Începând cu data de 1 august 2024, Regulamentul (UE) 2024/1689 al Parlamentului European și al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligența artificială (Regulamentul IA) a intrat în vigoare oficial. Aplicarea efectivă a prevederilor sale se va desfășura într-o manieră etapizată. Astfel, din februarie 2025, o parte dintre cerințele noului act legislativ vor deveni obligatorii, iar abia din august 2026 vor intra în vigoare toate normele impuse asupra tehnologiilor de inteligență artificială, așa cum sunt detaliate în textul acestui act normative european.
Regulamentul este aplicabil direct în România, fără măsuri de transpunere suplimentare și afectează furnizorii și utilizatorii comerciali sau instituționali ai sistemelor de inteligență artificială utilizate în UE, indiferent de locul în care acestea funcționează sau sunt dezvoltate.
Acesta introduce un cadru legal specific pentru sistemele de IA cu risc ridicat, având un impact semnificativ asupra companiilor din sectoare precum finanțe (societăți bancare, de asigurări), resurse umane, tehnologie, farma, sănătate și utilități.
Scopul acestui nou regulament este de a crea un cadru legislativ unitar la nivel european, care să garanteze că sistemele de inteligență artificială utilizate în Uniunea Europeană sunt conforme cu drepturile fundamentale ale cetățenilor și asigură un nivel înalt de securitate.
Prin cerințe specifice legate de date, dezvoltare, implementare și monitorizare, noua legislație urmărește să minimizeze riscul de discriminare algoritmică, definită general ca orice eroare sistematică care favorizează anumite grupuri în detrimentul altora.
Ce înseamnă „sistem de inteligență artificială” (sistem de IA)?
In acceptiunea art. 3 (1) din Regulament, „sistem de inteligență artificială” este un software care este dezvoltat prin una sau mai multe dintre tehnicile și abordările enumerate în anexele actului și care, pentru un anumit set de obiective definite de om, poate genera rezultate precum conținuturi, previziuni, recomandări sau decizii care influențează mediile cu care interacționează.
Cui se aplică?
Noua legislație privind inteligența artificială are implicații majore atât pentru furnizorii de sisteme de inteligență artificială, care trebuie să se conformeze unor standarde tehnice și etice riguroase, cât și pentru utilizatorii finali ai acestor sisteme, care sunt obligați să implementeze măsuri de securitate și să asigure transparența în utilizarea acestora, indiferent de locația fizică a echipamentelor pe care rulează.
Utilizarea unui sistem de inteligență artificială aflat în afara Uniunii Europene nu scutește utilizatorul de obligația de a respecta legislația europeană privind inteligența artificială, atunci când efectele utilizării se produc pe teritoriul UE.
De asemenea, importatorii, distribuitorii și producătorii de sisteme de inteligență artificială au responsabilități specifice în ceea ce privește verificarea conformității și informarea utilizatorilor finali.
Nu există excepții și orice companie care operează pe piața europeană și utilizează inteligență artificială trebuie să respecte această legislație.
Care sunt criteriile de clasificare a sistemelor de inteligență artificială în cadrul Regulamentului European?
Regulamentul IA introduce o metodologie de clasificare a sistemelor IA, numită ‘piramidă a criticității’, printr-o abordare bazată pe riscuri si urmărește să asigure un echilibru între necesitatea de reglementare și impactul acesteia asupra celor implicați.
Această structură ierarhică permite o evaluare a riscurilor asociate cu fiecare sistem, de la cele cu impact minim până la cele cu potențial de a afecta grav drepturile fundamentale. Este structurată pe următoarele niveluri de risc:
- Sistemele de inteligență artificială care prezintă un risc inacceptabil, cum ar fi cele folosite pentru a atribui scoruri sociale și a discrimina persoane, sunt strict interzise pe piața europeană. UE impune o interdicție categorică asupra sistemelor AI care pot duce la consecințe dăunătoare, precum sistemele de notare socială folosite pentru a marginaliza anumite grupuri. Aceste sisteme includ practicile de inteligență artificială care pot duce la exploatare, manipulare subliminală sau care afectează în mod disproporționat anumite grupuri sociale. În plus, se interzice utilizarea anumitor sisteme biometrice și conceptul de „scor social”.
