Cu titlu de scurtă recapitulare, spuneam în primul articol pe care puteţi să-l citiţi aici că implementarea etapizată a AI Act a început cu intrarea în vigoare în 2 februarie 2025 a practicilor interzise de furnizorii şi implementatorii sistemelor de inteligenţă artificială.
Pentru că au apărut foarte multe întrebări pe tema a ce e interzis şi ce e permis, Comisia Europeană a elaborat un Ghid destul de complex (îl puteţi citi integral aici) prin care a încercat să ofere exemple practice de ce anume nu poate să facă un sistem de IA care se vrea accesibil pe piaţa UE.
Ab initio, din considerentele AI Act se accentuează faptul că scopul stabilirii interdicţiilor nu este frânarea dezvoltării inteligenţei artificiale în Uniunea Europeană, ci protecţia drepturilor fundamentale de eventuale sisteme care fie sunt programate cu obiective greşite, fie sunt folosite de aşa manieră încât ele ajung să afecteze grav aceste drepturi. Cred că e important de plecat de la această premisă, reiterată de altfel constant şi de Oficiul european de Inteligenţă Artificială. Dacă vă tentează să citiţi mai multe despre rolul, activitatea şi competenţele lui puteţi accesa pagina asta şi puteţi vizita canalul de Youtube unde sunt urcate webinarii foarte interesante.
Practicile interzise sunt indicate la art. 5 din AI Act şi ele au ca scop declarat protecţia drepturilor fundamentale ale persoanelor afectate. Din păcate, după cum vom vedea în continuare, deşi interzise, cel puţin o parte din ele sunt cât se poate de folosite.
a) Prima practică interzisă e introducerea pe piaţă, punerea în funcţiune sau utilizarea unui sistem de IA care utilizează tehnici subliminale, manipulatoare sau înşelătoare, determinând persoanele să ia o decizie pe care altfel nu ar fi luat-o şi care e aptă să aducă prejudicii.
Intră sub incidenţa acestei practici atât sistemele de IA care prezintă una din cele 3 variante de tehnici cât şi cele care practic combină două sau chiar toate 3 din aceste tehnici. Cu titlu de exemplu, intră în această categorie sisteme care reproduc imaginea sau vocea unei persoane cunoscute, fără a se menţiona evident că este vorba despre un sistem de IA şi nu de persoana impersonată, care ne apar în diverse contexte (pe site-uri, prin mesaje sau mailuri, pe reţele de socializare) şi care, prin mesajele transmise determină persoanele să ia o decizie prejudiciabilă. Din păcate, în ultima perioadă am auzit de tot mai multe scam-uri de acest gen cu persoane cărora le-au apărut astfel de imagini ale unor celebrităţi sau influenceri şi care le spun să facă cumpărături de pe un site sau oameni care sunt sunaţi de o voce identică cu cea a unui membru de familie şi care le spun să transfere bani sau să cumpere un anumit produs. Fără a discuta latura penală a acestor fapte, ele sunt interzise prin Regulamentul 1689 care are un efect orizontal şi deci persoanele afectate se pot îndrepta inclusiv împotriva entităţii care a dezvoltat un atare sistem pentru a-şi recupera pagubele. Cred că e relevant de spus aici că intră sub incidența practicii interzise atât dezvoltarea unor sisteme de IA care au ca scop denaturarea comportamentului persoanelor prin tehnicile indicate, cât şi cele care nu au fost dezvoltate cu un atare scop dar care au ca efect alterarea acestui comportament.
Cu alte cuvinte, ne putem imagina situaţii în care dezvoltatorul/furnizorul unui sistem de IA are un scop legitim, declarat ca atare pentru respectivul sistem dar implementatorul decide să îl folosească în scopul ilicit interzis. Doar prin faptul că scopul iniţial, declarat ca atare în baza obligaţiei de transparenţă, este unui licit nu e exclusă răspunderea celor care utilizează sistemul. Din contră, în baza AI Act autorităţile vor pleca desigur de la verificarea scopului şi obiectivelor declarate ale sistemelor, dar vor merge pe fir şi vor verifica modalitatea în care acestea au fost utilizate pentru a se ajunge la efectele de alterare a comportamentului persoanelor. În cazul în care cel care utilizează sistemul de IA deraiază de la scopul său licit, va răspunde.
În afară de exemplul pe care l-am oferit mai sus, mai pot fi imaginate multe altele care pot „ataca” nu doar bunurile persoanelor ci chiar sănătatea lor, cum sunt boţii care apar pe reţele de socializare şi care pleacă de la comportamentul anterior al unei persoane (ex. date căutate online) şi îi oferă planuri de antrenament fizic, planuri alimentare sau suplimente care sunt periculoase.
b) A doua practică interzisă prin Regulament e introducerea pe piaţă sau utilizarea unui sistem de IA care exploatează vulnerabilitățile persoanelor cauzate de vârstă, dizabilități, situația economică şi/sau socială. Exact ca în cazul primei practici, sunt interzise nu doar sistemele IA care au acest scop, ci şi care au ca efect alterarea comportamentului prin exploatarea vulnerabilităților.
Din păcate cred că există multe sisteme de IA pe piaţă care profită de vulnerabilităţile persoanelor vârstnice care devin ţinta unor reclame la diverse produse dăunătoare sau a copiilor cărora li se inoculează sau accentuează dependenţa de anumite jocuri, comportament care evident e toxic.
Atât în cazul primei interdicţii cât şi în cazul celei de a doua, ce e relevant e ca, fie prin tipul de tehnici utilizate (litera a) fie profitând de diversele vulnerabilităţi (litera b), IA-ul să altereze comportamentul persoanei prin aceea că o determină să adopte un comportament pe care în mod normal nu l-ar fi adoptat, aspect care poate să-i creeze grave prejudicii.
