Inteligența artificială sub lupă: ce trebuie să știe companiile din România despre noul regulament european (AI Act)

Cabinet de avocat DRAGAN IACOB CONSTANTIN > Articole > Inteligența artificială sub lupă: ce trebuie să știe companiile din România despre noul regulament european (AI Act)

În martie 2024, Parlamentul European a adoptat Regulamentul privind Inteligența Artificială (AI Act), un pas major în reglementarea tehnologiilor de inteligență artificială în Uniunea Europeană. Acesta marchează o schimbare de paradigmă esențială, care va afecta direct companiile, dezvoltatorii de software, importatorii, distribuitorii și utilizatorii de soluții de AI din România. AI Act nu doar că definește cadrul legal pentru utilizarea acestei tehnologii, dar și reglează impactul său asupra drepturilor fundamentale și securității cetățenilor europeni.

I.Ce este AI Act și cum clasifică sistemele de inteligență artificială?

AI Act este primul cadru legislativ major din Uniunea Europeană destinat reglementării tehnologiilor de inteligență artificială. Adoptat în martie 2024 de Parlamentul European, regulamentul urmărește să stabilească un echilibru între promovarea inovației și protejarea drepturilor fundamentale ale cetățenilor, oferind un cadru clar pentru utilizarea responsabilă a AI în diverse domenii. Este un pas esențial în reglementarea unui domeniu aflat în continuă expansiune, care are un impact semnificativ asupra economiei, societății și vieții private.

Unul dintre principiile de bază ale AI Act este recunoașterea faptului că nu toate sistemele de inteligență artificială reprezintă aceleași riscuri pentru utilizatori sau pentru societate. În funcție de impactul potențial al fiecărui sistem AI asupra drepturilor fundamentale ale persoanelor, precum dreptul la viață privată, dreptul la nediscriminare și alte drepturi civile, sistemele sunt clasificate în patru categorii distincte. Această clasificare permite o reglementare adaptată riscurilor reale pe care le prezintă fiecare aplicație AI, cu scopul de a preveni abuzurile și de a proteja cetățenii.

  1. Risc inacceptabil – complet interzise

Sistemele AI care se încadrează în această categorie sunt considerate a prezenta riscuri semnificative pentru drepturile și libertățile fundamentale ale persoanelor și, prin urmare, sunt complet interzise. Reglementările impun interdicții clare pentru dezvoltarea și utilizarea unor astfel de soluții.

Exemple:

  • Sisteme de scorare socială: Acestea sunt folosite pentru evaluarea comportamentului unui individ pe baza unor criterii sociale, economice sau comportamentale, ceea ce poate duce la discriminare și la încălcarea principiilor fundamentale de egalitate și nediscriminare.
  • Recunoașterea facială în timp real în spațiile publice: Utilizarea tehnologiilor de recunoaștere facială în locuri publice pentru monitorizarea și urmărirea indivizilor ridică probleme semnificative legate de confidențialitatea datelor și protecția vieții private. Aceasta poate duce la supravegherea masivă a cetățenilor fără consimțământul acestora.

În aceste cazuri, AI Act recunoaște pericolele potențiale de încălcare a drepturilor fundamentale ale cetățenilor, motiv pentru care astfel de tehnologii sunt interzise în totalitate.

  1. Risc ridicat – permise doar cu respectarea unor cerințe stricte

Sistemele AI care prezintă risc ridicat pot fi utilizate, dar numai sub condiția respectării unor cerințe foarte stricte menite să protejeze utilizatorii și să minimizeze impactul negativ. Aceste soluții sunt reglementate atent și trebuie să îndeplinească standarde riguroase înainte de a putea fi implementate pe piață.

