article 50 স্বচ্ছতা বাধ্যবাধকতাগুলি বাস্তবায়ন করা — এখন আর ঐচ্ছিক নয়: নিষিদ্ধ অনুশীলন প্রয়োগ 2025 সালের ফেব্রুয়ারিতে শুরু হয়েছে।
🎧 এই গাইডটি শুনুন
ট্রান্সক্রিপ্ট দেখুন
নির্বাহী সারসংক্ষেপ
EU AI Act (Regulation 2024/1689) হল কৃত্রিম বুদ্ধিমত্তার জন্য বিশ্বের প্রথম ব্যাপক আইনি কাঠামো, এবং এটি সরাসরি ভেন্যু অপারেটররা কীভাবে Guest WiFi পরিকাঠামো জুড়ে AI স্থাপন করে তার উপর প্রযোজ্য। আইনটি AI সিস্টেমগুলিকে চারটি ঝুঁকির স্তরে শ্রেণীবদ্ধ করে — Prohibited, High Risk, Limited Risk, এবং Minimal Risk — এবং সেই অনুযায়ী সম্মতিমূলক বাধ্যবাধকতা নির্ধারণ করে। বেশিরভাগ আতিথেয়তা এবং খুচরা অপারেটরদের জন্য, তাৎক্ষণিক অপারেশনাল প্রভাব দুটি ক্ষেত্রে পড়ে: প্রথমত, একটি captive portal-এ যেকোনো AI-চালিত কথোপকথনমূলক ইন্টারফেস একটি স্পষ্ট Article 50 স্বচ্ছতা প্রকাশ বহন করে তা নিশ্চিত করা; এবং দ্বিতীয়ত, বিদ্যমান বিপণন স্ট্যাকগুলি নিরীক্ষা করা যাতে নিশ্চিত করা যায় যে তারা আবেগ অনুমান (emotion inference), সামাজিক স্কোরিং (social scoring), বা সংবেদনশীল বৈশিষ্ট্যের উপর ভিত্তি করে বায়োমেট্রিক শ্রেণীকরণ (biometric categorisation) এর মতো নিষিদ্ধ অনুশীলন ব্যবহার করে না।
Article 5 এর অধীনে নিষিদ্ধ অনুশীলন বিধানগুলি 2025 সালের ফেব্রুয়ারিতে কার্যকর হয়। Annex III এর অধীনে উচ্চ-ঝুঁকির সিস্টেমের বাধ্যবাধকতাগুলি 2026 সালের আগস্ট থেকে প্রযোজ্য। নিষিদ্ধ অনুশীলন লঙ্ঘনের জন্য জরিমানা €35 মিলিয়ন বা বিশ্বব্যাপী বার্ষিক টার্নওভারের 7% পর্যন্ত পৌঁছাতে পারে। এই নির্দেশিকাটি আইটি ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং কমপ্লায়েন্স লিডদের জন্য একটি প্রযুক্তিগত রেফারেন্স সরবরাহ করে যাদের এই ত্রৈমাসিকে তাদের বর্তমান স্থাপনগুলি মূল্যায়ন করতে এবং প্রয়োজনীয় পরিবর্তনগুলি বাস্তবায়ন করতে হবে।
প্রযুক্তিগত গভীর-পর্যালোচনা
চার-স্তরীয় ঝুঁকি কাঠামো
EU AI Act AI সিস্টেমগুলিকে মৌলিক অধিকার, নিরাপত্তা এবং গণতান্ত্রিক মূল্যবোধের প্রতি তাদের ঝুঁকির ভিত্তিতে শ্রেণীবদ্ধ করে। এই শ্রেণীকরণ প্রদানকারী (AI সিস্টেমের ডেভেলপার বা বিক্রেতা) এবং স্থাপনকারী (সিস্টেমটি পরিষেবাতে স্থাপনকারী সংস্থা — সাধারণত ভেন্যু অপারেটর বা আইটি দল) উভয়ের জন্য প্রযোজ্য সম্মতিমূলক বাধ্যবাধকতা নির্ধারণ করে।
Guest WiFi এবং ভেন্যু বিপণন প্রসঙ্গে ম্যাপ করা চারটি স্তর নিম্নরূপ:
| ঝুঁকির স্তর | AI Act রেফারেন্স | WiFi বিপণনের উদাহরণ | সম্মতিমূলক বাধ্যবাধকতা |
|---|---|---|---|
| নিষিদ্ধ (Prohibited) | Article 5 | পোর্টাল ইন্টারঅ্যাকশনে আবেগ অনুমান (Emotion inference); অতিথিদের সামাজিক স্কোরিং (social scoring); জাতি/ধর্ম দ্বারা বায়োমেট্রিক শ্রেণীকরণ (biometric categorisation) | তাৎক্ষণিক বন্ধ; কোনো স্থাপন অনুমোদিত নয় |
| উচ্চ ঝুঁকি (High Risk) | Annex III | captive portal-এ বায়োমেট্রিক যাচাইকরণ; অপরিহার্য পরিষেবাগুলিতে অ্যাক্সেসের জন্য AI প্রোফাইলিং | সঙ্গতি মূল্যায়ন, প্রযুক্তিগত ডকুমেন্টেশন, ঝুঁকি ব্যবস্থাপনা সিস্টেম, EU ডেটাবেস নিবন্ধন |
| সীমিত ঝুঁকি (Limited Risk) | Article 50 | captive portals-এ AI চ্যাটবট; জেনারেটিভ AI স্প্ল্যাশ পেজ; আবেগ শনাক্তকরণ সিস্টেম (নিষিদ্ধ নয় এমন প্রসঙ্গে) | ইন্টারঅ্যাকশনের আগে/সময় শেষ ব্যবহারকারীদের কাছে স্বচ্ছতা প্রকাশ |
| ন্যূনতম ঝুঁকি (Minimal Risk) | কোনো নির্দিষ্ট বাধ্যবাধকতা নেই | সামগ্রিক ফুটফল অ্যানালিটিক্স; ডওয়েল-টাইম হিটম্যাপ; নিয়ম-ভিত্তিক ব্যক্তিগতকরণ; ব্যান্ডউইথ অপ্টিমাইজেশন AI | কোনো AI Act-নির্দিষ্ট বাধ্যবাধকতা নেই (GDPR এখনও প্রযোজ্য) |
Article 5 এর অধীনে নিষিদ্ধ অনুশীলনসমূহ
AI Act এর Article 5 নিষিদ্ধ AI অনুশীলনের আটটি বিভাগ সংজ্ঞায়িত করে। এর মধ্যে তিনটি ভেন্যু WiFi বিপণন স্থাপনার সাথে সরাসরি প্রাসঙ্গিক।
