Uncategorised

Ghid practic de aplicare a Actul IA pentru companii

 

Acest ghid este destinat companiilor care fabrică, introduc pe piață sau pun în funcțiune sisteme de IA ori implementează sisteme de IA . Acest ghid este un instrument menit să introducă cititorul în aspectele cheie ale Actului IA. Ghidul are un caracter exclusiv informativ și orientativ. Conținutul său nu reprezintă și nu poate fi interpretat ca asistență juridică, recomandare sau consultanță profesională adaptată unei situații concrete. Deși informațiile prezentate au fost elaborate cu atenție, în baza cadrului legislativ disponibil la momentul redactării, nu se oferă nici o garanție privind acuratețea, actualitatea sau completitudinea lor.

Aplicarea Actului IA poate varia în funcție de specificul fiecărei companii, iar conformitatea necesită o analiză individualizată. Pentru luarea unor decizii juridice sau de conformitate este necesară o analiză individualizată. Recomandăm consultarea unui avocat sau a unui consilier specializat. Autorii ghidului nu își asumă răspunderea pentru eventualele consecințe rezultate din utilizarea informațiilor conținute în prezentul material fără o verificare suplimentară și fără consultanță adecvată.

 

Introducere

Regulamentul UE 2024/1689 de stabilire a unor norme armonizate privind inteligența artificială, denumit în continuare Actul IA este actul care guvernează inteligența artificială pe teritoriul Uniunii Europene. Acest act are drept scop găsirea unui echilibru între promovarea adoptării inteligenței artificiale, creșterea investițiilor și sprijinirea inovării în domeniu și asigurarea în același timp a unui nivel ridicat de protecție a sănătății, a siguranței și a drepturilor fundamentale, inclusiv a democrației, a statului de drept și a mediului împotriva efectelor dăunătoare ale sistemelor de IA în Uniune.

Implementarea Actului IA are loc în etape, multe prevederi devin obligatorii gradual, până la sfârșitul anului 2030. Începând cu 2 februarie 2025 o serie de sisteme AI au fost interzise și cerințele de alfabetizare privind utilizarea în siguranță a IA au devenit obligatorii. Actul IA diferențiază pe criterii precum gradul de risc, calitatea economică deținută, tipul de IA introdus pe piață sau pus în funcțiune, obligațiile ce cad în sarcina fiecărui agent implicat în ecosistemul economic al IA. Pentru a vedea aplicabilitatea concretă a prevederilor legale, analizăm în ceea ce urmează aspectele cheie ale Actului IA: aplicarea, tipuri de IA vizate, categoriile de risc, operatorii implicați în ciclul de viață al IA, obligațiile ce revin acestora, procedurile de evaluare, certificare, monitorizare și raportare, guvernanța internă precum și regimul sancționatoriu și răspundere.

  1. Domeniul de aplicare și clasificare sistemelor IA

Actul IA stabilește reguli clare de introducere pe piață, punere în funcțiune și utilizare a IA, interzice anumite practici IA purtătoare de risc inacceptabil, stabilește cerințe specifice pentru sisteme IA cu grad ridicat de risc și obligații în sarcina operatorilor acestora, stabilește criterii de transparență, monitorizare, supraveghere și guvernanță, precum și propune măsuri de susținere a inovării.

Actul IA se aplică următoarelor entități:

  • Furnizorilor care introduc pe piață sau pun în funcțiune sisteme de IA sau introduc pe piață modele de IA de uz general în UE, indiferent de sediul acestuia
  • Implementatorilor cu sediul sau care se află pe teritoriul UE;
  • Furnizorilor și implementatorilor de IA stabiliți într-o țară terță, atunci când rezultatele sistemelor IA sunt utilizate în UE;
  • Importatorilor și distribuitorilor de sisteme de IA;
  • Fabricanților de produse care introduc pe piață sau pun în funcțiune un sistem de IA împreună cu produsul lor și sub numele sau marca lor comercială;
  • Reprezentanților autorizați ai furnizorilor nestabiliți în UE;
  • Persoanelor afectate aflate în UE.

Explicarea rolurilor consacrate legal se regăsește în cap. 2 al prezentului Ghid.

Actul IA nu se aplică:

  • IA puse în funcțiune sau utilizate exclusiv în scopuri militare, de apărare sau de securitate națională, indiferent de tipul de entitate;
  • sistemelor, modelelor de IA și rezultatelor acestora, dezvoltate și puse în funcțiune special și exclusiv în scop de cercetare și dezvoltare științifică;
  • activităților de cercetare, testare sau dezvoltare privind IA , înainte ca acestea să fie introduse pe piață sau puse în funcțiune;
  • obligațiilor implementatorilor persoane fizice care utilizează IA în cursul unei activități strict personale, fără caracter profesional:
  • sistemelor de IA lansate sub licențe libere și cu sursă deschisă.

1.1 Definiția legală a IA

Actul IA prezintă această definiție pentru inteligența artificială:

“Un sistem de IA înseamnă un sistem bazat pe mașină care este conceput să funcționeze cu diferite niveluri de autonomie și care poate prezenta adaptabilitate după implementare, și care, urmărind obiective explicite sau implicite, deduce, din datele de intrare pe care le primește, modul de generare a unor rezultate precum previziuni, conținut, recomandări sau decizii care pot influența mediile fizice sau virtuale.”

Definiția adoptă o perspectivă bazată pe ciclul de viață al unui sistem de IA, care cuprinde 2 faze principale:

  1. Faza de pre-implementare sau de „concepere” a sistemului;
  2. Faza de post-implementare sau de „utilizare” a sistemului;

Toate elementele definiției nu trebuie să fie prezente în mod continuu pe parcursul ambelor faze ale ciclului de viață respectiv. În schimb, definiția recunoaște că anumite elemente pot apărea într-o singură fază, dar nu pot persista în ambele faze. Această abordare de definire a unui sistem de IA reflectă complexitatea și diversitatea sistemelor, asigurându-se că definiția se aliniază la obiectivele Actului IA prin includerea unei game largi de sisteme IA. [Orientări ale Comisiei privind definiția unui sistem de inteligență artificială instituit prin Regulamentul (UE) 2024/1689, Bruxelles, 29.7.2025]

Care este semnificația din spatele fiecărui element din definiție?

  1. Termenul “bazat pe mașină” se referă la faptul că sistemele IA sunt dezvoltate cu mașini și rulează pe acestea. Termenul “mașină” poate fi înțeles ca incluzând atât componentele hardware, cât și componentele software care permit funcționarea sistemului de IA. Toate sistemele de IA sunt bazate pe mașini, deoarece necesită mașini care să le permită funcționarea, cum ar fi antrenarea modelelor, prelucrarea datelor, modelarea predictivă și procesul decizional automatizat la scară largă.
  2. Termenul „diferite niveluri de autonomie” înseamnă că sistemele de IA sunt concepute să funcționeze cu „un anumit grad de independență a acțiunilor față de implicarea umană și anumite capabilități de a funcționa fără intervenție umană”.
  • Adaptabilitatea se referă la capabilitățile de autoînvățare, care permit modificarea comportamentului sistemului în timpul utilizării. Noul comportament al sistemului adaptat poate produce rezultate diferite față de sistemul anterior pentru aceleași date de intrare.
  1. Obiectivele explicite se referă la scopuri clar precizate care sunt codificate direct de dezvoltator în sistem. Obiectivele implicite se referă la scopuri care nu sunt menționate în mod explicit, dar care pot fi deduse din comportamentul sau ipotezele subiacente ale sistemului. Aceste obiective pot rezulta din datele de antrenament sau din interacțiunea sistemului de IA cu mediul său.
  2. Capacitatea de a deduce este o condiție esențială și indispensabilă care diferențiază sistemele de IA de alte tipuri de sisteme. Ea se referă la faptul că sistemul IA trebuie să poată deduce, din datele de intrare pe care le primește, modul de generare a unor rezultate.

