august 27, 2025 rcplegal 0 Comments

Ce este AI Act – Regulamentul UE privind Inteligenta Artificiala? Responsabilitati pentru societatile din Romania

AI Act este primul cadru legislativ complet la nivel global pentru inteligenta artificiala, adoptat de Uniunea Europeana. A intrat in vigoare pe 1 august 2024, iar aplicabilitatea sa se desfasoara etapizat intre 2024 si 2027.

Obiectivul Regulamentului UE privind Inteligenta Artificiala este acela de a promova adoptarea inteligentei artificiale, asigurand in acelasi timp un nivel ridicat de protectie a sanatatii, a sigurantei si a drepturilor fundamentale impotriva efectelor daunatoare ale sistemelor de IA.

Ce este un sistem de IA?

Un sistem de IA inseamna un sistem bazat pe o masina care este conceput sa functioneze cu diferite niveluri de autonomie si care poate prezenta adaptabilitate dupa implementare, si care, urmarind obiective explicite sau implicite, deduce, din datele de intrare pe care le primeste, modul de generare a unor rezultate precum previziuni, continut, recomandari sau decizii care pot influenta mediile fizice sau virtuale. 

Pe langa numeroasele utilizari benefice ale IA, in functie de circumstantele legate de aplicarea si utilizarea sa specifica, precum si de nivelul sau specific de dezvoltare tehnologica, IA poate fi utilizata si in mod abuziv si poate oferi instrumente noi si puternice pentru practici de manipulare, exploatare si control social. Astfel de practici sunt deosebit de nocive si abuzive, si deoarece contravin valorilor Uniunii privind respectarea demnitatii umane, a libertatii, a egalitatii, a democratiei si a statului de drept, precum si a drepturilor fundamentale consacrate in carta, prin Regulament problema s-a abordat prin identificarea a mai multor niveluri de risc, asociate cu mai multe modalitati de gestiune si control a acestora.

Structurarea pe module ne indica ce este interzis (social scoring, manipulare subliminala), permis – dar cu cerinte stricte (evaluari, testari), permis – cu obligatii cu transparenta minimala (chatbox care isi dezvaluie natura AI) si permis fara restrictii (de ex jocuri video).

Potrivit timeline-ului progresiv de implementare, deja o buna parte din intervalele vizate s-au implinit. 

Pe 2 februarie 2025 au devenit aplicabile Capitolul I (dispozitii generale) si Capitolul II (practici interzise, „risc inacceptabil”), incluzand: manipularea subliminala, scoringul social si profilare discriminatorie pe baza de date biometrice sensibile. 

Pe 2 august 2025 a inceput aplicarea Capitolului III, Sectiunea 4 (autoritati de notificare si organisme notificate), Capitolului V (obligatiile pentru furnizorii de GPAI), Capitolului VII (guvernanta – AI Office, AI Board), Capitolului XII (sanctiuni, penalitati), Articolului 78 (confidentialitate).

La acest moment, exista un AI Office – denumit si European Artificial Intelligence Office, in cadrul Comisiei Europene, care functioneaza ca centrul supravegherii si implementarii AI Act, in colaborare stransa cu statele UE si alte structuri relevante.

Codul de bune practici pentru modelele AI generice (GPAI Code of Practice), asteptat spre publicare in mai 2025, a fost lansat, insa pe data de 10 iulie 2025, acompaniat de set de Q&A („intrebari frecvente”) menit sa clarifice aplicarea practica.

Pe 18 iulie 2025, Comisia Europeana a emis Guidelines for providers of general purpose AI models, documente menite sa clarifice cine trebuie sa se conformeze regulamentului, definitiile cheie (de ex. „GPAI”) si conditiile pentru exceptiile de tip open source.

Aceste ghiduri completeaza Codul si ofera claritate operationala. 

Amazon, Google, IBM, Microsoft, OpenAI, Fastweb, dar si o lista lunga de alti furnizori de servicii se numara printre semnatarii codului. Comisia si Consiliul pentru Inteligenta Artificiala (AI Board) au confirmat ca acest cod reprezinta un instrument voluntar adecvat pentru furnizorii de modele GPAI pentru a demonstra conformitatea cu AI Act.

Care sunt implicatiile la nivel de business in Romania?

Adoptarea AI Act, a Codului de bune practici GPAI si a Ghidurilor Comisiei are cateva consecinte directe pentru firmele din Romania, mai ales in functie de rolul lor in lantul valoric AI.

Firmele romanesti care dezvolta modele proprii de AI generativa sau LLM-uri (similar GPT- model de invatare automata antrenat pe volume foarte mari de date text pentru a intelege si genera limbaj natural) vor fi considerate providers si trebuie sa respecte cerintele de transparenta (documentatie, date, energie, costuri); sa asigure respectarea drepturilor de autor la antrenare, sa gestioneze riscurile de securitate si fiabilitate (mai ales daca modelele sunt cu „risc sistemic”). 

Firmele IT din Romania care integreaza modele GPAI (ex. ChatGPT API, Claude, LLaMA) in aplicatii proprii trebuie sa verifice conformitatea furnizorului; sa documenteze utilizarea modelelor si sa informeze clientii finali privind limitarile si drepturile de autor.