- Sistemele AI cu risc ridicat sunt (i) sistemele IA destinate a fi utilizate ca o componentă de siguranță a produselor care fac obiectul unei evaluări a conformității de către o terță parte sau care sunt utilizate în gestionarea și operarea anumitor infrastructuri critice sau (ii) sistemele IA de sine stătătoare care au implicații asupra drepturilor fundamentale și care sunt prevăzute în mod explicit în lege. Acestea trebuie să respecte cea mai mare parte a obligațiilor prevăzute de legislația AI. În general sunt sisteme AI cu scop unic sau limitat, care interacționează cu oamenii în educație, la locul de muncă, in servicii publice etc. Printre măsurile obligatorii se numără implementarea de sisteme de gestionare a riscurilor, păstrarea înregistrărilor, guvernanța datelor, asigurarea transparenței, supravegherea umană și respectarea unor standarde stricte privind securitatea cibernetică.
- Sistemele AI cu risc limitat, precum chatboții pentru servicii clienți, sunt supuse unor cerințe simplificate, axându-se în principal pe transparență si se concentrează pe a se asigura că utilizatorii sunt conștienți de faptul că interacționează cu un sistem IA.
- Sistemele AI cu risc minim, precum filtrele de spam pentru e-mail, nu sunt supuse unor reglementări detaliate în cadrul Actului privind inteligența artificială.
- Regulamentul AI distinge totodată între Modelele AI cu scop general („GPAI” adica gen Chat GPT) și sistemele AI, aplicând fiecăruia reguli specifice. În timp ce modelele GPAI sunt supuse unor obligații de transparență și documentare, sistemele AI construite pe baza acestor modele pot fi clasificate ca fiind cu risc ridicat, în funcție de impactul lor asupra drepturilor fundamentale. Întrucât modelele GPAI sunt reglementate separat de sistemele IA, un model nu va constitui niciodată un sistem IA cu risc ridicat, deoarece nu este un sistem IA. Pe de altă parte, un sistem GPAI construit pe baza unui model GPAI poate constitui un sistem AI cu risc ridicat.
Modelele AI cu scop general nu se încadrează ușor într-o singură categorie de risc. ChatGPT, de exemplu, deși pare a fi doar un generator de text, poate produce conținut dăunător datorită absenței unei înțelegeri a eticii și moralei. Fără o supraveghere adecvată, sistemul poate genera răspunsuri care pot fi utilizate în moduri care pot induce in eroare sau pot deveni chiar periculoase pentru utilizator.
Interacțiunea cu alte acte legislative UE și următoarele mișcări ale statelor membre.
UE are o abordare complexă în ceea ce privește reglementarea inteligenței artificiale. Aceasta se bazează pe legi deja existente, precum Regulamentul General privind Protecția Datelor („GDPR”) și pe cele mai recente, cum ar fi Regulamentul (UE) 2022/2065 privind serviciile digitale (‚DSA”) si Regulamentul (UE) 2022/1925 privind piețele digitale („DMA”), iar Regulamentul IA va completa acest cadru.
De pildă GDPR impunea deja restricții asupra deciziilor importante luate de algoritmi, cum ar fi concedierile. De asemenea, ne dă dreptul să înțelegem cum funcționează algoritmii care ne afectează viața.
DSA și DMA se concentrează pe platformele online mari. DSA obligă aceste platforme să fie mai transparente cu privire la modul în care funcționează algoritmii lor și să ofere utilizatorilor mai mult control asupra conținutului pe care îl văd. DMA vizează creșterea concurenței între aceste platforme mari și impune restricții asupra modului în care își folosesc algoritmii pentru a favoriza propriile produse sau servicii.
În esență, UE încearcă să creeze un mediu online mai sigur și mai echitabil, unde IA este utilizată într-un mod responsabil și transparent si să fie dezvoltată și utilizată într-un mod care să protejeze drepturile cetățenilor și să promoveze o economie digitală sănătoasă și competitivă.
În vederea implementării Regulamentului IA, statele membre au obligația de a desemna, până la 2 august 2025, o autoritate națională specializată. Această autoritate va fi responsabilă de supravegherea respectării legislației la nivel local și de cooperarea cu Comisia Europeană pentru asigurarea unei aplicări uniforme a normelor la nivelul întregii Uniuni.
Ce trebuie să știe o companie care intenționează să folosească inteligență artificială?
Regulamentul IA vine să completeze cadrul legal existent al Uniunii Europene, fără a-l înlocui. Astfel, reglementările europene existente privind protecția datelor, siguranța produselor, protecția consumatorilor, politica socială și legislația muncii rămân în vigoare și se aplică în continuare. Organizațiile care utilizează sisteme de inteligență artificială trebuie să asigure conformitatea atât cu aceste legi existente, cât și cu noile cerințe impuse de Legea privind IA.
Totodata Regulamentul privind IA prevede sancțiuni severe, comparabile cu cele pentru protecția datelor, mergând până la 35 de milioane de euro sau 7% din cifra de afaceri globală, pentru încălcările sale.