Definiția legală acoperă sistemele IA bazate pe învățare automată, care presupun a învăța, pe baza datelor, cum pot fi atinse anumite obiective și sistemele bazate pe logică și pe cunoaștere, care presupun realizarea de deducții pornind de la cunoștințe codificate sau de la reprezentarea simbolică a sarcinii de rezolvat. Sistemele IA bazate pe învățare automată sunt: învățarea supervizată, învățarea nesupervizată, învățarea auto-supervizată, învățarea prin întărire, învățarea profundă. Abordările bazate pe logică și pe cunoaștere includ: reprezentarea cunoștințelor, programarea inductivă (logică), baze de cunoștințe, motoare inductive și deductive, raționament (simbolic), sisteme de expertiză și metode de căutare și optimizare.

Definiția legală nu acoperă sistemele de îmbunătățire a optimizării matematice (ex. regresia liniară și logistică),  simpla prelucrare de date, sistemele destinate exclusiv analizei descriptive, testării ipotezelor și vizualizării, sisteme bazate pe euristica clasică, sistemele simple de predicție.

Stabilirea faptului dacă un sistem este sistem de inteligență artificială ar trebui să se bazeze pe arhitectura și funcționalitatea specifică a unui anumit sistem și ar trebui să ia în considerare toate elementele definiției. Nu este posibilă o determinare automată sau o listă exhaustivă a sistemelor care se încadrează sau nu în definiția unui sistem de IA.

Numai anumite sisteme de IA fac obiectul obligațiilor de reglementare și al supravegherii în temeiul Actului IA. Abordarea bazată pe riscuri înseamnă că doar sistemele care generează cele mai grave riscuri pentru drepturile și libertățile fundamentale vor face obiectul interdicției prevăzute de art. 5, al regimului său strict de conformitate pentru sistemele de IA cu grad ridicat de risc care intră sub incidența art. 6 și al cerințelor de transparență pentru numărul limitat de sisteme prevăzut de art. 50. Marea majoritate a sistemelor, deși pot fi calificate drept sisteme IA în sensul definiției, nu vor face obiectul niciunei cerințe de reglementare.

1.2. Tipuri de IA

Actul IA clasifică inteligența artificială în funcție de riscul pe care îl prezintă.

Aceste categorii sunt:

  1. Sistemele de IA cu risc inacceptabil: sunt practici interzise complet din cauza că contravin valorilor fundamentale ale Uniunii sau implică riscuri foarte mari. Această categorie va fi cuprinzător dezvoltată în cap. 3; [Capitolul II din Actul IA]
  2. Sistemele de IA cu risc ridicat: practici permise, dar sub condiția îndeplinirii tuturor obligațiilor de conformitate: managementul riscului, transparență, securitate, monitorizare, supraveghere umană. Această categorie va fi tematica cap. 4; [Capitolul III din Actul IA]
  • Sistemele cu risc limitat: practici supuse unor obligații de transparență mai puțin stricte: furnizorii și implementatorii trebuie să se asigure că utilizatorii finali sunt conștienți de faptul că interacționează cu instrumente IA (chatbots și deepfake-urile);
  1. Sistemele cu risc minim sau neglijabil: cele mai puțin problematice sisteme IA din perspectiva reglementării, aici fiind incluse majoritatea aplicațiilor IA cotidiene care nu afectează semnificativ drepturile fundamentale sau sănătatea și siguranța utilizatorilor (jocuri video bazate pe IA, filtrele spam). Pentru acestea Actul IA nu prevede reguli speciale.

Alte cerințe se aplică anumitor sisteme și modele de IA proiectate să aducă la îndeplinire însărcinări specifice:

  1. Modele și sistemele de IA de uz general: în sarcina acestora se prevăd cerințe specifice de informare și minimizare a riscului. Modelul de IA de uz general este un model IA antrenat cu un volum mare de date care utilizează învățarea auto-supervizată la scară largă, care prezintă o generalitate semnificativă și este capabil să îndeplinească în mod competent o gamă largă de sarcini distincte și care poate fi integrat într-o varietate de sisteme sau aplicații. Sistemul de IA de uz general este un sistem ce are la bază un model IA de uz general și care are capabilitatea de a deservi o varietate de scopuri, atât pentru utilizare directă, cât și pentru integrarea în alte sisteme de IA. [Capitolul V din Actul IA]
  2. IA generativă și Chatbot-urile: se prevăd cerințe de transparență în funcție de încadrarea sistemului în categoria celor cu risc ridicat. Inteligența artificială generativă reprezintă sistemele sau modelele IA create în scop să genereze conținut sintetic în format audio, imagine, video sau text. Chatbot-urile sunt sisteme create pentru interacțiune. [Capitolul IV din Actul IA]

 

  1. Roluri consacrate legal

Pentru a determina exact obligațiile ce cad în sarcina companiilor este necesară încadrarea acesteia în unul dintre rolurile prevăzute de Act. Astfel, Actul IA distinge între furnizori, implementatori, importator și distribuitor, fiecare cu obligații clar distinse.

  • Furnizorul este o persoană sau organizație care dezvoltă un sistem IA sau un model de IA de uz general sau care comandă dezvoltarea acestora și îl introduce pe piață sau îl pune în funcțiune sub propriul nume sau propria marcă comercială. Introducerea pe piață sau punerea în funcțiune poate avea loc contra cost sau gratuit.
  • Implementatorul este o persoană sau o organizație care utilizează un sistem IA aflat sub autoritatea sa. Aici nu se include și situația în care sistemul este utilizat în cursul unei activități personale, fără caracter profesional.
  • Importatorul este o persoană aflată sau stabilită în UE care introduce pe piață un sistem de IA care poartă numele sau marca unei persoane stabilite într-o țară terță.
  • Distribuitorul este o persoană din lanțul de aprovizionare, alta decât furnizorul sau importatorul, care pune la dispoziție un sistem de IA pe piața UE.

Majoritatea obligațiilor prevăzute de Actul IA cad în sarcina furnizorilor.

Totuși, există situații în care un distribuitor, importator, implementator sau altă parte terță va fi considerat furnizor al unui sistem IA cu grad ridicat de risc, moment în care vor deveni aplicabile și obligațiile care îi revin furnizorului. Aceste situații sunt determinate de:

  • Rebranding - aplicarea numelui sau mărcii comerciale pe un sistem IA cu grad ridicat de risc deja funcțional sau lansat pe piață, fără a modifica repartizarea obligațiilor contractuale;
  • Modificare tehnică majoră - schimbarea substanțială a unui sistem IA cu risc ridicat, dacă acesta rămâne în aceeași categorie de risc;
  • Modificarea scopului preconizat - utilizarea unui sistem (inclusiv de uz general) într-un mod care îl transformă dintr-un sistem cu risc scăzut într-unul cu risc ridicat.