ম্যানিপুলেটিভ এবং প্রতারণামূলক কৌশল (Manipulative and Deceptive Techniques)। আইনটি এমন AI সিস্টেমগুলিকে নিষিদ্ধ করে যা একজন ব্যক্তির আচরণকে বিকৃত করতে এবং তাদের একটি অবহিত সিদ্ধান্ত নেওয়ার ক্ষমতাকে ব্যাহত করতে অবচেতন, ম্যানিপুলেটিভ বা প্রতারণামূলক কৌশল ব্যবহার করে, যেখানে এটি উল্লেখযোগ্য ক্ষতির কারণ হয় বা হওয়ার সম্ভাবনা থাকে। একটি WiFi বিপণন প্রসঙ্গে, এটি এমন সিস্টেমগুলিকে লক্ষ্য করে যা captive portal-এ ক্যাপচার করা আচরণগত সংকেত — ক্লিক দ্বিধা, স্ক্রোল প্যাটার্ন, পৃষ্ঠায় ব্যয় করা সময় — ব্যবহার করে মনস্তাত্ত্বিক দুর্বলতা অনুমান করতে এবং ম্যানিপুলেটিভ অফার পরিবেশন করতে। মূল থ্রেশহোল্ড হল উল্লেখযোগ্য ক্ষতি; নিয়ন্ত্রকরা এটি প্রাসঙ্গিকভাবে মূল্যায়ন করবে, তবে নীতিটি স্পষ্ট: AI-চালিত প্ররোচনা যা যৌক্তিক কার্যকারিতাকে বাইপাস করে তা আওতার বাইরে।
সামাজিক স্কোরিং (Social Scoring)। আইনটি এমন AI সিস্টেমগুলিকে নিষিদ্ধ করে যা ব্যক্তিদের তাদের সামাজিক আচরণ বা ব্যক্তিগত বৈশিষ্ট্যের ভিত্তিতে মূল্যায়ন বা শ্রেণীবদ্ধ করে, যেখানে এটি ক্ষতিকারক বা প্রতিকূল আচরণের দিকে পরিচালিত করে। একটি WiFi লয়্যালটি সিস্টেম যা একটি AI মডেল ব্যবহার করে আচরণগত প্যাটার্নের উপর ভিত্তি করে অতিথিদের স্কোর করে — পরিদর্শনের ফ্রিকোয়েন্সি, ডওয়েল টাইম, ক্রয়ের সংকেত — এবং তারপর কম স্কোরিং অতিথিদের জন্য অ্যাক্সেসের গতি সীমাবদ্ধ করে বা অফার আটকে রাখে, তা এই নিষেধাজ্ঞার আওতায় পড়বে। অনুমোদিত ব্যক্তিগতকরণ এবং নিষিদ্ধ সামাজিক স্কোরিংয়ের মধ্যে পার্থক্য নিহিত রয়েছে যে AI শ্রেণীকরণ ক্ষতিকারক আচরণ তৈরি করে কিনা: একজন প্রিমিয়াম অতিথিকে একটি ভালো অফার দেওয়া ব্যক্তিগতকরণ; কম স্কোরিং অতিথিকে পরিষেবাগুলিতে অ্যাক্সেস অস্বীকার করা সামাজিক স্কোরিং।
সংবেদনশীল বৈশিষ্ট্যের বায়োমেট্রিক শ্রেণীকরণ (Biometric Categorisation of Sensitive Attributes)। আইনটি এমন AI সিস্টেমগুলিকে নিষিদ্ধ করে যা বায়োমেট্রিক ডেটা ব্যবহার করে জাতি, রাজনৈতিক মতামত, ট্রেড ইউনিয়ন সদস্যপদ, ধর্মীয় বা দার্শনিক বিশ্বাস, যৌন জীবন বা যৌন অভিমুখিতা সহ সংবেদনশীল বৈশিষ্ট্যগুলি অনুমান করতে। এটি বিশেষত WiFi ডেটার পাশাপাশি ক্যামেরা-ভিত্তিক অ্যানালিটিক্স ব্যবহারকারী ভেন্যুগুলির জন্য প্রাসঙ্গিক। যদি একটি AI সিস্টেম ভিজ্যুয়াল অ্যানালিটিক্সের সাথে ডিভাইস MAC address ডেটা ক্রস-রেফারেন্স করে জাতিসত্তা অনুমান করতে এবং সেই অনুযায়ী বিষয়বস্তু ব্যক্তিগতকৃত করতে, তবে এটি একটি সরাসরি Article 5 লঙ্ঘন। বায়োমেট্রিক ডেটা রিয়েল টাইমে বা ব্যাচে প্রক্রিয়া করা হোক না কেন এই নিষেধাজ্ঞা প্রযোজ্য।
আবেগ অনুমান — আওতা স্পষ্টীকরণ (Emotion Inference — Scope Clarification)। আইনটি কর্মক্ষেত্র এবং শিক্ষা প্রতিষ্ঠানে আবেগ অনুমান নিষিদ্ধ করে। এই নিষেধাজ্ঞা স্বয়ংক্রিয়ভাবে অতিথিদের ক্ষেত্রে খুচরা ভেন্যু, হোটেল বা স্টেডিয়ামগুলিতে প্রসারিত হয় না। তবে, যদি আপনার ভেন্যু একটি কর্মক্ষেত্রও হয় — একটি কর্পোরেট ক্যাম্পাস, একটি কো-ওয়ার্কিং স্পেস, একটি হাসপাতাল — এবং আপনি Guest WiFi-এর সাথে সংযুক্ত কর্মচারীদের উপর আবেগ অনুমান ব্যবহার করেন, তবে তা নিষিদ্ধ। ভেন্যু অপারেটরদের আবেগ অনুমানের নিষেধাজ্ঞা প্রযোজ্য নয় বলে ধরে নেওয়ার আগে তাদের ব্যবহারকারী জনসংখ্যা সাবধানে ম্যাপ করা উচিত।
Annex III এর অধীনে উচ্চ-ঝুঁকির সিস্টেমসমূহ
আইনের Annex III এমন ব্যবহারের ক্ষেত্রগুলির তালিকা করে যা শ্রেণীবদ্ধ করা হয়েছে উচ্চ-ঝুঁকিপূর্ণ হিসাবে। গেস্ট WiFi স্থাপনার জন্য, দুটি বিভাগ সরাসরি প্রাসঙ্গিক।
প্রথমত, বায়োমেট্রিক সিস্টেম: দূরবর্তী বায়োমেট্রিক শনাক্তকরণ সিস্টেম (সাধারণ বায়োমেট্রিক যাচাইকরণ ব্যতীত যা একজন ব্যক্তি দাবি করে যে সে কে তা নিশ্চিত করে) এবং সংবেদনশীল বা সুরক্ষিত বৈশিষ্ট্য অনুমানকারী বায়োমেট্রিক শ্রেণীকরণ সিস্টেমগুলি উচ্চ-ঝুঁকিপূর্ণ। যদি আপনার captive portal ফিরে আসা অতিথিদের প্রমাণীকরণের জন্য ফেসিয়াল রিকগনিশন ব্যবহার করে, তবে সেই সিস্টেমটির জন্য একটি সম্পূর্ণ সঙ্গতি মূল্যায়ন, প্রযুক্তিগত ডকুমেন্টেশন, সিস্টেমের জীবনচক্র জুড়ে একটি ঝুঁকি ব্যবস্থাপনা সিস্টেম এবং EU AI Act ডেটাবেসে নিবন্ধন প্রয়োজন।
দ্বিতীয়ত, ব্যক্তিগত প্রোফাইলিং: Annex III-এর অধীনে তালিকাভুক্ত যেকোনো AI সিস্টেম সর্বদা উচ্চ-ঝুঁকিপূর্ণ হিসাবে বিবেচিত হয় যদি এটি ব্যক্তিদের প্রোফাইল করে — যা একজন ব্যক্তির জীবনের দিকগুলি যেমন পছন্দ, আগ্রহ, আচরণ এবং অবস্থান বা গতিবিধি মূল্যায়নের জন্য ব্যক্তিগত ডেটার স্বয়ংক্রিয় প্রক্রিয়াকরণ হিসাবে সংজ্ঞায়িত করা হয়। এটি এমন বিধান যা WiFi Analytics প্ল্যাটফর্মগুলিকে ধরার সম্ভাবনা সবচেয়ে বেশি, যা স্বয়ংক্রিয় বিপণন সিদ্ধান্তে ব্যবহৃত স্থায়ী ব্যক্তিগত প্রোফাইল তৈরি করে। মূল প্রশ্ন হল, AI সিস্টেমটি প্রোফাইল করা বৈশিষ্ট্যের ভিত্তিতে ব্যক্তিগত অতিথিদের সম্পর্কে স্বয়ংক্রিয় সিদ্ধান্ত নেয় বা সেগুলিকে উল্লেখযোগ্যভাবে প্রভাবিত করে কিনা।