Printre domeniile în care sunt utilizate soluții AI de risc ridicat se numără:

  • Recrutarea: Utilizarea AI pentru selecția automată a candidaților (screeningul CV-urilor, analiza comportamentului în timpul interviurilor video) poate duce la discriminare involuntară sau la decizii incorecte, motiv pentru care sunt necesare reglementări precise privind transparența și responsabilitatea în procesul decizional.
  • Educația: AI-ul utilizat în scopuri educaționale (ex. platforme de învățare personalizată) trebuie să fie transparent și să evite prejudecățile care ar putea influența procesul de învățare al elevilor sau studenților.
  • Justiția: Soluțiile AI utilizate pentru analiza cazurilor legale, evaluarea riscurilor de recidivă sau luarea deciziilor judiciare trebuie să fie echitabile și să nu contribuie la perpetuarea prejudecăților existente.
  • Infrastructura critică: Sistemele AI utilizate în gestionarea infrastructurii esențiale, cum ar fi rețelele de energie electrică sau sistemele de transport, trebuie să respecte standarde riguroase de siguranță și securitate pentru a preveni orice risc de atacuri cibernetice sau eșecuri de sistem.
  • Sănătatea: Utilizarea AI în diagnosticul medical sau în administrarea tratamentelor trebuie să fie guvernată de norme clare pentru a asigura protecția vieții și sănătății pacienților, evitând erori care ar putea pune în pericol viața acestora.
  • Siguranța publică: Tehnologiile AI folosite pentru monitorizarea și prevenirea infracțiunilor, protejarea ordinii publice și salvarea de vieți trebuie să fie implementate cu o supraveghere adecvată și cu respectarea strictă a drepturilor omului.

Aceste domenii sunt extrem de sensibile și necesită un cadru legal robust care să asigure că utilizarea AI nu aduce prejudicii celor implicați.

  1. Risc limitat – necesită doar respectarea cerințelor de transparență

Sistemele AI de risc limitat sunt considerate a prezenta un impact mai scăzut asupra drepturilor fundamentale, dar totuși necesită respectarea unor cerințe de transparență. Aceste soluții nu pun în pericol direct utilizatorii, însă este esențial ca utilizatorii să fie conștienți de faptul că interacționează cu un sistem AI.

Exemplele includ:

  • Chatbot-urile: Acestea trebuie să informeze clar utilizatorul că interacționează cu o mașină, nu cu o persoană reală. Aceasta ajută la prevenirea confuziei și a eventualelor abuzuri legate de manipularea utilizatorilor.
  • Reclamele personalizate: AI-ul utilizat pentru crearea de reclame țintite trebuie să respecte cerințe de transparență în privința modului în care sunt colectate și utilizate datele personale ale utilizatorilor.
  • Sisteme de recomandare: Algoritmii  de recomandare folositi de platformele de streaming sau de comerț online trebuie să fie transparenti în privința criteriilor de selecție a produselor sau conținutului recomandat, pentru a evita manipularea utilizatorilor.

Aceste soluții nu sunt considerate a reprezenta un risc major, dar este important ca utilizatorii să fie informați corespunzător despre interacțiunile lor cu AI-ul.

  1. Risc minim – utilizabile liber, fără reglementări speciale

Sistemele AI care prezintă risc minim sunt cele care nu necesită reglementări suplimentare. Aceste soluții sunt utilizate frecvent în viața de zi cu zi și nu ridică probleme semnificative în ceea ce privește protecția drepturilor fundamentale ale utilizatorilor. De obicei, aceste soluții sunt deja foarte bine reglementate prin alte cadre legale, cum ar fi cele referitoare la protecția datelor personale (ex. GDPR).

De exemplu:

  • Asistenții virtuali: De exemplu, Siri, Alexa sau Google Assistant sunt utilizati pe scară largă pentru a ajuta utilizatorii în activitățile zilnice. Deși sunt alimentați de algoritmi AI, aceștia nu prezintă riscuri semnificative pentru utilizatori, dar trebuie să respecte cerințele de confidențialitate și protecție a datelor.
  • Sisteme de traducere automată: Utilizate în aplicații precum Google Translate, aceste soluții nu prezintă riscuri deosebite și pot fi utilizate fără reglementări speciale, atâta timp cât respectă standardele de protecția datelor.
  • Aplicații mobile de organizare a timpului: Multe aplicații de gestionare a timpului și task-urilor folosesc AI pentru a sugera activități sau pentru a ajuta utilizatorii să își gestioneze mai bine timpul. Aceste aplicații sunt considerate a prezenta un risc minim, deoarece impactul lor asupra drepturilor fundamentale este limitat.