Companii din banci, retail, sanatate, telecom care implementeaza AI generativa trebuie sa evalueze riscurile si impactul asupra datelor cu caracter personal si proprietatii intelectuale.

Riscurile pentru neconformare, la acest moment pot insemna blocarea accesului pe piata UE, controale din partea AI Office si autoritatilor nationale, risc juridic pe copyright daca modelele sunt antrenate pe date web fara licente, toate insemnand in acelasi timp si risc reputational, folosirea modelelor nonconforme putand afecta increderea clientilor.

De aceea, noi consideram ca o conformare timpurie poate aduce liniste, siguranta si un avantaj competitiv. Companiile care adopta Codul si bunele practici sunt ferite de neplaceri si pot obtine mai usor contracte europene si parteneriate internationale.

Astfel, se recomanda:

  • Identificarea tuturor aplicatiilor, modelelor si serviciilor AI utilizate in firma (ex. ChatGPT, Claude, LLaMA, modele interne);
  • Identificarea rolului societatii in fiecare  (firma este furnizor, integrator sau utilizator final?);
  • Evaluarea riscurilor si obligatiilor, prin clasificarea modelelor in tip GPAI, high-risk sau noncritical;
  • Adoptarea Codului de bune practici (voluntar) – daca firma dezvolta modele proprii sau solicitarea catre furnizori a dovezii semnarii Codului sau conformitatii, daca firma este integrator;
  • Actualizarea politicilor interne privind AI si protectia datelor;
  • Stabilirea unui responsabil AI (Data/AI Officer, care poate fi DPO-ul sau membru al echipei de conformitate) care urmareste actualizarile de la AI Office si Autoritatea nationala competenta (neobligatoriu, dar recomandabil).

In ceea ce priveste Autoritatea nationala competenta, vorbim inca la nivel de proiect, intrucat nu a fost inca desemnata oficial o autoritate nationala competenta pentru aplicarea AI Act, in ciuda termenului-limita de 2 noiembrie 2024 impus de UE.

Strategia Nationala SNIA 20242027 prevede instituirea unei autoritati dedicate, dar implementarea concreta e in curs, sub coordonarea Autoritatii pentru Digitalizarea Romaniei (ADR) si Ministerului Cercetarii, Inovarii si Digitalizarii (MCID).

Chiar daca legislatie specifica nationala nu exista, iar o Autoritate nationala competenta nu a fost inca desemnata, acest articol se doreste a fi un semnal de alarma catre companiile care folosesc AI in operatiuni.

Companiile de recrutare/HR care folosesc AI pentru screening de CV-uri, interviuri video, magazine online care folosesc AI pentru recomandari, preturi dinamice, chatbox-uri, entitati din Educatie care folosesc evaluari automate, generare de materiale educationale au ca obligatii: transparenta fata de utilizator, audit, asigurarea respectarii drepturilor (ex: nediscriminare).

Sunt supuse celor mai stricte cerinte de conformitate sistemele care decid angajarea, promovarea, evaluarea(scoring-ul), acordarea de bonusuri sau beneficii angajatilor, fiindca aceste activitati implica decizii importante asupra oamenilor si trebuie tratate cu maxima responsabilitate.

Societatile care folosesc AI in astfel de procese decizionale (HR, scoring), trebuie sa identifice si clasifice sistemul de AI utilizat ca fiind cu risc ridicat, sa solicite de la furnizor descrierea tehnica a sistemului, informatii despre modul de antrenare si testare a AI-ului, riscurile identificate (bias, discriminare etc.), masuri de control implementate. De asemenea, sistemul AI trebuie testat inainte de utilizare reala pentru eficienta, corectitudine (evitarea bias-urilor), non-discriminare, conformitate cu GDPR. Poate cel mai important pas, transparenta fata de angajati este obligatorie. Angajatii, candidatii sau alte persoane afectate trebuie: sa fie informate ca sunt evaluate de un sistem AI, sa li se explice cum influentează AI decizia finala, sa aiba dreptul la explicatie si contestare.

Rezultatele folosirii unui astfel de sistem trebuie monitorizat continuu, iar in paralel, trebuie sa existe si un plan scris de gestionare a riscurilor, in caz de detectare a unor erori, incidente sau discriminari automate care poate culmina cu retragerea sistemului daca afecteaza negativ angajatii sau candidatii.

Operatorii (HR, manageri etc.) care lucreaza cu sistemul trebuie instruiti privind limitele AI-ului , sa stie ce pot si ce nu pot lasa un AI sa decida singur si trebuie sa poata verifica, corecta sau anula deciziile AI.

Recomandam sa pastrati dovezi ale verificarilor asupra corectitudinii, performantei si impartialitatii sistemului si sa puteti fi capabili a explica oricand de ce a fost respins un candidat daca AI a fost implicata.

Desi la inceput de drum, institutiile si societatile din Romania vor trebui sa urmareasca si sa aplice cu consecventa dispozitiile Regulamentului Eu privind inteligenta artificiala si actele subsecvente acestuia. Echipa RCP Legal va reveni periodic cu informatii in domeniu. 

Autor: Av. Lavinia Rusu

Categories:
Etichete: , , , ,

Leave a Reply:

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *