Ce putem numi sistem de inteligenţă artificială? Putem folosi orice sisteme, în orice scop şi mod? Avem interdicţii, limite şi obligaţii şi dacă da, cine le are?
În ultimele luni a avut loc o (r)evoluție legislativă extrem de efervescentă în contextul în centrul căreia se regăsește Regulamentul 1689/2024 (cunoscut drept AI Act) și care a propulsat AI Law în fruntea domeniilor de drept și a interesului profesioniștilor.
Inteligenţa artificială (IA sau AI ca şi acronim original) a apărut de foarte multă vreme, mai exact în anii ’50. De la apariţie şi până în prezent definiţia noţiunii de AI s-a schimbat foarte mult fiind direct influenţată de evoluţia tehnologică şi umană.
Nu cred că e nici necesar şi nici util să prezint evoluţia AI de la apariţie şi până în prezent – la asta vă poate ajuta impecabil ChatGPT pe care e suficient să-l rugaţi să vă facă o prezentare cronologică. Ce cred însă că e relevant de menţionat e că, în prezent, oamenii folosesc IA în fiecare zi, în aproape toate activităţile pe care le derulează cu ajutorul telefonului, a computerului, a tabletei ş.a. Mai clar, atunci când folosim asistenţii vocali (Siri, Google Assistant, Alexa), atunci când ne deblocăm telefonul cu Face ID sau amprentă, când folosim autocorrect-ul sau mailuri automate, când traducem cu Google translate sau alte softuri de traducere, când facem cumpărături online şi ni se sugerează produse pe baza preferinţelor sau vacanţe pe baza căutărilor (sau a discuţiilor !), când ne urcăm în maşină şi ne pornim Waze sau Maps, când luăm un Bolt sau Uber, când folosim la birou Teams, când ne uităm la Netflix şi ni se sugerează filme pe baza profilului nostru, pe Insta, Snapchat şi lista poate continua la nesfârşit. Pe scurt, oricare din noi poate să recunoască că dacă ar dispărea una sau mai multe din aceste componente ni s-ar clătina puţin pământul de sub picioare şi modul în care ne ducem viaţa zilnică ar fi afectat.
Am ajuns aşadar în situaţia din prezent în care considerăm IA ca o nevoie şi probabil că în cele mai multe cazuri credem că ne ajută semnificativ. Problema e că ne poate şi încurca. Fără a intra în discuţii şi polemici legate de politică, cu siguranţă la ultimele alegeri care au făcut şi încă fac vâlvă s-a folosit IA cu scopul de a studia şi influenţa comportamentul alegătorilor, deşi astfel de sisteme sunt calificate în prezent ca fiind cu grad ridicat de risc care ar trebui folosite doar în condiţii de transparenţă, dacă sunt necesare şi dacă sunt proporţionale, în caz contrar ele fiind o ingerinţă nepermisă a dreptului la vot (cel puţin).
În afară de exemplul foarte actual cu influenţarea votului, IAul poate să afecteze grav şi alte aspecte din viaţa noastră, exemplele cele mai simple fiind sistemele de supraveghere, sisteme folosite în domeniul medical, sisteme care sunt folosite pentru profilarea persoanelor şi altele, urmând să mă refer puţin mai târziu la acestea. Ideea de bază este că pe cât de utile şi benefice pot să fie sistemele de IA pe atât de periculoase pot să devină, în funcţie de scopul pentru care acestea sunt folosite. Am subliniat termenul de scop pentru că acesta e practic cel care va trebui analizat de la
caz la caz, putând foarte bine să existe situaţii în care unul şi acelaşi sistem de IA e folosit în mai multe scopuri – unele permise şi altele interzise de Regulament. Ce e cert însă e că nimeni nu şi-ar dori să fie subiectul unui profil de infractor, spre exemplu, făcut de un sistem de IA şi folosit apoi de autorităţi cu scop punitiv, la fel cum cu siguranţă nimeni nu-şi doreşte să i se facă un profil pe baza emoţiilor pe care sistemul de IA determină că le-ar manifesta.
