Calendarul de aplicare a prevederilor din regulamentul privind inteligența artificială

Regulamentul (UE) 2024/1689 a fost publicat pe 12 iulie în Jurnalul Oficial al Uniunii Europene, urmând să intre în vigoare în 20 de zile de la publicare (adică 1 august 2024) și având o aplicare directă în toate statele membre, inclusiv România, fără a fi nevoie de eventuale transpuneri. 

Aducând o suită întreagă de obligații în zona utilizării AI-ului în Uniunea Europeană, legiuitorul european a stabilit mai multe termene de intrare în vigoare a celor mai importante obligații. Despre aplicabilitatea generală a regulamentului vorbim însă abia de la 2 august 2026. Până atunci se vor aplica, treptat, diferite prevederi din regulament, conform cronologiei redate mai jos:

Între timp, avem în vedere că la 2 februarie 2025 intră în vigoare primele două capitole din regulament, cele care stabilesc cadrul general de aplicare, obligațiile furnizorilor și implementatorilor AI de alfabetizare în domeniu, precum și practicile interzise în domeniul AI. Vorbim, mai precis, de domeniul de aplicare a regulamentului, precum și de toate definițiile oferite - toate vor intra în vigoare abia la anul. Tot de atunci se vor aplica și obligațiile legate de alfabetizarea în domeniul AI - ce înseamnă asta și pe cine vizează? Furnizorii și implementatorii de sisteme de IA, mai exact, sunt cei trebuie să ia măsuri „pentru a asigura, în cea mai mare măsură posibilă, un nivel suficient de alfabetizare în domeniul IA a personalului lor și a altor persoane care se ocupă cu operarea și utilizarea sistemelor de IA în numele lor, ținând seama de cunoștințele tehnice, experiența, educația și formarea lor și de contextul în care urmează să fie folosite sistemele de IA și luând în considerare persoanele sau grupurile de persoane în legătură cu care urmează să fie folosite sistemele de IA”.

Capitolul II din regulament privește practicile interzise - începând din 2 februarie 2025, regulamentul interzice utilizarea sistemelor de AI care manipulează comportamentul persoanelor în mod subliminal sau înșelător, exploatează vulnerabilitățile specifice ale individului, implementează punctaje sociale care pot duce la discriminare sau tratament prejudiciabil în afara contextului inițial de colectare a datelor, și folosesc evaluarea riscurilor pentru a prezice comportamentele infracționale pe baza profilării. De asemenea, sunt interzise sistemele de AI care creează baze de date de recunoaștere facială fără un scop precis, deduc emoții în locurile de muncă în afara scopurilor medicale sau de siguranță, și clasifică persoanele fizice pe baza datelor biometrice în scopuri discriminatorii. Utilizarea identificării biometrice la distanță în timp real în spații publice de către forțele de ordine este permisă doar în cazuri de urgență sau pentru obiective specifice strict necesare și trebuie să fie autorizată în prealabil de o autoritate judiciară sau administrativă independentă. Regulamentul impune raportări anuale și garantează că toate aceste practici sunt supuse condițiilor stricte pentru a proteja drepturile și libertățile individuale.

Totodată, mai precizează regulamentul, codurile de bune practici vor trebui ar trebui să fie gata până la 2 mai 2025, pentru a permite furnizorilor să demonstreze conformitatea în timp util. 

La un an de la intrarea în vigoare a regulamentului, pe 2 august anul viitor, intră în vigoare mai multe prevederi din capitolul III (reglementările legate de autoritățile naționale de notificare și de organismele de notificare), capitolele V, VII, XII (normele privind modelele de AI de uz general, Oficiul pentru AI și sancțiunile), precum și art. 78 din regulament (obligația de confidențialitate a tuturor entităților, inclusiv persoanelor fizice implicate în aplicarea regulamentului). 

Practic, până vara viitoare ar trebui să știm cine e autoritatea națională de notificare pe care România a desemnat-o responsabilă (posibil, ANCOM?) cu instituirea și efectuarea procedurilor necesare pentru evaluarea, desemnarea și notificarea organismelor de evaluare a conformității și pentru monitorizarea acestora (evaluarea conformității se referă la procesul prin care se demonstrează dacă au fost îndeplinite sau nu cerințele prevăzute în capitolul III secțiunea 2 referitoare la un sistem de AI cu grad ridicat de risc). 

