UPDATE: Regulamentul european privind inteligența artificială a fost publicat. Impactul acestuia ar putea fi mai mare decât al GDPR, spun specialiștii

Adoptat în primăvară, în premieră la nivel mondial, Regulamentul (UE) 2024/1689 reprezintă primul set de reglementări privind Inteligența Artificială ce are ca scop protejarea drepturilor fundamentale, promovarea democrației, consolidarea statului de drept și menținerea sustenabilității mediului în fața sistemelor de inteligență artificială cu un grad ridicat de risc. Prin acest regulament, legiuitorul european introduce primele interdicții în ceea ce privește inteligența artificială, cu referire directă la supravegherea biometrică, precum și la recunoașterea emoțiilor (în perspectiva evitării unor acțiuni care să aibă efect manipulator). 

Co-raportorul Dragoș Tudorache, unul dintre cei doi inițiatori ai demersului, a declarat: „Este prima piesă de legislație de acest fel la nivel mondial, ceea ce înseamnă că UE poate conduce în a face AI centrată pe om, de încredere și sigură. Am lucrat pentru a sprijini inovația AI în Europa și pentru a oferi start-up-urilor, IMM-urilor și industriei spațiu pentru a crește și a inova, în timp ce protejăm drepturile fundamentale, consolidăm supravegherea democratică și asigurăm un sistem matur de guvernanță și aplicare a AI.”

De asemenea, documentul conține stipularea clară a dreptului de a face plângeri cu privire la sistemele AI, toate acestea având ca fundament intenția ca dezvoltarea AI în UE să fie centrată pe oameni și conformă unei etici neechivoce, urmând reguli clare de transparență și de gestionare a riscurilor. În vederea atingerii acestor deziderate, un prim pas considerat important este acela al definirii noțiunii de sistem de AI, care trebuie să fie neutră din punct de vedere tehnologic, astfel încât această definiție să fie valabilă atât în prezent, cât și în viitor. 

 Sistem de inteligență artificială = „un sistem bazat pe o mașină care este conceput să funcționeze cu diferite niveluri de autonomie și care poate prezenta adaptabilitate după implementare, și care, urmărind obiective explicite sau implicite, deduce, din datele de intrare pe care le primește, modul de generare a unor rezultate precum previziuni, conținut, recomandări sau decizii care pot influența mediile fizice sau virtuale” 

Regulamentul a fost publicat azi în Jurnalul Oficial al Uniunii Europene, urmând să intre în vigoare în 20 de zile de la publicare și având o aplicare directă în toate statele membre, inclusiv România, fără a fi nevoie de eventuale transpuneri. De reținut însă că aplicarea sa generală se realizează de la 1 august 2026 și că vorbim de o aplicare etapizată a diferitelor sale prevederi:

• la 2 februarie 2025 intră în vigoare primele două capitole, cele care stabilesc cadrul general de aplicare, obligațiile furnizorilor și implementatorilor AI de alfabetizare în domeniu, precum și practicile interzise în domeniul AI;
• la 2 august 2025 intră în vigoare mai multe prevederi din capitolul III (reglementările legate de autoritățile naționale de notificare și de organismele de notificare), capitolele V, VII, XII (normele privind modelele de AI de uz general, Oficiul pentru AI și sancțiunile), precum și art. 78 din regulament (obligația de confidențialitate a tuturor entităților, inclusiv persoanelor fizice implicate în aplicarea regulamentului);
• la 2 august 2026 are loc aplicarea generală a regulamentului;
• la 2 august 2027 are loc aplicarea art. 6 (1) și a obligațiilor corespunzătoare - normele de clasificare pentru sistemele de AI cu grad ridicat de risc.

Regulamentul face o clasificare a sistemelor de AI în funcție de riscul pe care îl prezintă, de la sisteme cu risc scăzut la sisteme cu risc ridicat. Sistemele cu risc ridicat sunt supuse unor cerințe stricte de evaluare a conformității înainte de a fi introduse pe piață, autoritățile naționale de supraveghere a pieței având responsabilitatea de a monitoriza conformitatea acestor sisteme. 

„Pe scurt, ce trebuie să știe companiile este că acest act legislativ reglementează utilizarea inteligenței artificiale, și nu tehnologia în sine. El face parte din pachetul digital al uniunii menit să pregătească UE pentru era digitală. Acesta a fost conceput pentru a sprijini inovația și adoptarea soluțiilor de inteligență artificială într-un mod care are în centru factorul uman și care este fiabil, pentru a proteja sănătatea, siguranța, drepturile fundamentale, democrația, statul de drept și mediul împotriva potențialelor efecte dăunătoare ale sistemelor de IA. Regulamentul urmărește, de asemenea, să îmbunătățească funcționarea pieței unice europene, oferind securitate juridică și spații de testare în materie de reglementare pentru a promova dezvoltarea în continuare a IA, în special de către companiile nou-înființate și de către IMM-uri”, precizează Simina Mut, Partener Reff & Asociații | Deloitte Legal. 