 

  1. Sistemele IA interzise

Următoarele sisteme de IA sunt interzise începând cu 2 februarie 2025:

  • Utilizarea unor tehnici subliminale, manipulatoare sau înșelătoare pentru a distorsiona comportamentul și a afecta luarea deciziilor în cunoștință de cauză, provocând prejudicii semnificative;
  • Exploatarea vulnerabilităților legate de vârstă, dizabilitate sau circumstanțe socio-economice pentru a denatura comportamentul, provocând prejudicii semnificative;
  • Sistemele de scoring social care rezultă în tratamente defavorabile sau prejudiciabile în contexte nejustificate sau disproporționate;
  • Evaluarea riscului ca o persoană să comită infracțiuni exclusiv pe baza creării de profiluri sau a trăsăturilor de personalitate, cu excepția cazului în care este utilizată pentru a completa evaluările umane bazate pe fapte obiective, verificabile, legate direct de activitatea infracțională;
  • Crearea sau extinderea bazelor de date de recunoaștere facială prin extragerea fără scop precis a imaginilor faciale de pe internet sau de pe înregistrările de pe camerele de supraveghere;
  • Deducerea emoțiilor persoanelor la locul de muncă sau în mediul de învățământ, cu excepția motivelor medicale sau de siguranță;
  • Sisteme de clasificare biometrică care deduc atribute sensibile (rasă, opinii politice, apartenența sindicală, convingeri religioase sau filozofice, viața sexuală sau orientarea sexuală), cu excepția etichetării sau filtrării seturilor de date biometrice dobândite legal sau atunci când autoritățile de aplicare a legii clasifică datele biometrice;
  • Identificarea biometrică de la distanță în timp real în spații accesibile publicului pentru forțele de ordine, cu excepția cazului în care are loc:
  1. Căutarea persoanelor dispărute, a victimelor răpirilor și a persoanelor care au fost victime ale traficului de persoane sau exploatate sexual;
  2. Prevenirea unei amenințări substanțiale și iminente la adresa vieții sau a unui atac terorist previzibil; sau
  3. Identificarea suspecților, inculpaților în infracțiuni grave (ex. omor, viol, trafic ilegal de substanțe, persoane, organe, arme și muniții, crimă organizată și infracțiuni contra mediului)

Aceste excepții permise de Actul IA sunt determinate de mai multe condiții pentru ca utilizarea sistemului respectiv să fie justificată:

  • Neutilizarea instrumentului ar cauza daune considerabile și trebuie să țină cont de drepturile și libertățile persoanelor afectate;
  • Efectuarea unei evaluări a impactului asupra drepturilor fundamentale înainte de desfășurare;
  • Înregistrarea sistemului IA în baza de date a UE înainte de utilizare, cu excepția incidenței unui caz de urgență întemeiat, când desfășurarea poate începe fără înregistrare, cu condiția ca înregistrarea să aibă loc ulterior, fără întârzieri nejustificate;

Obținerea unei autorizații de la o autoritate judiciară sau administrativă independentă, cu excepția situațiilor de urgență, când desfășurarea poate începe fără autorizație, cu condiția ca autorizația să fie cerută în 24 ore. Dacă autorizația este respinsă, desfășurarea trebuie să înceteze imediat, ștergând toate datele de ieșire, rezultatele obținute.

 

  1. Sistemele IA cu risc ridicat

Sistemele de inteligență artificială cu risc ridicat pot fi purtătoare de risc pentru sănătatea, siguranța și drepturile fundamentale, precum dreptul la viața privată sau dreptul la demnitate și nediscriminare. Ele sunt de 2 tipuri: produse cu risc ridicat și aplicații cu risc ridicat.

Produsul care are ca și componentă de siguranță un sistem IA sau care face obiectul unei reglementări UE și pentru care există obligația de evaluare a conformității de către un terț în temeiul respectivei legislații va fi considerat un produs cu risc ridicat, vizat de cerințele Actului IA. În această categorie intră următoarele produse:

  • Echipamentele tehnice (Directiva 2006/42/CE)
  • Jucăriile (Directiva 2009/48/CE)
  • Ambarcațiunile de agrement și motovehiculele nautice (Directiva 2013/53/UE)
  • Ascensoare (Directiva 2014/33/UE)
  • Echipamentele și sistemele de protecție destinate utilizării în atmosfere potențial explozive (Directiva 2014/34/UE))
  • Echipamentele radio (Directiva 2014/53/UE)
  • Echipamentele sub presiune (Directiva 2014/68/UE)
  • Instalațiile pe cablu (Regulamentul (UE) 2016/424)
  • Echipamentele individuale de protecție (Regulamentul (UE) 2016/425)
  • Aparatele consumatoare de combustibili gazoși (Regulamentul (UE) 2016/426)
  • Dispozitivele medicale (Regulamentul (UE) 2017/745)
  • Dispozitivele medicale pentru diagnostic în vitro (Regulamentul (UE) 2017/746)

În plus, în act sunt prevăzute și o serie de produse și domenii, la fel, considerate ca purtătoare de risc ridicat, dar care nu fac obiectul unor cerințe directe în prevederile actului. Totuși, la un moment ulterior Actul IA va specifica reglementările aplicabile acestor produse. Aceste produse și domenii sunt:

  • Securitatea aviației civile (Regulamentul (CE) nr. 300/2008, Regulamentul (UE) 2018/1139)
  • Vehiculele cu 2 sau 3 roți și cvadricicluri (Regulamentul (UE) nr. 168/2013)
  • Vehiculele agricole și forestiere (Regulamentul (UE) nr. 167/2013)
  • Echipamentele maritime (Directiva 2014/90/UE)
  • Sistemul feroviar european (Directiva (UE) 2016/797)
  • Autovehiculele și remorcile și sistemele, componentele tehnice destinate acestora (Regulamentul (UE) 2018/858, Regulamentul (UE) 2019/2144)

Aplicațiile cu risc ridicat sunt prezentate exhaustiv în Act și cuprind următoarele domenii:

  1. Biometrie neinterzisă:
    • sisteme de identificare biometrică la distanță, excluzând verificarea biometrică 1 la 1;
    • sistemele de categorizare biometrică care deduc atribute sau caracteristici sensibile sau protejate;
    • sisteme de recunoaștere a emoțiilor.
  2. Infrastructura critică: componente de siguranță în gestionarea și operarea infrastructurii digitale critice, a traficului rutier și a alimentării cu apă, gaze, încălzire și electricitate;

  3. Educație și formare profesională:
    • Sisteme IA care determină accesul, admiterea sau repartizarea în instituții de învățământ și formare profesională la toate nivelurile;
    • Sisteme de evaluare a rezultatelor învățării, inclusiv a celor utilizate pentru a ghida procesul de învățare a elevului;
    • Sisteme de evaluare a nivelului adecvat de educație pentru o persoană;
    • Sisteme de monitorizare și detectare a comportamentului interzis al elevilor în timpul testelor;
  4. Ocuparea forței de muncă, gestionarea lucrătorilor și accesul la activități independente:
    • Sisteme de recrutare și selectare, în special anunțuri de locuri de muncă specializate, analizarea și filtrarea candidaturilor și evaluarea candidaților;
    • Sisteme de promovare și încetare a contractelor, alocare a sarcinilor în baza comportamentului, trăsăturilor, caracteristicilor personale, monitorizare și evaluare a performanței, comportamentului;