Capitolul V se referă la modelele GAI (adică modelele de AI de uz general) și descrie procesul de clasificare a acestora, în special în ceea ce privește recunoașterea modelelor de AI de uz general cu risc sistemic. Se stabilește că un model poate fi clasificat ca având risc sistemic dacă are capabilități cu impact ridicat sau este recunoscut ca atare de Comisie. Procesul include notificarea Comisiei de către furnizorii de AI care îndeplinesc criteriile de risc și permite Comisiei să modifice pragurile și criteriile în funcție de evoluțiile tehnologice. Articolul 52 din acest capitol descrie procedura prin care un model de IA poate fi oficial desemnat ca având risc sistemic. Secțiunile următoare detaliază obligațiile furnizorilor de modele de IA de uz general, precum și ale furnizorilor de modele cu risc sistemic, stipulând cerințe precum documentația tehnică, evaluarea riscurilor, securitatea cibernetică și desemnarea unui reprezentant autorizat în UE pentru furnizorii non-UE. Codurile de bune practici sunt, de asemenea, menționate ca mijloace de asigurare a conformității cu reglementările și se oferă un cadru pentru dezvoltarea și evaluarea acestora.

Tot de la 2 august anul viitor vorbim și de intrarea în vigoare a unui set de măsuri de sprijinire a inovării, cuprinse în al șaselea capitol al regulamentului, prin instituirea de „spații de testare în materie de reglementare”. Fiecare stat membru al UE trebuie să creeze cel puțin un astfel de spațiu național de testare a tehnologiilor AI până la 2 august 2026, care să poată funcționa și în cooperare cu alte state. Spațiile de testare vor oferi un mediu controlat pentru dezvoltarea, testarea și validarea sistemelor de AI inovatoare, cu sprijinul autorităților competente în identificarea și atenuarea riscurilor. Furnizorii de sisteme de AI care participă la aceste spații vor primi orientări și potențial o documentație care să ateste conformitatea cu regulamentul. Obiectivele acestor spații sunt de a îmbunătăți cadrul legal pentru AI, de a stimula schimbul de bune practici, de a promova inovarea și competitivitatea și de a facilita accesul la piața UE, în special pentru IMM-uri și startup-uri. Testarea în condiții reale este, de asemenea, reglementată, cu mențiunea că răspunderea pentru daunele cauzate terților în timpul testării revine furnizorilor și că statele trebuie să asigure cooperarea dintre diferitele autorități implicate în supervizarea testării AI. Rămâne de văzut cum se va descurca România aici. 

Până la 2 august 2025 va trebui înființat și Oficiul pentru AI de la nivelul UE. 

Foarte important, tot de la 2 august anul viitor se aplică și regimul sancționatoriu, adică al XII-lea capitol din regulament. Statele membre sunt obligate să stabilească norme pentru aplicarea unor sancțiuni eficiente, proporționale și descurajatoare, amenzi care pot ajunge, conform regulamentului, până la 35 de milioane de euro sau 7% din cifra de afaceri mondială anuală, în funcție de gravitatea încălcării. Regulamentul oferă atenție specială IMM-urilor și întreprinderilor nou-înființate, în cazul cărora nu putem vorbi de sancțiuni destabilizante și stabilește că sancțiunile pot fi individualizate în funcție de diverse criterii precum natura și gravitatea încălcării, cooperarea cu autoritățile, intenția și măsurile luate pentru atenuarea daunei.

De la această dată se aplică art. 6 alin. (1) și obligațiile corespunzătoare din regulament. Vorbim, mai precis, de normele de clasificare pentru sistemele de AI cu grad ridicat de risc. Regulamentul stabilește că indiferent dacă un sistem de AI este introdus pe piață sau pus în funcțiune independent de produsele menționate la literele (a) și (b), respectivul sistem este considerat ca prezentând un grad ridicat de risc în cazul în care sunt îndeplinite cumulativ următoarele două condiții:

(a) sistemul de AI este destinat a fi utilizat ca o componentă de siguranță a unui produs sau sistemul de AI este el însuși un produs care face obiectul legislației de armonizare a Uniunii care figurează în anexa I a regulamentului;

(b) produsul a cărui componentă de siguranță în temeiul literei (a) este sistemul de AI sau sistemul în sine ca produs trebuie să fie supus unei evaluări a conformității de către o terță parte, în vederea introducerii pe piață sau a punerii în funcțiune a produsului respectiv în temeiul legislației de armonizare a Uniunii care figurează în anexa I.

Regulamentul oferă deja o listă de astfel de sisteme cu risc ridicat - e vorba de cele din anexa III. Inclusiv acestea vor intra în vigoare tot din august 2027. 

De asemenea, stabilește regulamentul, furnizorii de modele de AI de uz general care au fost introduse pe piață înainte de 2 august 2025 iau măsurile necesare pentru a se conforma obligațiilor din regulament până la 2 august 2027.