Capitolul iii - SISTEME DE IA CU GRAD RIDICAT DE RISC - Regulamentul 1689/13-iun-2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială)
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 12 Iulie 2024
CAPITOLUL III:SISTEME DE IA CU GRAD RIDICAT DE RISC
Art. 6: Norme de clasificare pentru sistemele de IA cu grad ridicat de risc
(1)Indiferent dacă un sistem de IA este introdus pe piaţă sau pus în funcţiune independent de produsele menţionate la literele (a) şi (b), respectivul sistem de IA este considerat ca prezentând un grad ridicat de risc în cazul în care sunt îndeplinite cumulativ următoarele două condiţii:
a)sistemul de IA este destinat a fi utilizat ca o componentă de siguranţă a unui produs sau sistemul de IA este el însuşi un produs care face obiectul legislaţiei de armonizare a Uniunii care figurează în anexa I;
b)produsul a cărui componentă de siguranţă în temeiul literei (a) este sistemul de IA sau sistemul de IA în sine ca produs trebuie să fie supus unei evaluări a conformităţii de către o terţă parte, în vederea introducerii pe piaţă sau a punerii în funcţiune a produsului respectiv în temeiul legislaţiei de armonizare a Uniunii care figurează în anexa I.
(2)Sistemele de IA menţionate în anexa III sunt considerate, pe lângă sistemele de IA cu grad ridicat de risc menţionate la alineatul (1), ca prezentând un grad ridicat de risc.
(3)Prin derogare de la alineatul (2), un sistem de IA menţionat în anexa III nu poate fi considerat ca prezentând un grad ridicat de risc dacă nu prezintă un risc semnificativ de a aduce prejudicii sănătăţii, siguranţei sau drepturilor fundamentale ale persoanelor fizice, inclusiv prin faptul că nu influenţează în mod semnificativ rezultatul procesului decizional.
Primul paragraf se aplică în cazul în care oricare dintre următoarele condiţii este îndeplinită:
a)sistemul de IA este destinat să îndeplinească o sarcină procedurală restrânsă;
b)sistemul de IA este destinat să îmbunătăţească rezultatul unei activităţi umane finalizate anterior;
c)sistemul de IA este destinat să depisteze modelele decizionale sau abaterile de la modelele decizionale anterioare şi nu este menit să înlocuiască sau să influenţeze evaluarea umană finalizată anterior, fără o revizuire umană adecvată; sau
d)sistemul de IA este destinat să îndeplinească o sarcină pregătitoare pentru o evaluare relevantă în scopul cazurilor de utilizare enumerate în anexa III.
În pofida primului paragraf, un sistem de IA menţionat în anexa III este întotdeauna considerat ca prezentând un grad ridicat de risc dacă creează profiluri ale persoanelor fizice.
(4)Orice furnizor care consideră că un sistem de IA menţionat în anexa III nu prezintă un grad ridicat de risc documentează evaluarea sa înainte ca sistemul respectiv să fie introdus pe piaţă sau pus în funcţiune. Furnizorul respectiv este supus obligaţiei de înregistrare prevăzute la articolul 49 alineatul (2). La cererea autorităţilor naţionale competente, furnizorul pune la dispoziţie dovezile documentare în sprijinul evaluării.
(5)După consultarea Consiliului european pentru inteligenţa artificială (denumit în continuare "Consiliul IA") şi în termen de cel mult 2 februarie 2026, Comisia furnizează orientări care precizează modalităţile privind punerea în aplicare practică a prezentului articol, în conformitate cu articolul 96, împreună cu o listă cuprinzătoare de exemple practice de cazuri de utilizare a sistemelor de IA care prezintă un grad ridicat de risc şi a celor care nu prezintă un grad ridicat de risc.
(6)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica alineatul (3) al doilea paragraf de la prezentul articol prin adăugarea de noi condiţii faţă de cele prevăzute la dispoziţia menţionată sau prin modificarea acestora, în cazul în care există dovezi concrete şi fiabile ale existenţei unor sisteme de IA care intră în domeniul de aplicare al anexei III, dar care nu prezintă un risc semnificativ de a aduce prejudicii sănătăţii, siguranţei sau drepturilor fundamentale ale persoanelor fizice.
(7)Comisia adoptă acte delegate în conformitate cu articolul 97 pentru a modifica alineatul (3) al doilea paragraf de la prezentul articol prin eliminarea oricăreia dintre condiţiile prevăzute la dispoziţia menţionată, în cazul în care există dovezi concrete şi fiabile că acest lucru este necesar în scopul menţinerii nivelului de protecţie a sănătăţii, a siguranţei şi a drepturilor fundamentale prevăzut în prezentul regulament.
(8)Orice modificare a condiţiilor prevăzute la alineatul (3) al doilea paragraf, adoptată în conformitate cu alineatele (6) şi (7) de la prezentul articol, nu reduce nivelul general de protecţie a sănătăţii, a siguranţei şi a drepturilor fundamentale prevăzut în prezentul regulament şi asigură corelarea cu actele delegate adoptate în temeiul articolului 7 alineatul (1) şi ţine seama de evoluţiile pieţei şi ale tehnologiei.
Art. 7: Modificări ale anexei III
(1)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica anexa III prin adăugarea de cazuri de utilizare a sistemelor de IA cu grad ridicat de risc sau prin modificarea unor astfel de cazuri dacă sunt îndeplinite cumulativ următoarele două condiţii:
a)sistemele de IA sunt destinate a fi utilizate în oricare dintre domeniile enumerate în anexa III;
b)sistemele de IA prezintă un risc de a aduce prejudicii sănătăţii şi siguranţei sau un risc de impact negativ asupra drepturilor fundamentale, iar riscul respectiv este echivalent sau mai mare în raport cu riscul de a aduce prejudicii sau de a provoca un impact negativ prezentat de sistemele de IA cu grad ridicat de risc deja menţionate în anexa III.
(2)Atunci când evaluează condiţia prevăzută la alineatul (1) litera (b), Comisia ia în considerare următoarele criterii:
a)scopul preconizat al sistemului de IA;
b)măsura în care a fost utilizat sau este probabil să fie utilizat un sistem de IA;
c)natura şi volumul datelor prelucrate şi utilizate de sistemul de IA, în special dacă sunt prelucrate categorii speciale de date cu caracter personal;
d)măsura în care sistemul de IA acţionează în mod autonom şi posibilitatea ca o persoană să anuleze o decizie sau recomandări care atrag un potenţial prejudiciu;
e)măsura în care utilizarea unui sistem de IA a adus deja prejudicii sănătăţii şi siguranţei, a avut un impact negativ asupra drepturilor fundamentale sau a generat motive de îngrijorare semnificative în ceea ce priveşte probabilitatea unor astfel de prejudicii sau a unui astfel de impact negativ, astfel cum o demonstrează, de exemplu, rapoartele sau acuzaţiile documentate prezentate autorităţilor naţionale competente sau alte rapoarte, după caz;
f)amploarea potenţială a unor astfel de prejudicii sau a unui astfel de impact negativ, în special în ceea ce priveşte intensitatea şi capacitatea sa de a afecta numeroase persoane sau de a afecta în mod disproporţionat un anumit grup de persoane;
g)măsura în care persoanele care sunt potenţial prejudiciate sau afectate de un impact negativ depind de rezultatul produs cu ajutorul unui sistem de IA, în special deoarece, din motive practice sau juridice, nu este posibil în mod rezonabil să se renunţe la rezultatul respectiv;
h)măsura în care există un dezechilibru de putere sau persoanele care sunt potenţial prejudiciate sau afectate de impactul negativ se află într-o poziţie vulnerabilă în raport cu implementatorul unui sistem de IA, în special din cauza statutului, a autorităţii, a cunoştinţelor, a circumstanţelor economice sau sociale sau a vârstei;
i)măsura în care rezultatul produs cu implicarea unui sistem de IA este uşor de corectat sau reversibil, avându-se în vedere soluţiile tehnice disponibile pentru corectare sau reversare şi dat fiind că rezultatele care au un impact negativ asupra sănătăţii, siguranţei sau drepturilor fundamentale nu sunt considerate ca fiind uşor de corectat sau reversibile;
j)amploarea şi probabilitatea beneficiilor implementării sistemului de IA pentru persoane fizice, grupuri sau societate în general, inclusiv îmbunătăţirile posibile ale siguranţei produselor;
k)măsura în care dreptul existent al Uniunii prevede:
(i)măsuri reparatorii eficace în legătură cu riscurile prezentate de un sistem de IA, cu excepţia cererilor de despăgubiri;
(ii)măsuri eficace de prevenire sau de reducere substanţială a acestor riscuri.
(3)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica lista din anexa III prin eliminarea de sisteme de IA cu grad ridicat de risc în cazul în care sunt îndeplinite cumulativ următoarele două condiţii:
a)sistemul de IA cu grad ridicat de risc în cauză nu mai prezintă riscuri semnificative pentru drepturile fundamentale, sănătate sau siguranţă, ţinând seama de criteriile enumerate la alineatul (2);
b)eliminarea nu reduce nivelul general de protecţie a sănătăţii, siguranţei şi drepturilor fundamentale în temeiul dreptului Uniunii.
Art. 8: Respectarea cerinţelor
(1)Sistemele de IA cu grad ridicat de risc respectă cerinţele stabilite în prezenta secţiune, ţinând seama de scopul lor preconizat, precum şi de stadiul de avansare general recunoscut al IA şi al tehnologiilor conexe IA. Sistemul de gestionare a riscurilor menţionat la articolul 9 este luat în considerare atunci când se asigură respectarea cerinţelor respective.
(2)În cazul în care un produs conţine un sistem de IA căruia i se aplică cerinţele prezentului regulament, precum şi cerinţele din legislaţia de armonizare a Uniunii care figurează în anexa I secţiunea A, furnizorii au responsabilitatea de a se asigura că produsul lor respectă pe deplin toate cerinţele aplicabile impuse de legislaţia aplicabilă de armonizare a Uniunii. Pentru a asigura conformitatea sistemelor de IA cu grad ridicat de risc menţionate la alineatul (1) cu cerinţele prevăzute în prezenta secţiune şi pentru a asigura coerenţa, a evita suprapunerile şi a reduce la minimum sarcinile suplimentare, furnizorii au posibilitatea de a integra, după caz, procesele de testare şi raportare necesare, informaţiile şi documentaţia pe care le furnizează cu privire la produsul lor în documentaţia şi procedurile deja existente şi sunt impuse în temeiul legislaţiei de armonizare a Uniunii care figurează în anexa I secţiunea A.
Art. 9: Sistemul de gestionare a riscurilor
(1)Se instituie, se pune în aplicare, se documentează şi se menţine un sistem de gestionare a riscurilor în legătură cu sistemele de IA cu grad ridicat de risc.
(2)Sistemul de gestionare a riscurilor este înţeles ca un proces iterativ continuu planificat şi derulat pe parcursul întregului ciclu de viaţă al unui sistem de IA cu grad ridicat de risc, necesitând în mod periodic actualizarea şi revizuirea sistematică. Acesta cuprinde următoarele etape:
a)identificarea şi analiza riscurilor cunoscute şi previzibile în mod rezonabil pe care sistemul de IA cu grad ridicat de risc le poate prezenta pentru sănătate, siguranţă sau drepturile fundamentale atunci când sistemul de IA cu grad ridicat de risc este utilizat în conformitate cu scopul preconizat;
b)estimarea şi evaluarea riscurilor care pot apărea atunci când sistemul de IA cu grad ridicat de risc este utilizat în conformitate cu scopul său preconizat şi în condiţii de utilizare necorespunzătoare previzibilă în mod rezonabil;
c)evaluarea altor riscuri care ar putea apărea pe baza analizei datelor colectate din sistemul de monitorizare ulterioară introducerii pe piaţă menţionat la articolul 72;
d)adoptarea unor măsuri adecvate şi specifice de gestionare a riscurilor, concepute pentru a combate riscurile identificate în temeiul literei (a).
(3)Prezentul articol se referă numai la riscurile care pot fi atenuate sau eliminate în mod rezonabil prin dezvoltarea sau proiectarea sistemului de IA cu grad ridicat de risc sau prin furnizarea de informaţii tehnice adecvate.
(4)Măsurile de gestionare a riscurilor menţionate la alineatul (2) litera (d) ţin seama în mod corespunzător de efectele şi interacţiunea posibilă care rezultă din aplicarea combinată a cerinţelor prevăzute în prezenta secţiune, în vederea reducerii la minimum a riscurilor într-un mod mai eficace, obţinându-se totodată un echilibru adecvat în punerea în aplicare a măsurilor de îndeplinire a cerinţelor respective.
(5)Măsurile de gestionare a riscurilor menţionate la alineatul (2) litera (d) sunt de aşa natură încât riscul rezidual relevant asociat fiecărui pericol, precum şi riscul rezidual global al sistemelor de IA cu grad ridicat de risc să fie considerate a fi acceptabile.
La identificarea celor mai adecvate măsuri de gestionare a riscurilor se asigură următoarele:
a)eliminarea sau reducerea riscurilor identificate şi evaluate în temeiul alineatului (2), în măsura în care acest lucru este fezabil din punct de vedere tehnic prin proiectarea şi dezvoltarea adecvată a sistemului de IA cu grad ridicat de risc;
b)după caz, punerea în aplicare a unor măsuri adecvate de atenuare şi control pentru combaterea riscurilor care nu pot fi eliminate;
c)furnizarea informaţiilor necesare în temeiul articolului 13 şi, după caz, formarea implementatorilor.
În vederea eliminării sau reducerii riscurilor legate de utilizarea sistemului de IA cu grad ridicat de risc se acordă atenţia cuvenită cunoştinţelor tehnice, experienţei, educaţiei şi formării preconizate din partea implementatorului, precum şi contextului prezumtiv în care urmează să fie utilizat sistemul.
(6)Sistemele de IA cu grad ridicat de risc sunt testate în scopul identificării celor mai adecvate măsuri specifice de gestionare a riscurilor. Testarea asigură faptul că sistemele de IA cu grad ridicat de risc funcţionează într-un mod coerent cu scopul preconizat şi că sunt conforme cu cerinţele stabilite în prezenta secţiune.
(7)Procedurile de testare pot include testarea în condiţii reale, în conformitate cu articolul 60.
(8)Testarea sistemelor de IA cu grad ridicat de risc se efectuează, după caz, în orice moment pe parcursul procesului de dezvoltare şi, în orice caz, înainte de introducerea pe piaţă sau de punerea în funcţiune a acestora. Testarea se efectuează pe baza unor indicatori şi a unor praguri probabilistice definite în prealabil, care sunt adecvate scopului preconizat al sistemului de IA cu grad ridicat de risc.