  5. Accesul și beneficierea de servicii publice și private esențiale:
    • Sisteme utilizate de autoritățile publice pentru evaluarea eligibilității la beneficii și servicii, inclusiv alocarea, reducerea, revocarea sau recuperarea acestora;
    • Sisteme de evaluare a bonității, cu excepția detectării fraudelor financiare;
    • Sisteme de evaluare și clasificare a apelurilor de urgență, inclusiv prioritizarea dispceratelor pentru poliție, pompieri, asistență medical și triajul urgent al pacienților;
    • Sisteme de evaluare a riscurilor și de stabilire a prețurilor în asigurările de sănătate și de viață;

  6. Aplicarea legii:
    • Sisteme utilizate pentru a evalua riscul unei persoane de a deveni victimă a unei infracțiuni;
    • Poligrafe;
    • Evaluarea fiabilității probelor în timpul anchetelor sau urmăririlor penale;
    • Evaluarea riscului unei persoane de a comite o infracțiune sau de a recidiva nu exclusiv pe baza profilării sau a evaluării trăsăturilor de personalitate sau a comportamentului infracțional anterior;
    • Profilarea în timpul depistării, investigării sau urmăririi penale;

  7. Gestionarea migrației, azilului și controlului la frontieră:
    • Poligrafe;
    • Evaluarea riscurilor de migrație neregulamentară sau a riscurilor pentru sănătate;
    • Examinarea cererilor de azil, vize și permise de ședere, precum și a reclamațiilor aferente referitoare la eligibilitate;
    • Detectarea, recunoașterea sau identificarea persoanelor, cu excepția verificării documentelor de călătorie;

  8. Administrarea justiției și procesele democratice:
    • sisteme utilizate în cercetarea și interpretarea faptelor și aplicarea legii la fapte concrete sau utilizate în soluționarea alternativă a litigiilor;
    • Influențarea rezultatelor alegerilor și referendumurilor sau a comportamentului electoral, excluzând rezultatele care nu interacționează direct cu oamenii, cum ar fi instrumentele utilizate pentru organizarea, optimizarea și structurarea campaniilor politice;

Aplicațiile enumerate mai sus vor avea un grad de risc ridicat cu excepția cazului în care:

  • Sistemul de IA îndeplinește o sarcină procedurală restrânsă;
  • Îmbunătățește rezultatul unei activități umane finalizate anterior;
  • Detectează modele de luare a deciziilor sau abateri de la modelele de luare a deciziilor anterioare și nu are scopul de a înlocui sau influența evaluarea umană efectuată anterior fără o revizuire umană adecvată; sau
  • Îndeplinește o sarcină pregătitoare pentru o evaluare relevantă în scopul cazurilor de utilizare a aplicațiilor.

Aplicațiile sunt întotdeauna considerate a prezenta risc ridicat dacă realizează profiluri ale persoanelor fizice, adică prelucrează automat datele cu caracter personal pentru a evalua diverse aspecte ale vieții unei persoane, cum ar fi performanța la locul de muncă, situația economică, sănătatea, preferințele, interesele, fiabilitatea, comportamentul, locația sau deplasarea.

Furnizorii al căror sistem de IA se încadrează lista aplicațiilor care consideră că aplicația lor nu prezintă un risc ridicat, trebuie să documenteze o astfel de evaluare înainte de a-l introduce pe piață sau de a-l pune în funcțiune.

4.1. Cerințe

Cerințele au intrat în vigoare pentru furnizorii aplicațiilor cu risc ridicat din 2 august 2026, iar pentru furnizorii produselor cu risc ridicat din 2 august 2027. Astfel, companiile mai au încă timp pentru asigurarea conformității cu exigențele legale.

 

Sistem de gestionare a riscurilor

Se instituie, se pune în aplicare, se documentează și se menține un sistem de gestionare a riscurilor în legătură cu sistemul de IA. Sistemul trebuie să respecte regulile:

  1. Sistemul de gestionare trebuie să fie un proces continuu și actualizat permanent pe întreaga durată de viață a sistemului de IA, acoperind atât faza de proiectare, cât și cea de utilizare.
  2. Companiile vizate trebuie să identifice și să evalueze riscurile cunoscute și previzibile pentru sănătate, siguranță și drepturile fundamentale, ținând cont de utilizarea prevăzută și de utilizările rezonabil previzibile greșite.
  3. Va avea loc evaluarea riscurilor și vor fi aplicate măsuri adecvate pentru reducerea riscurilor la un nivel acceptabil, proporțional cu impactul potențial.
  4. La identificarea celor mai adecvate măsuri de gestionare se asigură eliminarea sau reducerea riscurilor, dacă acest lucru este fezabil din punct de vedere tehnic, atenuarea și controlul riscurilor a căror eliminare nu este posibilă, precum și furnizarea informațiilor necesare și formarea implementatorilor.
  5. Sistemele IA sunt testate în scopul identificării celor mai adecvate măsuri specifice de gestionare. Testarea se poate face în condiții reale.
  6. Testarea este obligatorie înainte de introducerea pe piață sau punerea în funcțiune și poate avea loc în orice moment pe parcursul procesului de dezvoltare.
  7. Se va analiza susceptibilitatea sistemului de IA să aibă un impact negativ asupra persoanelor cu vârstă sub 18 ani și, după caz, asupra altor grupuri vulnerabile.

 

Datele și guvernanța datelor

Seturile de date de antrenament, de validare și de testare trebuie să respecte o serie de practici de guvernanță și gestionare, adecvate scopului sistemului. Aceste practici se referă la:

  • Opțiunile de proiectare și procesele de colectare a datelor și originea lor;
  • Operațiunile de prelucrare în vederea pregătirii datelor;
  • Formularea ipotezelor și evaluarea disponibilității, cantității și adecvării seturilor de date necesare;
  • Identificarea unor posibile prejudecăți susceptibile să afecteze sănătatea, siguranța, drepturile fundamentale sau să conducă la discriminare, precum și identificarea unor măsuri pentru detectarea, prevenirea și atenuarea posibilelor prejudecăți găsite. Determinat de respectarea unor condiții, este permisă utilizarea categoriilor speciale de date cu caracter personal pentru a detecta și corecta prejudecățile.
  • Identificarea lacunelor relevante care împiedică conformitatea.

Seturile de date trebuie să fie relevante, suficient de reprezentative, și pe cât posibil, fără erori și complete. De asemenea, ele iau în considerare caracteristicile specifice cadrului geografic, contextual, comportamental sau funcțional specific.

 

Documentația tehnică

Documentația tehnică trebuie să demonstreze conformitatea sistemului IA cu grad ridicat de risc cu cerințele prevăzute de actul IA. Aceasta trebuie întocmită înainte de introducerea pe piață sau punerea în funcțiune a sistemului și se actualizează ori de câte ori este necesar.

Documentația tehnică trebuie să conțină:

  1. descrierea generală a sistemului, inclusiv scopul lui preconizat, numele furnizorului, instrucțiuni de utilizare, hardware-ul și software-ul utilizat, interfața utilizată;
  2. descrierea detaliată a elementelor sistemului și a procesului de dezvoltare: etapele de dezvoltare, specificații de proiectare, arhitectura sistemului, seturile de date utilizate, măsurile de supraveghere umană și securitate cibernetică, procedura de validare și testare;
  3. informații privind monitorizarea, funcționarea și controlul sistemului, indicatorii de performanță, sistemul de gestionare a riscurilor, modificările aduse de-a lungul ciclului de viață;
  4. standardele aplicabile;
  5. declarația de conformitate CE.

IMM-urile, inclusiv întreprinderile nou-înființate pot furniza într-o manieră simplificată elementele documentației tehnice, printr-un formular simplificat ce urmează a fi elaborat de Comisie.

Pentru produsele cu risc ridicat care fac concomitent obiectul unei alte reglementări de conformitate se întocmește o singură documentație tehnică.

 

Trasabilitatea și jurnalizarea

Sistemele IA trebuie să permită înregistrarea automată a situațiilor generatoare de risc sau modificatoare substanțial a sistemului și monitorizarea lui continuă.

Aplicațiile cu risc ridicat din domeniul biometriei trebuie să jurnalizare perioada fiecărei utilizări a sistemului, baza de date de referință, datele de intrare care au generat o concordanță și datele de identificare a persoanelor implicate în verificarea rezultatelor.

 

Transparența și informarea utilizatorilor

Sistemul de IA cu grad ridicat de risc trebuie să fie suficient de transparent încât să permită implementatorilor să interpreteze rezultatele sistemului și să le utilizeze în mod corespunzător. În acest scop, sistemul trebuie să fie însoțit de instrucțiuni de utilizare cu informații concise, complete, corecte și clare, relevante, accesibile și ușor de înțeles.

Instrucțiunile trebuie să conțină cel puțin următoarele elemente principale:

  • Identitatea și datele de contact ale furnizorului sau reprezentantului autorizat;
  • Caracteristicile, capabilitățile și limitările performanței sistemului:
  • scopul preconizat;
  • nivelul de acuratețe, robustețe și securitate cibernetică, indicatorii acestora și factorii pasibili să-i influențeze;
  • orice risc cunoscut sau previzibil să atingă sănătatea, siguranța sau integritatea drepturilor fundamentale;
  • capabilitățile și caracteristicile tehnice ale sistemului;
  • performanțele sale;
  • orice informație relevantă privind seturile de date de antrenament, de validare și de testare utilizate;
  • informații care să le permită implementatorilor să interpreteze rezultatele sistemului și să le utilizeze în mod corespunzător;
  • modificările aduse sistemului și performanței acestuia, predeterminate de furnizor la momentul evaluării inițiale a conformității;
  • măsurile de supraveghere umană, inclusiv măsurile tehnice instituite pentru facilitarea interpretării rezultatelor de către implementatori;
  • resursele de calcul, hardware necesare, durata de viață preconizată a sistemului, măsuri de întreținere și îngrijire, frecvența lor, necesare funcționării corespunzătoare;
  • descrierea mecanismelor incluse în sistem care să permită implementatorilor să colecteze, să stocheze și să interpreteze fișierele de jurnalizare.

 

Supravegherea umană

Prin modul în care sunt proiectate și dezvoltate, sistemul de IA trebuie să includă instrumente adecvate de interfață om-mașină care să permită supravegherea în mod eficace a acestuia. Măsurile de supraveghere sunt proporționale cu riscurile specifice, cu nivelul de autonomie și cu contextul utilizării. Acestea se asigură prin unul sau ambele metode:

  1. Măsuri identificate și încorporate, atunci când este fezabil tehnic, în sistem de către furnizor înainte de introducerea lui pe piață sau punerea lui în funcțiune;
  2. Măsuri identificate de către furnizor înainte de introducerea lui pe piață sau punerea lui în funcțiune adecvate a fi puse în aplicare de implementator;

Persoanele care supraveghează sistemul trebuie dețină, cel puțin, următoarele abilități:

  1. să înțeleagă capacitățile și limitările sistemului, să monitorizeze funcționare acestuia;
  2. să conștientizeze posibilele prejudecăți de automatizare;
  3. să interpreteze corect rezultatele sistemului;
  4. să decidă neutilizarea sau să ignore, să anuleze sau să inverseze rezultatele sistemului;
  5. să oprească sistemul în condiții de siguranță.

În cazul sistemelor de identificare biometrică la distanță, este interzisă luarea vreunei decizii în baza identificării rezultate din sistem, decât dacă a fost verificată și confirmată separat de cel puțin 2 persoane calificate.

 

Robustețe, acuratețe și securitate cibernetică

Sistemul IA cu un risc ridicat trebuie să atingă un nivel adecvat de acuratețe, robustețe și securitate cibernetică pe întreg parcursul existenței sale. În atingerea acestei cerințe, trebuie respectate următoarele măsuri:

  • Nivelurile și indicatorii de acuratețe trebuie să se regăsească în instrucțiunile de utilizare;
  • Sistemul trebuie să fie cât mai rezilient posibil la erori, defecțiuni sau inconsistențe;
  • Robustețea sistemului poate fi asigurată prin planuri de rezervă sau de funcționare, în caz de avarie;
  • Sistemele cu învațare continuă trebuie să includă mecanisme de eliminare sau reducere maximă a buclelor de feedback;
  • Sistemul este rezilient la încercările părților terțe de a exploata sistemul;
  • Securitatea cibernetică a sistemului este adecvată riscurilor și circumstanțelor, conținând măsuri împotriva otrăvirii datelor, otrăvirii modelelor, exemplelor contradictorii sau eludării modelelor, atacurilor la adresa confidențialității sau defectelor modelului.

Comisia va elabora valori de referință și metodologii de măsurare a indicatorilor de performanță.

 

  1. Obligații

Actul IA stabilește obligații în sarcina tuturor operatorilor implicați în circuitul de viață al sistemelor de IA.

Cerințele prevăzute pentru sistemele de IA cu grad ridicat de risc, obligațiile furnizorilor de modele de IA de uz general și cele de risc sistemic ar urma să fie standardizate în următorii ani. [Programul de lucru pentru standardele IA]

Conformitatea cu viitoarele standarde va însemna și conformitatea cu prevederile Actului IA.

 5.1. Obligațiile furnizorilor de sisteme de IA cu grad ridicat de risc

Furnizorii de sisteme de IA cu grad ridicat de risc sunt obligați:

  • Să respecte cerințele Actului IA;
  • Să indice pe sistem, pe ambalaj sau documentele însoțitoare, numele lor, denumirea lor comercială înregistrată sau marca, adresa lor de contact;
  • Să aibă un sistem de management al calității, documentat în mod sistematic și ordonat sub formă de politici, proceduri și instrucțiuni scrise, sistem proporțional cu dimensiunea organizației;
  • Să păstreze documentația tehnică, sistemul de management al calității, documentația privind modificările, deciziile și documentele aprobate de organismele notificate, declarația de conformitate UE pentru 10 ani după introducerea pe piață sau punerea în funcțiune a sistemului;
  • Să păstreze fișierele de jurnalizare generate automat, atunci când se află sub controlul lor pentru o perioadă adecvată scopului preconizat, de cel puțin 6 luni;
  • Să se supună procedurii de evaluare a conformității înainte de a fi introdus pe piață sau pus în funcțiune;
  • Să elaboreze documentația de conformitate UE;
  • Să aplice marcajul CE pe sistem, pe ambalaj sau în documentația însoțitoare, pentru a indica conformitatea;
  • Să se înregistreze în baza de date a UE;
  • Să ia măsurile corective necesare în caz de neconformitate a sistemului și să informeze autoritățile de supraveghere a pieței competente și organismul notificat;
  • Să demonstreze autorităților naționale competente conformitatea sistemului, prin punerea la dispoziția acestora, la cererea lor motivată a tuturor informațiilor, documentației necesare și a fișierelor de jurnalizare;
  • Să asigure respectarea cerințelor de accesibilitate a sistemului.

