De ce avem nevoie de o Lege europeană

privind inteligenţa artificialǎ?

18 decembrie 2023 | Victor MARCUSOHN
LinkedInFacebookWhatsAppMessengerEmailCopy Link

PrintFriendly

Victor Marcusohn

1. Introducere

Scriam recent[1] că organismele deliberative ale Uniunii Europene au reuşit să ajungă la

acord provizoriu cu privire la o iminentă Lege privind inteligența artificială (Legea IA), ce va
fi adoptată printr-un regulament european, care se doreşte a fi de maximă avangardă, dar care
va ridica, cu siguranţă, şi o serie de întrebări şi comentarii negative, mai ales pentru scepticii
fenomenului IA.

Iată că, la numai cȃteva zile, Comisia Europeană vine şi cu serie de clarificări, mai mult decât
bine venite, menite a lămuri unele aspecte neclare sau poate lapidare, ale viitoarei
reglementări.

Nu se poate nega faptul că beneficiile potențiale ale inteligenței artificiale pentru societatea
contemporană sunt multiple, de la îngrijire medicală îmbunătățită la o educație mai bună.
Noua Lege europeană privind IA își propune să abordeze riscurile pentru sănătate, siguranță și
drepturile fundamentale, fără a omite protecţia democrației, a statului de drept și a mediului.
Cu toate acestea, în anumite cazuri, caracteristicile specifice ale anumitor sisteme IA pot crea
noi riscuri legate de siguranța utilizatorilor și drepturile fundamentale ale acestora, ceea ce ar
putea duce la incertitudine juridică pentru companiile private și la o posibilă adoptare mai
lentă a tehnologiilor IA, din cauza lipsei de încredere.

Deoarece dezvoltarea tehnologică rapidă a IA este o realitate, UE a decis să acționeze pentru a

valorifica aceste oportunități şi nu pentru a se situa (inutil, în opinia noastră!) de partea
opozanţilor vehemenţi ai fenomenului!

Noua reglementare se va aplica atât actorilor publici, cât și celor privați din interiorul și din
afara UE, atâta timp cât sistemul IA este introdus pe piața UE sau utilizarea sa afectează
persoanele situate în interiorul UE. Actul normativ va viza atât furnizorii de servicii (de
exemplu, un dezvoltator al unui instrument de screening), cât și pe cei care implementează
sisteme IA cu risc ridicat (de exemplu, o bancă comercială care cumpără acest instrument de
screening va trebui să se asigure că furnizorul străin a efectuat deja procedura de evaluare a
conformității produsului).

În plus, sunt prevăzute anumite obligații şi pentru furnizorii de modele de IA pentru uz

general, cu riscuri sistemice, inclusiv modele de IA cu utilizare la scară largă. Pe de altă parte,
furnizorii de modele gratuite și „open source” sunt scutiți de majoritatea acestor obligații, ca
şi activitățile de cercetare, dezvoltare și generare a unor prototipuri premergătoare lansării pe
piață. Reglementarea nu se aplică nici sistemelor IA care sunt concepute exclusiv în scopuri
militare, de apărare sau de securitate națională, indiferent de tipul de entitate care le
desfășoară.

Aşa cum am arătat şi anterior[2], Comisia propune o abordare bazată pe risc, cu patru niveluri
pentru sistemele IA, precum și o identificare a riscurilor specifice modelelor de uz general:

• Risc minim: toate sistemele din această categorie pot fi dezvoltate și utilizate în
conformitate cu legislația existentă, fără alte obligații suplimentare. Marea majoritate a
sistemelor IA utilizate în prezent sau care ar putea fi utilizate în UE se încadrează în această
categorie. Furnizorii acelor sisteme pot alege să adere la coduri de conduită voluntare.

• Risc ridicat: un număr limitat de sisteme de inteligență artificială definite în propunere, care
pot crea un impact negativ asupra siguranței cetăţenilor sau a drepturilor lor fundamentale
(așa cum sunt acestea protejate în Carta drepturilor fundamentale a UE), sunt considerate a fi
cu risc ridicat. Aceste sisteme vor fi prevǎzute în anexa la regulament, lista acestora putȃnd fi
revizuită periodic.

