Ultima actualizare: 21 august 2024
Regulamentul (UE) 2024/1689 care reglementează utilizarea Inteligenței Artificiale (IA) a fost publicat în Jurnalul oficial al UE din 12 iulie 2024. Documentul a intrat în vigoare la 1 august 2024 și urmează să fie aplicat în toate statele membre începând cu 2 august 2026. Cu toate acestea, anumite dispoziții se vor aplica începând cu 20251 , iar altele din 20272
La presiunea diverselor părți interesate care au cerut o mai bună reglementare a IA, Uniunea Europeană a adoptat la 21 mai 2024 „AI Act”, una dintre primele reglementări în acest domeniu la nivel mondial. Aceasta a condus, de asemenea, la crearea unui „Oficiu pentru IA” pentru a consolida competențele UE în materie de inteligență artificială și a unui „Consiliu IA”, în componența căruia se vor regăsi câte un reprezentant din fiecare stat membru, cu rolul de a oferi îndrumare executivului european și a asigura o aplicare coerentă a regulamentului.
În perioada următoare, prevederile acestui regulament ar urma să fie completate de alte inițiative de reglementare, cum ar fi adoptarea de norme armonizate pentru introducerea pe piață, punerea în funcțiune și utilizarea sistemelor de IA instituite în temeiul prezentului regulament sau elaborarea unor coduri de conduită sau coduri de bune practici.
Clasificarea sistemelor de IA după nivelul de risc
Potrivit definiției din Regulament, un sistem de IA este un sistem automatizat conceput să funcționeze cu diverse niveluri de autonomie și care poate prezenta adaptabilitate după implementare. El utilizează datele de intrare pe care le primește pentru a genera previziuni, conținut, recomandări sau decizii ce pot influența mediile fizice sau virtuale, potrivit unor obiective explicite sau implicite.
Astfel, reglementatorul european identifică 4 categorii de sisteme de IA în funcție de riscurile și potențialele efecte nedorite pe care le-ar putea produce și prevede o serie de obligații în sarcina operatorilor (implementatori3 și furnizori4 de IA).
1. IA cu risc inacceptabil: sistemele de IA interzise includ între altele pe cele care manipulează deciziile, exploatează vulnerabilitățile, evaluează sau clasifică persoanele în funcție de comportamentul lor social sau de trăsăturile personale și prezic riscul de criminalitate. Sunt, de asemenea, interzise sistemele care colectează imagini faciale de pe Internet sau de supraveghere video, care deduc emoțiile persoanelor la locul de muncă sau în instituțiile de învățământ și care clasifică persoanele pe baza datelor biometrice. Cu toate acestea, sunt prevăzute anumite excepții, atunci când aceste sisteme sunt utilizate pentru căutarea persoanelor dispărute sau pentru prevenirea atacurilor teroriste.
2. IA cu grad ridicat de risc: un sistem de IA este considerat cu risc ridicat atunci când este destinat să fie utilizat ca o componentă de securitate a unui produs care este vizat de legislația Uniunii, ce se regăsește în lista din anexa I a Regulamentului.
Aceste sisteme trebuie să facă obiectul unei evaluări de conformitate de către o terță parte înainte de introducerea pe piață sau punerea în funcțiune a produsului, în conformitate cu legislația europeană. În anexa III a Regulamentului sunt, de asemenea, detaliate sistemele utilizate în opt domenii specifice, printre care: sistemele utilizate (i) pentru identificarea biometrică, (ii) în servicii esențiale (pentru gestionarea și operarea infrastructurilor digitale critice, a traficului rutier, sistemele folosite în gestionarea furnizării de apă, gaz, încălzire sau electricitate), (iii) pentru educație, (iv) resurse umane, (v) sistemul de justiție etc. Necesită măsuri de control sporite.
3. IA cu grad scăzut de risc: Sunt sistemele de IA care necesită doar o obligație de transparență din partea furnizorului, care trebuie să înregistreze un astfel de sistem în baza de date europeană. Astfel, un deepfake sau un chatbot online trebuie să fie semnalate ca atare utilizatorului.