 

5.2. Obligațiile implementatorilor de sisteme de IA cu grad ridicat de risc

Implementatorii de sisteme de IA cu grad ridicat de risc sunt obligați:

  • Să ia măsuri tehnice și organizatorice pentru a oferi siguranța că utilizează sistemele în conformitate cu instrucțiunile de utilizare;
  • Să încredințeze supravegherea umană unor persoane fizice competente, cu formarea și autoritatea necesară;
  • Să se asigure că datele de intrare sunt relevante și suficient de reprezentative în raport cu scopul preconizat, atunci când exercită controlul asupra lor;
  • Să monitorizeze funcționarea sistemului;
  • Să informeze fără întârzieri nejustificate când sistemul prezintă un risc și să suspende imediat utilizarea lui sau când au identificat un incident grav furnizorul sau distribuitorul și autoritatea de supraveghere;
  • Să păstreze fișierele de jurnalizare generate automat, atunci când acestea se află sub controlul lor, pe o perioadă adecvată scopului preconizat, pentru cel puțin 6 luni;
  • Să informeze reprezentanții lucrătorilor și lucrătorii afectați că vor fi implicați în utilizarea unui sistem IA cu grad ridicat de risc, înainte de a-l pune în funcțiune sau de a-l utiliza, atunci când implementatorii sunt angajatori;
  • Să efectueze o evaluare a impactului asupra protecției datelor;
  • Să solicite autorizație de utilizare a sistemului de identificare biometrică la distanță, în cel mult 48 ore, în cadrul unei investigații pentru căutarea unui suspect sau condamnat, de la o autoritate a cărei decizie are efect obligatoriu, cu excepția utilizării sistemului în scop de identificare inițială a unui potențial suspect în baza unor fapte obiective, verificabile, legate direct de infracțiune; dacă autorizația este respinsă, utilizarea sistemului se oprește imediat, iar datele cu caracter personal folosite se șterg;
  • Să documenteze orice utilizare a sistemului de identificare biometrică la distanță în dosarul relevant al poliției și să pună la dispoziția autorității de supraveghere și a autorității pentru protecția datelor, la cerere;
  • Să prezinte autorităților de supraveghere și autorităților naționale pentru protecția datelor rapoarte anuale privind utilizarea sistemelor de identificare biometrică la distanță;
  • Să informeze persoanele fizice care fac obiectul utilizării aplicațiilor cu grad ridicat de risc;
  • Să coopereze cu autoritățile în acțiunile întreprinse de acestea în legătură cu sistemele IA cu grad ridicat de risc.

 

5.3. Obligațiile importatorilor

Importatorii au următoarele obligații în temeiul Actului IA:

  • Să se asigure că sistemul ce urmează a fi introdus pe piață este conform legislației:
  • a fost efectuată procedura de evaluare a conformității,
  • furnizorul a întocmit documentația tehnică și a plasat marcajul CE pe sistem,
  • sistemul e însoțit de declarația de conformitate,
  • furnizorul a desemnat un reprezentant autorizat.
  • Să nu introducă sistemul pe piață dacă sistemul nu este conform, este fals sau insoțit de documentație falsificată;
  • Să informeze furnizorul, reprezentanții autorizați și autoritățile de supraveghere a pieței atunci când sistemul prezintă un risc;
  • Să-și indice numele, denumirea comercială înregistrată sau marca înregistrată și adresa de contact pe sistem, pe ambalaj sau în documentele însoțitoare;
  • Să asigure conformitatea condițiilor de depozitare sau de transport, pe întreaga perioadă când sistemul se află în responsabilitatea lor;
  • Să păstreze, timp de 10 ani de la introducerea pe piață sau punerea în funcțiune o copie a certificatului eliberat de organismul notificat, a instrucțiunilor de utilizare și a declarației de conformitate UE;
  • Să furnizeze autorităților competente, în baza unei cereri motivate, toate informațiile și documentația necesare;
  • Să coopereze cu autoritățile în acțiunile întreprinse de acestea în legătură cu sistemele IA cu grad ridicat de risc.

 

5.4. Obligațiile distribuitorilor

Distribuitorii au următoarele obligații:

  • Să verifice dacă sistemul poartă marcajul CE, dacă este însoțit de o copie a declarației de conformitate UE și de instrucțiunile de utilizare, înainte de a-l pune la dispoziție pe piață;
  • Să verifice dacă furnizorul și importatorul:
  1. au indicat pe sistem, ambalaj sau documentație, numele, denumirea comercială înregistrată sau marca și adresa la care pot fi contactați,
  2. dispun de un sistem al mangementului calității.
  • Să nu pună la dispoziție pe piață un sistem neconform;
  • În caz de neconformitate a sistemului, distribuitorului poate alege între:
  1. Să ia măsurile corective necesare pentru a aduce sistemul în conformitate;
  2. Să retragă sistemul de pe piață;
  3. Să recheme sistemul de pe piață;
  4. Să se asigure că furnizorul, importatorul sau orice operator relevant ia măsurile corective respective.
  • Să informeze furnizorul, importatorul, autoritățile competente atunci când sistemul prezintă un risc;
  • Să se asigure că condițiile de depozitare sau de transport nu periclitează conformitatea sistemului;
  • Să furnizeze autorităților competente, în baza unei cereri motivate, toate informațiile și documentația necesare, pentru a demonstra conformitatea sistemului;
  • Să coopereze cu autoritățile în acțiunile întreprinse de acestea în legătură cu sistemele IA cu grad ridicat de risc.

 

5.5. Obligațiile de transparență pentru furnizorii și implementatorii anumitor sisteme de IA

Pentru anumite sisteme de IA, catalogate drept purtătoare de risc mediu, cum ar fi chat bot-urile IA, sau sistemele generative de IA, Actul IA prevede în sarcina furnizorilor și implementatorilor obligații de transparență și informare.

  • Chat bot-urile IA

Furnizorii sistemelor de IA destinate să interacționeze direct cu persoane (denumite în mod uzual chat bot-uri IA) trebuie proiectate și dezvoltate într-un mod care să permită informarea acestora în privința interacțiunii cu un sistem de IA. Această obligație trebuie respectată chiar și atunci când sistemul este disponibil publicului pentru a denunța o infracțiune.

  • Sistemele generative de IA

Furnizorii de sisteme de IA care generează conținut sintetic în format audio, imagine, video sau text trebuie să asigure că rezultatele sistemului de IA sunt marcate într-un format prelucrabil automat și detectabile ca fiind generate sau manipulate artificial. În îndeplinirea acestei obligații furnizorii trebuie să asigure eficacitatea, interoperabilitatea, fiabilitatea soluțiilor tehnice utilizate. Soluția aleasă trebuie să depindă de următorii factori:

  • Particularitățile și limitările diferitor tipuri de conținut;
  • Costurile de punere în aplicare;
  • Stadiul de avansare general recunoscut al tehnologiei.

Această obligație nu este aplicabilă dacă sistemul IA:

  • Asistă pentru editarea standard,
  • Nu modifică substanțial datele de intrare furnizate de implementator sau semantica acestora,
  • Este autorizat prin lege să depisteze, să prevină, să investigheze, să urmărească penal infracțiunile.