(9)La punerea în aplicare a sistemului de gestionare a riscurilor descris la alineatele (1)-(7), furnizorii analizează dacă, având în vedere scopul său preconizat, sistemul de IA cu grad ridicat de risc este susceptibil să aibă un impact negativ asupra persoanelor cu vârsta sub 18 ani şi, după caz, asupra altor grupuri vulnerabile.
(10)Pentru furnizorii de sisteme de IA cu grad ridicat de risc care fac obiectul unor cerinţe privind procesele interne de gestionare a riscurilor în temeiul altor dispoziţii relevante din dreptul Uniunii, aspectele descrise la alineatele (1)-(9) pot face parte din procedurile de gestionare a riscurilor stabilite în temeiul legislaţiei respective sau pot fi combinate cu acestea.
Art. 10: Datele şi guvernanţa datelor
(1)Sistemele de IA cu grad ridicat de risc care utilizează tehnici ce implică antrenarea de modele de IA cu date se dezvoltă pe baza unor seturi de date de antrenament, de validare şi de testare care îndeplinesc criteriile de calitate menţionate la alineatele (2)-(5) ori de câte ori sunt utilizate astfel de seturi de date.
(2)Seturile de date de antrenament, de validare şi de testare fac obiectul unor practici de guvernanţă şi gestionare a datelor adecvate scopului preconizat al sistemului de IA cu grad ridicat de risc. Practicile respective se referă în special la:
a)opţiunile de proiectare relevante;
b)procesele de colectare a datelor şi originea datelor, iar în cazul datelor cu caracter personal, scopul iniţial al colectării datelor;
c)operaţiunile relevante de prelucrare în vederea pregătirii datelor, cum ar fi adnotarea, etichetarea, curăţarea, actualizarea, îmbogăţirea şi agregarea;
d)formularea unor ipoteze, în special în ceea ce priveşte informaţiile pe care datele ar trebui să le măsoare şi să le reprezinte;
e)o evaluare a disponibilităţii, a cantităţii şi a adecvării seturilor de date necesare;
f)examinarea în vederea identificării unor posibile prejudecăţi care sunt susceptibile să afecteze sănătatea şi siguranţa persoanelor, să aibă un impact negativ asupra drepturilor fundamentale sau să conducă la o discriminare interzisă în temeiul dreptului Uniunii, în special în cazul în care datele de ieşire influenţează datele de intrare pentru operaţiunile viitoare;
g)măsuri adecvate pentru detectarea, prevenirea şi atenuarea posibilelor prejudecăţi identificate în conformitate cu litera (f);
h)identificarea lacunelor sau a deficienţelor relevante în materie de date care împiedică conformitatea cu prezentul regulament şi a modului în care acestea pot fi abordate.
(3)Seturile de date de antrenament, de validare şi de testare sunt relevante, suficient de reprezentative, şi pe cât posibil, fără erori şi complete, având în vedere scopul preconizat. Acestea au proprietăţile statistice corespunzătoare, inclusiv, după caz, în ceea ce priveşte persoanele sau grupurile de persoane în legătură cu care se intenţionează să fie utilizat sistemul de IA cu grad ridicat de risc. Caracteristicile respective ale seturilor de date pot fi îndeplinite la nivelul seturilor de date individuale sau la nivelul unei combinaţii a acestora.
(4)Seturile de date iau în considerare, în măsura impusă de scopul preconizat, caracteristicile sau elementele specifice cadrului geografic, contextual, comportamental sau funcţional specific în care este destinat să fie utilizat sistemul de IA cu grad ridicat de risc.
(5)În măsura în care acest lucru este strict necesar pentru a asigura detectarea şi corectarea prejudecăţilor în legătură cu sistemele de IA cu grad ridicat de risc în conformitate cu alineatul (2) literele (f) şi (g) de la prezentul articol, furnizorii de astfel de sisteme pot prelucra în mod excepţional categoriile speciale de date cu caracter personal, sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile fundamentale ale persoanelor fizice. În plus faţă de dispoziţiile prevăzute de Regulamentele (UE) 2016/679 şi (UE) 2018/1725 şi de Directiva (UE) 2016/680, pentru ca o astfel de prelucrare să aibă loc, trebuie să fie respectate toate condiţiile următoare:
a)depistarea şi corectarea prejudecăţilor nu poate fi realizată în mod eficace prin prelucrarea altor date, inclusiv a datelor sintetice sau anonimizate;
b)categoriile speciale de date cu caracter personal fac obiectul unor limitări tehnice privind reutilizarea datelor cu caracter personal şi al unor măsuri avansate de securitate şi de protecţie a vieţii private, inclusiv pseudonimizarea;
c)categoriile speciale de date cu caracter personal fac obiectul unor măsuri prin care să se asigure că datele cu caracter personal prelucrate sunt securizate şi protejate, sub rezerva unor garanţii adecvate, inclusiv controale stricte şi documentarea accesului, pentru a se evita utilizarea necorespunzătoare şi pentru a se asigura că numai persoanele autorizate cu obligaţii de confidenţialitate corespunzătoare au acces la aceste date cu caracter personal;
d)categoriile speciale de date cu caracter personal nu trebuie să fie transmise, transferate sau accesate în alt mod de către alte părţi;
e)categoriile speciale de date cu caracter personal sunt şterse după corectarea prejudecăţilor sau după ce datele cu caracter personal au ajuns la sfârşitul perioadei lor de păstrare, în funcţie de care dintre acestea survine mai întâi;
f)evidenţele activităţilor de prelucrare în temeiul Regulamentelor (UE) 2016/679 şi (UE) 2018/1725 şi al Directivei (UE) 2016/680 includ motivele pentru care a fost strict necesară prelucrarea unor categorii speciale de date cu caracter personal pentru a depista şi a corecta prejudecăţile şi motivele pentru care acest obiectiv nu putea fi realizat prin prelucrarea altor date.
(6)Pentru dezvoltarea sistemelor de IA cu grad ridicat de risc care nu utilizează tehnici care implică antrenarea de modele de IA, alineatele (2)-(5) se aplică numai seturilor de date de testare.
Art. 11: Documentaţia tehnică
(1)Documentaţia tehnică a unui sistem de IA cu grad ridicat de risc se întocmeşte înainte ca sistemul respectiv să fie introdus pe piaţă sau pus în funcţiune şi se actualizează.
Documentaţia tehnică se întocmeşte astfel încât să demonstreze că sistemul de IA cu grad ridicat de risc respectă cerinţele prevăzute în prezenta secţiune şi să furnizeze autorităţilor naţionale competente şi organismelor notificate informaţiile necesare într-un mod clar şi cuprinzător, pentru a evalua conformitatea sistemului de IA cu cerinţele respective. Aceasta conţine cel puţin elementele prevăzute în anexa IV. IMM-urile, inclusiv întreprinderile nou-înfiinţate, pot furniza într-o manieră simplificată elementele documentaţiei tehnice specificate în anexa IV. În acest scop, Comisia stabileşte un formular simplificat de documentaţie tehnică care vizează nevoile întreprinderilor mici şi ale microîntreprinderilor. În cazul în care IMM-urile, inclusiv întreprinderile nou-înfiinţate, optează să furnizeze informaţiile solicitate în anexa IV într-o manieră simplificată, acestea utilizează formularul menţionat la prezentul alineat. Organismele notificate acceptă formularul în scopul evaluării conformităţii.
(2)În cazul în care este introdus pe piaţă sau pus în funcţiune un sistem de IA cu grad ridicat de risc legat de un produs care face obiectul actelor legislative de armonizare ale Uniunii care figurează în anexa I secţiunea A, se întocmeşte o singură documentaţie tehnică ce conţine toate informaţiile prevăzute la alineatul (1), precum şi informaţiile necesare în temeiul respectivelor acte juridice.
(3)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica anexa IV, atunci când este necesar, pentru a se asigura că, având în vedere progresul tehnic, documentaţia tehnică furnizează toate informaţiile necesare pentru evaluarea conformităţii sistemului cu cerinţele prevăzute în prezenta secţiune.
Art. 12: Păstrarea evidenţelor
(1)Sistemele de IA cu grad ridicat de risc permit din punct de vedere tehnic înregistrarea automată a evenimentelor (fişiere de jurnalizare) de-a lungul duratei de viaţă a sistemului.
(2)Pentru a asigura un nivel de trasabilitate a funcţionării sistemului de IA cu grad ridicat de risc care să fie adecvat scopului preconizat al sistemului, capabilităţile de jurnalizare permit înregistrarea evenimentelor relevante pentru:
a)identificarea situaţiilor care pot avea ca rezultat faptul că sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1) sau care pot conduce la o modificare substanţială;
b)facilitarea monitorizării ulterioare introducerii pe piaţă menţionate la articolul 72; şi
c)monitorizarea funcţionării sistemelor de IA cu grad ridicat de risc menţionate la articolul 26 alineatul (5).
(3)În cazul sistemelor de IA cu grad ridicat de risc menţionate în anexa III punctul 1 litera (a), capabilităţile de jurnalizare furnizează cel puţin:
a)înregistrarea perioadei fiecărei utilizări a sistemului (data şi ora de începere, precum şi data şi ora de încheiere a fiecărei utilizări);
b)baza de date de referinţă în raport cu care au fost verificate de sistem datele de intrare;
c)datele de intrare pentru care căutarea a generat o concordanţă;
d)identificarea persoanelor fizice implicate în verificarea rezultatelor, astfel cum se menţionează la articolul 14 alineatul (5).
Art. 13: Transparenţa şi furnizarea de informaţii implementatorilor
(1)Sistemele de IA cu grad ridicat de risc sunt proiectate şi dezvoltate astfel încât să se asigure că funcţionarea lor este suficient de transparentă pentru a permite implementatorilor să interpreteze rezultatele sistemului şi să le utilizeze în mod corespunzător. Se asigură un tip şi un grad adecvat de transparenţă, în vederea respectării obligaţiilor relevante ale furnizorului şi ale implementatorului prevăzute în secţiunea 3.
(2)Sistemele de IA cu grad ridicat de risc sunt însoţite de instrucţiuni de utilizare într-un format digital adecvat sau în alt tip de format adecvat, care includ informaţii concise, complete, corecte şi clare care sunt relevante, accesibile şi uşor de înţeles pentru implementatori.
(3)Instrucţiunile de utilizare conţin cel puţin următoarele informaţii:
a)identitatea şi datele de contact ale furnizorului şi, după caz, ale reprezentantului său autorizat;
b)caracteristicile, capabilităţile şi limitările performanţei sistemului de IA cu grad ridicat de risc, inclusiv:
(i)scopul său preconizat;
(ii)nivelul de acurateţe, inclusiv indicatorii săi, de robusteţe şi de securitate cibernetică menţionat la articolul 15 în raport cu care sistemul de IA cu grad ridicat de risc a fost testat şi validat şi care poate fi preconizat, precum şi orice circumstanţă cunoscută şi previzibilă care ar putea avea un impact asupra nivelului preconizat de acurateţe, robusteţe şi securitate cibernetică;
(iii)orice circumstanţă cunoscută sau previzibilă legată de utilizarea sistemului de IA cu grad ridicat de risc în conformitate cu scopul său preconizat sau în condiţii de utilizare necorespunzătoare previzibilă în mod rezonabil, care poate conduce la riscurile pentru sănătate şi siguranţă sau pentru drepturile fundamentale menţionate la articolul 9 alineatul (2);
(iv)după caz, capabilităţile şi caracteristicile tehnice ale sistemului de IA cu grad ridicat de risc de a furniza informaţii relevante pentru explicarea rezultatelor sale;
(v)după caz, performanţele sale în ceea ce priveşte anumite persoane sau grupuri de persoane în legătură cu care este destinat să fie utilizat sistemul;
(vi)după caz, specificaţiile pentru datele de intrare sau orice altă informaţie relevantă în ceea ce priveşte seturile de date de antrenament, de validare şi de testare utilizate, ţinând seama de scopul preconizat al sistemului de IA cu grad ridicat de risc;
(vii)după caz, informaţii care să le permită implementatorilor să interpreteze rezultatele sistemului de IA cu grad ridicat de risc şi să le utilizeze în mod corespunzător;
c)modificările aduse sistemului de IA cu grad ridicat de risc şi performanţei acestuia care au fost predeterminate de către furnizor la momentul evaluării iniţiale a conformităţii, dacă este cazul;
d)măsurile de supraveghere umană menţionate la articolul 14, inclusiv măsurile tehnice instituite pentru a facilita interpretarea rezultatelor sistemelor de IA cu grad ridicat de risc de către implementatori;
e)resursele de calcul şi resursele hardware necesare, durata de viaţă preconizată a sistemului de IA cu grad ridicat de risc şi orice măsuri de întreţinere şi de îngrijire, inclusiv frecvenţa lor, necesare pentru a asigura funcţionarea corespunzătoare a sistemului de IA respectiv, inclusiv în ceea ce priveşte actualizările software-ului;
f)după caz, o descriere a mecanismelor incluse în sistemul de IA cu grad ridicat de risc care să permită implementatorilor să colecteze, să stocheze şi să interpreteze în mod corespunzător fişierele de jurnalizare în conformitate cu articolul 12.
Art. 14: Supravegherea umană
(1)Sistemele de IA cu grad ridicat de risc sunt proiectate şi dezvoltate astfel încât, prin includerea de instrumente adecvate de interfaţă om-maşină, să poată fi supravegheate în mod eficace de către persoane fizice în perioada în care sunt utilizate.
(2)Supravegherea umană are ca scop prevenirea sau reducerea la minimum a riscurilor pentru sănătate, siguranţă sau pentru drepturile fundamentale, care pot apărea atunci când un sistem de IA cu grad ridicat de risc este utilizat în conformitate cu scopul său preconizat sau în condiţii de utilizare necorespunzătoare previzibilă în mod rezonabil, în special în cazurile în care astfel de riscuri persistă în pofida aplicării altor cerinţe prevăzute în prezenta secţiune.
(3)Măsurile de supraveghere sunt proporţionale cu riscurile specifice, cu nivelul de autonomie şi cu contextul utilizării sistemului de IA cu grad ridicat de risc şi se asigură fie prin unul dintre următoarele tipuri de măsuri, fie prin ambele:
a)măsuri identificate şi încorporate, atunci când este fezabil din punct de vedere tehnic, în sistemul de IA cu grad ridicat de risc de către furnizor înainte ca acesta să fie introdus pe piaţă sau pus în funcţiune;
b)măsuri identificate de furnizor înainte de introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc şi care sunt adecvate pentru a fi puse în aplicare de implementator.