Aceste soluții sunt cele mai frecvente aplicații comerciale de AI și nu necesită reglementări speciale, dar respectarea principiilor fundamentale de protecția datelor rămâne esențială.

II. Ce obligații au companiile din România?

Dacă activezi într-un domeniu în care utilizezi sau dezvolți sisteme AI, AI Act impune companiilor din România o serie de obligații esențiale:

  • Identificarea tipului de sistem AI utilizat și stabilirea nivelului de risc asociat.
  • Documentarea procesului de proiectare și evaluare a soluțiilor AI.
  • Respectarea cerințelor de transparență, securitate cibernetică și supraveghere umană (pentru sistemele cu risc ridicat).
  • Asigurarea conformității produselor software înainte de introducerea acestora pe piață.

De asemenea, nerespectarea reglementărilor poate atrage sancțiuni considerabile, cu amenzi de până la 35 milioane de euro sau 7% din cifra de afaceri globală a companiei – chiar și pentru entitățile din afacerea UE care impactează cetățenii europeni.

III. Cine va fi afectat direct?

Diverse industrii vor fi afectate direct de AI Act. Printre acestea se numără:

  • Furnizorii de software HR care utilizează AI pentru screeningul automată al CV-urilor sau interviuri video asistate de AI.
  • Bănci și fintech-uri care folosesc AI pentru scorarea creditelor.
  • Furnizorii de soluții de e-learning bazate pe profilarea utilizatorilor.
  • Start-up-uri tech care dezvoltă aplicații AI cu funcții autonome sau predictive.

Chiar și companiile care doar importă sau distribuie software cu componente AI pe piața europeană vor fi responsabile din punct de vedere legal pentru conformitatea acestor produse.

IV. Cum pot companiile să se pregătească?

Pregătirea corespunzătoare pentru implementarea AI Act este esențială nu doar pentru a evita riscurile legale și sancțiunile semnificative, dar și pentru a asigura că organizațiile din România pot să rămână competitive într-un mediu european tot mai reglementat. Primul pas în acest proces este să înțelegi clar poziția ta în lanțul de utilizatori de AI: ești dezvoltator, utilizator, distribuitor sau un mix al acestora? Acest lucru va determina responsabilitățile și pașii specifici de urmat pentru a respecta reglementările.

Prezentăm îmn continuare ceea ce considerăm a fi doar câțiva pași  esențiali pe care orice companie ar trebui să-i urmeze pentru a se conforma noilor reglementări:

  1. Audit intern: Identifică toate sistemele AI folosite deja

Primul pas crucial este realizarea unui audit detaliat al tuturor sistemelor de inteligență artificială deja implementate în organizație. Acest audit trebuie să cuprindă toate soluțiile AI utilizate, indiferent dacă sunt dezvoltate intern sau achiziționate de la furnizori externi. De asemenea, este important să se identifice tipul și funcționalitatea fiecărui sistem, precum și datele procesate, pentru a evalua dacă aceste soluții se încadrează într-o categorie de risc ridicat sau limitat conform AI Act.

În cadrul auditului, ar trebui să se includă:

  • Identificarea aplicațiilor AI din diverse domenii (ex. HR, marketing, procesarea datelor, sisteme de securitate).
  • Evaluarea modului în care sunt colectate și gestionate datele personale ale utilizatorilor.
  • Monitorizarea performanței acestor sisteme pentru a identifica posibile riscuri legate de erori sau abuzuri.
  1. Clasificare: Stabilește nivelul de risc al fiecărui sistem conform AI Act

După identificarea sistemelor de AI utilizate, pasul următor este evaluarea fiecărui sistem în parte și stabilirea nivelului de risc conform clasificării din AI Act. Fiecare sistem AI va trebui clasificat într-una dintre cele patru categorii de risc menționate în regulament: risc inacceptabil, risc ridicat, risc limitat sau risc minim. Acest pas este crucial pentru a determina măsurile de conformitate care trebuie implementate.