 

  • Conținut generat sau manipulat artificial

Implementatorii unui sistem de IA trebuie să dezvăluie că respectivul conținut a fost generat sau manipulat artificial într-un mod clar și distinct, cel târziu în momentul primei interacțiuni sau expuneri, în următoarele două situații:

  1. Sistemul generează sau manipulează imagini, conținuturi audio sau video care constituie deepfake-uri;

Obligația este limitată la divulgarea existenței conținutului generat sau manipulat atunci când acesta face parte dintr-o operă sau program artistic, creativ, satiric, fictiv sau analog

  1. Sistemul generează sau manipulează texte publicate cu scopul de a informa publicul cu privire la chestiuni de interes public.

Obligația nu este aplicabilă atunci când conținutul a trecut prin filtrul editorial uman și responsabilitatea editorială pentru publicarea lui este deținută de o persoană fizică sau juridică.

Obligația nu este aplicabilă atunci când utilizarea este autorizată de lege pentru depistarea, prevenirea, investigarea sau urmărirea penală a infracțiunilor.

 

  1. Modelele de IA de uz general

Modelul de IA de uz general este un model IA, inclusiv atunci când acesta este antrenat cu un volum mare de date care utilizează autosupravegherea la scară largă, care prezintă o generalitate semnificativă și este capabil să îndeplinească în mod competent o gamă largă de sarcini distincte, indiferent de modul introducerii pe piață, și care poate fi integrat în alte sisteme sau aplicații.

Sistemul de IA de uz general este acel sistem care are la bază un model de IA de uz general și care are capabilitatea să deservească o varietate de scopuri, atât pentru utilizare directă, cât și pentru integrarea în alte sisteme de IA.

Actul IA distinge între sisteme de IA de uz general și sisteme de IA de uz general cu risc sistemic. Furnizorii sistemelor de IA de uz general cu risc sistemic trebuie să respecte un șir de obligații suplimentare. Furnizorii de modele de IA de uz general pot demonstra respectarea obligațiilor prevăzute de Actul IA prin aderarea la Codul de bune practici, prin semnarea formularului [Formularul pentru aderarea la Codul de bune practici] pus la dispoziție de Oficiul pentru IA și transmiterea lui la adresa indicată pe site. [This email address is being protected from spambots. You need JavaScript enabled to view it.] Proba conformității prin aderarea la Codul de bune practici este valabilă până la publicarea unui standard armonizat.

Clasificarea modelelor de IA de uz general ca modele de IA de uz general cu risc sistemic are loc în următoarele condiții, necumulative:

  1. Volumul cumulat de calcul utilizat pentru antrenarea sistemului, măsurat în operații în virgulă mobilă este mai mare de 1025 ;
  2. În baza unei decizii a Comisiei, din oficiu sau drept urmare a unei alerte din partea grupului științific, pornind de la criteriile:
  • numărul de parametri ai modelului;
  • calitatea sau dimensiunea setului de date;
  • volumul de calcul utilizat pentru antrenarea modelului, măsurat în operații în virgulă mobilă sau indicat printr-o combinație de alte variabile, cum ar fi costul estimat al antrenării, timpul estimat necesar pentru antrenare sau consumul estimat de energie pentru antrenare;
  • modalitățile de intrare și de ieșire ale modelului, cum ar fi text către text (modele lingvistice de mari dimensiuni), text către imagine și multimodalitatea, și pragurile conform celui mai avansat stadiu al tehnologiei pentru determinarea capabilităților cu impact ridicat pentru fiecare modalitate, precum și tipul specific de date de intrare și de ieșire (de exemplu, secvențe biologice);
  • valorile de referință și evaluările capabilităților modelului, inclusiv luând în considerare numărul de sarcini posibile fără antrenare suplimentară, adaptabilitatea la învățarea de sarcini noi și distincte, nivelul său de autonomie și scalabilitate, instrumentele la care are acces;
  • dacă are un impact ridicat asupra pieței interne din cauza amplorii utilizării sale, care este prezumat atunci când a fost pus la dispoziția a cel puțin 10 000 de utilizatori comerciali înregistrați stabiliți în Uniune;
  • numărul de utilizatori finali înregistrați.

 

6.1. Obligațiile furnizorilor de modele IA de uz general

Furnizorii de modele de IA de uz general au următoarele obligații:

  • Să realizeze și actualizeze documentația tehnică a modelului, pentru a putea fi furnizate, la cerere, Oficiului pentru IA și autorităților naționale competente;
  • Să elaboreze, actualizeze și să pună la dispoziție informații și documentație destinate furnizorilor de sisteme de IA care intenționează să integreze modelul de IA de uz general în sistemele lor. Fără a atinge drepturile de proprietate intelectuală, informațiile comerciale confidențiale sau secretele comerciale, informațiile și documentația:
  • Permit furnizorilor să înțeleagă capabilitățile și limitările modelului de uz general și să respecte obligațiile ce le revin în temeiul Actului IA;
  • Conțin o descriere generală a modelului de IA de uz general (ex. sarcinile pe care modelul este destinat să le îndeplinească, tipul și natura sistemelor de IA în care acesta poate fi integrat; data eliberării și metodele de distribuție; licența modelului) și o descriere a elementelor modelului și a procesului de dezvoltare a acestuia, (mijloacele tehnice necesare pentru integrarea modelului de IA de uz general în sistemele de IA; modalitatea și formatul datelor de intrare și de ieșire și dimensiunea maximă a acestora; informații privind datele utilizate pentru antrenare, testare și validare, după caz, inclusiv tipul și proveniența datelor și metodologiile de organizare).
  • Să pună în aplicare o politică vizând respectarea drepturilor de autor și drepturile conexe;
  • Să elaboreze și să pună la dispoziția publicului un rezumat suficient de detaliat cu privire la conținutul utilizat pentru antrenarea modelului;
  • Să coopereze cu Comisia și autoritățile naționale competente.

Furnizorii stabiliți în țări terțe desemnează, prin mandat scris, înainte de a pune la dispoziție un model de uz general pe piața UE, un reprezentant autorizat stabilit în Uniune. Reprezentantul autorizat îndeplinește sarcinile prevăzute în mandatul primit de la furnizor. O copie a mandatului poate fi furnizată Oficiului pentru IA, la cererea acestuia.

Mandatul îl împuternicește pe reprezentant:

  • Să verifice întocmirea documentației tehnice, precum și aducerea la îndeplinire a tuturor celorlalte obligații prevăzute de Actul IA;
  • Să păstreze la dispoziția Oficiului IA și a autorităților naționale competente o copie a documentației tehnice 10 ani după introducerea pe piață a modelului și datele de contact ale furnizorului;
  • Să furnizeze Oficiului, la cererea motivată a acestuia, toate informațiile și documentația, necesare pentru a demonstra conformitatea sistemului;
  • Să coopereze cu oficiul și autoritățile competente, la cererea motivată a acestora, cu privire la orice acțiune în legătură cu un model de uz general, inclusiv atunci când modelul este integrat în sisteme introduse pe piață sau puse în funcțiune în UE.
  • Să fie contactat, pe lângă furnizor sau în locul acestuia, de către Oficiu sau autorități, privind toate aspectele legate de conformitate.

Reprezentantul autorizat își reziliază mandatul dacă consideră că furnizorul acționează contrar Actului IA. În acest caz, el informează imediat Oficiul privind încetarea mandatului și motivele încetării.