(4)În scopul punerii în aplicare a alineatelor (1), (2) şi (3), sistemul de IA cu grad ridicat de risc este pus la dispoziţia implementatorului astfel încât persoanelor fizice cărora li se încredinţează supravegherea umană să li se permită, în funcţie de următoarele şi proporţional cu acestea:
a)să înţeleagă în mod corespunzător capacităţile şi limitările relevante ale sistemului de IA cu grad ridicat de risc şi să fie în măsură să monitorizeze în mod corespunzător funcţionarea acestuia, inclusiv în vederea depistării şi abordării anomaliilor, disfuncţionalităţilor şi performanţelor neaşteptate;
b)să rămână conştiente de posibila tendinţă de a se baza în mod automat sau excesiv pe rezultatele obţinute de un sistem de IA cu grad ridicat de risc (prejudecăţi legate de automatizare), în special în cazul sistemelor de IA cu grad ridicat de risc utilizate pentru a furniza informaţii sau recomandări pentru deciziile care urmează să fie luate de persoanele fizice;
c)să interpreteze corect rezultatele sistemului de IA cu grad ridicat de risc, ţinând seama, de exemplu, de instrumentele şi metodele de interpretare disponibile;
d)să decidă, în orice situaţie anume, să nu utilizeze sistemul de IA cu grad ridicat de risc sau să ignore, să anuleze sau să inverseze rezultatele sistemului de IA cu grad ridicat de risc;
e)să intervină în funcţionarea sistemului de IA cu grad ridicat de risc sau să întrerupă sistemul prin intermediul unui buton "stop" sau al unei proceduri similare care să permită sistemului să se oprească în condiţii de siguranţă.
(5)În cazul sistemelor de IA cu grad ridicat de risc menţionate în anexa III punctul 1 litera (a), măsurile menţionate la alineatul (3) de la prezentul articol sunt de aşa natură încât să asigure că, în plus, implementatorul nu ia nicio măsură sau decizie pe baza identificării care rezultă din sistem, cu excepţia cazului în care identificarea respectivă a fost verificată şi confirmată separat de cel puţin două persoane fizice care au competenţa, pregătirea şi autoritatea necesare.
Cerinţa unei verificări separate de către cel puţin două persoane fizice nu se aplică sistemelor de IA cu grad ridicat de risc utilizate în scopul aplicării legii sau în domeniul imigraţiei, al controlului la frontiere ori al azilului, în cazurile în care dreptul Uniunii sau dreptul intern consideră că aplicarea acestei cerinţe este disproporţionată.
Art. 15: Acurateţe, robusteţe şi securitate cibernetică
(1)Sistemele de IA cu grad ridicat de risc sunt concepute şi dezvoltate astfel încât să atingă un nivel adecvat de acurateţe, robusteţe şi securitate cibernetică şi să funcţioneze în mod consecvent în aceste privinţe pe parcursul întregului lor ciclu de viaţă.
(2)Pentru a aborda aspectele tehnice ale modului de măsurare a nivelurilor adecvate de acurateţe şi robusteţe prevăzute la alineatul (1) şi orice alţi indicatori de performanţă relevanţi, Comisia, în cooperare cu părţi interesate şi organizaţii relevante precum autorităţile din domeniul metrologiei şi al etalonării încurajează, după caz, elaborarea de valori de referinţă şi metodologii de măsurare.
(3)Nivelurile de acurateţe şi indicatorii de acurateţe relevanţi ai sistemelor de IA cu grad ridicat de risc se declară în instrucţiunile de utilizare aferente.
(4)Sistemele de IA cu grad ridicat de risc sunt cât mai reziliente posibil în ceea ce priveşte erorile, defecţiunile sau incoerenţele care pot apărea în cadrul sistemului sau în mediul în care funcţionează sistemul, în special din cauza interacţiunii lor cu persoane fizice sau cu alte sisteme. Se iau măsuri tehnice şi organizatorice în acest sens.
Robusteţea sistemelor de IA cu grad ridicat de risc poate fi asigurată prin soluţii tehnice redundante, care pot include planuri de rezervă sau de funcţionare în caz de avarie.
Sistemele de IA cu grad ridicat de risc care continuă să înveţe după ce au fost introduse pe piaţă sau puse în funcţiune sunt dezvoltate astfel încât să elimine sau să reducă pe cât posibil riscul ca eventuale rezultate distorsionate de prejudecăţi să influenţeze datele de intrare pentru operaţiunile viitoare (bucle de feedback) şi să se asigure că orice astfel de bucle de feedback sunt abordate în mod corespunzător prin măsuri de atenuare adecvate.
(5)Sistemele de IA cu grad ridicat de risc sunt reziliente în ceea ce priveşte încercările unor părţi terţe neautorizate de a le modifica utilizarea, rezultatele sau performanţa prin exploatarea vulnerabilităţilor sistemului.
Soluţiile tehnice menite să asigure securitatea cibernetică a sistemelor de IA cu grad ridicat de risc sunt adecvate circumstanţelor relevante şi riscurilor.
Soluţiile tehnice pentru abordarea vulnerabilităţilor specifice ale IA includ, după caz, măsuri de prevenire, depistare, răspuns, soluţionare şi control în privinţa atacurilor ce vizează manipularea setului de date de antrenament (otrăvirea datelor) sau a componentelor preantrenate utilizate la antrenament (otrăvirea modelelor), a datelor de intrare concepute să determine modelul de IA să facă o greşeală (exemple contradictorii sau eludarea modelelor), a atacurilor la adresa confidenţialităţii sau a defectelor modelului.
SECŢIUNEA 3:Obligaţiile furnizorilor şi implementatorilor de sisteme de IA cu grad ridicat de risc şi ale altor părţi
Art. 16: Obligaţiile furnizorilor de sisteme de IA cu grad ridicat de risc
Furnizorii de sisteme de IA cu grad ridicat de risc:
(a)se asigură că sistemele lor de IA cu grad ridicat de risc respectă cerinţele prevăzute în secţiunea 2;
(b)indică pe sistemul de IA cu grad ridicat de risc sau, în cazul în care acest lucru nu este posibil, pe ambalaj sau în documentele care îl însoţesc, după caz, numele lor, denumirea lor comercială înregistrată sau marca lor înregistrată, adresa la care pot fi contactaţi;
(c)dispun de un sistem de management al calităţii în conformitate cu articolul 17;
(d)păstrează documentaţia menţionată la articolul 18;
(e)atunci când acestea se află sub controlul lor, păstrează fişierele de jurnalizare generate automat de sistemele lor de IA cu grad ridicat de risc menţionate la articolul 19;
(f)se asigură că sistemul de IA cu grad ridicat de risc este supus procedurii relevante de evaluare a conformităţii menţionată la articolul 43, înainte de introducerea sa pe piaţă sau de punerea sa în funcţiune;
(g)elaborează o declaraţie de conformitate UE în conformitate cu articolul 47;
(h)aplică marcajul CE pe sistemul de IA cu grad ridicat de risc sau, în cazul în care acest lucru nu este posibil, pe ambalajul sau în documentaţia sa însoţitoare, pentru a indica conformitatea cu prezentul regulament, în conformitate cu articolul 48;
(i)respectă obligaţiile de înregistrare menţionate la articolul 49 alineatul (1);
(j)iau măsurile corective necesare şi furnizează informaţiile prevăzute la articolul 20;
(k)la cererea motivată a unei autorităţi naţionale competente, demonstrează conformitatea sistemului de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2;
(l)se asigură că sistemul de IA cu grad ridicat de risc respectă cerinţele de accesibilitate, în conformitate cu Directivele (UE) 2016/2102 şi (UE) 2019/882.
Art. 17: Sistemul de management al calităţii
(1)Furnizorii de sisteme de IA cu grad ridicat de risc instituie un sistem de management al calităţii care asigură conformitatea cu prezentul regulament. Acest sistem este documentat în mod sistematic şi ordonat sub formă de politici, proceduri şi instrucţiuni scrise şi include cel puţin următoarele aspecte:
a)o strategie pentru conformitatea cu reglementările, inclusiv conformitatea cu procedurile de evaluare a conformităţii şi cu procedurile de gestionare a modificărilor aduse sistemului de IA cu grad ridicat de risc;
b)tehnicile, procedurile şi acţiunile sistematice care trebuie utilizate pentru proiectarea, controlul proiectării şi verificarea proiectării sistemului de IA cu grad ridicat de risc;
c)tehnicile, procedurile şi acţiunile sistematice care trebuie utilizate pentru dezvoltarea, controlul calităţii şi asigurarea calităţii sistemului de IA cu grad ridicat de risc;
d)procedurile de examinare, testare şi validare care trebuie efectuate înainte, în timpul şi după dezvoltarea sistemului de IA cu grad ridicat de risc, precum şi frecvenţa cu care acestea trebuie efectuate;
e)specificaţiile tehnice, inclusiv standardele, care trebuie aplicate şi, în cazul în care standardele armonizate relevante nu sunt aplicate integral sau nu vizează toate cerinţele relevante prevăzute în secţiunea 2, mijloacele care trebuie utilizate pentru a se asigura că sistemul de IA cu grad ridicat de risc respectă cerinţele respective;
f)sisteme şi proceduri pentru gestionarea datelor, inclusiv obţinerea datelor, colectarea datelor, analiza datelor, etichetarea datelor, stocarea datelor, filtrarea datelor, extragerea datelor, agregarea datelor, păstrarea datelor şi orice altă operaţiune privind datele care este efectuată înainte şi în scopul introducerii pe piaţă sau al punerii în funcţiune a sistemelor de IA cu grad ridicat de risc;
g)sistemul de gestionare a riscurilor menţionat la articolul 9;
h)instituirea, implementarea şi întreţinerea unui sistem de monitorizare ulterioară introducerii pe piaţă, în conformitate cu articolul 72;
i)procedurile legate de raportarea unui incident grav în conformitate cu articolul 73;
j)gestionarea comunicării cu autorităţile naţionale competente, cu alte autorităţi relevante, inclusiv cu cele care furnizează sau sprijină accesul la date, cu organismele notificate, cu alţi operatori, cu clienţi sau cu alte părţi interesate;
k)sisteme şi proceduri pentru păstrarea evidenţelor tuturor documentelor şi informaţiilor relevante;
l)gestionarea resurselor, inclusiv măsurile legate de securitatea aprovizionării;
m)un cadru de asigurare a răspunderii care stabileşte responsabilităţile cadrelor de conducere şi ale altor categorii de personal în ceea ce priveşte toate aspectele enumerate la prezentul alineat.
(2)Punerea în aplicare a aspectelor menţionate la alineatul (1) este proporţională cu dimensiunea organizaţiei furnizorului. Furnizorii respectă, indiferent de situaţie, gradul de precizie şi nivelul de protecţie necesare pentru a asigura conformitatea cu prezentul regulament a sistemelor lor de IA cu grad ridicat de risc.
(3)Furnizorii de sisteme de IA cu grad ridicat de risc care fac obiectul unor obligaţii în ceea ce priveşte sistemele de management al calităţii sau o funcţie echivalentă a acestora în temeiul dreptului sectorial relevant al Uniunii pot include aspectele descrise la alineatul (1) ca parte din sistemele de management al calităţii stabilite în temeiul dreptului respectiv.
(4)În cazul furnizorilor care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele interne în temeiul dreptului Uniunii din domeniul serviciilor financiare, se consideră că obligaţia de instituire a unui sistem de management al calităţii, cu excepţia alineatului (1) literele (g), (h) şi (i) de la prezentul articol, este îndeplinită prin respectarea normelor privind măsurile sau procesele de guvernanţă internă în temeiul dreptului relevant al Uniunii din domeniul serviciilor financiare. În acest scop, se ţine seama de toate standardele armonizate menţionate la articolul 40.
Art. 18: Păstrarea evidenţelor
(1)Pentru o perioadă de 10 ani după introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc, furnizorul păstrează la dispoziţia autorităţilor naţionale competente:
a)documentaţia tehnică menţionată la articolul 11;
b)documentaţia privind sistemul de management al calităţii menţionată la articolul 17;
c)documentaţia privind modificările aprobate de organismele notificate, după caz;
d)deciziile şi alte documente emise de organismele notificate, după caz;
e)declaraţia de conformitate UE prevăzută la articolul 47.
(2)Fiecare stat membru stabileşte condiţiile în care documentaţia menţionată la alineatul (1) rămâne la dispoziţia autorităţilor naţionale competente pentru perioada indicată la alineatul respectiv pentru cazurile în care un furnizor sau reprezentantul autorizat al acestuia stabilit pe teritoriul său intră în faliment sau îşi încetează activitatea înainte de sfârşitul perioadei respective.
(3)Furnizorii care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele lor interne în temeiul dreptului Uniunii din domeniul serviciilor financiare păstrează documentaţia tehnică ca parte a documentaţiei păstrate în temeiul dreptului relevant al Uniunii din domeniul serviciilor financiare.
Art. 19: Fişiere de jurnalizare generate automat
(1)Furnizorii de sisteme de IA cu grad ridicat de risc păstrează fişierele de jurnalizare menţionate la articolul 12 alineatul (1), generate automat de sistemele de IA cu grad ridicat de risc ale acestora, în măsura în care astfel de fişiere de jurnalizare se află sub controlul lor. Fără a aduce atingere dreptului Uniunii sau dreptului intern aplicabil, fişiere de jurnalizare se păstrează pentru o perioadă adecvată scopului preconizat al sistemului de IA cu grad ridicat de risc, de cel puţin şase luni, cu excepţia cazului în care se prevede altfel în dreptul Uniunii sau în dreptul intern aplicabil, în special în dreptul Uniunii privind protecţia datelor cu caracter personal.
(2)Furnizorii care sunt instituţii financiare supuse unor cerinţe privind guvernanţa lor internă, măsurile sau procesele lor interne în temeiul dreptului Uniunii din domeniul serviciilor financiare păstrează fişierele de jurnalizare generate automat de sistemele lor de IA cu grad ridicat de risc ca parte a documentaţiei păstrate în temeiul dreptului relevant din domeniul serviciilor financiare.
Art. 20: Măsuri corective şi obligaţia de informare
(1)Furnizorii de sisteme de IA cu grad ridicat de risc care consideră sau au motive să considere că un sistem de IA cu grad ridicat de risc pe care l-au introdus pe piaţă ori pe care l-au pus în funcţiune nu este în conformitate cu prezentul regulament întreprind imediat măsurile corective necesare pentru ca sistemul să fie adus în conformitate sau să fie retras, dezactivat sau rechemat, după caz. Aceştia informează în acest sens distribuitorii sistemului de IA cu grad ridicat de risc în cauză şi, dacă este cazul, implementatorii, reprezentantul autorizat şi importatorii.
(2)În cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), iar furnizorul ia cunoştinţă de riscul respectiv, acesta investighează imediat cauzele, în colaborare cu implementatorul care efectuează raportarea, după caz, şi informează autorităţile de supraveghere a pieţei competente pentru sistemul de IA cu grad ridicat de risc în cauză şi, după caz, organismul notificat care a eliberat un certificat pentru sistemul de IA cu grad ridicat de risc respectiv în conformitate cu articolul 44, în special cu privire la natura neconformităţii şi la orice măsură corectivă relevantă întreprinsă.
Art. 21: Cooperarea cu autorităţile competente
(1)La cererea motivată a unei autorităţi competente, furnizorii de sisteme de IA cu grad ridicat de risc furnizează autorităţii respective toate informaţiile şi documentaţia necesare pentru a demonstra conformitatea sistemului de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, într-o limbă care poate fi uşor înţeleasă de către autoritatea respectivă şi care este una dintre limbile oficiale ale instituţiilor Uniunii, astfel cum sunt indicate de statul membru în cauză.
(2)La cererea motivată a unei autorităţi competente, furnizorii acordă, de asemenea, autorităţii competente solicitante, după caz, acces la fişierele de jurnalizare generate automat ale sistemului de IA cu grad ridicat de risc menţionate la articolul 12 alineatul (1), în măsura în care respectivele fişiere de jurnalizare se află sub controlul lor.
(3)Toate informaţiile obţinute de autorităţile competente în temeiul prezentului articol sunt tratate în conformitate cu obligaţiile de confidenţialitate prevăzute la articolul 78.
Art. 22: Reprezentanţii autorizaţi ai furnizorilor de sisteme de IA cu grad ridicat de risc
(1)Înainte de a-şi pune la dispoziţie sistemele de IA cu grad ridicat de risc pe piaţa Uniunii, furnizorii stabiliţi în ţări terţe desemnează, prin mandat scris, un reprezentant autorizat care este stabilit în Uniune.
(2)Furnizorul permite reprezentantului său autorizat să îndeplinească sarcinile prevăzute în mandatul primit de la furnizor.
(3)Reprezentantul autorizat îndeplineşte sarcinile prevăzute în mandatul primit de la furnizor. Acesta furnizează autorităţilor de supraveghere a pieţei, la cerere, o copie a mandatului, într-una din limbile oficiale ale instituţiilor Uniunii, astfel cum este indicată de autoritatea competentă. În sensul prezentului regulament, mandatul îl autorizează pe reprezentantul autorizat să îndeplinească următoarele sarcini:
a)să verifice dacă au fost întocmite declaraţia de conformitate UE menţionată la articolul 47 şi documentaţia tehnică menţionată la articolul 11 şi dacă furnizorul a desfăşurat o procedură corespunzătoare de evaluare a conformităţii;
b)să păstreze la dispoziţia autorităţilor competente şi a autorităţilor sau organismelor naţionale menţionate la articolul 74 alineatul (10), pentru o perioadă de 10 ani de la introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc, datele de contact ale furnizorului care a desemnat reprezentantul autorizat, o copie a declaraţiei de conformitate UE menţionată la articolul 47, documentaţia tehnică şi, dacă este cazul, certificatul eliberat de organismul notificat;
c)să furnizeze unei autorităţi competente, pe baza unei cereri motivate, toate informaţiile şi documentaţia, inclusiv cele menţionate la litera (b) de la prezentul paragraf, necesare pentru a demonstra conformitatea unui sistem de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, inclusiv accesul la fişierele de jurnalizare, astfel cum sunt menţionate la articolul 12 alineatul (1), generate automat de sistemul de IA cu grad ridicat de risc, în măsura în care aceste fişiere de jurnalizare se află sub controlul furnizorului;
d)să coopereze cu autorităţile competente, în urma unei cereri motivate, cu privire la orice acţiune întreprinsă de acestea din urmă în legătură cu sistemul de IA cu grad ridicat de risc, în special pentru a reduce şi a atenua riscurile prezentate de sistemul de IA cu grad ridicat de risc;
e)după caz, să respecte obligaţiile de înregistrare menţionate la articolul 49 alineatul (1) sau, dacă înregistrarea este efectuată chiar de furnizor, să se asigure că informaţiile menţionate la secţiunea A punctul 3 din anexa VIII sunt corecte.
Mandatul împuterniceşte reprezentantul autorizat să fie contactat, în afara sau în locul furnizorului, de către autorităţile competente, cu referire la toate aspectele legate de asigurarea conformităţii cu prezentul regulament.
(4)Reprezentantul autorizat îşi reziliază mandatul dacă consideră sau are motive să considere că furnizorul acţionează contrar obligaţiilor care îi revin în temeiul prezentului regulament. Într-un astfel de caz, el informează imediat autoritatea relevantă de supraveghere a pieţei, precum şi, după caz, organismul notificat relevant, cu privire la rezilierea mandatului şi la motivele acesteia.
Art. 23: Obligaţiile importatorilor
(1)Înainte de introducerea pe piaţă a unui sistem de IA cu grad ridicat de risc, importatorii unui astfel de sistem se asigură că sistemul este în conformitate cu prezentul regulament, verificând dacă:
a)procedura relevantă de evaluare a conformităţii menţionată la articolul 43 a fost efectuată de furnizorul sistemului de IA cu grad ridicat de risc;
b)furnizorul a întocmit documentaţia tehnică în conformitate cu articolul 11 şi cu anexa IV;
c)sistemul poartă marcajul CE necesar şi este însoţit de declaraţia de conformitate UE menţionată la articolul 47 şi de instrucţiunile de utilizare;
d)furnizorul a desemnat un reprezentant autorizat în conformitate cu articolul 22 alineatul (1).
(2)În cazul în care un importator are suficiente motive să considere că un sistem de IA cu grad ridicat de risc nu este în conformitate cu prezentul regulament, sau este falsificat ori însoţit de o documentaţie falsificată, acesta nu introduce sistemul respectiv pe piaţă înainte de a fi adus în conformitate. În cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), importatorul informează în acest sens furnizorul sistemului, reprezentanţii autorizaţi şi autorităţile de supraveghere a pieţei.
(3)Importatorii indică numele lor, denumirea lor comercială înregistrată sau marca lor înregistrată şi adresa la care pot fi contactaţi în privinţa sistemului de IA cu grad ridicat de risc şi pe ambalajul acestuia sau în documentele care îl însoţesc, dacă este cazul.
(4)Importatorii se asigură că, pe întreaga perioadă în care un sistem de IA cu grad ridicat de risc se află în responsabilitatea lor, condiţiile de depozitare sau de transport, după caz, nu periclitează conformitatea sa cu cerinţele prevăzute în secţiunea 2.
(5)Importatorii păstrează, timp de 10 ani de la introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc, o copie a certificatului eliberat de organismul notificat, după caz, a instrucţiunilor de utilizare şi a declaraţiei de conformitate UE menţionată la articolul 47.
(6)Importatorii furnizează autorităţilor competente relevante, pe baza unei cereri motivate, toate informaţiile şi documentaţia necesare, inclusiv cele menţionate la alineatul (5), pentru a demonstra conformitatea unui sistem de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, într-o limbă care poate fi uşor înţeleasă de acestea. În acest scop, aceştia se asigură, de asemenea, că documentaţia tehnică poate fi pusă la dispoziţia autorităţilor respective.
(7)Importatorii cooperează cu autorităţile competente relevante cu privire la orice acţiune întreprinsă de autorităţile respective în legătură cu un sistem de IA cu grad ridicat de risc introdus pe piaţă de importatori, în special pentru a reduce sau a atenua riscurile prezentate de acesta.
Art. 24: Obligaţiile distribuitorilor
(1)Înainte de a pune la dispoziţie pe piaţă un sistem de IA cu grad ridicat de risc, distribuitorii verifică dacă acesta poartă marcajul CE necesar, dacă este însoţit de o copie a declaraţiei de conformitate UE menţionată la articolul 47 şi de instrucţiunile de utilizare şi dacă furnizorul şi importatorul sistemului respectiv, după caz, au respectat obligaţiile lor respective prevăzute la articolul 16 literele (b) şi (c) şi la articolul 23 alineatul (3).
(2)În cazul în care un distribuitor consideră sau are motive să considere, pe baza informaţiilor pe care le deţine, că un sistem de IA cu grad ridicat de risc nu este în conformitate cu cerinţele prevăzute în secţiunea 2, acesta nu pune la dispoziţie pe piaţă sistemul de IA cu grad ridicat de risc înainte ca sistemul să fie adus în conformitate cu cerinţele respective. În plus, în cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), distribuitorul informează furnizorul sau importatorul sistemului, după caz, în acest sens.
(3)Distribuitorii se asigură că, atât timp cât un sistem de IA cu grad ridicat de risc se află în responsabilitatea lor, condiţiile de depozitare sau de transport, după caz, nu periclitează conformitatea sistemului cu cerinţele prevăzute în secţiunea 2.
(4)Un distribuitor care consideră sau are motive să considere, pe baza informaţiilor pe care le deţine, că un sistem de IA cu grad ridicat de risc pe care l-a pus la dispoziţie pe piaţă nu este în conformitate cu cerinţele prevăzute în secţiunea 2 ia măsurile corective necesare pentru a aduce sistemul în conformitate cu cerinţele respective, pentru a-l retrage sau pentru a-l rechema sau se asigură că furnizorul, importatorul sau orice operator relevant, după caz, ia măsurile corective respective. În cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), distribuitorul informează imediat în acest sens furnizorul sau importatorul sistemului şi autorităţile competente pentru sistemul de IA cu grad ridicat de risc în cauză, oferind informaţii detaliate, în special despre neconformitate şi orice măsură corectivă întreprinsă.
(5)Pe baza unei cereri motivate a unei autorităţi competente relevante, distribuitorii unor sisteme de IA cu grad ridicat de risc furnizează autorităţii respective toate informaţiile şi documentaţia referitoare la acţiunile lor în temeiul alineatelor (1)-(4), necesare pentru a demonstra conformitatea respectivelor sisteme cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2.
(6)Distribuitorii cooperează cu autorităţile competente relevante cu privire la orice acţiune întreprinsă de autorităţile respective în legătură cu un sistem de IA cu grad ridicat de risc pus la dispoziţie pe piaţă de distribuitori, în special pentru a reduce sau a atenua riscul prezentat de acesta.
Art. 25: Responsabilităţile de-a lungul lanţului valoric al IA
(1)Se consideră că orice distribuitor, importator, implementator sau altă parte terţă este furnizor al unui sistem de IA cu grad ridicat de risc în sensul prezentului regulament şi este supus obligaţiilor care îi revin furnizorului în temeiul articolului 16, în oricare dintre următoarele situaţii:
a)îşi aplică numele sau marca comercială pe un sistem de IA cu grad ridicat de risc deja introdus pe piaţă sau pus în funcţiune, fără a aduce atingere dispoziţiilor contractuale care prevăd o repartizare diferită a obligaţiilor;
b)modifică substanţial un sistem de IA cu grad ridicat de risc care a fost deja introdus pe piaţă sau a fost deja pus în funcţiune, astfel încât acesta rămâne un sistem de IA cu grad ridicat de risc în temeiul articolului 6;
c)modifică scopul preconizat al un sistem de IA, inclusiv al unui sistem IA de uz general, care nu a fost clasificat ca prezentând un grad ridicat de risc şi a fost deja introdus pe piaţă sau pus în funcţiune, astfel încât sistemul de IA în cauză devine un sistem IA cu grad ridicat de risc în conformitate cu articolul 6.
(2)În cazul în care se produc circumstanţele menţionate la alineatul (1), furnizorul care a introdus iniţial pe piaţă sau a pus în funcţiune sistemul de IA nu mai este considerat furnizorul respectivului sistem de IA în sensul prezentului regulament. Acest furnizor iniţial cooperează îndeaproape cu noii furnizori şi pune la dispoziţie informaţiile necesare şi oferă accesul tehnic şi alte tipuri de asistenţă preconizate în mod rezonabil care sunt necesare pentru îndeplinirea obligaţiilor prevăzute în prezentul regulament, în special în ceea ce priveşte respectarea cerinţelor privind evaluarea conformităţii sistemelor de IA cu grad ridicat de risc. Prezentul alineat nu se aplică în cazurile în care furnizorul iniţial a specificat în mod clar că sistemul său de IA nu trebuie transformat într-un sistem de IA cu grad ridicat de risc şi, prin urmare, nu intră sub incidenţa obligaţiei de a preda documentaţia.
(3)În cazul sistemelor de IA cu grad ridicat de risc care sunt componente de siguranţă ale unor produse cărora li se aplică actele legislative de armonizare ale Uniunii care figurează în anexa I secţiunea A, fabricantul produselor respective este considerat furnizorul sistemului de IA cu grad ridicat de risc şi este supus obligaţiilor menţionate la articolul 16 în oricare dintre următoarele situaţii:
a)sistemul de IA cu grad ridicat de risc este introdus pe piaţă împreună cu produsul sub numele sau marca comercială a fabricantului produsului;
b)sistemul de IA cu grad ridicat de risc este pus în funcţiune sub numele sau marca comercială a fabricantului produsului după ce produsul a fost introdus pe piaţă.
(4)Furnizorul unui sistem de IA cu grad ridicat de risc şi partea terţă care furnizează un sistem de IA, instrumente, servicii, componente sau procese care sunt utilizate sau integrate într-un sistem de IA cu grad ridicat de risc specifică, printr-un acord scris, pe baza stadiului de avansare general recunoscut al tehnologiei, informaţiile, capabilităţile, accesul tehnic şi alte tipuri de asistenţă necesare pentru a permite furnizorului sistemului de IA cu grad ridicat de risc să respecte întru totul obligaţiile prevăzute în prezentul regulament. Prezentul alineat nu se aplică terţilor care pun la dispoziţia publicului instrumente, servicii, procese sau componente, în afara modelelor de IA de uz general, sub licenţă liberă şi deschisă.