Ce trebuie menţionat în acest context e că o practică poate să cadă nu doar sub incidenţa AI Act ci şi a altor instrumente cum ar fi Regulamentul privind serviciile digitale (UE) 2022/2065 (cunoscut sub denumirea de Digital Service Act sau DSA) care reglementează obligaţiile vizavi de conţinutul platformelor digitale, Regulamentul (UE) 2024/900 privind transparenţa şi publicitatea politică (asta dacă tot discutăm de comportament ilicit în contextul alegerilor), GDPR, Regulamentul (UE) 2023/988 privind siguranţa generală a produselor sau a legislaţiei penale.
Faptul că una şi aceeaşi practică e interzisă de mai multe instrumente nu îi scade din eficacitate. Din contră, persoanele afectate pot opta pentru oricare din remediile specifice oferite de întreg cadrul legal, alternativ sau cumulativ, în funcţie de remediile pe care doresc să le obţină.
c) În al treilea rând, AI Act interzice sistemele de IA care pe baza punctajului social (social scoring) determină adoptarea unui tratament prejudiciabil sau nefavorabil. Din punct de vedere practic, social scoring-ul înseamnă punctarea unei persoane pe baza comportamentului sau caracteristicilor sale personale cu scopul de a stabili ulterior un anumit tratament în raport de acest punctaj. Cu titlu de exemplu, punctarea unor persoane în şomaj pe baza situaţiei familiale, ale comportamentului ş.a. cu scopul de a se stabili dacă vor beneficia sau nu de o indemnizaţie e o practică interzisă care poate duce la discriminare.
d) A patra practică interzisă e crearea de profile infracţionale pe baza trăsăturilor şi caracteristicilor de personalitate ale unei persoane. Ce e inclus aici e, spre exemplu, stabilirea printr-un sistem de IA că persoanele care fumează, au tatuaje şi beau alcool au şanse mai mari să comită o infracţiune în raport cu alţii care nu manifestă aceste trăsături. Textul nu interzice însă utilizarea unui sistem de IA de către un om pentru a stabili dacă o persoană a comis sau nu vreo infracţiune, pe baza unor date şi fapte obiective.
e) A cincea practică interzisă e cunoscută sub denumirea de untargeted scraping care înseamnă practic că nu e permis să se creeze sau extindă baze de date de recunoaştere facială prin preluarea unor poze, video sau imagini CCTV accesibile pe Internet. Ce e important de menţionat aici e că, pentru a intra sub incidenţa acestei interdicţii, trebuie ca sistemul de IA să fie programat sau utilizat fără vreo ţintă precisă, adică fără a căuta o anumită persoană. Per a contrario, în anumite situaţii şi condiţii, e permisă utilizarea sistemelor de IA pentru a identifica o persoană anume.
f) E interzis, de asemenea, să se introducă pe piaţă sau să se utilizeze sisteme de inteligenţă artificială care deduc emoţii şi trăiri ale persoanelor la locul de muncă sau instituţii de învăţământ. Pe scurt, nu e permis să utilizez un astfel de sistem pentru a măsura gradul de satisfacţie al angajaţilor sau, din contră, nemulţumirea acestora, în esenţă pentru că emoţiile sunt pur subiective şi modul în care ele sunt exprimate e diferit de la persoană la persoană.
g) E interzisă, de asemenea, introducerea pe piaţă sau folosirea IA care clasifică persoanele pe baza datelor biometrice pentru a deduce rasa, opiniile politice, apartenenţa la un sindicat, orientarea sexuală, convingerile religioase sau filozofice.
În esenţă, nu e permis să se utilizeze sisteme de IA care deduc că cei cu tatuaje, care fumează şi care beau alcool sunt atei. Per a contrario, nu e interzis să se arate că persoanele care poartă sutană sunt creştine deoarece sutana nu reprezintă o dată biometrică.
h) Nu în ultimul rând, e interzisă – ca regulă – utilizarea sistemelor de identificare biometrică la distanţă în timp real, în spaţii accesibile publicului, în scopul aplicării legii. Această regulă are trei excepţii menţionate clar şi anume: atunci când identificarea e necesară pentru găsirea persoanelor dispărute, răpite sau care sunt victime ale traficului de persoane, pentru prevenirea unui pericol iminent sau ameninţare substanţială care vizează viaţa sau siguranţa fizică a persoanelor sau a unei ameninţări de atac terorist şi în scopul desfăşurării unei investigaţii penale sau a impunerii executării unor pedepse sau măsuri de siguranţă privative de libertate de minim 4 ani.
Ce e absolut esenţial e că, pentru ca aceste excepţii să fie aplicabile, ele trebuie expres reglementate în legislaţia internă a fiecărui stat care doreşte să se prevaleze de ele şi întotdeauna sunt condiţionate de o aprobare prealabilă a unei autorităţi judiciare sau administrative independente. În egală măsură, utilizarea acestor sisteme trebuie întotdeauna semnalată autorităţii de supraveghere competente şi a Agenţiei Naţionale pentru Protecţia datelor cu caracter personal. De asemenea, textul art. 5 lit. h din Regulamentul 1689 arată că nicio decizie cu impact negativ nu va putea fi luată exclusiv pe baza datelor obţinute prin utilizarea (în condiţii de egalitate, evident) a acestor sisteme.
*
Aici voi pune punct Episodului 2 cu privire la practicile interzise de AI Act, urmând să prezint cât de curând care sunt obligaţiile companiilor cu privire la instruirea angajaţilor lor potrivit AI Act (Episodul 3) şi respectiv cum se clasifică sistemele pe baza riscului (Episodul 4).
avocat Oana Chiriţă – Partener fondator