• Risc inacceptabil: un set limitat de modele dăunătoare ale IA care contravin valorilor UE,
întrucȃt încalcă drepturile fundamentale. Fac parte din această categorie şi vor fi interzise:
– Scoring social în scopuri publice și private;
– Exploatarea vulnerabilităților persoanelor, utilizarea tehnicilor subliminale;
– Identificarea biometrică de la distanță, în timp real, în spații accesibile publicului, de către
autorităţile de aplicare a legii, sub rezerva unor excepţii;
– Delimitarea biometrică a persoanelor fizice pe baza datelor biometrice, pentru a deduce
rasa, opiniile politice, apartenența la un anumit sindicat, convingerile religioase ori filozofice
sau orientarea sexuală a acestora. Căutarea în bazele de date prin folosirea datelor biometrice,
în domeniul aplicării legii, va fi în continuare posibilă;
– Poliție predictivă individuală;
– Recunoașterea emoțiilor la locul de muncă și în instituțiile de învățământ, cu excepția
motivelor medicale sau de siguranță (de exemplu, monitorizarea nivelului de oboseală al unui
pilot);
– Căutarea nedirecționată pe internet sau prin CCTV pentru a identifica imagini faciale, în
scopul construirii sau extinderii de baze de date.

• Risc specific de transparență: pentru anumite sisteme IA se vor impune cerințe specifice
de transparență, mai precis acolo unde există un risc clar de manipulare (de exemplu,
utilizarea chatbot-urilor).

2. Sistemele IA cu risc ridicat

Clasificarea riscurilor se bazează pe scopul propus al sistemului IA, în conformitate cu
legislația UE în vigoare privind siguranța produselor, adică depinde de funcția îndeplinită de
sistemul IA și de scopul și modalitățile specifice pentru care este utilizat sistemul.

Anexa la lege cuprinde o listă de cazuri care sunt considerate a fi cu risc ridicat, listă ce va fi
actualizată periodic prin grija Comisiei Europene. Astfel, vor face parte din această listă:
– anumite infrastructuri critice, de exemplu în domeniul traficului rutier și al furnizării de apă,
gaz, încălzire și electricitate;
– educația și formarea profesională (de exemplu, evaluarea rezultatelor învățării, coordonarea
procesului de învățare sau monitorizarea fraudei);
– ocuparea forței de muncă, gestionarea lucrătorilor și accesul la activități independente (de
exemplu, plasarea de anunțuri de angajare clar direcţionate, analizarea și filtrarea cererilor de
angajare, precum şi evaluarea candidaţilor);
– accesul la servicii esențiale private și publice, precum şi la beneficii (de exemplu, asistență
medicală), evaluarea bonității persoanelor fizice și evaluarea riscurilor și stabilirea prețurilor
în legătură cu asigurările de viață și de sănătate;
– anumite sisteme utilizate în domeniile aplicării legii, controlului la frontieră, administrării
justiției și proceselor democratice;
– evaluarea și clasificarea apelurilor de urgență;
– sisteme biometrice de identificare; delimitarea și recunoașterea emoțiilor (în afara
categoriilor interzise);
– sistemele recomandate de platformele online foarte mari nu sunt incluse, deoarece acestea
sunt deja acoperite de alte reglementări (RPD[3]/RSD[4]).

Sistemele de pe lista cu risc ridicat, care îndeplinesc sarcini procedurale restrânse, care
îmbunătățesc rezultatul activităților umane, care nu influențează deciziile umane sau care
îndeplinesc sarcini pur pregătitoare, nu vor fi considerate cu risc ridicat. Cu toate acestea, un
sistem IA va fi considerat, întotdeauna, cu risc ridicat dacă are rolul de a crea profile pentru
persoanele fizice.

Înainte de a introduce un sistem IA cu risc ridicat pe piața UE sau de a-l pune în funcțiune în
alt mod, furnizorii trebuie să îl supună unei evaluări a conformității. Acest lucru le va
permite să demonstreze că sistemul respectă cerințele obligatorii de încredere pentru IA (de
exemplu, calitatea datelor, documentație și trasabilitate, transparență, supraveghere umană,
acuratețe, securitate cibernetică și robustețe). Această evaluare trebuie repetată dacă sistemul
sau scopul acestuia sunt modificate substanțial.

Furnizorii de sisteme IA cu risc ridicat vor trebui, de asemenea, să implementeze sisteme de

management al calității și al riscului pentru a asigura conformitatea acestora cu noile cerințe
și pentru a minimiza riscurile pentru utilizatori și persoanele afectate, chiar și după
introducerea unui produs pe piață.