Oficiul pentru IA poate elabora şi recomanda un model voluntar de clauze pentru contractele dintre furnizorii de sisteme de IA cu grad ridicat de risc şi părţile terţe care furnizează instrumente, servicii, componente sau procese care sunt utilizate sau integrate în sistemele de IA cu grad ridicat de risc. Atunci când elaborează modelul voluntar de clauze, Oficiul pentru IA ia în considerare eventualele cerinţe contractuale aplicabile în anumite sectoare sau situaţii economice. Modelul voluntar de clauze se publică şi este disponibil gratuit într-un format electronic uşor de utilizat.
(5)Alineatele (2) şi (3) nu aduc atingere necesităţii de a respecta şi de a proteja drepturile de proprietate intelectuală şi informaţiile comerciale confidenţiale sau secretele comerciale în conformitate cu dreptul Uniunii şi cu dreptul intern.
Art. 26: Obligaţiile implementatorilor de sisteme de IA cu grad ridicat de risc
(1)Implementatorii sistemelor de IA cu grad ridicat de risc iau măsuri tehnice şi organizatorice corespunzătoare pentru a oferi siguranţa că utilizează astfel de sisteme în conformitate cu instrucţiunile de utilizare care însoţesc sistemele, în temeiul alineatelor (3) şi (6).
(2)Implementatorii încredinţează supravegherea umană unor persoane fizice care au competenţa, formarea şi autoritatea necesare, precum şi sprijinul necesar.
(3)Obligaţiile de la alineatele (1) şi (2) nu aduc atingere altor obligaţii ale implementatorilor în temeiul dreptului Uniunii sau al dreptului intern şi nici libertăţii implementatorilor de a-şi organiza propriile resurse şi activităţi în scopul punerii în aplicare a măsurilor de supraveghere umană indicate de furnizor.
(4)Fără a aduce atingere alineatelor (1) şi (2), în măsura în care exercită controlul asupra datelor de intrare, implementatorul se asigură că datele de intrare sunt relevante şi suficient de reprezentative în raport cu scopul preconizat al sistemului de IA cu grad ridicat de risc.
(5)Implementatorii monitorizează funcţionarea sistemului de IA cu grad ridicat de risc pe baza instrucţiunilor de utilizare şi, atunci când este cazul, informează furnizorii în conformitate cu articolul 72. În cazul în care au motive să considere că utilizarea sistemului de IA cu grad ridicat de risc în conformitate cu instrucţiunile poate conduce la situaţia în care sistemul de IA respectiv prezintă un risc în sensul articolului 79 alineatul (1), implementatorii informează fără întârzieri nejustificate furnizorul sau distribuitorul şi autoritatea relevantă de supraveghere a pieţei şi suspendă utilizarea sistemului respectiv. De asemenea, în cazul în care au identificat un incident grav, implementatorii informează imediat mai întâi furnizorul, şi apoi importatorul sau distribuitorul şi autorităţile relevante de supraveghere a pieţei cu privire la incidentul respectiv. În cazul în care implementatorul nu poate comunica cu furnizorul, articolul 73 se aplică mutatis mutandis. Această obligaţie nu vizează datele operaţionale sensibile ale implementatorilor sistemelor de IA care sunt autorităţi de aplicare a legii.
În cazul implementatorilor care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele interne în temeiul dreptului Uniunii din domeniul serviciilor financiare, se consideră că obligaţia de monitorizare prevăzută la primul paragraf este îndeplinită prin respectarea normelor privind mecanismele, procesele şi măsurile de guvernanţă internă în temeiul dreptului relevant din domeniul serviciilor financiare.
(6)Implementatorii sistemelor de IA cu grad ridicat de risc păstrează fişierele de jurnalizare generate automat de respectivele sisteme de IA cu grad ridicat de risc, în măsura în care aceste fişiere de jurnalizare se află sub controlul lor pentru o perioadă adecvată scopului preconizat al sistemului de IA cu grad ridicat de risc, de cel puţin şase luni, cu excepţia cazului în care se prevede altfel în dreptul Uniunii sau în dreptul intern aplicabil, în special în dreptul Uniunii privind protecţia datelor cu caracter personal.
Implementatorii care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele interne în temeiul dreptului Uniunii din domeniul serviciilor financiare păstrează fişierele de jurnalizare ca parte a documentaţiei păstrate în temeiul dreptului relevant al Uniunii din domeniul serviciilor financiare.
(7)Înainte de a pune în funcţiune sau de a utiliza un sistem de IA cu grad ridicat de risc la locul de muncă, implementatorii care sunt angajatori informează reprezentanţii lucrătorilor şi lucrătorii afectaţi că vor fi implicaţi în utilizarea sistemului de IA cu grad ridicat de risc. Informaţiile respective sunt furnizate, după caz, în conformitate cu normele şi procedurile prevăzute în dreptul şi practicile de la nivelul Uniunii şi de la nivel naţional privind informarea lucrătorilor şi a reprezentanţilor acestora.
(8)Implementatorii sistemelor de IA cu grad ridicat de risc care sunt autorităţi publice sau instituţii, organe, oficii sau agenţii ale Uniunii respectă obligaţiile de înregistrare menţionate la articolul 49. În cazul în care constată că sistemul de IA cu grad ridicat de risc pe care intenţionează să îl utilizeze nu a fost înregistrat în baza de date a UE menţionată la articolul 71, implementatorii respectivi nu utilizează sistemul respectiv şi informează furnizorul sau distribuitorul.
(9)După caz, implementatorii de sisteme de IA cu grad ridicat de risc utilizează informaţiile furnizate în temeiul articolului 13 din prezentul regulament pentru a-şi respecta obligaţia de a efectua o evaluare a impactului asupra protecţiei datelor în temeiul articolului 35 din Regulamentul (UE) 2016/679 sau al articolului 27 din Directiva (UE) 2016/680.
(10)Fără a aduce atingere Directivei (UE) 2016/680, în cadrul unei investigaţii pentru căutarea în mod specific a unei persoane suspectate sau condamnate de a fi comis o infracţiune, implementatorul unui sistem de IA cu grad ridicat de risc pentru identificarea biometrică la distanţă ulterioară solicită o autorizaţie, ex ante sau fără întârzieri nejustificate şi în termen de cel mult 48 de ore, din partea unei autorităţi judiciare sau a unei autorităţi administrative a cărei decizie are efect obligatoriu şi face obiectul controlului jurisdicţional, pentru utilizarea sistemului respectiv, cu excepţia cazului în care este utilizat pentru identificarea iniţială a unui potenţial suspect pe baza unor fapte obiective şi verificabile legate direct de infracţiune. Fiecare utilizare se limitează la ceea ce este strict necesar pentru investigarea unei anumite infracţiuni.
În cazul în care autorizaţia solicitată în temeiul primului paragraf este respinsă, utilizarea sistemului de identificare biometrică la distanţă ulterioară legat de autorizaţia solicitată respectivă se opreşte cu efect imediat, iar datele cu caracter personal legate de utilizarea sistemului de IA cu grad ridicat de risc pentru care a fost solicitată autorizaţia se şterg.
În niciun caz, un astfel de sistem de IA cu grad ridicat de risc pentru identificarea biometrică la distanţă ulterioară nu se utilizează într-un mod nedirecţionat în scopul aplicării legii, dacă nu implică nicio legătură cu o infracţiune, cu o procedură penală, cu o ameninţare reală şi prezentă sau reală şi previzibilă vizând o infracţiune sau căutarea unei anumite persoane dispărute. Se asigură faptul că autorităţile de aplicare a legii nu pot lua nicio decizie care produce un efect juridic negativ asupra unei persoane exclusiv pe baza rezultatelor unor astfel de sisteme de identificare biometrică la distanţă ulterioară.
Prezentul alineat nu aduce atingere dispoziţiilor de la articolul 9 din Regulamentul (UE) 2016/679 şi de la articolul 10 din Directiva (UE) 2016/680 privind prelucrarea datelor biometrice.
Indiferent de scop sau de implementator, fiecare utilizare a acestor sisteme de IA cu grad ridicat de risc este documentată în dosarul relevant al poliţiei şi este pusă la dispoziţia autorităţii relevante de supraveghere a pieţei şi a autorităţii naţionale pentru protecţia datelor, la cerere, exceptând divulgarea datelor operaţionale sensibile legate de aplicarea legii. Prezentul paragraf nu aduce atingere competenţelor conferite autorităţilor de supraveghere de Directiva (UE) 2016/680.
Implementatorii prezintă autorităţilor relevante de supraveghere a pieţei şi autorităţilor naţionale pentru protecţia datelor rapoarte anuale cu privire la utilizarea sistemelor de identificare biometrică la distanţă ulterioară, exceptând divulgarea datelor operaţionale sensibile legate de aplicarea legii. Rapoartele pot fi agregate pentru a cuprinde mai multe implementări.
Statele membre pot introduce, în conformitate cu dreptul Uniunii, legi mai restrictive privind utilizarea sistemelor de identificare biometrică la distanţă ulterioară.
(11)Fără a afecta dispoziţiile de la articolul 50 din prezentul regulament, implementatorii de sisteme de IA cu grad ridicat de risc menţionate în anexa III, care iau decizii sau contribuie la luarea deciziilor referitoare la persoane fizice, informează persoanele fizice că fac obiectul utilizării sistemului de IA cu grad ridicat de risc. În cazul sistemelor de IA cu grad ridicat de risc utilizate în scopul aplicării legii, se aplică articolul 13 din Directiva (UE) 2016/680.
(12)Implementatorii cooperează cu autorităţile competente relevante pentru orice acţiune întreprinsă de respectivele autorităţi în legătură cu sistemul de IA cu grad ridicat de risc pentru a pune în aplicare prezentul regulament.
Art. 27: Evaluarea impactului sistemelor de IA cu grad ridicat de risc asupra drepturilor fundamentale
(1)Înainte de a implementa un sistem de IA cu grad ridicat de risc, astfel cum este menţionat la articolul 6 alineatul (2), cu excepţia sistemelor de IA cu grad ridicat de risc destinate a fi utilizate în domeniul menţionat la punctul 2 din anexa III, implementatorii care sunt organisme de drept public sau entităţi private care furnizează servicii publice şi implementatorii de sisteme de IA cu grad ridicat de risc menţionate la punctul 5 literele (b) şi (c) din anexa III efectuează o evaluare a impactului asupra drepturilor fundamentale pe care îl poate produce utilizarea unor astfel de sisteme. În acest scop, implementatorii efectuează o evaluare care constă în:
a)o descriere a proceselor implementatorului în care sistemele de IA cu grad ridicat de risc urmează a fi utilizate în conformitate cu scopul lor preconizat;
b)o descriere a perioadei de timp pentru care se intenţionează utilizarea fiecărui sistem de IA cu grad ridicat de risc, precum şi a frecvenţei utilizării respective;
c)categoriile de persoane fizice şi grupurile susceptibile a fi afectate de utilizarea sa în contextul specific;
d)riscurile specifice de prejudicii susceptibile a avea un impact asupra categoriilor de persoane fizice sau a grupurilor de persoane identificate în temeiul literei (c) de la prezentul alineat, ţinând seama de informaţiile comunicate de furnizor în temeiul articolului 13;
e)o descriere a punerii în aplicare a măsurilor de supraveghere umană, în conformitate cu instrucţiunile de utilizare;
f)măsurile care trebuie să fie luate în cazul în care riscurile respective se materializează, inclusiv mecanismele de guvernanţă internă şi mecanismele de tratare a plângerilor.
(2)Obligaţia prevăzută la alineatul (1) se aplică primei utilizări a sistemului de IA cu grad ridicat de risc. În cazuri similare, implementatorul poate să se bazeze pe evaluări ale impactului asupra drepturilor fundamentale efectuate anterior sau pe evaluări existente efectuate de furnizor. În cazul în care consideră că, în timpul utilizării sistemului de IA cu grad ridicat de risc, oricare dintre elementele enumerate la alineatul (1) s-a schimbat sau nu mai este actualizat, implementatorul ia măsurile necesare pentru a actualiza informaţiile.
(3)După efectuarea evaluării menţionate la alineatul (1) de la prezentul articol, implementatorul notifică autorităţii de supraveghere a pieţei rezultatele sale, transmiţând modelul completat menţionat la alineatul (5) de la prezentul articol ca parte a notificării. În cazul menţionat la articolul 46 alineatul (1), implementatorii pot fi scutiţi de această obligaţie de notificare.
(4)În cazul în care oricare dintre obligaţiile prevăzute la prezentul articol este deja respectată ca urmare a evaluării impactului asupra protecţiei datelor efectuate în temeiul articolului 35 din Regulamentul (UE) 2016/679 sau al articolului 27 din Directiva (UE) 2016/680, evaluarea impactului asupra drepturilor fundamentale menţionată la alineatul (1) de la prezentul articol completează respectiva evaluare a impactului asupra protecţiei datelor.
(5)Oficiul pentru IA elaborează un model de chestionar, inclusiv prin intermediul unui instrument automatizat, pentru a-i ajuta pe implementatori să îşi respecte obligaţiile care le revin în temeiul prezentului articol într-un mod simplificat.
Art. 28: Autorităţile de notificare
(1)Fiecare stat membru desemnează sau instituie cel puţin o autoritate de notificare responsabilă cu instituirea şi efectuarea procedurilor necesare pentru evaluarea, desemnarea şi notificarea organismelor de evaluare a conformităţii şi pentru monitorizarea acestora. Procedurile respective se elaborează în cooperare între autorităţile de notificare ale tuturor statelor membre.
(2)Statele membre pot decide ca evaluarea şi monitorizarea menţionate la alineatul (1) să fie efectuate de un organism naţional de acreditare în sensul Regulamentului (CE) nr. 765/2008 şi în conformitate cu acesta.
(3)Autorităţile de notificare sunt instituite şi organizate şi funcţionează astfel încât să nu apară niciun conflict de interese cu organismele de evaluare a conformităţii şi să se protejeze obiectivitatea şi imparţialitatea activităţilor lor.
(4)Autorităţile de notificare sunt organizate astfel încât deciziile cu privire la notificarea organismelor de evaluare a conformităţii să fie luate de persoane competente, altele decât cele care au efectuat evaluarea organismelor respective.
(5)Autorităţile de notificare nu oferă şi nu prestează nici activităţi pe care le prestează organismele de evaluare a conformităţii şi nici servicii de consultanţă în condiţii comerciale sau concurenţiale.
(6)Autorităţile de notificare garantează confidenţialitatea informaţiilor pe care le obţin, în conformitate cu articolul 78.