Conform alineatului 53 al Regulamentului, IA cu impact limitat asupra deciziilor se caracterizează prin mai multe condiții esențiale: (1) sistemul îndeplinește sarcini limitate, cum ar fi structurarea datelor sau clasificarea documentelor, fără a crește riscurile în utilizări considerate cu grad ridicat de risc; (2) IA îmbunătățește rezultatele unei activități umane anterioare, cum ar fi rafinarea limbajului dintr-un document, fără a influența semnificativ decizia finală; (3) IA detectează deviații față de decizii anterioare, fără a le modifica, limitându-se doar la semnalarea inconscvențelor; (4) IA realizează sarcini pregătitoare, precum gestionarea fișierelor sau traducerea, cu un impact redus asupra evaluărilor ulterioare.
4. IA cu grad minim de risc: sunt système de IA care nu prezintă niciun pericol pentru utilizator, precum un filtru anti-spam, și care nu fac obiectul vreunei reglementări specifice.
Înainte de a fi puse pe piață sau în funcțiune, fie că sunt sisteme de IA de grad ridicat de risc sau fără risc ridicat, furnizorii, distribuitorii și implementatorii autorități publice, agenții sau alte organisme publice, după caz, trebuie să înregistreze aceste sisteme în baza de date a UE.
In cazul anumitor sisteme de IA de grad ridicat de risc din domenii sensibile, se va crea în baza de date europeană o secțiune securizată și care nu va putea fi accesată de publicul larg.
Regim special pentru sistemul de IA de uz general
Regulamentul prevede, de asemenea, un regim special pentru ceea ce denumește a fi un model de IA de uz general5 , prevăzând anumite obligații ce trebuie respectate.
Un model de IA de uz general este clasificat ca prezentând un risc sistemic, dacă are capacități de impact ridicate, conform unor instrumente de evaluare adecvate sau dacă este considerat echivalent de către Comisie, pe baza unor criterii specifice.
Pentru furnizorii de sisteme de Ia sunt prevăzute o serie de obligații de transparență sporite, inclusiv în cazul sistemelor de IA de uz general, care generează conținut sintetic audio, imagine, video sau text (Art. 50). La fiecare utilizare a unui astfel de sistem, utilizatorul trebuie să aibă acces la o listă a conținuturilor foliosite pentru a forma și antrena IA.
Obligațiile operatorilor (furnizori și implementatori)
Regulamentul prevede o serie de obligații pentru furnizorii de sisteme de IA, între care:
- Stabilirea unui sistem de management al calității, care trebuie să fie proporțional cu dimensiunea furnizorului. Aceasta înseamnă că trebuie implementate strategii de conformitate, proceduri de proiectare și dezvoltare, procese de validare a sistemelor, gestionarea datelor și a riscurilor, măsuri de supraveghere sau rapoarte de incidente, registre sau proceduri de comunicare.
- Stabilirea unui sistem de gestionare a riscurilor: această obligație se referă în special la sistemele de IA cu grad ridicat de risc, în cazul cărora este necesar să se poată identifica și analiza riscurile potențiale pe care le prezintă pentru sănătatea, securitatea sau respectarea drepturilor fundamentale, să se poată estima și evalua aceste riscuri și să se poată adopta măsuri de corecție.
- Furnizarea de documentație tehnică pentru sistemul IA cu grad ridicat de risc: documentația trebuie actualizată și să demonstreze că sistemul de IA respectă cerințele legii. Întreprinderile mici, inclusiv start-up-urile, pot furniza aceste informații într-o manieră mai simplificată. UE va crea un formular simplificat în acest scop. Dacă un sistem de IA cu grad ridicat de risc este legat de un produs reglementat de alte legi europene (de exemplu, în domeniul financiar), un singur set de documente trebuie să conțină toate informațiile necesare. Furnizorii de sisteme de IA cu grad ridicat de risc trebuie să păstreze anumite documente pe o durată de 10 ani după punerea în funcțiune a sistemului. În caz de faliment sau încetare a activității înainte de expirarea termenului, fiecare stat membru al UE va decide modalitățile de păstrare a acestor documente.
- Ținerea unui registru: Sistemele de IA cu grad ridicat de risc trebuie să înregistreze automat și să urmărească acțiunile sistemului, în special în situația în care IA poate prezenta un risc sau suferi modificări semnificative. Furnizorii trebuie să păstreze aceste registre timp de cel puțin șase luni sau mai mult, dacă legislația europeană sau națională o impune, în special cea referitoare la protecția datelor cu caracter personal.
