Primele reguli ale Regulamentului IA au devenit aplicabile. Ce urmează?

Primele reguli ale Regulamentului IA au devenit aplicabile. Ce urmează?

de Marta Popa, Deputy Managing Partner Voicu & Asociații

Synopsis: Deși Regulamentul (UE) 2024/1689 („Regulamentul IA” sau „Regulamentul”) a intrat în vigoare de la 1 august 2024, niciuna dintre prevederile Regulamentului IA nu s-a aplicat până la 2 februarie 2025, deoarece acestea au fost planificate să se aplice în timp, în manieră fazată. La data de 2 februarie 2025 au devenit, astfel, aplicabile, primele reguli ale Regulamentului AI, așa cum vor fi prezentate mai detaliat în cele ce urmează. Și, în contextul finalizării consultării începute la 13 noiembrie 2024 de către Oficiul European pentru IA cu privire la aspectele critice ale Regulamentului IA, inclusiv definirea sistemelor de IA și a practicilor interzise, au fost publicate în premieră Instrucțiuni draft ^[1] în aceste domenii.

Primele prevederi ale Regulamentului IA au intrat în vigoare la 02 februarie 2025

Prima etapă a Regulamentului IA a început la 02 februarie 2025, cu doar câteva zile înainte de Summitul IA ce a avut loc la Paris în perioada 10-11 februarie 2025. In concret, la 02 februarie 2025 a intrat in vigoare interzicerea anumitor utilizări ale IA considerate inacceptabile din punct de vedere al riscului de către Regulamentul IA (articolul 5); asemenea, obligațiile de alfabetizare în domeniul IA (articolul 4) și definiția sistemului IA (articolul 3) sunt aplicabile de la aceeași dată.

Trebuie remarcat faptul că conceptele juridice în legătură cu definiția sistemului IA și interdicțiile practicilor IA inacceptabile existau deja în Regulamentul IA, motiv pentru care consultarea inițiată de Oficiul European de IA a avut ca scop identificarea de exemple practice suplimentare de la părțile interesate^[2] (stakeholder-i) pentru a contribui la emiterea de instrucțiuni/clarificări care să ofere mai multă claritate cu privire la aspectele practice și cazurile de utilizare. O astfel de claritate este esențială pentru furnizorii (providers) și implementatorii de sisteme de IA (deployers), interdicțiile fiind direct aplicabile începând cu 2 februarie 2025. Instrucțiunile vor ajuta autoritățile naționale competente, furnizorii și implementatorii să respecte și să asigure aplicarea uniformă a Regulamentului IA.

Obligații de alfabetizare AI. Sensibilizare.

Una dintre primele obligații în temeiul Regulamentului IA este aceea de a pune în aplicare măsuri de alfabetizare în domeniul IA, măsuri care devin aplicabile începând cu 02 februarie 2025 și vizează furnizorii (și anume, entități care dezvoltă sistemul de IA sau un model de IA de uz general sau care are un sistem de IA sau un model de IA de uz general dezvoltat și îl introduce pe piață sau pune în funcțiune sistemul de IA sub propriul nume sau marcă comercială; fie contra cost sau gratuit) și implementatorii (entități care utilizează un sistem de IA sub autoritatea lor, cu excepția cazului în care sistemul de IA este utilizat în cursul unei activități personale neprofesionale) de sisteme de IA, indiferent de riscurile și capacitățile sistemului de IA relevant.

Aceste entități au obligația de a lua măsuri pentru a asigura, în cea mai mare măsură posibilă, un nivel suficient de alfabetizare în materie de IA al personalului lor și al altor persoane care se ocupă de operarea și utilizarea sistemelor de IA în numele lor. În conformitate cu Regulamentul IA, alfabetizarea în domeniul IA înseamnă competențele, cunoștințele și înțelegerea care le permit furnizorilor, implementatorilor și persoanelor afectate, ținând seama de drepturile și obligațiile lor respective în contextul Regulamentului IA, să implementeze sistemele de IA în cunoștință de cauză și să conștientizeze oportunitățile și riscurile pe care le implică IA, precum și prejudiciile pe care le pot aduce.

Întrucât Regulamentul IA nu oferă orientări specifice privind domeniul de aplicare sau conținutul trainingului, respectarea obligațiilor de alfabetizare în materie de IA poate crea confuzie.