Contextul în care a intrat în vigoare AI Act, în august 2024 e unul de maximă necesitate de a reglementa, într-o manieră non-exhaustivă ce înseamnă inteligenţa artificială, cum o clasificăm, când nu putem să folosim deloc IA sau care sunt restricţiile privind utilizarea ei şi ce obligaţii avem atunci când alegem – consţient şi informat – să o folosim.
Trebuie spus ab initio că Regulamentul 2024/1689 e doar instrumentul de bază care reglementează IA şi că acestuia i se adaugă o suită de alte regulamente şi directive care vor trebui analizate complementar, multe dintre ele fiind deja modificate de legiuitorul european pentru a fi în consens cu IA. Amintesc doar în acest context faptul că, la finele anului trecut a intrat în vigoare noua Directivă privind răspunderea pentru produsele cu defect (Directiva 2853/2024) care stabileşte că Din motive de securitate juridică, ar trebui să se clarifice în prezenta directivă faptul că software-ul este un produs în sensul aplicării răspunderii obiective, indiferent de modul de furnizare sau de utilizare a acestuia şi, prin urmare, indiferent dacă este stocat pe un dispozitiv sau accesat prin intermediul unei reţele de comunicaţii, al tehnologiilor de tip cloud sau dacă este furnizat utilizându-se modelul software-ului ca serviciu.
Mai departe, s-a publicat Regulamentul (UE) 2847/2024 privind cerinţele orizontale în materie cibernetică şi cu siguranţă cadrul legislativ va fi completat şi modificat în continuare tocmai datorită dinamicii şi a efectelor extrem de accelerate ale sistemelor de IA. În urmă cu câteva luni Comisia Europeană a publicat un Ghid care conţine orientări privind practicile interzise în materie de utilizare a sistemelor de IA (îl puteţi găsi aici https://digital-strategy.ec.europa.eu/ro/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act) şi urmează cât de curând să se adopte un Cod de bune practici care cu siguranţă va fi extrem de relevant.
Ce e de asemenea foarte important e că AI Act defineşte la art. 3 o serie de termeni şi concepte de care ne vom tot ciocni de acum încolo, prima fiind a sistemului de IA. În esenţă, pentru ca un sistem să poată fi calificat drept sistem de AI trebuie ca acesta : să funcţioneze cu diferite niveluri de autonomie (1) să se poată adapta după implementare (2) şi să genereze previziuni, conţinut, recomandări sau decizii care pot influenţa mediile fizice sau virtuale (3). Pe baza caracteristicilor indicate la art. 3 se poate identifica un sistem de IA, respectiv se poate distinge acesta de un soft simplu spre exemplu. Ce e deopotrivă important e că prin AI Act se stabileşte o categorisire a sistemelor de IA pe baza riscului pe care acestea îl prezintă, riscul fiind definit ca şi combinaţia dintre probabilitatea producerii unui prejudiciu şi gravitatea acestuia. Din punct de vedere practic, determinarea riscului trebuie să fie start point-ul fiecărei evaluări pe care trebuie să o facă fiecare din actorii implicaţi în producerea sau utilizarea sistemelor de IA. După ce se stabileşte riscul trebuie să se identifice calitatea entității în raport de sistemul de IA. În sens general toate entitățile sunt denumite operatori și în funcție de rolul lor ei pot fi furnizor, fabricant de produse, implementator, reprezentant autorizat, importator sau distribuitor.
După ce se stabileşte nivelul de risc şi calitatea operatorului uremază partea „distractivă” şi anume stabilirea dacă şi în ce condiţii se poate utiliza sistemul de IA şi care sunt obligaţiile concrete dacă alegem să îl folosim.