(7)Autorităţile de notificare au la dispoziţie un număr adecvat de membri competenţi ai personalului în vederea îndeplinirii corespunzătoare a sarcinilor lor. Membrii competenţi ai personalului deţin cunoştinţele de specialitate necesare, după caz, pentru funcţia pe care o îndeplinesc, în domenii precum tehnologiile informaţiei, IA şi drept, inclusiv supravegherea drepturilor fundamentale.
Art. 29: Cererea de notificare a unui organism de evaluare a conformităţii
(1)Organismele de evaluare a conformităţii depun o cerere de notificare la autoritatea de notificare a statului membru în care sunt stabilite.
(2)Cererea de notificare este însoţită de o descriere a activităţilor de evaluare a conformităţii, a modulului sau modulelor de evaluare a conformităţii şi a tipurilor de sisteme de IA pentru care organismul de evaluare a conformităţii se consideră a fi competent, precum şi de un certificat de acreditare, în cazul în care există, eliberat de un organism naţional de acreditare care să ateste că organismul de evaluare a conformităţii satisface cerinţele prevăzute la articolul 31.
Se adaugă orice document valabil referitor la desemnările existente ale organismului notificat solicitant în temeiul oricăror alte acte legislative de armonizare ale Uniunii.
(3)În cazul în care un organism de evaluare a conformităţii nu poate prezenta un certificat de acreditare, acesta prezintă autorităţii de notificare toate documentele justificative necesare pentru verificarea, recunoaşterea şi monitorizarea periodică a conformităţii acestuia cu cerinţele prevăzute la articolul 31.
(4)În cazul organismelor notificate care sunt desemnate în temeiul oricăror alte acte legislative de armonizare ale Uniunii, toate documentele şi certificatele legate de aceste desemnări pot fi utilizate pentru a sprijini procedura de desemnare a acestora în temeiul prezentului regulament, după caz. Organismul notificat actualizează documentaţia menţionată la alineatele (2) şi (3) de la prezentul articol ori de câte ori au loc modificări relevante, pentru a oferi autorităţii naţionale responsabile de organismele notificate posibilitatea de a monitoriza şi de a verifica respectarea continuă a tuturor cerinţelor prevăzute la articolul 31.
Art. 30: Procedura de notificare
(1)Autorităţile de notificare pot notifica numai organismele de evaluare a conformităţii care îndeplinesc cerinţele prevăzute la articolul 31.
(2)Autorităţile de notificare înştiinţează Comisia şi celelalte state membre prin intermediul instrumentului de notificare electronică dezvoltat şi administrat de Comisie cu privire la fiecare organism de evaluare a conformităţii menţionat la alineatul (1).
(3)Notificarea menţionată la alineatul (2) de la prezentul articol include detalii complete privind activităţile de evaluare a conformităţii, modulul sau modulele de evaluare a conformităţii şi tipurile de sisteme de IA în cauză, precum şi atestarea relevantă a competenţei. În cazul în care notificarea nu se bazează pe un certificat de acreditare menţionat la articolul 29 alineatul (2), autoritatea de notificare prezintă Comisiei şi celorlalte state membre documentele justificative care atestă competenţa organismului de evaluare a conformităţii şi măsurile adoptate pentru a se asigura că organismul respectiv va fi monitorizat periodic şi că va îndeplini în continuare cerinţele prevăzute la articolul 31.
(4)Organismul de evaluare a conformităţii în cauză poate exercita activităţile unui organism notificat numai în cazul în care nu există obiecţii din partea Comisiei sau a celorlalte state membre, transmise în termen de două săptămâni de la o notificare din partea unei autorităţi de notificare, în cazul în care se include un certificat de acreditare menţionat la articolul 29 alineatul (2), sau în termen de două luni de la o notificare din partea unei autorităţi de notificare, în cazul în care se includ documentele justificative menţionate la articolul 29 alineatul (3).
(5)În cazul în care se ridică obiecţii, Comisia iniţiază fără întârziere consultaţii cu statele membre relevante şi cu organismul de evaluare a conformităţii. În lumina acestora, Comisia decide dacă autorizaţia este justificată. Comisia comunică decizia luată statului membru în cauză şi organismului relevant de evaluare a conformităţii.
Art. 31: Cerinţe cu privire la organismele notificate
(1)Un organism notificat este instituit în temeiul dreptului intern al unui stat membru şi are personalitate juridică.
(2)Organismele notificate îndeplinesc cerinţele organizatorice, de management al calităţii, de resurse şi în materie de procese care sunt necesare pentru îndeplinirea sarcinilor lor, precum şi cerinţele adecvate în materie de securitate cibernetică.
(3)Structura organizaţională, alocarea responsabilităţilor, liniile de raportare şi funcţionarea organismelor notificate asigură încrederea în performanţa acestora şi în rezultatele activităţilor de evaluare a conformităţii pe care le desfăşoară organismele notificate.
(4)Organismele notificate sunt independente de furnizorul unui sistem de IA cu grad ridicat de risc în legătură cu care efectuează activităţi de evaluare a conformităţii. Organismele notificate sunt, de asemenea, independente de orice alt operator care are un interes economic în legătură cu sistemele de IA cu grad ridicat de risc evaluate, precum şi de orice concurent al furnizorului. Acest lucru nu împiedică utilizarea sistemelor de IA cu grad ridicat de risc evaluate care sunt necesare pentru operaţiunile organismului de evaluare a conformităţii sau utilizarea sistemelor respective de IA cu grad ridicat de risc în scopuri personale.
(5)Nici organismul de evaluare a conformităţii, personalul său de conducere de nivel superior, nici personalul responsabil cu îndeplinirea sarcinilor acestuia de evaluare a conformităţii nu sunt direct implicaţi în proiectarea, dezvoltarea, comercializarea sau utilizarea sistemelor de IA cu grad ridicat de risc şi nici nu reprezintă părţile implicate în respectivele activităţi. Aceştia nu se implică în nicio activitate susceptibilă de a le afecta imparţialitatea sau integritatea în ceea ce priveşte activităţile de evaluare a conformităţii pentru care sunt notificaţi. Această dispoziţie se aplică în special serviciilor de consultanţă.
(6)Organismele notificate sunt organizate şi funcţionează astfel încât să garanteze independenţa, obiectivitatea şi imparţialitatea activităţilor lor. Organismele notificate documentează şi pun în aplicare o structură şi proceduri pentru garantarea imparţialităţii şi pentru promovarea şi punerea în practică a principiilor imparţialităţii în întreaga organizaţie, pentru tot personalul lor şi pentru toate activităţile lor de evaluare.
(7)Organismele notificate dispun de proceduri documentate care să asigure că personalul, comitetele, filialele, subcontractanţii lor, precum şi orice organism asociat sau membru al personalului organismelor externe respectă, în conformitate cu articolul 78, confidenţialitatea informaţiilor care le parvin în timpul derulării activităţilor de evaluare a conformităţii, cu excepţia cazurilor în care divulgarea acestora este impusă prin lege. Personalul organismelor notificate este obligat să păstreze secretul profesional referitor la toate informaţiile obţinute în cursul îndeplinirii sarcinilor sale în temeiul prezentului regulament, excepţie făcând relaţia cu autorităţile de notificare ale statului membru în care se desfăşoară activităţile sale.
(8)Organismele notificate dispun de proceduri pentru desfăşurarea activităţilor, care să ţină seama în mod corespunzător de dimensiunile unui furnizor, de sectorul în care acesta îşi desfăşoară activitatea, de structura sa şi de gradul de complexitate al sistemului de IA în cauză.
(9)Organismele notificate încheie o asigurare de răspundere civilă adecvată pentru activităţile lor de evaluare a conformităţii, cu excepţia cazului în care răspunderea este asumată de statul membru pe teritoriul căruia sunt stabilite, în conformitate cu dreptul intern, sau în care însuşi statul membru respectiv este direct responsabil pentru evaluarea conformităţii.
(10)Organismele notificate sunt capabile să îşi îndeplinească toate sarcinile în temeiul prezentului regulament cu cel mai înalt grad de integritate profesională şi cu competenţa necesară în domeniul specific, indiferent dacă sarcinile respective sunt realizate de organismele notificate înseşi sau în numele şi pe răspunderea acestora.
(11)Organismele notificate dispun de suficiente competenţe interne pentru a putea evalua în mod efectiv sarcinile îndeplinite de părţi externe în numele lor. Organismul notificat dispune în permanenţă de suficient personal administrativ, tehnic, juridic şi ştiinţific care deţine experienţă şi cunoştinţe în ceea ce priveşte tipurile relevante de sisteme de IA, de date şi de calculul datelor, precum şi în ceea ce priveşte cerinţele prevăzute în secţiunea 2.
(12)Organismele notificate participă la activităţile de coordonare menţionate la articolul 38. De asemenea, acestea participă direct sau sunt reprezentate în cadrul organizaţiilor de standardizare europene sau se asigură că sunt la curent cu situaţia referitoare la standardele relevante.
Art. 32: Prezumţia de conformitate cu cerinţele referitoare la organismele notificate
În cazul în care un organism de evaluare a conformităţii îşi demonstrează conformitatea cu criteriile prevăzute în standardele armonizate relevante sau în părţi din acestea, ale căror referinţe au fost publicate în Jurnalul Oficial al Uniunii Europene, se consideră că acesta este în conformitate cu cerinţele prevăzute la articolul 31, în măsura în care standardele armonizate aplicabile vizează aceste cerinţe.
Art. 33: Filiale ale organismelor notificate şi subcontractare
(1)În cazul în care un organism notificat subcontractează anumite sarcini legate de evaluarea conformităţii sau recurge la o filială, acesta se asigură că subcontractantul sau filiala îndeplineşte cerinţele stabilite la articolul 31 şi informează autoritatea de notificare în acest sens.
(2)Organismele notificate preiau întreaga responsabilitate pentru sarcinile îndeplinite de orice subcontractant sau filială.
(3)Activităţile pot fi subcontractate sau îndeplinite de o filială doar cu acordul furnizorului. Organismele notificate pun la dispoziţia publicului o listă a filialelor acestora.
(4)Documentele relevante privind evaluarea calificărilor subcontractantului sau ale filialei şi activitatea desfăşurată de aceştia în temeiul prezentului regulament sunt puse la dispoziţia autorităţii de notificare pentru o perioadă de cinci ani de la data încetării subcontractării.
Art. 34: Obligaţii operaţionale ale organismelor notificate
(1)Organismele notificate verifică conformitatea sistemelor de IA cu grad ridicat de risc în conformitate cu procedurile de evaluare a conformităţii prevăzute la articolul 43.
(2)Organismele notificate evită sarcinile inutile pentru furnizori atunci când aceştia îşi desfăşoară activităţile şi ţin seama în mod corespunzător de dimensiunile furnizorilor, de sectorul în care aceştia îşi desfăşoară activitatea, de structura acestora şi de gradul de complexitate al sistemului de IA cu grad ridicat de risc în cauză, în special în vederea reducerii la minimum a sarcinilor administrative şi a costurilor de asigurare a conformităţii pentru microîntreprinderi şi întreprinderile mici în sensul Recomandării 2003/361/CE. Organismul notificat respectă totuşi gradul de precizie şi nivelul de protecţie impuse pentru conformitatea sistemului de IA cu grad ridicat de risc cu cerinţele prezentului regulament.
(3)Organismele notificate pun la dispoziţia autorităţii de notificare menţionate la articolul 28 şi transmit la cerere toată documentaţia relevantă, inclusiv documentaţia furnizorilor, pentru a îi permite acestei autorităţi să îşi desfăşoare activităţile de evaluare, desemnare, notificare şi monitorizare şi pentru a facilita evaluarea descrisă în prezenta secţiune.
Art. 35: Numerele de identificare şi listele organismelor notificate
(1)Comisia atribuie un număr unic de identificare fiecărui organism notificat, chiar şi în cazul în care un organism este notificat în temeiul mai multor acte ale Uniunii.
(2)Comisia pune la dispoziţia publicului lista organismelor notificate în temeiul prezentului regulament, incluzând numerele de identificare ale acestora şi activităţile pentru care au fost notificate. Comisia se asigură că lista este actualizată.
Art. 36: Modificări ale notificărilor
(1)Autoritatea de notificare înştiinţează Comisia şi celelalte state membre cu privire la orice modificare relevantă adusă notificării unui organism notificat prin intermediul instrumentului de notificare electronică menţionat la articolul 30 alineatul (2).
(2)Procedurile prevăzute la articolele 29 şi 30 se aplică extinderilor domeniului de aplicare al notificării.
În ceea ce priveşte modificările aduse notificării, altele decât extinderile domeniului său de aplicare, se aplică procedurile prevăzute la alineatele (3)-(9).
(3)În cazul în care un organism notificat decide să îşi înceteze activităţile de evaluare a conformităţii, acesta informează autoritatea de notificare şi furnizorii vizaţi cât mai curând posibil şi, în cazul unei încetări planificate, cu cel puţin un an înainte de încetarea activităţilor. Certificatele organismului notificat pot rămâne valabile pentru o perioadă de nouă luni de la încetarea activităţii organismului notificat, cu condiţia ca un alt organism notificat să fi confirmat în scris că îşi va asuma responsabilităţile pentru sistemele de IA cu grad ridicat de risc care fac obiectul respectivelor certificate. Acest din urmă organism notificat efectuează o evaluare completă a sistemelor de IA cu grad ridicat de risc în cauză până la finalul respectivei perioade de nouă luni, înainte de emiterea de noi certificate pentru aceste sisteme. În cazul în care organismul notificat şi-a încetat activitatea, autoritatea de notificare retrage desemnarea.
(4)În cazul în care o autoritate de notificare are motive suficiente să considere că un organism notificat nu mai îndeplineşte cerinţele prevăzute la articolul 31 sau că acesta nu îşi îndeplineşte obligaţiile, autoritatea de notificare respectivă investighează fără întârziere chestiunea, cu cea mai mare diligenţă. În acest context, aceasta informează organismul notificat în cauză cu privire la obiecţiile ridicate şi îi oferă posibilitatea de a-şi face cunoscute punctele de vedere. În cazul în care ajunge la concluzia că organismul notificat nu mai îndeplineşte cerinţele prevăzute la articolul 31 sau că nu îşi îndeplineşte obligaţiile, autoritatea de notificare restricţionează, suspendă sau retrage desemnarea, după caz, în funcţie de gravitatea încălcării cerinţelor sau a neîndeplinirii obligaţiilor. Autoritatea de notificare informează de îndată Comisia şi celelalte state membre în consecinţă.