Cu toate că obligațiile din Regulament privind alfabetizarea în domeniul IA sunt deja în vigoare, sancțiuni pentru neconformitate se vor putea aplica abia după 6 luni, de la 02 august 2025. Va fi la latitudinea autorităților naționale competente ale fiecărui stat membru al UE să impună, de la această dată, măsuri de asigurare a respectării legislației și sancțiuni pentru a asigura conformitatea cu Regulamentul. În prezent, nu există sancțiuni specifice prevăzute în Regulament pentru încălcarea obligațiilor de alfabetizare în materie de IA; cu toate acestea, neîndeplinirea obligației în perioada interimară (până la 02 august 2025) rămâne contrară legii. Este de așteptat ca îndeplinirea sau neîndeplinirea unor astfel de obligații să poată fi luată în considerare de autoritățile competente atunci când decid aplicarea unei sancțiuni adecvate pentru încălcări ale Regulamentului IA.

Organizațiile ce au regim de furnizori sau implementatori potrivit Regulamentului IA vor trebui să urmarească orientări/instrucțiuni suplimentare privind alfabetizarea în domeniul IA, pe măsură ce acestea vor fi deveni disponibile.

Pentru a se pregăti pentru respectarea obligațiilor de alfabetizare IA, companiile impactate vor trebui să-și construiască modul cum vor aborda aceste obligații în cadrul unei strategii specifice contextului în care se află, deoarece nu există o abordare unică a obligațiilor de alfabetizare. Factori specifici, precum rolul pe care îl joacă și obligațiile pe care le au în temeiul Regulamentului IA sau tipul de risc prezentat de sistemele lor de IA, pot fi luați în considerare pentru a adaptarea măsurilor de alfabetizare în materie de IA.

Instrucțiuni privind definirea unui sistem de IA

Instrucțiunile draft privind definirea sistemelor AI au fost publicate pe 06 februarie 2025 și oferă metodologia pentru a distinge sistemele AI de sistemele software tradiționale simple sau de modelele de programare, în încercarea de a ajuta companiile care implementează Regulamentul IA să definească sistemele care nu intră în domeniul de aplicare al acestuia.

În ceea ce privește definiția sistemelor de IA, instrucțiunile draft concluzionează următoarele:

1. Definirea unui sistem de IA cuprinde un spectru larg de sisteme. Determinarea dacă un sistem software este un sistem de IA ar trebui să se bazeze pe arhitectura și funcționalitatea specifice ale unui anumit sistem și ar trebui să ia în considerare cele șapte elemente ale definiției prevăzute la articolul 3 alineatul (1) din Regulamentul IA, după cum urmează:
   “(1) un sistem bazat pe o mașină; (2) care este conceput să funcționeze cu diferite niveluri de autonomie; (3) care poate prezenta adaptabilitate după implementare; (4) și care, urmărind obiective explicite sau implicite; (5) deduce, din datele de intrare pe care le primește, modul de generare a unor rezultate (6), precum previziuni, conținut, recomandări sau decizii (7) care pot influența mediile fizice sau virtuale.”
2. Nu este posibilă o determinare mecanică / automată sau liste exhaustive de sisteme care se încadrează sau nu în definiția unui sistem de IA, din cauza naturii diverse a sistemelor de IA.
3. Numai anumite sisteme de IA sunt supuse obligațiilor de reglementare și supravegherii în temeiul Regulamentului IA. Abordarea bazată pe risc a Regulamentului IA înseamnă că numai sistemele care generează cele mai semnificative riscuri la adresa drepturilor și libertăților fundamentale vor face obiectul interdicțiilor prevăzute la articolul 5 din Regulamentul IA, regimului său de reglementare pentru sistemele de IA cu grad ridicat de risc care intră sub incidența articolului 6 din Regulamentul IA și cerințelor sale de transparență pentru un număr limitat de sisteme de IA predefinite prevăzute la articolul 50 din Regulamentul IA. Marea majoritate a sistemelor, chiar dacă se califică drept sisteme de IA în sensul articolului 3 alineatul (1) din Regulamentul IA, nu vor face obiectul niciunei cerințe de reglementare în temeiul Regulamentului IA.
4. Regulamentul IA se aplică, de asemenea, modelelor de IA de uz general, care sunt reglementate în capitolul V din Regulamentul IA. Analiza diferențelor dintre sistemele de IA și modelele de IA de uz general nu intră în domeniul de aplicare al orientărilor.