ধারা ৫০ স্বচ্ছতা বাধ্যবাধকতা — তাৎক্ষণিক অগ্রাধিকার
আজকের বেশিরভাগ ভেন্যু অপারেটরদের জন্য, ধারা ৫০ হল সবচেয়ে কার্যকরী প্রাসঙ্গিক বিধান। এটি তিনটি পরিস্থিতি কভার করে:
কথোপকথনমূলক AI সিস্টেম (ধারা ৫০(১)): প্রদানকারীদের অবশ্যই নিশ্চিত করতে হবে যে প্রাকৃতিক ব্যক্তিদের সাথে ইন্টারঅ্যাক্ট করার উদ্দেশ্যে তৈরি AI সিস্টেমগুলি এমনভাবে ডিজাইন করা হয়েছে যাতে সেই ব্যক্তিরা জানতে পারেন যে তারা একটি AI সিস্টেমের সাথে ইন্টারঅ্যাক্ট করছেন, যদি না এটি প্রসঙ্গ থেকে স্পষ্ট হয়। স্থাপনকারীদের অবশ্যই নিশ্চিত করতে হবে যে এই প্রকাশটি বিদ্যমান। এটি একটি captive portal-এ স্থাপন করা যেকোনো AI chatbot-এর ক্ষেত্রে প্রযোজ্য — তা গেস্ট পরিষেবা, হোটেল চেক-ইন সহায়তা, ভেন্যু নেভিগেশন, বা বিপণন জিজ্ঞাসার জন্যই হোক।
আবেগ শনাক্তকরণ এবং বায়োমেট্রিক শ্রেণীকরণ (ধারা ৫০(৩)): আবেগ শনাক্তকরণ সিস্টেম বা বায়োমেট্রিক শ্রেণীকরণ সিস্টেম স্থাপনকারীদের অবশ্যই সেই সিস্টেমগুলির সংস্পর্শে আসা প্রাকৃতিক ব্যক্তিদের অবহিত করতে হবে। এটি chatbot প্রকাশের থেকে একটি পৃথক বাধ্যবাধকতা এবং সিস্টেমটি নিষিদ্ধ না হলেও প্রযোজ্য।
সিন্থেটিক কন্টেন্ট (ধারা ৫০(৪)): সিন্থেটিক অডিও, ছবি, ভিডিও, বা টেক্সট কন্টেন্ট তৈরি করা AI সিস্টেমগুলিকে অবশ্যই সেই কন্টেন্টকে AI-জেনারেটেড হিসাবে চিহ্নিত করতে হবে। যদি আপনার captive portal ব্যক্তিগতকৃত স্বাগত বার্তা বা প্রচারমূলক কপি তৈরি করতে জেনারেটিভ AI ব্যবহার করে, তবে সেই কন্টেন্টকে লেবেল করতে হবে।
AI Act এবং GDPR: একটি স্তূপীকৃত সম্মতি কাঠামো
AI Act GDPR-কে প্রতিস্থাপন করে না; এটি সমান্তরালভাবে কাজ করে। ভেন্যু অপারেটরদের জন্য, এর অর্থ হল উভয় কাঠামোর সম্মতি বাধ্যবাধকতা AI-চালিত WiFi বিপণন স্থাপনার ক্ষেত্রে একই সাথে প্রযোজ্য।
GDPR-এর অধীনে, AI-চালিত WiFi বিপণনের জন্য প্রাসঙ্গিক বিধানগুলির মধ্যে রয়েছে: ধারা ৬ (প্রক্রিয়াকরণের আইনি ভিত্তি), ধারা ৯ (বিশেষ শ্রেণীর ডেটা — বায়োমেট্রিক ডেটা প্রক্রিয়াকরণ করা হলে প্রাসঙ্গিক), ধারা ১৩/১৪ (গোপনীয়তা বিজ্ঞপ্তিতে স্বচ্ছতা বাধ্যবাধকতা), ধারা ২২ (স্বয়ংক্রিয় ব্যক্তিগত সিদ্ধান্ত গ্রহণের উপর বিধিনিষেধ), এবং ধারা ৩৫ (উচ্চ-ঝুঁকিপূর্ণ প্রক্রিয়াকরণের জন্য ডেটা সুরক্ষা প্রভাব মূল্যায়ন)।
AI Act যোগ করে: ধারা ৫ (নিষিদ্ধ অনুশীলন সম্মতি), ধারা ৫০ (AI ইন্টারঅ্যাকশনের সময় স্বচ্ছতা প্রকাশ), এবং — উচ্চ-ঝুঁকিপূর্ণ সিস্টেমগুলির জন্য — ধারা ৮-১৭ (ঝুঁকি ব্যবস্থাপনা, প্রযুক্তিগত ডকুমেন্টেশন, সঙ্গতি মূল্যায়ন, নিবন্ধন)।
যেখানে GDPR উচ্চ-ঝুঁকিপূর্ণ ডেটা প্রক্রিয়াকরণের জন্য একটি DPIA প্রয়োজন, সেখানে AI Act উচ্চ-ঝুঁকিপূর্ণ AI সিস্টেমগুলির জন্য একটি ঝুঁকি ব্যবস্থাপনা সিস্টেমের প্রয়োজন। এগুলি সারিবদ্ধ করা যেতে পারে এবং করা উচিত: ডেটা প্রক্রিয়াকরণের ঝুঁকি (GDPR) এবং AI সিস্টেমের ঝুঁকি (AI Act) উভয়কে কভার করে একটি একক সমন্বিত মূল্যায়ন আরও কার্যকর এবং নিয়ন্ত্রকদের কাছে একটি পরিপক্ক শাসন ভঙ্গি প্রদর্শন করে।
GDPR ধারা ২২ AI-চালিত captive portal-এর জন্য বিশেষভাবে প্রাসঙ্গিক। এটি সম্পূর্ণরূপে স্বয়ংক্রিয় সিদ্ধান্ত গ্রহণকে সীমাবদ্ধ করে যা ব্যক্তিদের উপর আইনি বা অনুরূপ উল্লেখযোগ্য প্রভাব ফেলে। যদি আপনার AI সিস্টেম মানুষের তত্ত্বাবধান ছাড়াই WiFi অ্যাক্সেস স্তর, প্রচারমূলক যোগ্যতা, বা পরিষেবার গুণমান সম্পর্কে স্বয়ংক্রিয় সিদ্ধান্ত নেয়, তবে আপনাকে মূল্যায়ন করতে হবে যে ধারা ২২ প্রযোজ্য কিনা এবং আপনাকে অতিথিদের মানব পর্যালোচনার অনুরোধ করার অধিকার প্রদান করতে হবে কিনা।
বাস্তবায়ন নির্দেশিকা
ধাপ ১: আপনার AI ইনভেন্টরি তৈরি করুন
আপনি সম্মতি মূল্যায়ন করার আগে, আপনার WiFi বিপণন স্ট্যাকের প্রতিটি AI সিস্টেমের একটি সম্পূর্ণ চিত্র প্রয়োজন। এর অর্থ হল আপনার নিজস্ব স্থাপনার বাইরে গিয়ে তৃতীয় পক্ষের প্ল্যাটফর্মগুলিতে এম্বেড করা AI উপাদানগুলি অন্তর্ভুক্ত করা — বিপণন অটোমেশন সরঞ্জাম, অ্যানালিটিক্স ড্যাশবোর্ড, captive portal বিক্রেতা এবং CRM ইন্টিগ্রেশন।