Sistemele de IA cu risc ridicat care sunt implementate de autoritățile publice sau de entitățile
care acționează în numele acestora vor trebui înregistrate într-o bază de date publică a UE, cu
excepția cazului în care aceste sisteme sunt utilizate pentru forţele de aplicare a legii și pentru
analiza fenomenului migraţiei.

În fine, este foarte important ca sistemele IA să nu creeze discriminare. Sistemele IA trebuie

să fie robuste din punct de vedere tehnic pentru a garanta că tehnologia este adecvată scopului
și rezultatele fals pozitive/negative nu afectează în mod disproporționat grupurile protejate (de
exemplu, pe bază de origine rasială sau etnică, sex, vârstă etc.).

3. Modele IA de uz general

Legea IA ia în considerare riscurile sistemice care ar putea apărea prin folosirea modelelor IA
de uz general, inclusiv modelele mari generatoare de IA. Unele dintre acestea ar putea
prezenta riscuri sistemice dacă sunt utilizate la scară largă (de exemplu, accidente informatice
grave sau utilizarea pentru atacuri cibernetice de anvergură).

Legea obligă furnizorii de astfel de modele să dezvăluie anumite informații furnizorilor de

sisteme subsecvente. De asemenea, aceştia trebuie sǎ implementeze politici pentru a se
asigura că respectă legislaţia privind drepturile de autor.

Deocamdată, modelele IA de uz general care au fost create prin folosirea unei puteri totale de
calcul mai mare de 10^25 FLOP-uri sunt considerate cǎ ar avea riscuri sistemice. Oficiul IA
(înființat în cadrul Comisiei Europene) poate actualiza acest prag în lumina progreselor
tehnologice și, în plus, în cazuri specifice, poate desemna alte modele similare pe baza unor
criterii suplimentare (de exemplu, numărul de utilizatori sau gradul de autonomie al
modelului).

Acest prag de 10^25 FLOP-uri a fost desemnat deoarece captează cele mai avansate modele
GPAI ale momentului, și anume GPT-4 de la OpenAI și Gemini de la Google DeepMind.
Capacitățile modelelor peste acest prag nu sunt încă suficient de bine înțelese. FLOP este un
prim proxy pentru capabilitățile modelului, iar pragul FLOP exact poate fi actualizat de către
Oficiul European IA[5], în funcţie de progresele în măsurarea obiectivă a capabilităților
modelului și de evoluţia puterii de calcul necesară pentru un anumit nivel de performanță.

4. Identificarea biometrică

Utilizarea identificării biometrice la distanță, în timp real, în spații accesibile publicului (adică
recunoașterea facială folosind CCTV) în scopuri de aplicare a legii este interzisă, cu excepția
cazului în care este utilizată în unul dintre următoarele cazuri:
– activități de aplicare a legii cu privire la 16 infracțiuni clar delimitate, şi anume: terorism;
trafic de ființe vii; exploatarea copiilor în scop sexual și folosirea de materiale care conţin
abuz sexual asupra copiilor; traficul ilicit de stupefiante și substanțe psihotrope; traficul ilicit
de arme, muniții și explozibili; omor; vătămarea corporală gravă; comerțul ilicit cu organe și
țesuturi umane; traficul ilicit de materiale nucleare sau radioactive; răpire, reținere ilegală și
luare de ostatici; infracțiuni de competența Curții Penale Internaționale; sechestrarea ilegală
de aeronave/nave; violul; criminalitate ecologică; jaf organizat sau armat; sabotaj, participarea
la o organizație criminală implicată în una sau mai multe infracțiuni enumerate mai sus.
– căutarea direcționată a anumitor victime, răpirea, traficul și exploatarea sexuală a ființelor
umane și a persoanelor dispărute, sau
– prevenirea amenințării vieții sau siguranței fizice a persoanelor ori răspunsul la amenințarea
prezentă sau previzibilă a unui atac terorist.

Identificarea biometrică la distanță, în timp real, de către autoritățile de aplicare a legii va

trebui autorizată prealabil de către o autoritate judiciară sau administrativă independentă, a
cărei decizie în acest sens este obligatorie. În caz de urgență, autorizarea se poate face în
termen de 24 de ore. Însă, dacă solicitarea de autorizare este respinsă, toate datele astfel
colectate vor trebui distruse.

De asemenea, este obligatorie o evaluare prealabilă a impactului asupra drepturilor

fundamentale ale omului, care va trebui notificată autorității pentru supravegherea pieţei și
autorității de protecție a datelor. În caz de urgență, utilizarea sistemului poate fi începută şi
fără acest demers prealabil.