Instrucțiuni privind practicile interzise de inteligență artificială stabilite prin Regulamentul IA

Instrucțiunile draft privind practicile interzise au fost publicate pe 04 februarie 2025 și oferă o imagine de ansamblu asupra practicilor IA care sunt considerate inacceptabile din cauza riscurilor lor potențiale pentru valorile și drepturile fundamentale europene.

Regulamentul IA a interzis încă de la început anumite aplicații de IA, cum ar fi:

• sisteme de evaluare socială;
• evaluarea și predicția riscului individual de infracțiuni;
• baze de date neautorizate de recunoaștere facială;
• recunoașterea emoțiilor la locul de muncă sau la școală (cu excepția motivelor medicale sau de siguranță).

Sunt, de asemenea, interzise exploatarea vulnerabilităților oamenilor, manipularea sau tehnicile subliminale. Recunoașterea facială în timp real în spațiile publice și clasificarea biometrică pentru identificarea caracteristicilor personale sunt, și ele, interzise, cu unele excepții de aplicare a legii.

Ca și în cazul alfabetizării în domeniul IA, nerespectarea interdicției privind anumite practici IA în perioada interimară până la aplicarea sancțiunilor pentru neconformitate (până la 2 august 2025) rămâne contrară legii. Asigurarea respectării legislației va fi asigurată de noul Oficiu pentru IA și de autoritățile naționale competente. Încălcările pot duce la amenzi în urmatorul cuantum: până la 35 de milioane EUR sau 7% din cifra de afaceri anuală globală (oricare dintre acestea este mai mare) pentru încălcări legate de practici interzise (întrucât sunt considerate a constitui cea mai gravă încălcare). Pot apărea și alte sancțiuni: eliminarea de pe piață a sistemului de IA neconform, răspunderea civilă pentru daune, prejudicii reputaționale.

Sursa: C_2025_884_1_EN_annexe_acte_autonome_cp_part1_v4_112367

Notă: Instrucțiunile Draft nu sunt obligatorii din punct de vedere juridic și nici nu stabilesc o prezumție de conformitate și vor fi actualizate după cum este necesar. Numai CJUE poate oferi interpretări autorizate. Cu toate acestea, instrucțiunile oferă un sprijin practic semnificativ pentru întreprinderile care pun în aplicare Regulamentul UE privind IA.

CE ACȚIUNI SUNT NECESARE ACUM?

Deși aplicabilitatea deplină a Regulamentului IA nu este încă imediată, organizațiile aflate în scopul Regulamentului ar trebui să înceapă fără întârziere pregătirea pentru conformitate. Este necesară o evaluare a proceselor și politicilor interne pentru a identifica, în primul rând, dacă sunt vizate de obligațiile care decurg din Regulamentul IA și să-și construiască o strategie de conformitate a sistemelor lor AI (sau ale unor împuterniciți terți) cu Regulamentul IA, strategie menită să-i protejeze nu numai în relațiile cu organele competente ale statului, ci și cu partenerii lor contractuali, consumatorii, angajații, care pot introduce acțiuni civile pe temeiuri specifice pentru despăgubiri suferite ca urmare a nerespectării obligațiilor ce le reveneau acestor organizații în baza Regulamentului.

CUM PUTEM AJUTA? Voicu & Asociații vă poate fi alături în cadrul procesului de audit și poate face recomandări de optimizare a procedurilor și proceselor specifice de conformare. Echipa de proiect lucrează într-o formulă multidisciplinară pentru a aborda în manieră holistică proiecte de suport în conformarea la Regulamentul IA, formulă ce include avocați specializați în Digital & Tech law precum și specialiști în securitate cibernetică.

^[1] Instrucțiunile vor fi adoptate oficial de Comisie la o dată ulterioară, când vor fi disponibile toate versiunile lingvistice. Abia din acel moment vor fi aplicabile aceste instrucțiuni.

^[2] de exemplu, furnizorii și implementatorii de sisteme de IA, organizațiile societății civile, mediul academic, autoritățile publice, asociațiile de afaceri etc.