 

6.2. Obligațiile furnizorilor de modele IA de uz general cu risc sistemic

Pe lângă obligațiile enumerate la punctul 6.1, furnizorii de modele de IA de uz general cu risc sistemic trebuie să respecte și obligațiile:

  • Să efectueze evaluarea modelelor în conformitate cu protocoale și instrumente standardizate care reflectă stadiul de avansare al tehnologiei, în vederea identificării și atenuării riscurilor sistemice;
  • Să evalueze și atenueze posibilele riscuri sistemice la nivelul UE, inclusiv sursele lor, care pot decurge din dezvoltarea, introducerea pe piață sau utilizarea unor modele de IA de uz general cu risc sistemic;
  • Să urmărească, documenteze și raporteze fără întârzieri nejustificate Oficiul pentru IA, autoritățile naționale competente, informații relevante cu privire la incidentele grave și la posibilele măsuri corective de abordare;
  • Să asigure un nivel adecvat de protecție a securității cibernetice pentru modele și pentru infrastructura lor fizică.

 

Concluzii

Actul privind Inteligența Artificială resprezintă un pas esențial în reglementarea responsabilă a tehnologiilor emergente, stabilind un cadru echilibrat între inovație și protecția drepturilor fundamentale. Implementarea sa impune companiilor o abordare proactivă în gestionarea riscurilor, transparență și guvernanță internă solidă, adaptată specificului fiecărei organizații. Respectarea cerințelor legale devine nu doar o obligație, ci și o oportunitate de consolidare a încrederii clienților și partenerilor de afaceri. Pentru o conformitate eficientă, este esențială colaborarea dintre experți juridici, tehnici și de etică, într-un cadru interdisciplinar. De asemenea, educația și formarea continuă privind utilizarea responsabilă a IA vor contribui la o tranziție sustenabilă către o economie digitală sigură și competitivă. Astfel, companiile care se aliniază din timp prevederilor Actului vor fi mai bine pregătite să valorifice potențialul acestei tehnologii în mod etic și conform cu principiile care au stat la baza comunității europene.

Uncategorised

Baldi & Partners x Hațegan Attorneys

Cross-border Legal and Advisory Partnership between Italy and Romania

Vision

The strategic joint venture between Baldi & Partners (Italy) and Hategan Attorneys (Romania) represents the first cross-border legal advisory partnership of its kind in the CEE region. This innovative alliance creates a unified platform of legal and advisory services for companies operating in both jurisdictions and in emerging CEE markets.

Objectives

To support clients' international development through integrated services that combine legal, tax and strategic expertise in a single flexible interface, bridging communication barriers and removing the traditional dysfunctions of cross-border services.

Responding to market trends - increasing cross-border investments between Italy and Romania, as well as the need for superior coordination for compliance with local and European regulations in the context of the post-pandemic digital transformation.

The joint venture offers clients:

- Seamless legal and tax assistance between the two jurisdictions

- Local expertise combined through a single communication platform

- Integrated services in complex areas such as M&A, international contracts, compliance, ESG, IA and GDPR

- Specialized sector coverage for key industries: industrial manufacturing, mechanical, biomedical, automotive and retail

Partnership

Baldi & Partners brings in joint venture:

- Over 50 years of business consulting experience

- Around 80 multidisciplinary professionals

- Extensive client portfolio, including companies listed on the Italian Stock Exchange

- Expertise in legal, tax and financial services

Hategan Attorneys contributes:

- Its position as the only Romanian GGI Global Alliance member firm

- Boutique expertise in multilingual legal consultancy (German, English, Italian, French, German, Italian)

- 20+ years of experience in the Romanian market

- Leadership involved in international social and cultural projects

Results

The joint venture will facilitate increased bilateral investment and give companies in both countries a competitive advantage through access to high quality integrated legal services tailored to regional specificities and modern European requirements.

Uncategorised

Technology and legal support for digitization are, for us, more than just new legal practices - they are an integral part of Hategan Attorneys' medium-term strategy, tailored to the real needs of our clients in the context of rapid and continuous technological evolution in all industry sectors. 

Our expertise: AI, data protection, blockchain, IT outsourcing, software and IP, e-commerce, ESG and AML-FT. Through cross-border strategies and our network of experts, we deliver fast and secure solutions.

To give due importance to this evolution of our economic reality, we have created Hategan Digital (www.hategandigital.com), a platform dedicated to legal advice in the tech era, the result of collaborations with companies in digitization projects, IT audits and emerging technology risk management.

This new direction will be coordinated by Ioana Hațegan, Managing Partner and Ioana Chiper Zah, Managing Associate at Hategan Attorneys.

We are more than just the witnesses of digital transformations - we aim to be active partners because we understand and can manage the legal framework for transitioning a business to the next level.  

Uncategorised
Ioana Hațegan

Ioana Hațegan

Managing Partner / M&A and PE Leader
Ioana is Managing Partner and founder of Hategan Attorneys. After completing her Master in European and German Business Law and Taxation in Germany, Ioana enriched her practical experience as an associate lawyer.
See full profile
Alina Iozsa

Alina Iozsa

Partner / Leader Real Estate, PPP, Energy & Natural Resources
Alina has more than 18 years of professional experience coordinating a wide range of complex real estate projects and has provided, assisted by the team of lawyers assigned to the project, innovative solutions for the implementation of the clients' business plan and structure in terms of the real estate component.
See full profile
Adoriana Azoiței-Frumosu

Adoriana Azoiței-Frumosu

Senior Associate / Corporate and Data Protection Leader
Adoriana has over 11 years of experience in practicing law. The in-depth legal knowledge and practical experience, as well as the power of analysis and the overall understanding of legal situations help her to provide prompt and optimal solutions for the clients.
See full profile
Alexandra Topor

Alexandra Topor

Senior Associate / Litigation Leader
Alexandra has more than 15 years of professional experience in the field of civil litigation, litigation with professionals, as well as in the field of labor law. Her accumulated experience enables her to provide her clients with pertinent and optimal legal solutions.
See full profile
Gabriela Bunescu

Gabriela Bunescu

Senior Associate / Employment Leader
Gabriela has more than 15 years of professional experience in labor law, commercial and labor relations legal advice, working in a variety of corporate environments, enabling her to understand the diverse needs and challenges faced by organizations.
See full profile
Ioana Chiper Zah

Ioana Chiper Zah

Managing Associate
Ioana has over 5 years of professional experience in civil litigation, commercial and consumer law. Ioana is keenly interested in the continuous development of the internet and related technologies and is oriented towards deepening her expertise in this field.
See full profile
Timeia Lupșa

Timeia Lupșa

Junior Associate
Timeia is a junior lawyer and is among the talented young people who joined the team in 2023. Timeia approaches every case with determination and dedication, showing attention to detail.
See full profile
Robert Apițoaiei

Robert Apițoaiei

Junior Associate
Robert is a junior lawyer and joined Hategan Attorneys in 2023. He is a hardworking person and determined to successfully complete all cases in which he is involved.
See full profile
Horea Ardelean

Horea Ardelean

Junior Associate
Horea has joined the Hațegan Attorneys team as a junior lawyer in 2025.
See full profile
Tatiana Țapu

Tatiana Țapu

Junior Associate
Tatiana has joined the Hațegan team as a Junior Associate in 2025. Tatiana is a detail-oriented and highly organized individual, with strong analytical and problem-solving skills.
See full profile
Cristina Mavrogheni

Cristina Mavrogheni

Office Manager
See full profile

Uncategorised