Pentru fiecare sistem, trebuie să se răspundă la întrebarea: care este impactul potențial al acestui sistem asupra drepturilor fundamentale ale utilizatorilor și asupra societății în general?

De exemplu:

  • Un sistem de recrutare automatizat care folosește AI pentru selecția candidaților ar putea fi clasificat ca având un risc ridicat și ar necesita măsuri suplimentare de transparență și audit.
  • Pe de altă parte, un chatbot folosit pentru asistență clienți ar putea fi considerat un sistem cu risc minim, dar ar trebui să respecte totuși cerințele de transparență, informând utilizatorii că interacționează cu o mașină.
  1. Evaluare de conformitate: Pregătește documentația necesară pentru sistemele cu risc ridicat.

Pentru sistemele AI care sunt considerate de risc ridicat, companiile trebuie să întocmească o evaluare detaliată a conformității. Acesta este un proces complex ce implică o analiză detaliată a modului în care fiecare sistem respectă cerințele impuse de AI Act, inclusiv:

  • Evaluarea impactului asupra drepturilor fundamentale ale utilizatorilor, pentru a identifica orice potențial prejudiciu sau abuz.
  • Documentația tehnică detaliată, care să includă informații despre procesul de dezvoltare, modelele folosite, algoritmii și modul în care sunt gestionate datele.
  • Măsuri de transparență clare, astfel încât utilizatorii să fie informați în mod corespunzător cu privire la utilizarea AI, precum și drepturile lor în ceea ce privește protecția datelor personale.
  • Măsuri de audit și monitorizare continuă pentru a asigura funcționarea etică și sigură a sistemului AI pe termen lung.

Este important să te asiguri că această documentație este actualizată și disponibilă autorităților competente, în cazul unui control sau al unei cereri de audit.

  1. Politici interne: Actualizează regulamentele interne și creează proceduri de control

Un alt pas esențial este să actualizezi regulamentele interne ale companiei și să creezi proceduri de control care să asigure respectarea cerințelor stabilite de AI Act. Aceste politici trebuie să fie integrate în procesele interne de dezvoltare a software-ului și utilizare a AI, și ar trebui să includă:

  • Politici de guvernanță a datelor, prin care compania se asigură că  datele utilizate de sistemele AI sunt gestionate în mod responsabil, în conformitate cu GDPR și alte reglementări relevante.
  • Formare și educație continuă pentru instruirea echipelor de dezvoltare și management cu privire la cerințele AI Act și bunele practici de implementare a soluțiilor de AI.
  • Procese de verificare a conformității prin care se stabilesc  proceduri clare de verificare periodică a conformității, inclusiv audituri interne și externalizate.
  • Măsuri de protecție a consumatorilor, orin care compania se asigură că toate produsele sau serviciile AI sunt sigure și transparente pentru utilizatori. De exemplu, acest lucru poate include măsuri de prevenire a discriminării în aplicațiile AI utilizate în recrutare sau în evaluarea creditelor.

Aceste proceduri trebuie implementate nu doar pentru a respecta reglementările legale, ci și pentru a construi încredere cu utilizatorii și autoritățile de reglementare.

  1. Colaborarea cu experți în reglementări și tehnologie

Întrucât AI Act impune cerințe tehnice și legale complexe, multe companii vor avea nevoie de asistență din partea experților pentru a naviga acest proces. Colaborarea cu avocați specializați în dreptul tehnologiei și protecția datelor, precum și cu experți în securitate cibernetică și AI, poate fi esențială pentru a se asigura că toate aspectele sunt acoperite corect. De asemenea, consultanța din partea unor auditori externi poate ajuta la identificarea lacunelor și la implementarea celor mai bune practici în conformitate cu reglementările.