প্রতিটি সিস্টেমের জন্য, নথিভুক্ত করুন: সিস্টেমের কার্যকারিতা; এটি যে ডেটা প্রক্রিয়া করে; প্রদানকারী এবং যেকোনো উপ-প্রসেসর; AI Act-এর অধীনে ঝুঁকির স্তর; এবং প্রযোজ্য সম্মতি বাধ্যবাধকতা। এই ইনভেন্টরি আপনার AI Act সম্মতি অবস্থানের ভিত্তি এবং নিয়ন্ত্রকরা যথাযথ পরিশ্রমের প্রমাণ চাইলে এটি প্রয়োজন হবে।
ধাপ ২: ঝুঁকির স্তরগুলির বিরুদ্ধে প্রতিটি সিস্টেমকে শ্রেণীবদ্ধ করুন
আপনার ইনভেন্টরির প্রতিটি সিস্টেমে চার-স্তরীয় কাঠামো প্রয়োগ করুন। শ্রেণীকরণ প্রশ্নগুলি হল:
- সিস্টেমটি কি ধারা ৫-এ তালিকাভুক্ত কোনো অনুশীলন ব্যবহার করে? যদি হ্যাঁ হয়, তবে এটি নিষিদ্ধ — স্থাপন বন্ধ করুন।
- সিস্টেমটি কি বায়োমেট্রিক যাচাইকরণ, পরিষেবাগুলিতে অ্যাক্সেসের জন্য ব্যক্তিগত প্রোফাইলিং, বা অন্য কোনো Annex III ব্যবহারের ক্ষেত্রে ব্যবহৃত হয়? যদি হ্যাঁ হয়, তবে এটি উচ্চ-ঝুঁকিপূর্ণ — সঙ্গতি মূল্যায়ন পরিকল্পনা শুরু করুন।
- সিস্টেমটি কি প্রাকৃতিক ব্যক্তিদের সাথে কথোপকথনমূলকভাবে ইন্টারঅ্যাক্ট করে, সিন্থেটিক কন্টেন্ট তৈরি করে, বা আবেগ শনাক্তকরণ করে? যদি হ্যাঁ হয়, তবে এটি সীমিত-ঝুঁকিপূর্ণ — ধারা ৫০ প্রকাশগুলি বাস্তবায়ন করুন।
- উপরের কোনটিই নয়? এটি ন্যূনতম-ঝুঁকিপূর্ণ — AI Act-নির্দিষ্ট কোনো বাধ্যবাধকতা নেই, তবে GDPR সম্মতি বাধ্যতামূলক থাকে।
ধাপ ৩: ধারা ৫০ প্রকাশগুলি বাস্তবায়ন করুন
আপনার captive portal-এ যেকোনো AI chatbot বা কথোপকথনমূলক ইন্টারফেসের জন্য, t-এর আগে একটি স্পষ্ট প্রকাশ বাস্তবায়ন করুনকথোপকথন শুরু হয়। এই প্রকাশটি অবশ্যই সুস্পষ্ট হতে হবে — নিহিত নয়, শর্তাবলীতে লুকানো নয়। সেশনের শুরুতে একটি সাধারণ UI উপাদান যা বলে যে "আপনি একটি AI সহকারীর সাথে চ্যাট করছেন" এই বাধ্যবাধকতা পূরণ করে। এটি একটি ফ্রন্ট-এন্ড পরিবর্তন, একটি সিস্টেম পুনর্গঠন নয়, এবং একটি একক স্প্রিন্টের মধ্যে স্থাপনযোগ্য হওয়া উচিত।
আপনার ভেন্যুতে পরিচালিত ইমোশন রিকগনিশন সিস্টেমের জন্য (যেখানে নিষিদ্ধ নয়), অপারেশনাল এলাকায় একটি দৃশ্যমান নোটিশ যোগ করুন যা অতিথিদের জানায় যে একটি ইমোশন রিকগনিশন সিস্টেম ব্যবহার করা হচ্ছে।
ধাপ ৪: ভেন্ডর সাব-প্রসেসর চুক্তি পর্যালোচনা করুন
ডিপ্লয়ার হিসাবে, আপনার ভেন্ডরদের দ্বারা ব্যবহৃত নিষিদ্ধ অনুশীলনের জন্য আপনি দায়বদ্ধতা ভাগ করে নেন। আপনার চুক্তিগুলি WiFi মার্কেটিং প্ল্যাটফর্ম প্রদানকারী, অ্যানালিটিক্স ভেন্ডর এবং Captive Portal সরবরাহকারীদের সাথে পর্যালোচনা করুন। তাদের AI Act শ্রেণীবিভাগ এবং সম্মতি সংক্রান্ত ডকুমেন্টেশনের সুস্পষ্ট নিশ্চিতকরণ অনুরোধ করুন। চুক্তিভিত্তিক বিধান যোগ করুন যা ভেন্ডরদের তাদের AI সিস্টেমে যেকোনো পরিবর্তনের বিষয়ে আপনাকে অবহিত করতে বাধ্য করে যা ঝুঁকির শ্রেণীবিভাগকে প্রভাবিত করতে পারে।
ধাপ ৫: GDPR গভর্নেন্সের সাথে সারিবদ্ধ হন
আপনার ডেটা প্রোটেকশন অফিসারকে AI Act সম্মতি প্রক্রিয়ায় নিয়ে আসুন। আপনার Record of Processing Activities আপডেট করুন যাতে AI সিস্টেমের শ্রেণীবিভাগ অন্তর্ভুক্ত থাকে। যেখানে উচ্চ-ঝুঁকিপূর্ণ ডেটা প্রক্রিয়াকরণের জন্য GDPR এর অধীনে একটি DPIA প্রয়োজন, সেখানে এটিকে AI Act ঝুঁকি ব্যবস্থাপনা প্রয়োজনীয়তাগুলি কভার করার জন্য প্রসারিত করুন। নিশ্চিত করুন যে আপনার গোপনীয়তা বিজ্ঞপ্তিগুলি AI-চালিত প্রক্রিয়াকরণ এবং Article 50 এর প্রকাশগুলি প্রতিফলিত করার জন্য আপডেট করা হয়েছে।
ধাপ ৬: উচ্চ-ঝুঁকিপূর্ণ সিস্টেম সম্মতির জন্য পরিকল্পনা করুন (আগস্ট ২০২৬ সময়সীমা)
যদি আপনার কোনো সিস্টেম উচ্চ-ঝুঁকিপূর্ণ হিসাবে শ্রেণীবদ্ধ করা হয়, তবে এখনই সঙ্গতি মূল্যায়ন প্রক্রিয়া শুরু করুন। Annex III সিস্টেমের জন্য আগস্ট ২০২৬ এর সময়সীমা যতটা মনে হয় তার চেয়ে কাছাকাছি, যখন আপনি প্রযুক্তিগত ডকুমেন্টেশন, ঝুঁকি ব্যবস্থাপনা সিস্টেম বাস্তবায়ন এবং EU ডেটাবেস নিবন্ধনের জন্য প্রয়োজনীয় সময় বিবেচনা করেন। আপনার ভেন্ডরদের সাথে তাড়াতাড়ি যোগাযোগ করুন যাতে তারা কী ডকুমেন্টেশন সরবরাহ করতে পারে এবং ডিপ্লয়ার হিসাবে আপনাকে কী তৈরি করতে হবে তা বুঝতে পারেন।
সর্বোত্তম অনুশীলন