(5)În cazul în care desemnarea sa a fost suspendată, restricţionată sau retrasă integral sau parţial, organismul notificat informează furnizorii în cauză în termen de 10 zile.
(6)În caz de restricţionare, suspendare sau retragere a unei desemnări, autoritatea de notificare ia măsurile necesare pentru a se asigura că dosarele organismului notificat în cauză sunt păstrate şi le pun la dispoziţia autorităţilor de notificare din alte state membre şi a autorităţilor de supravegherea pieţei, la cererea acestora.
(7)În caz de restricţionare, suspendare sau retragere a unei desemnări, autoritatea de notificare:
a)evaluează impactul asupra certificatelor eliberate de organismul notificat;
b)prezintă Comisiei şi celorlalte state membre un raport conţinând constatările sale în termen de trei luni de la data la care a notificat modificările aduse desemnării;
c)solicită organismului notificat să suspende sau să retragă, într-un interval rezonabil de timp stabilit de către autoritate, orice certificat care a fost eliberat în mod necorespunzător, pentru a asigura menţinerea conformităţii sistemelor de IA cu grad ridicat de risc de pe piaţă;
d)informează Comisia şi statele membre cu privire la certificatele pentru care a solicitat suspendarea sau retragerea;
e)furnizează autorităţilor naţionale competente din statul membru în care furnizorul îşi are sediul social toate informaţiile relevante cu privire la certificatele pentru care a solicitat suspendarea sau retragerea; autorităţile respective iau măsurile corespunzătoare, acolo unde este necesar, pentru evitarea unui risc potenţial pentru sănătate, siguranţă sau drepturile fundamentale.
(8)Cu excepţia certificatelor eliberate în mod necorespunzător şi în cazul în care o desemnare a fost suspendată sau restricţionată, certificatele rămân valabile în una dintre următoarele circumstanţe:
a)autoritatea de notificare a confirmat, în termen de o lună de la suspendare sau restricţionare, că nu există niciun risc pentru sănătate, siguranţă sau drepturile fundamentale în legătură cu certificatele afectate de suspendare sau de restricţionare şi a prezentat un calendar pentru acţiunile de remediere a suspendării sau a restricţionării; sau
b)autoritatea de notificare a confirmat că, pe durata suspendării sau restricţionării nu se va emite, modifica sau emite din nou niciun certificat relevant pentru suspendare şi declară dacă organismul notificat are capabilitatea de a continua să monitorizeze şi să rămână responsabil de certificatele existente pe care le-a emis pe perioada suspendării sau a restricţionării; în cazul în care autoritatea de notificare stabileşte că organismul notificat nu are capabilitatea de a gestiona certificatele existente pe care le-a emis, furnizorul sistemului care face obiectul certificatului confirmă în scris autorităţilor naţionale competente ale statului membru în care îşi are sediul social, în termen de trei luni de la suspendare sau restricţionare, că un alt organism notificat calificat îşi asumă temporar funcţiile organismului notificat de a monitoriza şi de a rămâne responsabil de certificate pe perioada suspendării sau a restricţionării.
(9)Cu excepţia certificatelor eliberate în mod necorespunzător şi, în cazul în care desemnarea a fost retrasă, certificatele rămân valabile pe o perioadă de nouă luni în următoarele circumstanţe:
a)autoritatea naţională competentă din statul membru în care furnizorul sistemului de IA cu grad ridicat de risc care face obiectul certificatului îşi are sediul social a confirmat că nu există niciun risc pentru sănătate, siguranţă sau drepturile fundamentale asociat sistemelor de IA cu grad ridicat de risc în cauză; şi
b)un alt organism notificat a confirmat în scris că îşi va asuma responsabilitatea imediat pentru respectivele sisteme de IA şi îşi încheie evaluarea în termen de 12 luni de la retragerea desemnării.
În situaţia menţionată la primul paragraf, autoritatea naţională competentă din statul membru în care îşi are sediul social furnizorul sistemului care face obiectul certificatului poate prelungi valabilitatea provizorie a certificatelor cu perioade suplimentare de trei luni, care nu depăşesc 12 luni în total.
Autoritatea naţională competentă sau organismul notificat care îşi asumă funcţiile organismului notificat afectat de modificarea desemnării informează imediat în acest sens Comisia, celelalte state membre şi celelalte organisme notificate.
Art. 37: Contestarea competenţei organismelor notificate
(1)Dacă este necesar, Comisia investighează toate cazurile în care există motive de îndoială cu privire la competenţa unui organism notificat sau la îndeplinirea în continuare de către un organism notificat a cerinţelor prevăzute la articolul 31 şi a responsabilităţilor sale aplicabile.
(2)Autoritatea de notificare furnizează Comisiei, la cerere, toate informaţiile relevante referitoare la notificarea sau menţinerea competenţei organismului notificat în cauză.
(3)Comisia se asigură că toate informaţiile sensibile obţinute în cursul investigaţiilor sale în temeiul prezentului articol sunt tratate în mod confidenţial în conformitate cu articolul 78.
(4)În cazul în care constată că un organism notificat nu îndeplineşte sau nu mai îndeplineşte cerinţele pentru a fi notificat, Comisia informează statul membru notificator în consecinţă şi îi solicită acestuia să ia măsurile corective necesare, inclusiv suspendarea sau retragerea notificării, dacă este necesar. În cazul în care statul membru nu ia măsurile corective necesare, Comisia poate, prin intermediul unui act de punere în aplicare, să suspende, să restricţioneze sau să retragă desemnarea. Actul de punere în aplicare respectiv se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
Art. 38: Coordonarea organismelor notificate
(1)Comisia se asigură că, în ceea ce priveşte sistemele de IA cu grad ridicat de risc, se instituie şi se realizează în mod adecvat o coordonare şi o cooperare corespunzătoare între organismele notificate care desfăşoară activităţi în ceea ce priveşte procedurile de evaluare a conformităţii în temeiul prezentului regulament, sub forma unui grup sectorial al organismelor notificate.
(2)Fiecare autoritate de notificare se asigură că organismele notificate de aceasta participă la activitatea unui grup menţionat la alineatul (1), în mod direct sau prin intermediul unor reprezentanţi desemnaţi.
(3)Comisia se ocupă de organizarea unor schimburi de cunoştinţe şi bune practici între autorităţile de notificare.
Art. 39: Organisme de evaluare a conformităţii din ţări terţe
Organismele de evaluare a conformităţii instituite în temeiul legislaţiei unei ţări terţe cu care Uniunea a încheiat un acord pot fi autorizate să desfăşoare activităţile organismelor notificate în temeiul prezentului regulament, cu condiţia ca aceste organisme să îndeplinească cerinţele prevăzute la articolul 31 sau să asigure un nivel de conformitate echivalent.
Art. 40: Standarde armonizate şi documente de standardizare
(1)Sistemele de IA cu grad ridicat de risc sau modelele de IA de uz general care sunt în conformitate cu standardele armonizate sau cu o parte a acestora, ale căror referinţe au fost publicate în Jurnalul Oficial al Uniunii Europene în conformitate cu Regulamentul (UE) nr. 1025/2012, sunt considerate a fi în conformitate cu cerinţele stabilite în secţiunea 2 din prezentul capitol sau, după caz, cu obligaţiile prevăzute în capitolul V secţiunile 2 şi 3 din prezentul regulament, în măsura în care standardele respective vizează cerinţele sau obligaţiile respective.
(2)În conformitate cu articolul 10 din Regulamentul (UE) nr. 1025/2012, Comisia emite, fără întârzieri nejustificate, solicitări de standardizare care vizează toate cerinţele prevăzute în secţiunea 2 din prezentul capitol şi, după caz, solicitări de standardizare care vizează obligaţiile prevăzute în capitolul V secţiunile 2 şi 3 din prezentul regulament. De asemenea, în cadrul solicitărilor de standardizare se cere furnizarea de documente privind procesele de raportare şi documentare pentru a îmbunătăţi performanţa în materie de resurse a sistemelor de IA, cum ar fi reducerea consumului de energie şi de alte resurse pentru sistemul de IA cu grad ridicat de risc pe parcursul ciclului său de viaţă, precum şi privind dezvoltarea eficientă din punct de vedere energetic a modelelor de IA de uz general. Atunci când elaborează o solicitare de standardizare, Comisia consultă Consiliul IA şi părţile interesate relevante, inclusiv forumul consultativ.
Atunci când adresează o solicitare de standardizare organizaţiilor de standardizare europene, Comisia precizează că standardele trebuie să fie clare şi coerente inclusiv cu standardele elaborate în diferitele sectoare pentru produsele care fac obiectul legislaţiei existente de armonizare a Uniunii care figurează în anexa I, având drept scop să asigure faptul că sistemele de IA cu grad ridicat de risc sau modelele de IA de uz general introduse pe piaţă sau puse în funcţiune în Uniune îndeplinesc cerinţele sau obligaţiile relevante prevăzute în prezentul regulament.
Comisia solicită organizaţiilor de standardizare europene să furnizeze dovezi ale tuturor eforturilor depuse pentru a îndeplini obiectivele menţionate la primul şi al doilea paragraf de la prezentul alineat, în conformitate cu articolul 24 din Regulamentul (UE) nr. 1025/2012.
(3)Participanţii la procesul de standardizare urmăresc să promoveze investiţiile şi inovarea în IA, inclusiv prin sporirea securităţii juridice, precum şi competitivitatea şi creşterea pieţei Uniunii, să contribuie la consolidarea cooperării la nivel mondial în materie de standardizare, ţinând seama de standardele internaţionale existente în domeniul IA care sunt în concordanţă cu valorile, drepturile fundamentale şi interesele Uniunii, şi să consolideze guvernanţa multipartită, asigurând o reprezentare echilibrată a intereselor şi participarea efectivă a tuturor părţilor interesate relevante, în conformitate cu articolele 5, 6 şi 7 din Regulamentul (UE) nr. 1025/2012.
Art. 41: Specificaţii comune
(1)Comisia poate să adopte acte de punere în aplicare de stabilire a specificaţiilor comune pentru cerinţele prevăzute în secţiunea 2 din prezentul capitol sau, după caz, pentru obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V, în cazul în care sunt îndeplinite următoarele condiţii:
a)Comisia a solicitat, în temeiul articolului 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012, uneia sau mai multor organizaţii de standardizare europene să elaboreze un standard armonizat pentru cerinţele prevăzute în secţiunea 2 din prezentul capitol sau, după caz, pentru obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V, şi:
(i)solicitarea nu a fost acceptată de niciuna dintre organizaţiile de standardizare europene; sau
(ii)nu sunt prezentate standarde armonizate care să răspundă solicitării respective în termenul stabilit în conformitate cu articolul 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012; sau
(iii)standardele armonizate relevante nu abordează suficient preocupările legate de drepturile fundamentale; sau
(iv)standardele armonizate nu sunt conforme cu solicitarea; şi
b)nicio referinţă la standardele armonizate care vizează cerinţele prevăzute în secţiunea 2 din prezentul capitol sau, după caz, obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V, nu a fost publicată în Jurnalul Oficial al Uniunii Europene în conformitate cu Regulamentul (UE) nr. 1025/2012, şi nu se preconizează publicarea niciunei astfel de referinţe într-un termen rezonabil.
La redactarea specificaţiilor comune, Comisia consultă forumul consultativ menţionat la articolul 67.
Actele de punere în aplicare menţionate la primul paragraf de la prezentul alineat se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
(2)Înainte de a pregăti un proiect de act de punere în aplicare, Comisia informează comitetul menţionat la articolul 22 din Regulamentul (UE) nr. 1025/2012 că, în opinia sa, sunt îndeplinite condiţiile de la alineatul (1).
(3)Sistemele de IA cu grad ridicat de risc sau modelele de IA de uz general care sunt în conformitate cu specificaţiile comune menţionate la alineatul (1) sau cu părţi ale acestora sunt considerate a fi în conformitate cu cerinţele prevăzute în secţiunea 2 din prezentul capitol sau, după caz, a respecta obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V, în măsura în care respectivele specificaţii comune vizează cerinţele sau obligaţiile respective.
(4)În cazul în care un standard armonizat este adoptat de o organizaţie de standardizare europeană şi este propus Comisiei pentru ca referinţa sa să fie publicată în Jurnalul Oficial al Uniunii Europene, Comisia evaluează standardul armonizat în conformitate cu Regulamentul (UE) nr. 1025/2012. Atunci când referinţa unui standard armonizat este publicată în Jurnalul Oficial al Uniunii Europene, Comisia abrogă actele de punere în aplicare menţionate la alineatul (1) sau acele părţi ale lor care vizează aceleaşi cerinţe menţionate la secţiunea 2 din prezentul capitol sau, după caz, aceleaşi obligaţii prevăzute în secţiunile 2 şi 3 din capitolul V.
(5)În cazul în care furnizorii de sisteme de IA cu grad ridicat de risc sau de modele de IA de uz general nu respectă specificaţiile comune menţionate la alineatul (1), aceştia trebuie să dovedească în mod corespunzător faptul că au adoptat soluţii tehnice care îndeplinesc cerinţele menţionate în secţiunea 2 din prezentul capitol sau, după caz, care respectă obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V la un nivel cel puţin echivalent cu acestea.
(6)În cazul în care un stat membru consideră că o specificaţie comună nu îndeplineşte în totalitate cerinţele prevăzute în secţiunea 2 sau, după caz, nu respectă în totalitate obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V, acesta informează Comisia în acest sens, furnizând o explicaţie detaliată. Comisia evaluează informaţiile respective şi, dacă este cazul, modifică actul de punere în aplicare prin care se stabileşte specificaţia comună în cauză.
Art. 42: Prezumţia de conformitate cu anumite cerinţe
(1)Sistemele de IA cu grad ridicat de risc care au fost antrenate şi testate pe baza datelor care reflectă mediul geografic, comportamental, contextual sau funcţional specific în care sunt destinate să fie utilizate sunt considerate a respecta cerinţele relevante prevăzute la articolul 10 alineatul (4).
(2)Sistemele de IA cu grad ridicat de risc care au fost certificate sau pentru care a fost emisă o declaraţie de conformitate în cadrul unui sistem de securitate cibernetică în temeiul Regulamentului (UE) 2019/881, iar referinţele aferente au fost publicate în Jurnalul Oficial al Uniunii Europene, sunt considerate a respecta cerinţele de securitate cibernetică prevăzute la articolul 15 din prezentul regulament în măsura în care certificatul de securitate cibernetică sau declaraţia de conformitate sau părţi ale acestora vizează cerinţele respective.