Înainte de orice, trebuie spus clar că AI Act nu se aplică persoanelor care utilizează sistemele de IA în scop personal (pe scurt, dacă folosiţi ChatGPT pe telefon pentru reţete de bucătărie nu vă speriaţi pentru că nu intraţi sub incidenţa AI Act). Per a contrario, atunci când un angajat dintr-o companie (sau colaborator) foloseşte acelaşi ChatGPT ca să-l ajute în taskurile pe care le primeşte, chiar dacă nu anunţă pe nimeni şi face asta de capul lui, asta nu mai e utilizare în scop personal ci în scop profesional şi asta va putea atrage în mod cert răspunderea – vom vedea într-un articol ulterior dacă va răspunde compania, angajatul sau ambii.
Definirea practicilor interzise e foarte clar prezentată în Ghidul pe care l-am trecut în linkul de mai sus, dar cred că trebuie menţionat din start că nu pot fi utilizate sistemele de IA pentru manipularea persoanelor, sistemele care se bazează pe exploatarea vulnerabilităţilor acestora, sistemele utilizate pentru scoring social, pentru stabilirea profilului infracţional, pentru categorisirea pe baza datelor biometrice sau pentru identificarea persoanelor în timp real pe baza datelor lor biometrice (sau pe scurt supraveghere).
Cui se aplică Regulamentul? Similar cu GDPR, AI Act nu se va aplica doar entităţilor juridice din UE ci şi din afara Uniunii în măsura în care acestea furnizează un sistem de IA sau a unui model de IA de uz general pentru distribuţie sau uz pe piaţa Uniunii în cursul unei activităţi comerciale, contra cost sau gratuit.
Care e calendarul intrării în vigoare a obligaţiilor? Obligaţiile stabilite de Regulament diferă în funcţie de calitatea operatorului dar trebuie menţionat de la bun început că acesta a fost conceput să intre în vigoare etapizat, în mai multe trepte, după cum urmează:
- 2 februarie 2025 – au intrat în vigoare dispoziţiile cu caracter general şi interdicţiile;
- 2 august 2025 – Comisia elaborează un set de documente între care Codul de bune practici, statele membre desemnează autoritatea de supraveghere a pieţei care să acţioneze ca punct unic de contact pentru regulament şi îi notifică Comisiei identitatea punctului unic de contact, acestea urmând să fie prezentate centralizat publicului de către Comisie.
- 2 februarie 2026 – intră în vigoare şi devin aplicabile definiţiile şi obligaţia de alfabetizare instituită în sarcina entităţilor juridice care furnizează şi care implementează sisteme de IA. Mai exact, până în 2 februarie 2026 toate entităţile care furnizează sau utilizează în scop comercial sau profesional sisteme de IA trebuie să îşi instruiască personalul cu privire la contextul în care urmează să fie folosite sistemele de IA;
- 2 august 2026 – intră în vigoare cea mai mare parte a Regulamentului;
- 2 august 2027 – intră în vigoare clasificarea pentru sistemele de IA cu grad ridicat de risc şi amenzile care sunt evident foarte mari, putând ajunge până la 3 % din cifra de afaceri mondială totală anuală pentru exerciţiul financiar precedent sau 15 000 000 EUR, luându-se în considerare valoarea cea mai mare dintre acestea.
- 2 august 2030 – furnizorii şi implementatorii sistemelor de IA cu grad ridicat de risc destinate a fi utilizate de autorităţile publice iau măsurile necesare pentru a se conforma cerinţelor şi obligaţiilor din regulament.
*
Mă voi opri aici cu Episodul 1 pentru că ChatGPT îmi spune că atenţia cititorilor se va pierde dacă o mai lungesc dar vom reveni foarte curând cu Episodul 2 care va viza Practicile interzise, în condiţiile în care acestea deja sunt în vigoare şi apoi Episodul 3 vizavi de obligaţiile companiilor de alfabetizare.
avocat Oana Chiriţă – Partener fondator, AI enthusiast 😊