AI স্থাপনার জন্য একটি Privacy-by-Design পদ্ধতি গ্রহণ করুন। উচ্চ-ঝুঁকিপূর্ণ সিস্টেমের জন্য AI Act-এর প্রয়োজনীয়তা — জীবনচক্র জুড়ে ঝুঁকি ব্যবস্থাপনা, ডেটা গভর্নেন্স, প্রযুক্তিগত ডকুমেন্টেশন — সবচেয়ে দক্ষতার সাথে পূরণ করা হয় যখন সিস্টেম আর্কিটেকচারে শুরু থেকেই তৈরি করা হয়, পরে সংযোজন করার পরিবর্তে। নতুন AI-চালিত মার্কেটিং টুলস মূল্যায়ন করার সময়, আপনার সংগ্রহ মানদণ্ডে AI Act সম্মতি প্রয়োজনীয়তাগুলি অন্তর্ভুক্ত করুন GDPR সম্মতি এবং ISO 27001 এবং PCI DSS এর মতো নিরাপত্তা মানগুলির পাশাপাশি।
অনুমান করা বৈশিষ্ট্যের চেয়ে প্রথম-পক্ষ, সম্মতি-ভিত্তিক ডেটা পছন্দ করুন। আইনের নিষিদ্ধ অনুশীলন এবং উচ্চ-ঝুঁকিপূর্ণ শ্রেণীবিভাগ প্রাথমিকভাবে AI সিস্টেমগুলিকে লক্ষ্য করে যা সংবেদনশীল বৈশিষ্ট্যগুলি অনুমান করে বা ব্যক্তিদের সম্পর্কে গুরুত্বপূর্ণ স্বয়ংক্রিয় সিদ্ধান্ত নেয়। যে সিস্টেমগুলি সুস্পষ্টভাবে সম্মত, প্রথম-পক্ষ ডেটা — ইমেল ঠিকানা, ঘোষিত পছন্দ, লয়্যালটি প্রোগ্রাম সদস্যপদ — ব্যবহার করে ব্যক্তিগতকরণ চালায়, সেগুলির নিয়ন্ত্রক ঝুঁকি উল্লেখযোগ্যভাবে কম থাকে সেই সিস্টেমগুলির তুলনায় যা আচরণগত সংকেত থেকে বৈশিষ্ট্যগুলি অনুমান করে।
নেটওয়ার্ক অপারেশন AI এবং মার্কেটিং AI এর মধ্যে একটি বিচ্ছেদ বজায় রাখুন। নেটওয়ার্ক ব্যবস্থাপনার জন্য ব্যবহৃত AI সিস্টেম — ব্যান্ডউইথ বরাদ্দ, হস্তক্ষেপ প্রশমন, লোড ব্যালেন্সিং — আইনের অধীনে ন্যূনতম ঝুঁকি বহন করে। অতিথি প্রোফাইলিং এবং মার্কেটিং ব্যক্তিগতকরণের জন্য ব্যবহৃত AI সিস্টেমগুলি উচ্চতর ঝুঁকি বহন করে। এগুলিকে স্থাপত্যগতভাবে পৃথক রাখা আপনার ঝুঁকি শ্রেণীবিভাগকে সরল করে এবং মার্কেটিং স্ট্যাকে যেকোনো সম্মতি সমস্যার প্রভাবের ব্যাপ্তি সীমিত করে।
প্রমাণীকরণ আর্কিটেকচারের জন্য IEEE 802.1X এবং WPA3 উল্লেখ করুন। যেখানে Captive Portal এ বায়োমেট্রিক যাচাইকরণ ব্যবহার করা হয়, সেখানে নিশ্চিত করুন যে অন্তর্নিহিত প্রমাণীকরণ আর্কিটেকচার বর্তমান মানগুলি পূরণ করে। IEEE 802.1X শক্তিশালী প্রমাণীকরণ সহ পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণ সরবরাহ করে এবং WPA3 ওয়্যারলেস স্তরের জন্য উন্নত এনক্রিপশন সরবরাহ করে। এই মানগুলি ভেন্ডর-নিরপেক্ষ এবং এন্টারপ্রাইজ নিরাপত্তা কাঠামো এবং উপযুক্ত প্রযুক্তিগত ব্যবস্থা সম্পর্কিত GDPR নির্দেশিকা উভয় ক্ষেত্রেই উল্লেখ করা হয়েছে।
আপনার AI Act সম্মতি সিদ্ধান্তগুলি নথিভুক্ত করুন। এমনকি ন্যূনতম-ঝুঁকিপূর্ণ সিস্টেমের জন্যও, আপনার শ্রেণীবিভাগের যুক্তি নথিভুক্ত করা নিয়ন্ত্রকদের কাছে যথাযথ অধ্যবসায় প্রদর্শন করে। AI Act উচ্চ-ঝুঁকিপূর্ণ সিস্টেমের প্রদানকারীদের বাজারজাত করার আগে তাদের মূল্যায়ন নথিভুক্ত করতে বাধ্য করে; একজন ডিপ্লয়ার হিসাবে, আপনার নিজস্ব ঝুঁকি মূল্যায়নের জন্য সমতুল্য ডকুমেন্টেশন বজায় রাখা সর্বোত্তম অনুশীলন।
সমস্যা সমাধান ও ঝুঁকি প্রশমন
ঝুঁকি: ভেন্ডরের AI অনুশীলন অস্বচ্ছ। অনেক মার্কেটিং অটোমেশন এবং WiFi অ্যানালিটিক্স প্ল্যাটফর্ম AI ক্ষমতা এম্বেড করে যা স্পষ্টভাবে নথিভুক্ত নয়। প্রশমন: সমস্ত ভেন্ডরকে একটি আনুষ্ঠানিক AI Act সম্মতি প্রশ্নাবলী জারি করুন। তাদের সিস্টেম শ্রেণীবিভাগ, প্রযুক্তিগত ডকুমেন্টেশন এবং নিষিদ্ধ অনুশীলন এড়ানোর প্রমাণ অনুরোধ করুন। নতুন এবং নবায়িত চুক্তিগুলিতে AI Act সম্মতিকে একটি চুক্তিভিত্তিক প্রয়োজনীয়তা হিসাবে অন্তর্ভুক্ত করুন।
ঝুঁকি: Captive Portal চ্যাটবটে Article 50 প্রকাশনার অভাব। এটি বর্তমান স্থাপনাগুলিতে চিহ্নিত সবচেয়ে সাধারণ সম্মতি ফাঁক। প্রশমন: আপনার Captive Portal UI নিরীক্ষা করুন। যদি কোনো কথোপকথনমূলক AI ইন্টারফেসে একটি স্পষ্ট প্রাক-ইন্টারঅ্যাকশন প্রকাশনার অভাব থাকে, তবে এটি একটি অগ্রাধিকারমূলক প্রতিকারমূলক আইটেম। সমাধানটি একটি UI পরিবর্তন যা কয়েক দিনের মধ্যে স্থাপনযোগ্য।
ঝুঁকি: অ্যানালিটিক্স প্ল্যাটফর্ম ব্যক্তিগত প্রোফাইল তৈরি করে যা উচ্চ-ঝুঁকিপূর্ণ শ্রেণীবিভাগকে ট্রিগার করে। যদি আপনার WiFi Analytics প্ল্যাটফর্ম স্বয়ংক্রিয় মার্কেটিং সিদ্ধান্তগুলিতে খাওয়ানোর জন্য স্থায়ী ব্যক্তিগত প্রোফাইল তৈরি করে, তবে আপনি প্রয়োজনীয় সঙ্গতি মূল্যায়ন ছাড়াই একটি উচ্চ-ঝুঁকিপূর্ণ সিস্টেম পরিচালনা করতে পারেন। প্রশমন: প্ল্যাটফর্মের ডেটা মডেল পর্যালোচনা করুন। যদি ব্যক্তিগত প্রোফাইল তৈরি করা হয় এবং স্বয়ংক্রিয় সিদ্ধান্তের জন্য ব্যবহার করা হয়, তবে তাদের AI Act শ্রেণীবিভাগ সম্পর্কে আপনার ভেন্ডরের সাথে যোগাযোগ করুন এবং একটি সঙ্গতি মূল্যায়ন প্রক্রিয়া শুরু করুন।