De asemenea, şi utilizarea sistemelor de inteligență artificială pentru identificarea biometrică

din materiale video colectate anterior, a persoanelor care fac obiectul unei anchete penale,
necesită autorizarea prealabilă din partea unei autorități judiciare sau a unei autorități
administrative independente și notificarea autorității pentru protecția datelor și supravegherea
pieței.

Identificarea biometrică poate îmbrăca diferite forme. Poate fi folosită pentru autentificarea
utilizatorului, adică pentru a debloca un smartphone sau pentru verificare/autentificare la
punctele de trecere a frontierei, dar poate fi utilizată și de la distanță, pentru identificarea
persoanelor dintr-o mulțime (de exemplu, o imagine a unei persoane este verificată cu
informaţiile dintr-o bază de date).

Precizia sistemelor de recunoaștere facială poate varia semnificativ în funcție de o gamă largă
de factori, cum ar fi calitatea camerei de luat vederi, lumina, distanța, baza de date,
algoritmul, precum și etnia, vârsta sau sexul subiectului. Același lucru este valabil și pentru
mers, recunoașterea vocii și alte sisteme biometrice.

5. Intrare în vigoare şi implementare

După adoptarea sa de către Parlamentul European și de către Consiliu, Legea IA va intra în

vigoare în cea de-a douăzecea zi de la data publicării în Jurnalul Oficial. Aceasta va deveni
aplicabilă la 24 de luni de la intrarea în vigoare, cu o abordare graduală după cum urmează:
– după șase luni de la intrarea în vigoare, statele membre vor elimina treptat sistemele
interzise;
– după 12 luni: devin aplicabile obligațiile pentru guvernarea IA de uz general;
– după 24 de luni: Legea IA devine aplicabilă în integralitate, inclusiv obligațiile pentru
sistemele cu risc ridicat definite în anexa III (lista cazurilor de utilizare cu risc ridicat);
– după 36 de luni: se aplică obligațiile pentru sistemele cu risc ridicat definite în anexa II (lista
legislației de armonizare a UE).

Statele membre vor avea un rol-cheie în punerea în aplicare a prezentului regulament, sens în
care fiecare stat membru va trebui să desemneze una sau mai multe autorități naționale
competente pentru a supraveghea și punerea în aplicare, precum și pentru a desfășura
activități de supraveghere a pieței.

Pentru a crește eficiența și pentru a stabili un punct oficial de contact cu publicul și cu alte
persoane interesate, fiecare stat membru va trebui să desemneze o autoritate națională de
supraveghere, care va reprezenta țara şi în Comitetul european pentru inteligență artificială.

Expertiză tehnică suplimentară va fi furnizată de un Forum consultativ, format din

reprezentanţi ai persoanelor interesate („stakeholders”), inclusiv din industrie, start-up-uri,
IMM-uri, societatea civilă și mediul academic.
În plus, Comisia va înființa şi un Oficiu european pentru inteligență artificială, care va
supraveghea modelele de inteligență artificială cu scop general, va coopera cu Comitetul
european pentru inteligență artificială și va fi sprijinit de un grup științific de experți
independenți.

6. Sancţiuni

Atunci când sistemele IA care sunt introduse pe piață sau în uz, nu respectă cerințele
regulamentului, statele membre vor trebui să stabilească sancțiuni eficiente, proporționale și
disuasive, inclusiv amenzi administrative, în legătură cu încălcările respective și să le
comunice Comisiei.

Regulamentul stabilește următoarele praguri:

– până la 35 milioane EUR sau 7% din cifra de afaceri anuală totală a exercițiului financiar
precedent (oricare dintre acestea este mai mare) pentru încălcări referitoare la practici
interzise sau nerespectarea unor cerințe privind datele;
– până la 15 milioane EUR sau 3% din cifra de afaceri anuală totală a exercițiului financiar
precedent pentru nerespectarea oricăreia dintre celelalte cerințe sau obligații impuse de
regulament, inclusiv încălcarea regulilor privind modelele IA de uz general;
– până la 7,5 milioane EUR sau 1,5% din cifra de afaceri anuală totală a exercițiului financiar
precedent pentru furnizarea de informații incorecte, incomplete sau înșelătoare către
organismele notificate și autoritățile naționale competente, ca răspuns la o solicitare;

Pentru fiecare categorie, pragul va fi cel mai mic dintre cele două sume pentru IMM-uri și cel
mai mare pentru alte companii.