- Garantarea transparenței: sistemele de IA cu grad ridicat de risc trebuie concepute în mod transparent, astfel încât utilizatorii să le poată înțelege și folosi corect. Instrucțiunile trebuie, de asemenea, să explice cum se interpretează rezultatele sistemului, orice modificare prestabilită a sistemului și modalitatea de întreținere. Precizia acestor sisteme de IA trebuie să fie specificată în instrucțiuni.
Obligațiile importatorilor și distribuitorilor
- Importatorii au obligația de a verifica că sistemul a fost evaluat corespunzător, este însoțit de documentația tehnică corespunzătoare și poartă marcajul CE necesar. Aceștia trebuie să indice coordonatele lor pe ambalajul sistemului sau în documentele care îl însoțesc, să se asigure că sunt respectate condițiile de depozitare și de transport și că păstrează timp de 10 ani un registru cu declarația de conformitate și instrucțiunile de utilizare ;
- Distribuitorii trebuie să se asigure că sistemul poartă marcajul CE și dețin o copie după declarația de conformitate. Dacă distribuitorul consideră că un sistem de IA cu grad ridicat de risc pe care l-a pus pe piață nu este în conformitate cu cerințele regulamentului, ia măsurile necesare pentru a aduce sistemul în acord cu cerințele respective, pentru a-l retrage sau rechema.
Certificatul pentru sistemul de IA
Certificatele pentru sistemele de IA trebuie redactate într-o limbă care să fie înțeleasă de autoritățile locale. Acestea au o valabilitate de patru sau cinci ani, în funcție de tipul de sistem de IA enumerat în anexele I și III ale Regulamentului.
Perioada de valabilitate poate fi prelungită la cerere pentru perioade suplimentare, în urma unei reevaluări.
Certificatul poate fi suspendat sau retras în caz de non-conformitate. O astfel de decizie pot fi contestată.
Sancțiuni
Sancțiunile pentru încălcarea dispozițiilor legale pot fi administrative sau penale, de natură financiară sau non-financiară. Statele membre trebuie să ia măsuri pentru rezolvarea deficiențelor și să prevadă sancțiuni proporționale și cu efect de descurajare.
Fiecare stat membru trebuie să stabilească un regim de sancțiuni, care să țină cont de natura, gravitatea, durata infracțiunii, consecințele acesteia și dimensiunea furnizorului, în special în cazul în care acesta este un IMM și start-up. Regulamentul prevede sancțiuni de până la 35 milioane de euro sau 7% din cifra de afaceri anuală mondială totală anuală pentru anumite practici interzise în domeniul IA și de până la 15 milioane de euro sau 3% din cifra de afaceri mondială totală anuală pentru alte încălcări. În ambele cazuri, se ia în considerare valoarea cea mai mare dintre acestea.
Furnizarea de informații incorecte organismelor notificate sau autorităților naționale competente face obiectul unei amenzi administrative de până la 7,5 milioane de euro sau 1% din cifra de afaceri mondială totală anuală din exercițiul precedent, luându-se în considerare valoarea cea mai mare a acestora.
Comisia poate, de asemenea, să aplice furnizorilor de modele de IA de uz general amenzi de până la 15 milioane de euro sau 3% din cifra de afaceri mondială totală anuală, luându-se în considerare valoarea cea mai mare a acestora.
Note
- Dispozițiile generale și practicile interzise se aplică din 2 februarie 2025. Dispozițiile cu privire la sistemele cu grad ridicat de risc, autoritățile de notificare și organismele notificate, modelele de IA cu uz general, cu privire la guvernanță, sancțiuni și confidențialitate se vor aplica din 2 august 205, cu excepția celor care privesc amenzile pentru furnizorii de modele de IA de uz general.
- Dispozițiile privind sistemele de IA cu grad ridicat de risc și obligațiile corespunzătoare se vor aplica doar din 2 august 2027.
- Persoană fizică sau juridică, autoritate publică, agenție sau alt organism care utilizează un sistem de IA în cadrul activității sale profesionale.
- Persoană fizică sau juridică, autoritate publică, agenție sau alt organism care dezvoltă sau comandă dezvoltatarea de IA pentru uzul propriu sau pentru a o introduce pe piață.
- Un model de IA de uz general este capabil să îndeplinească o varietate de sarcini distincte, datorită cantității mari de date pe care este antrenat, și poate fi integrat în diverse sisteme sau aplicații, excluzând modelele utilizate pentru cercetare sau prototipurile înainte de comercializare.