Riscuri și interdicții

Regulile adoptate stabilesc norme atât pentru furnizori, cât și pentru utilizatorii de AI, urmând ca sistemele care vor fi identificate ca având un nivel ridicat de risc să fie supuse unei evaluări riguroase a conformității înainte de a fi introduse pe piață. Aceasta include verificarea conformității cu cerințele de securitate, protecția datelor și transparență. Operatorii acestor sisteme trebuie să furnizeze informații clare și accesibile despre modul de funcționare al sistemului, inclusiv detalii despre algoritmi și utilizarea datelor. Este obligatorie implementarea unor măsuri de gestionare a riscurilor pentru a identifica și a atenua riscurile asociate cu utilizarea sistemelor de AI cu risc ridicat.

Europarlamentarii au ținut să definească clar noțiunea de „risc ridicat”, incluzând orice situație care ar duce la vătămarea sănătății, siguranței, drepturilor fundamentale ale omului sau la afectarea mediului. O zonă de concentrare a reglementărilor europene e cu privire la interzicerea folosirii inteligenței atificiale cu scopul de a influența campaniile electorale.

Noile reguli impun restricții asupra anumitor utilizări ale inteligenței artificiale care pun în pericol drepturile cetățenilor, incluzând sistemele biometrice de clasificare fundamentate pe caracteristici sensibile ale indivizilor. Interdicțiile se extind și asupra recunoașterii emoțiilor în mediul de muncă și în instituțiile de învățământ, a atribuirii unui scor social, a sistemelor de poliție predictivă bazate exclusiv pe profilarea individului sau pe analiza trăsăturilor sale, precum și a utilizării inteligenței artificiale pentru manipularea comportamentului uman sau exploatarea vulnerabilităților individuale.

De asemenea, se interzice extragerea nejustificată a imaginilor faciale de pe internet sau din înregistrările camerelor de supraveghere pentru a constitui baze de date destinate recunoașterii faciale.

Deși utilizarea sistemelor de identificare biometrică de către autoritățile de aplicare a legii este interzisă, există excepția unor circumstanțe precis enumerate și strict definite.

Astfel, instalarea sistemelor de identificare biometrică "în timp real" este permisă doar sub condiția respectării unor garanții stricte, cum ar fi limitarea utilizării lor în timp și spațiu și obținerea aprobării prealabile de către o autoritate judiciară sau un organ administrativ.

Aceste sisteme pot fi utilizate, de exemplu, pentru căutarea unei persoane dispărute sau pentru prevenirea unui atac terorist. Utilizarea acestor sisteme în mod retroactiv (cunoscută și sub denumirea de sisteme de identificare biometrică "ulterioară") este considerată o acțiune cu un nivel ridicat de risc și este permisă doar cu emiterea unei autorizații judiciare legată de o infracțiune penală.

Cine e afectat și ce obligații au companiile

Companiile din toate sectoarele de activitate, dar mai ales cele din servicii financiare, tehnologie, farma, servicii medicale și utilități, vor trebui să se conformeze Regulamentului UE privind AI, care promite să aibă un impact chiar mai semnificativ decât GDPR, în opinia Deloitte. Companiile au o perioadă de tranziție de 24 de luni pentru majoritatea prevederilor, dar interdicțiile pentru sistemele „inacceptabile” se vor aplica în șase luni. Nerespectarea acestor reguli poate duce la sancțiuni financiare semnificative, de până la 7% din cifra de afaceri globală. Pentru a se asigura de conformitate, companiile trebuie să revizuiască sistemele actuale și să evalueze riscurile, pentru a identifica și a aborda cerințele aplicabile. 

„Impactul EU AI Act asupra companiilor va fi major – chiar mai mare decât cel al celebrului regulament pentru protecția datelor, GDPR, potrivit analizei Deloitte, deoarece include un set de cerințe pentru utilizarea sistemelor de inteligență artificială cu aplicare extinsă. Aceste cerințe se aplică tuturor părților care fac parte din lanțul valoric și din ciclul de viață al IA, de la dezvoltatori până la utilizatori.

Deși se aplică tuturor companiilor, active în orice domeniu, cele mai afectate sectoare sunt serviciile financiare (în special băncile), tehnologia, farma și serviciile medicale, precum și utilitățile. Explicația constă în faptul că aceste sectoare sunt susceptibile de a avea cea mai mare concentrație a ceea ce noul regulament privind IA clasifică drept „sisteme cu risc ridicat”, adică sisteme de inteligență artificială utilizate pentru clasificarea biometrică, recunoașterea emoțiilor, evaluarea bonității, dar și pentru recrutare și pentru infrastructura critică (în cazul companiilor din sectorul utilități).

Respectarea legii privind IA devine o condiție pentru lansarea pe piață a unor astfel de sisteme, precum și pentru punerea lor în funcțiune sau pentru utilizare”, scrie în comunicatul Deloitte, transmis azi redacției.