ঝুঁকি: GDPR এবং AI Act সম্মতিকে পৃথক কর্মপ্রবাহ হিসাবে বিবেচনা করা হয়। যে সংস্থাগুলি পৃথক দলগুলিতে GDPR এবং AI Act সম্মতি পরিচালনা করে তারা নকল, ফাঁক এবং অসামঞ্জস্যপূর্ণ ডকুমেন্টেশনের ঝুঁকিতে থাকে। প্রশমন: একটি সমন্বিত AI গভর্নেন্স কাঠামো স্থাপন করুন যা উভয় নিয়ন্ত্রক কাঠামোকে সম্বোধন করে। একটি একক সমন্বিত DPIA/AI ঝুঁকি মূল্যায়ন প্রক্রিয়া আরও কার্যকর।এবং আরও সুরক্ষিত।
ঝুঁকি: আবেগ অনুমানের পরিধি ভুল শ্রেণীকরণ। কর্মক্ষেত্র এবং শিক্ষা প্রতিষ্ঠানে আবেগ অনুমানের উপর নিষেধাজ্ঞা প্রযোজ্য। যেসব স্থান একই সাথে কর্মক্ষেত্র — কর্পোরেট ক্যাম্পাস, হাসপাতাল, কো-ওয়ার্কিং স্পেস — সেগুলোকে অবশ্যই কর্মচারী-কেন্দ্রিক সিস্টেমে এই নিষেধাজ্ঞা প্রয়োগ করতে হবে, শুধুমাত্র অতিথি-কেন্দ্রিক সিস্টেমে নয়। প্রশমন: আপনার ব্যবহারকারী জনসংখ্যা ম্যাপ করুন এবং সমস্ত প্রসঙ্গে এই নিষেধাজ্ঞা প্রয়োগ করুন যেখানে কর্মচারীরা আবেগ অনুমানের শিকার হতে পারে।
ROI এবং ব্যবসায়িক প্রভাব
EU AI Act এর সাথে সম্মতি শুধুমাত্র একটি ব্যয় কেন্দ্র নয়। যেসব সংস্থা প্রয়োগের আগে AI শাসন কাঠামো তৈরি করে, তারা পরিমাপযোগ্য প্রতিযোগিতামূলক সুবিধা অর্জন করে।
হ্রাসকৃত নিয়ন্ত্রক ঝুঁকি। নিষিদ্ধ অনুশীলন লঙ্ঘনের জন্য জরিমানা — €35 মিলিয়ন পর্যন্ত বা বৈশ্বিক বার্ষিক টার্নওভারের 7% — EU সদস্য রাষ্ট্র জুড়ে বৃহৎ পরিসরে পরিচালিত যেকোনো সংস্থার জন্য একটি উল্লেখযোগ্য আর্থিক ঝুঁকি উপস্থাপন করে। একটি সক্রিয় সম্মতি অবস্থান এই ঝুঁকি দূর করে।
বিক্রেতা পার্থক্যকরণ। যেহেতু AI Act সম্মতি একটি সংগ্রহ প্রয়োজনীয়তা হয়ে উঠছে, তাই যে প্ল্যাটফর্মগুলি স্পষ্ট ঝুঁকি শ্রেণীকরণ, স্বচ্ছ AI অনুশীলন এবং Article 50-সম্মত ইন্টারফেস প্রদর্শন করতে পারে, সেগুলিকে যারা পারে না তাদের চেয়ে বেশি পছন্দ করা হবে। hospitality এবং retail অপারেটরদের জন্য যারা WiFi মার্কেটিং প্ল্যাটফর্ম মূল্যায়ন করছেন, AI Act সম্মতি ডকুমেন্টেশন একটি স্ট্যান্ডার্ড RFP প্রয়োজনীয়তা হয়ে উঠছে।
অতিথিদের বিশ্বাস এবং ফার্স্ট-পার্টি ডেটার গুণমান। Article 50 এর অধীনে স্বচ্ছতার বাধ্যবাধকতা — যখন ভালোভাবে প্রয়োগ করা হয় — তখন অতিথিদের বিশ্বাস বৃদ্ধি করে। যেসব অতিথি বোঝেন যে তাদের ইন্টারঅ্যাকশনে AI কীভাবে ব্যবহার করা হচ্ছে, তারা আরও authentically জড়িত হতে এবং উচ্চ-মানের ফার্স্ট-পার্টি ডেটা সরবরাহ করতে বেশি আগ্রহী হন। এটি সরাসরি ব্যক্তিগতকরণ মডেলের নির্ভুলতা এবং মার্কেটিং ক্যাম্পেইনের ROI উন্নত করে।
একীভূত শাসনের মাধ্যমে অপারেশনাল দক্ষতা। যেসব সংস্থা তাদের GDPR এবং AI Act সম্মতি কাঠামোকে একটি একক শাসন কাঠামোতে একত্রিত করে, তারা আইনি, IT এবং মার্কেটিং দল জুড়ে প্রচেষ্টার পুনরাবৃত্তি হ্রাস করে। এই কাঠামো তৈরিতে বিনিয়োগ লভ্যাংশ প্রদান করে কারণ নিয়ন্ত্রক পরিস্থিতি ক্রমাগত বিকশিত হচ্ছে — AI Act এর পরে আরও AI-নির্দিষ্ট প্রবিধান আসবে, এবং একটি পরিপক্ক শাসন অবস্থান একটি টেকসই ভিত্তি প্রদান করে।
transport অপারেটর এবং পাবলিক-সেক্টর সংস্থাগুলির জন্য, AI Act সম্মতি বিশেষভাবে গুরুত্বপূর্ণ, কারণ সর্বজনীনভাবে প্রবেশযোগ্য স্থানগুলিতে AI সিস্টেমগুলির উপর উচ্চতর নজরদারি রয়েছে। সক্রিয় সম্মতি নিয়ন্ত্রক এবং জনসাধারণের উভয়ের কাছে জবাবদিহিতা প্রদর্শন করে, যা বৃহত্তর ডিজিটাল বিশ্বাসের উদ্দেশ্যগুলিকে সমর্থন করে।
সম্পর্কিত সম্মতি কাঠামো সম্পর্কে আরও পড়ার জন্য, কানাডায় গেস্ট WiFi এর জন্য PIPEDA Compliance for Guest WiFi in Canada সম্পর্কিত আমাদের নির্দেশিকা দেখুন, যা কানাডিয়ান প্রেক্ষাপটে অনুরূপ সম্মতি এবং স্বচ্ছতার প্রয়োজনীয়তাগুলি কভার করে।
শুনুন: EU AI Act এবং গেস্ট WiFi পডকাস্ট
মূল শব্দ ও সংজ্ঞা
Provider (EU AI Act)
A natural or legal person, public authority, agency, or other body that develops an AI system or general-purpose AI model, or that has an AI system or general-purpose AI model developed, with a view to placing it on the market or putting it into service under its own name or trademark, whether for payment or free of charge.