Pentru a armoniza normele și practicile naționale în stabilirea amenzilor administrative,

Comisia va elabora ghiduri şi metodologii. Şi instituțiile, agențiile sau organismele UE vor fi
supuse regulilor de mai sus și eventualelor sancțiuni, sens în care Autoritatea Europeană
pentru Protecția Datelor va putea sǎ le aplice amenzi.

Legea AI prevede şi dreptul de petiţionare în faţa unei autorităţi naționale. În plus,

propunerea de directivă privind răspunderea civilǎ în domeniul IA[6] urmărește să ofere
persoanelor care solicită despăgubiri pentru daunele cauzate de sistemele IA cu risc ridicat,
mijloacele necesare pentru a identifica persoanele potențial răspunzătoare și pentru a obține
dovezile necesare promovării unei acţiuni reparatorii în justiţie.

7. Alte elemente de interes

Obiectivul propunerii de Lege IA este de a aborda riscurile la adresa siguranței și a drepturilor

fundamentale ale omului, inclusiv dreptul fundamental la un mediu sănătos! În acest sens,
Comisia va trebui să solicite organizațiilor europene de standardizare crearea unui model prin
care sǎ se raporteze procesele de îmbunătăţire a performanţei sistemelor IA, cum ar fi
reducerea consumului de energie și a altor resurse cu risc ridicat în timpul ciclului lor de viață,
precum și dezvoltarea eficientă energetic de modele IA de uz general.

De asemenea, furnizorii de modele IA de uz general, care folosesc cantități mari de date și,
prin urmare, sunt predispuși la un consum mare de energie, vor trebui să facă public
consumul de energie. În cazul modelelor IA de uz general cu riscuri sistemice, eficiența
energetică va trebui, de asemenea, evaluată.
Pentru a conchide, apreciem că pe de o parte, crearea unui cadru juridic coerent va facilita
creșterea încrederii utilizatorilor, ceea ce va conduce la o creştere a solicitărilor de utilizare a
IA la nivel de companii private şi de autorităţi publice. Pe de altă parte, prin creșterea
securității juridice și armonizarea regulilor, furnizorii de IA vor accesa piețe mai mari, cu
produse pe care utilizatorii și consumatorii le solicită, le apreciază și le cumpără.

Legea IA este parte a efortului Uniunii Europene de a fi un lider global în promovarea unei IA
de încredere la nivel internațional. Inteligența artificială a devenit o zonă de importanță
strategică la răscrucea dintre geopolitică, mize comerciale și preocupări de securitate.

Deşi reglementările în domeniul IA sunt abia la început, Uniunea Europeană şi-a asumat deja
rolul de lider mondial, sens în care şi-a manifestat intenţia explicită de a extinde
parteneriatele, coalițiile și alianțele în domeniu cu diferiţi parteneri globali, fie la nivel statal
(de exemplu, Japonia, SUA, India, Canada, Coreea de Sud, Singapore sau regiunea Americii
Latine și zona Caraibelor), fie la nivel instituţional (OCDE, G7 și G20).

Dacă va reuşi, numai timpul ne va putea lǎmuri!

[1] https://www.juridice.ro/717781/legea-privind-inteligenta-artificiala-ai-act-tot-mai-aproape.html
[2] Ibidem.
[3] Regulamentul (UE) 2022/1925 al Parlamentului European şi al Consiliului din 14 septembrie 2022, privind
piețe contestabile și echitabile în sectorul digital și de modificare a Directivelor (UE) 2019/1937 și (UE)
2020/1828 (Regulamentul privind piețele digitale): https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?
uri=CELEX:32022R1925
[4] Regulamentul (UE) 2022/2065 al Parlamentului European şi al Consiliului din 19 octombrie 2022, privind o
piață unică pentru serviciile digitale și de modificare a Directivei 2000/31/CE (Regulamentul privind serviciile
digitale): https://eur-lex.europa.eu/legal-content/RO/TXT/HTML/?uri=CELEX:32022R2065
[5] Prin legislaţie delegată.
[6] Propunere de Directivă a Parlamentului European şi a Consiliului privind adaptarea normelor în materie de
răspundere civilă extracontractuală la inteligența artificială (Directiva privind răspunderea în materie de IA):
https://eur-lex.europa.eu/legal-content/RO/TXT/HTML/?uri=CELEX:52022PC0496

Conf. univ. dr. Victor Marcusohn

Avocat, Baroul Bucureşti