In privinta IMM-urilor, mecanismul de sancționare este mai flexibil deoarece companiile mici și mijlocii care întâmpină dificultăți în a se conforma regulilor complexe ale AI vor avea parte de o abordare mai puțin drastică, cu amenzi proporționale cu capacitatea lor de plată.
Pentru a se conforma noilor reglementări privind inteligența artificială, companiile trebuie să înceapă prin a-și identifica toate sistemele și modelele de AI pe care le utilizează sau le dezvoltă.
Un astfel de inventar poate fi realizat prin analiza software-ului și aplicațiilor existente sau prin consultarea departamentelor IT și de risc. Acest inventar inițial este important chiar și pentru companiile care nu consideră că folosesc AI în prezent, deoarece este foarte probabil ca acest lucru să se schimbe în următorii ani.
Pentru a gestiona eficient aceste modificări de legislație, companiile ar trebui să ia în considerare o serie de măsuri precum:
- Identificarea sistemelor de inteligență artificială:
Primul pas este să faceți o listă cu toate programele și echipamentele folosite în companie și să verificați care dintre ele folosesc inteligență artificială.
- Evaluarea aplicabilității Regulamentului IA:
Verificați dacă sistemele de inteligență artificială pe care le-ați găsit trebuie să respecte noile reguli ale UE privind inteligența artificială, mai ales dacă sunt folosite de persoane fizice din diferite țări europene.
- Clasificarea sistemelor:
Stabiliți care sunt regulile specifice pe care trebuie să le respecte fiecare sistem de inteligență artificială, în funcție de cât de riscant este considerat.
- Determinarea rolului acestor sisteme in cadrul companiei:
Identificați măsurile concrete pe care trebuie să le luați pentru a vă asigura că utilizați sistemele de inteligență artificială în conformitate cu legea. Pentru sistemele clasificate ca fiind cu risc ridicat, identificați rolul exact al organizației în cadrul procesului (furnizor, implementator sau altul) pentru a stabili responsabilitățile aferente.
- Elaborarea unui plan de conformitate:
Creați un plan care să vă ajute să vă asigurați că activitățile companiei sunt în acord cu cerințele Regulamentului IA.
Termenele de conformare cu Regulamentul IA:
Regulamentul IA a intrat în vigoare la 1 august 2024, dar prevede o perioadă de tranziție de aproape doi ani, până în august 2026, pentru ca toate companiile să se adapteze la noile cerințe, aplicandu-se urmatoarele termene de conformare:
- 6 luni: Începe interzicerea practicilor de inteligență artificială considerate periculoase.
- 12 luni: Modelele generative de inteligență artificială (GPAI) vor fi supuse unor reguli stricte, cu excepția celor deja existente pe piață, pentru care se acordă o perioadă de adaptare de încă doi ani.
- 24 luni: Majoritatea prevederilor Regulamentului IA intră în vigoare, stabilind un cadru legal clar pentru dezvoltarea și utilizarea inteligenței artificiale.
- 36 luni: Sistemele de inteligență artificială cu risc ridicat, vor trebui să respecte cerințe suplimentare.
- 48 luni: Sistemele de inteligență artificială cu risc ridicat utilizate de autoritățile publice și existente înainte de intrarea în vigoare a legii vor trebui să se conformeze noilor norme.
Ce urmează?
Regulamentul IA reprezintă un prim pas către o reglementare cuprinzătoare a inteligenței artificiale, însă impactul său asupra altor domenii conexe va fi determinat în mare măsură de actele de punere în aplicare care vor fi adoptate în viitor, atât la nivel european cât și la nivel național.
Aspecte precum proprietatea intelectuală, protecția datelor, securitatea cibernetică și resursele umane vor fi profund influențate de modul în care se va interpreta și se va aplica Regulamentul.
Având în vedere că Regulamentul IA are aproximativ 20 de acte de legislație secundară, țările UE și părțile interesate din industrie pot avea încă o influență semnificativă asupra punerii sale în aplicare în viitor întrucât urmează să se elaboreze acte delegate privind in special sistemele cu risc ridicat.
Deși România dispune de o Strategie Națională pentru Inteligența Artificială, cadrul legislativ național specific acestui domeniu este încă în curs de dezvoltare. Regulamentul UE privind IA, pe de altă parte, oferă un set mult mai cuprinzător de norme și standarde, punând un accent deosebit pe transparență, responsabilitate și etică, prin urmare legislația românească va trebui să se alinieze la aceste principii fundamentale pentru a asigura încrederea publicului în tehnologiile IA.