In a Guest WiFi context, the provider is typically the WiFi marketing platform vendor or the developer of the AI personalisation engine. Providers of high-risk systems carry the heaviest compliance obligations under the Act.
Deployer (EU AI Act)
A natural or legal person, public authority, agency, or other body that uses an AI system under its own authority, except where the AI system is used in the course of a personal non-professional activity.
The venue operator — hotel group, retail chain, stadium operator — is the deployer. Deployers are responsible for Article 50 transparency disclosures and for ensuring that the AI systems they use comply with the Act's requirements, even when those systems are provided by third parties.
Biometric Categorisation System
An AI system for the purpose of assigning natural persons to specific categories on the basis of their biometric data, such as face, movement, gait, posture, voice, appearance, behaviour, or other physiological or behavioural human characteristics or traits.
Relevant for venue operators using camera-based analytics or device fingerprinting in combination with AI. Systems that infer sensitive attributes (race, religion, political opinion) from biometric data are prohibited under Article 5. Systems that perform biometric categorisation without inferring sensitive attributes may be high-risk under Annex III.
Emotion Recognition System
An AI system for the purpose of identifying or inferring emotions or intentions of natural persons on the basis of their biometric data.
Prohibited in workplaces and educational institutions under Article 5. In other venue contexts (retail, hospitality), emotion recognition systems are regulated under Annex III as high-risk and require deployers to inform affected persons under Article 50(3). Vendors marketing 'mood-based' or 'engagement state' features should be assessed against this definition.
Individual Profiling
Any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements.
AI systems listed under Annex III are always considered high-risk if they profile individuals. WiFi analytics platforms that build persistent individual profiles feeding into automated marketing decisions must be assessed against this definition to determine whether they are high-risk systems.
Social Scoring
The evaluation or classification of natural persons or groups of persons over a period of time based on their social behaviour or known, inferred, or predicted personal or personality characteristics, with a social score leading to detrimental or unfavourable treatment of those persons or groups in social contexts that are unrelated to the contexts in which the data was originally generated or collected.
Prohibited under Article 5. In a WiFi marketing context, this targets AI systems that score guests on behavioural patterns and use those scores to restrict access, withhold offers, or provide inferior service. The key element is detrimental treatment — personalisation that improves the experience for high-value guests is not social scoring unless it simultaneously disadvantages lower-scoring guests.
Captive Portal
A web page or authentication gateway presented to newly connected users of a WiFi network before they are granted broader access to the internet. Used by venue operators to collect guest data, present terms of service, and deliver marketing content.
The primary deployment surface for AI-driven WiFi marketing. AI features on captive portals — chatbots, personalised splash pages, recommendation engines — are subject to Article 50 transparency obligations. The captive portal is also the point at which GDPR consent for data processing is typically obtained.
Conformity Assessment
The process of verifying whether a high-risk AI system complies with the requirements set out in the EU AI Act, including risk management, data governance, technical documentation, transparency, human oversight, accuracy, robustness, and cybersecurity.
Required for high-risk AI systems before they are placed on the market or put into service. For most high-risk systems under Annex III, providers can conduct a self-assessment. For biometric identification systems, third-party assessment is required. Venue operators deploying high-risk AI systems need to ensure their vendors have completed the required conformity assessment and can provide the documentation.
DPIA (Data Protection Impact Assessment)
A process required under GDPR Article 35 for processing operations that are likely to result in a high risk to the rights and freedoms of natural persons. The DPIA must describe the processing, assess necessity and proportionality, and identify and mitigate risks.
Required under GDPR for high-risk data processing, including large-scale profiling and systematic monitoring of publicly accessible areas. In the AI Act context, the DPIA should be extended to cover AI system risk management requirements, creating a unified assessment that satisfies both regulatory frameworks.
Article 50 Transparency Obligation
The requirement under Article 50 of the EU AI Act that providers ensure AI systems intended to interact with natural persons are designed so that those persons are informed they are interacting with an AI system, unless this is obvious from the context. Deployers must ensure this disclosure is in place.
The most immediately actionable compliance obligation for venue operators with AI chatbots or conversational interfaces on their captive portals. The disclosure must be clear and upfront — before the interaction begins — not buried in terms and conditions. Applies to all AI conversational systems regardless of risk tier.
কেস স্টাডিজ
A 450-room hotel group operating across five EU member states has deployed an AI-driven chatbot on its captive portal to handle guest check-in queries, restaurant recommendations, and WiFi troubleshooting. The chatbot is powered by a third-party LLM platform. The marketing team also uses a WiFi analytics platform that builds individual guest profiles — including visit history, dwell time by venue area, and inferred demographic segments — to serve personalised promotional offers via the captive portal splash page. The CTO needs to assess the AI Act compliance posture of both systems before the next board meeting.
Step 1 — Classify the chatbot. The AI-driven chatbot is a conversational AI system interacting with natural persons. It falls under Article 50(1) as a Limited Risk system. The immediate action is to implement a clear pre-interaction disclosure on the captive portal UI: 'You are chatting with an AI assistant.' This is a front-end change. The hotel group, as the deployer, is responsible for this disclosure even though the underlying LLM is provided by a third party. Review the vendor contract to confirm the provider's AI Act classification and request their technical documentation.
Step 2 — Classify the analytics platform. The WiFi analytics platform builds individual guest profiles and uses them to serve personalised offers via automated decisions. The key question is whether this constitutes individual profiling under Annex III — automated processing of personal data to assess preferences, interests, behaviour, and location. If yes, the system is high-risk. Request the vendor's AI Act classification documentation. If the vendor classifies the system as minimal risk, obtain their written rationale and assess whether it is defensible. If the system is high-risk, begin planning for conformity assessment compliance ahead of the August 2026 deadline.