V.Concluzie

Adoptarea Regulamentului privind Inteligența Artificială (AI Act) reprezintă un moment semnificativ în cadrul legislativ european, punând accent pe responsabilitatea și transparența în utilizarea tehnologiilor AI. În contextul în care acest regulament va influența în mod direct diverse industrii și companii din România, este esențial ca organizațiile să se familiarizeze cu cerințele impuse, pentru a preveni riscurile juridice și financiare semnificative.

Companiile trebuie să adopte măsuri proactive, inclusiv audituri interne pentru identificarea sistemelor AI utilizate, clasificarea acestora în funcție de nivelul de risc și actualizarea procedurilor interne pentru a respecta cerințele de transparență și protecție a datelor. De asemenea, este important ca organizațiile să colaboreze cu experți în reglementări și tehnologie, pentru a asigura conformitatea completă cu noul cadru legislativ.

Astfel, AI Act nu doar că reglementează utilizarea tehnologiilor de inteligență artificială, dar și protejează drepturile fundamentale ale cetățenilor europeni. Este un pas important în asigurarea unui echilibru între inovație și protecția vieții private și a securității, iar companiile care își doresc să rămână competitive în acest mediu trebuie să se adapteze rapid noilor reglementări. Implementarea acestor măsuri va contribui nu doar la evitarea sancțiunilor, dar și la consolidarea încrederii utilizatorilor în soluțiile bazate pe AI.

 

Resurse:

Regulamentul (UE) 2024/1689 al Parlamentului European și al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligența artificială și de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 și (UE) 2019/2144 și a Directivelor 2014/90/UE, (UE) 2016/797 și (UE) 2020/1828 (Regulamentul privind inteligența artificială) (Text cu relevanță pentru SEE), disponibil aici:

https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=CELEX:32024R1689

M. Dutu- Ce fel de reglementare, ce fel de etica, ce drept pentru inteligenta artificiala? disponibil pt. vizualizare aici:

https://www.juridice.ro/essentials/7653/ce-fel-de-reglementare-ce-fel-de-etica-ce-drept-pentru-inteligenta-artificiala

M. Voicu, „Unele considerații despre justiția digitală, noul Regulament UE al I.A. – martie 2024 și Convenția cadru internațională a Consiliului Europei privind I.A. – mai 2024”, articol disponibil aici:

https://www.juridice.ro/essentials/7815/unele-consideratii-despre-justitia-digitala-noul-regulament-ue-al-i-a-martie-2024-si-conventia-cadru-internationala-a-consiliului-europei-privind-i-a-mai-2024

A.S. Goga, Regulamentul UE privind inteligenta artificiala,  disponibil aici: https://www.juridice.ro/723227/regulamentul-ue-privind-inteligenta-artificiala.html

A.S Goga, Despre Regulamentul privind Inteligența artificială și despre Strategia Națională a României privind Inteligența artificială, disponibil aici:

https://www.juridice.ro/743449/despre-regulamentul-privind-inteligenta-artificiala-si-despre-strategia-nationala-a-romaniei-privind-inteligenta-artificiala.html

M. Calu, Bornele temporale ale regulamentului UE privind inteligenta artificiala, disponibil aici:

https://www.juridice.ro/743606/bornele-temporale-ale-regulamentului-ue-privind-inteligenta-artificiala.html

V. Buju, N. Moisei SCHAATSCHNEIDER, AI Act: Provocări și soluții în reglementarea controversatei inteligențe artificiale , disponibil aici: https://www.juridice.ro/695467/ai-act-provocari-si-solutii-in-reglementarea-controversatei-inteligente-artificiale.html

Iacob- Constantin DRAGAN

Avocat

Baroul Bucuresti

 

Tags: , ,