Step 3 — Audit the inferred demographic segments. If the analytics platform infers demographic segments that include sensitive attributes — age bracket, gender, nationality — using AI models, assess whether this constitutes biometric categorisation of sensitive attributes under Article 5. If the segmentation is based on declared data (loyalty programme membership, explicitly provided preferences) rather than AI inference from behavioural signals, it is lower risk. If it is AI-inferred from behavioural signals, it requires careful legal review.
Step 4 — Align with GDPR. Ensure the hotel group's privacy notice reflects AI-driven processing and the Article 50 disclosures. Review the lawful basis for the analytics processing under GDPR Article 6. If the processing is based on legitimate interests, conduct a legitimate interests assessment that accounts for the AI Act risk classification. Update the DPIA to cover both GDPR and AI Act risk dimensions.
A national retail chain with 120 stores across Germany, France, and the Netherlands is evaluating a new WiFi marketing platform that includes an AI feature described by the vendor as 'mood-based personalisation' — the system analyses the speed and pattern of a guest's captive portal interactions to infer their 'engagement state' and adjusts the promotional content served on the splash page accordingly. The IT director needs to assess whether this feature is permissible under the EU AI Act.
Step 1 — Identify the AI practice. The 'mood-based personalisation' feature analyses behavioural signals (interaction speed and pattern) to infer an 'engagement state' — which is functionally an emotional or psychological state. This is emotion inference.
Step 2 — Apply the Article 5 prohibition test. Article 5 prohibits emotion inference in workplaces and educational institutions. A retail store is not a workplace for the guest, so this specific prohibition does not apply to the guest population in the retail context. However, the feature may still be prohibited under Article 5(1)(a) if it deploys manipulative techniques to distort behaviour and impair informed decision-making, causing significant harm. The use of inferred emotional state to serve manipulative promotional content — targeting a guest identified as 'frustrated' with an urgency-based offer, for example — is likely to fall within this prohibition.
Step 3 — Assess the GDPR implications. Inferring emotional state from behavioural data constitutes processing of personal data for profiling purposes under GDPR. The lawful basis for this processing must be assessed. Legitimate interests is unlikely to be a defensible basis for emotion inference used for marketing purposes. Explicit consent is the most appropriate basis, but the consent mechanism must be specific and granular — consent to WiFi access does not constitute consent to emotion inference.
Step 4 — Recommendation. Do not deploy the 'mood-based personalisation' feature without a detailed legal assessment. The risk of Article 5 violation — specifically the manipulation prohibition — is material. Request the vendor's legal analysis of the feature's AI Act classification. If the vendor cannot provide a defensible classification, treat the feature as prohibited and do not activate it. Standard behavioural personalisation based on objective metrics (visit frequency, time of day, declared preferences) is permissible and carries significantly lower regulatory risk.
দৃশ্যপট বিশ্লেষণ
Q1. Your venue's WiFi marketing platform vendor has just released a new feature called 'Visitor Sentiment Scoring' that analyses the speed, sequence, and hesitation patterns of a guest's captive portal interactions to assign a sentiment score (positive, neutral, frustrated) and adjust the promotional content served accordingly. The vendor's documentation describes this as 'behavioural analytics' rather than 'emotion recognition'. As the IT director, how do you assess this feature's EU AI Act compliance status, and what actions do you take?
💡 ইঙ্গিত:Focus on the technical function of the system, not the vendor's marketing language. Ask: what is the system actually doing? Is it inferring an emotional or psychological state from behavioural signals? Then apply the Article 5 prohibition test and the Article 50 transparency test.
প্রস্তাবিত পদ্ধতি দেখুন
The feature is functionally an emotion recognition system regardless of the vendor's labelling. Analysing interaction patterns to infer 'frustration' or 'positive sentiment' is emotion inference. The first step is to apply the Article 5 prohibition test: is this system being used in a workplace or educational institution? If the venue is a retail store or hotel, the Article 5 workplace prohibition does not apply to guests. However, the manipulation prohibition under Article 5(1)(a) may apply if the system uses the inferred sentiment to serve manipulative content — for example, targeting a 'frustrated' guest with an urgency-based offer. The second step is to assess whether the system falls under Annex III as an emotion recognition system, which would make it high-risk. The third step is to request the vendor's written AI Act classification and legal analysis. If the vendor cannot provide a defensible classification, do not activate the feature. Document your assessment rationale regardless of the outcome.
Q2. A stadium operator running a 60,000-capacity venue uses Purple's Guest WiFi platform to collect first-party data at events. The marketing team wants to deploy an AI chatbot on the captive portal to answer fan queries about facilities, merchandise, and upcoming events. The chatbot is powered by a third-party LLM API. The venue's legal team asks: what are the Article 50 obligations, who is responsible for compliance, and what does the implementation look like in practice?
💡 ইঙ্গিত:Identify the deployer, the provider, and the applicable Article 50 scenario. Then specify what the disclosure must look like and when it must appear.
প্রস্তাবিত পদ্ধতি দেখুন
The stadium operator is the deployer; the LLM API provider is the provider. Under Article 50(1), the deployer is responsible for ensuring that guests are informed they are interacting with an AI system before the interaction begins. The implementation requires a clear disclosure on the captive portal UI — a badge or introductory message such as 'You are chatting with an AI assistant' — displayed before the first message is sent. This is a front-end change to the captive portal template. The disclosure must be explicit and upfront; it cannot be buried in the terms of service. The LLM provider has their own obligations as a provider (technical documentation, instructions for use), but the deployer cannot rely on the provider to satisfy the deployer's transparency obligations. Additionally, the stadium operator must ensure the chatbot's data processing complies with GDPR — the lawful basis for processing any personal data shared in the conversation must be established, and the privacy notice must reflect the AI-driven processing.
Q3. A retail chain's WiFi analytics platform has been building individual guest profiles for two years, combining WiFi session data (device MAC address, dwell time, visit frequency, location within store) with CRM data (purchase history, loyalty programme tier) to feed an AI model that makes automated decisions about which promotional offers to serve each guest at the captive portal. The chain's new compliance lead has been asked to assess whether this system is high-risk under the EU AI Act's Annex III individual profiling provision. What is the assessment methodology and likely outcome?
💡 ইঙ্গিত:Apply the Annex III individual profiling test: is the AI system performing automated processing of personal data to assess aspects of a person's preferences, interests, behaviour, or location? Then consider whether the automated decisions are significant enough to trigger the high-risk classification.
প্রস্তাবিত পদ্ধতি দেখুন
The assessment methodology follows three steps. First, confirm that the system is an AI system (not a simple rules-based engine) — if the promotional decision is made by a machine learning model rather than a deterministic rules engine, it is an AI system. Second, apply the Annex III individual profiling test: the system is processing personal data (WiFi session data, CRM data) to assess individual preferences, interests, behaviour, and location. This meets the definition of individual profiling. Third, assess whether the system is listed under Annex III use cases — the most relevant category is 'access to and enjoyment of essential public and private services', which includes AI systems used to evaluate eligibility for services. Whether promotional offer decisions constitute 'access to services' is a grey area; if the AI system can deny a guest access to a promotional offer that materially affects their purchasing decision, regulators may take the view that this is significant. The likely outcome is that the system should be treated as potentially high-risk and a formal assessment conducted. The chain should engage the platform vendor to obtain their AI Act classification, initiate a DPIA/AI risk assessment, and begin planning for conformity assessment compliance ahead of the August 2026 deadline.