Art. 43: Evaluarea conformităţii
(1)Pentru sistemele de IA cu grad ridicat de risc enumerate la punctul 1 din anexa III, în cazul în care, pentru a demonstra conformitatea unui sistem de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, furnizorul a aplicat standardele armonizate menţionate la articolul 40 sau, după caz, specificaţiile comune menţionate la articolul 41, furnizorul optează pentru una dintre următoarele proceduri de evaluare a conformităţii:
a)controlul intern, menţionat în anexa VI; sau
b)evaluarea sistemului de management al calităţii şi examinarea documentaţiei tehnice, cu implicarea unui organism notificat, menţionată în anexa VII.
Pentru a demonstra conformitatea unui sistem de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, furnizorul urmează procedura de evaluare a conformităţii prevăzută în anexa VII în următoarele cazuri:
(a)standardele armonizate menţionate la articolul 40 nu există, iar specificaţiile comune menţionate la articolul 41 nu sunt disponibile;
(b)furnizorul nu a aplicat sau a aplicat doar o parte din standardul armonizat;
(c)specificaţiile comune menţionate la litera (a) există, dar furnizorul nu le-a aplicat;
(d)unul sau mai multe dintre standardele armonizate menţionate la litera (a) au fost publicate cu o restricţie şi numai în partea standardului care a fost restricţionată.
În sensul procedurii de evaluare a conformităţii menţionate în anexa VII, furnizorul poate alege oricare dintre organismele notificate. Cu toate acestea, în cazul în care sistemul de IA cu grad ridicat de risc este destinat să fie pus în funcţiune de către autorităţile de aplicare a legii, de imigraţie sau de azil, sau de către instituţiile, organele, oficiile sau agenţiile Uniunii, autoritatea de supraveghere a pieţei menţionată la articolul 74 alineatul (8) sau (9), după caz, acţionează ca organism notificat.
(2)În cazul sistemelor de IA cu grad ridicat de risc menţionate la punctele 2-8 din anexa III, furnizorii urmează procedura de evaluare a conformităţii bazată pe controlul intern, astfel cum se menţionează în anexa VI, care nu prevede implicarea unui organism notificat.
(3)În cazul sistemelor de IA cu grad ridicat de risc cărora li se aplică actele juridice de armonizare ale Uniunii care figurează în anexa I secţiunea A, furnizorul urmează procedura de evaluare a conformităţii relevantă, astfel cum se prevede în actele juridice respective. Cerinţele prevăzute în secţiunea 2 din prezentul capitol se aplică acestor sisteme de IA cu grad ridicat de risc şi fac parte din evaluarea respectivă. Se aplică, de asemenea, punctele 4.3, 4.4, 4.5 şi punctul 4.6 al cincilea paragraf din anexa VII.
În scopul evaluării respective, organismele notificate care au fost notificate în temeiul respectivelor acte juridice au dreptul de a controla conformitatea sistemelor de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, cu condiţia ca respectarea de către organismele notificate respective a cerinţelor prevăzute la articolul 31 alineatele (4), (10) şi (11) să fi fost evaluată în contextul procedurii de notificare în temeiul respectivelor acte juridice.
În cazul în care actele juridice care figurează în anexa I secţiunea A permit fabricantului produsului să renunţe la evaluarea conformităţii efectuată de o parte terţă, cu condiţia ca fabricantul respectiv să fi aplicat toate standardele armonizate care vizează toate cerinţele relevante, fabricantul respectiv poate recurge la această opţiune numai dacă a aplicat, de asemenea, standardele armonizate sau, după caz, specificaţiile comune menţionate la articolul 41, care vizează toate cerinţele prevăzute în secţiunea 2 din prezentul capitol.
(4)Sistemele de IA cu grad ridicat de risc care au făcut deja obiectul unei proceduri de evaluare a conformităţii sunt supuse la o nouă procedură de evaluare a conformităţii în cazul unei modificări substanţiale, indiferent dacă sistemul modificat este destinat să fie distribuit mai departe sau dacă implementatorul actual continuă să utilizeze sistemul modificat.
În cazul sistemelor de IA cu grad ridicat de risc care continuă să înveţe după ce au fost introduse pe piaţă sau puse în funcţiune, modificările aduse sistemului de IA cu grad ridicat de risc şi performanţei acestuia care au fost predeterminate de către furnizor la momentul evaluării iniţiale a conformităţii şi care fac parte din informaţiile conţinute în documentaţia tehnică menţionată la punctul 2 litera (f) din anexa IV nu constituie o modificare substanţială.
(5)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 în scopul modificării anexelor VI şi VII prin actualizarea acestora având în vedere progresele tehnice.
(6)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica alineatele (1) şi (2) de la prezentul articol cu scopul de a supune sistemele de IA cu grad ridicat de risc menţionate la punctele 2-8 din anexa III procedurii de evaluare a conformităţii menţionate în anexa VII sau unor părţi ale acesteia. Comisia adoptă astfel de acte delegate ţinând seama de eficacitatea procedurii de evaluare a conformităţii bazate pe controlul intern menţionate în anexa VI în ceea ce priveşte prevenirea sau reducerea la minimum a riscurilor pentru sănătate, siguranţă şi protecţia drepturilor fundamentale pe care le prezintă astfel de sisteme, precum şi de disponibilitatea capacităţilor şi a resurselor adecvate în cadrul organismelor notificate.
Art. 44: Certificate
(1)Certificatele eliberate de organismele notificate în conformitate cu anexa VII sunt redactate într-o limbă care poate fi uşor înţeleasă de autorităţile relevante din statul membru în care este stabilit organismul notificat.
(2)Certificatele sunt valabile pe perioada pe care o indică, care nu depăşeşte cinci ani pentru sistemele de IA vizate de anexa I şi patru ani pentru sistemele de IA vizate de anexa III. La solicitarea furnizorului, valabilitatea unui certificat poate fi prelungită pentru perioade suplimentare, fiecare dintre acestea nedepăşind cinci ani pentru sistemele de IA vizate de anexa I şi patru ani pentru sistemele de IA vizate de anexa III, pe baza unei reevaluări în conformitate cu procedurile aplicabile de evaluare a conformităţii. Orice supliment la un certificat rămâne valabil, cu condiţia ca certificatul pe care îl completează să fie valabil.
(3)În cazul în care un organism notificat constată că un sistem de IA nu mai îndeplineşte cerinţele prevăzute în secţiunea 2, acesta, ţinând seama de principiul proporţionalităţii, suspendă sau retrage certificatul eliberat sau impune restricţii asupra acestuia, cu excepţia cazului în care îndeplinirea cerinţelor respective este asigurată prin măsuri corective adecvate întreprinse de furnizorul sistemului într-un termen adecvat stabilit de organismul notificat. Organismul notificat comunică motivele deciziei sale.
Se pune la dispoziţie o cale de atac împotriva deciziilor organismelor notificate, inclusiv privind certificatele de conformitate eliberate.
Art. 45: Obligaţii de informare care revin organismelor notificate
(1)Organismele notificate informează autoritatea de notificare în legătură cu:
a)orice certificate de evaluare a documentaţiei tehnice ale Uniunii, orice suplimente la certificatele respective şi orice aprobări ale sistemului de management al calităţii eliberate în conformitate cu cerinţele din anexa VII;
b)orice refuz, restricţie, suspendare sau retragere a unui certificat de evaluare a documentaţiei tehnice al Uniunii sau a unei aprobări a unui sistem de management al calităţii eliberată în conformitate cu cerinţele din anexa VII;
c)orice circumstanţă care afectează domeniul de aplicare sau condiţiile notificării;
d)orice cerere de informaţii pe care au primit-o de la autorităţile de supraveghere a pieţei cu privire la activităţile de evaluare a conformităţii;
e)la cerere, activităţile de evaluare a conformităţii realizate în limita domeniului de aplicare al notificării lor şi orice altă activitate realizată, inclusiv activităţi transfrontaliere şi subcontractare.
(2)Fiecare organism notificat informează celelalte organisme notificate cu privire la:
a)aprobări ale sistemelor de management al calităţii pe care le-a refuzat, suspendat sau retras şi, la cerere, aprobări ale sistemelor de management al calităţii pe care le-a eliberat;
b)certificatele de evaluare a documentaţiei tehnice ale Uniunii sau orice suplimente la acestea, pe care le-a refuzat, retras, suspendat sau restricţionat în alt mod şi, la cerere, certificatele şi/sau suplimentele la acestea pe care le-a eliberat.
(3)Fiecare organism notificat furnizează celorlalte organisme notificate care îndeplinesc activităţi similare de evaluare a conformităţii, care vizează aceleaşi tipuri de sisteme de IA, informaţii relevante privind aspecte legate de rezultatele negative ale evaluărilor conformităţii şi, la cerere, de rezultatele pozitive ale evaluărilor conformităţii.
(4)Organismele notificate păstrează confidenţialitatea informaţiilor pe care le obţin, în conformitate cu articolul 78.
Art. 46: Derogare de la procedura de evaluare a conformităţii
(1)Prin derogare de la articolul 43 şi pe baza unei cereri justificate în mod corespunzător, orice autoritate de supraveghere a pieţei poate autoriza introducerea pe piaţă sau punerea în funcţiune a anumitor sisteme de IA cu grad ridicat de risc pe teritoriul statului membru în cauză, din motive excepţionale de siguranţă publică sau de protecţie a vieţii şi sănătăţii persoanelor, de protecţie a mediului sau de protecţie a activelor industriale şi de infrastructură esenţiale. Autorizaţia respectivă se acordă pentru o perioadă limitată, cât timp procedurile necesare de evaluare a conformităţii sunt în desfăşurare, ţinând seama de motivele excepţionale care justifică derogarea. Finalizarea procedurilor respective se efectuează fără întârzieri nejustificate.
(2)Într-o situaţie de urgenţă justificată în mod corespunzător din motive excepţionale de securitate publică sau în cazul unei ameninţări specifice, substanţiale şi iminente la adresa vieţii sau a siguranţei fizice a persoanelor fizice, autorităţile de aplicare a legii sau autorităţile de protecţie civilă pot pune în funcţiune un anumit sistem de IA cu grad ridicat de risc fără autorizaţia menţionată la alineatul (1), cu condiţia ca o astfel de autorizaţie să fie solicitată în timpul utilizării sau după aceasta, fără întârzieri nejustificate. În cazul în care autorizaţia menţionată la alineatul (1) este refuzată, utilizarea sistemului de IA cu grad ridicat de risc este oprită cu efect imediat şi toate rezultatele şi produsele obţinute în cadrul unei astfel de utilizări sunt înlăturate imediat.
(3)Autorizaţia menţionată la alineatul (1) se eliberează numai în cazul în care autoritatea de supraveghere a pieţei concluzionează că sistemul de IA cu grad ridicat de risc respectă cerinţele din secţiunea 2. Autoritatea de supraveghere a pieţei informează Comisia şi celelalte state membre cu privire la orice autorizaţie eliberată în temeiul alineatelor (1) şi (2). Această obligaţie nu vizează datele operaţionale sensibile legate de activităţile autorităţilor de aplicare a legii.
(4)În cazul în care, în termen de 15 zile calendaristice de la primirea informaţiilor menţionate la alineatul (3), niciun stat membru şi nici Comisia nu ridică obiecţii cu privire la o autorizaţie eliberată de o autoritate de supraveghere a pieţei dintr-un stat membru în conformitate cu alineatul (1), autorizaţia respectivă este considerată justificată.
(5)În cazul în care, în termen de 15 zile calendaristice de la primirea notificării menţionate la alineatul (3), sunt ridicate obiecţii de către un stat membru împotriva unei autorizaţii eliberate de o autoritate de supraveghere a pieţei dintr-un alt stat membru sau în cazul în care Comisia consideră că autorizaţia este contrară dreptului Uniunii sau că concluzia statelor membre cu privire la conformitatea sistemului, astfel cum se menţionează la alineatul (3), este nefondată, Comisia iniţiază fără întârziere consultări cu statul membru relevant. Operatorii în cauză sunt consultaţi şi au posibilitatea de a-şi prezenta punctele de vedere. În considerarea acestora, Comisia decide dacă autorizaţia este justificată. Comisia comunică decizia sa statelor membre în cauză şi operatorilor relevanţi.
(6)În cazul în care Comisia consideră că autorizaţia este nejustificată, aceasta este retrasă de către autoritatea de supraveghere a pieţei din statul membru în cauză.
(7)Pentru sistemele de IA cu grad ridicat de risc legate de produsele care fac obiectul actelor legislative de armonizare ale Uniunii menţionate în anexa I secţiunea A, se aplică numai derogări de la procedurile de evaluare a conformităţii stabilite în respectivele acte legislative de armonizare ale Uniunii.
Art. 47: Declaraţia de conformitate UE
(1)Furnizorul întocmeşte o declaraţie de conformitate UE elaborată într-un format prelucrabil automat, cu semnătură fizică sau electronică pentru fiecare sistem de IA cu grad ridicat de risc şi o pune la dispoziţia autorităţilor naţionale competente pe o perioadă de 10 ani după introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc. Declaraţia de conformitate UE identifică sistemul de IA cu grad ridicat de risc pentru care a fost întocmită. O copie a declaraţiei de conformitate UE este transmisă autorităţilor naţionale competente relevante, la cerere.
(2)Declaraţia de conformitate UE precizează că sistemul de IA cu grad ridicat de risc în cauză îndeplineşte cerinţele prevăzute în secţiunea 2. Declaraţia de conformitate UE conţine informaţiile prevăzute în anexa V şi se traduce într-o limbă care poate fi uşor înţeleasă de autorităţile naţionale competente din statele membre în care se introduce pe piaţă sau se pune la dispoziţie sistemul de IA cu grad ridicat de risc.
(3)În cazul în care sistemele de IA cu grad ridicat de risc fac obiectul altor acte legislative de armonizare ale Uniunii care necesită, de asemenea, o declaraţie de conformitate UE, se redactează o singură declaraţie de conformitate UE în legătură cu toate actele legislative ale Uniunii aplicabile sistemului de IA cu grad ridicat de risc. Declaraţia conţine toate informaţiile necesare pentru identificarea actelor legislative de armonizare ale Uniunii cu care are legătură declaraţia.
(4)Prin redactarea declaraţiei de conformitate UE, furnizorul îşi asumă responsabilitatea pentru conformitatea cu cerinţele prevăzute în secţiunea 2. Furnizorul actualizează în permanenţă declaraţia de conformitate UE, după caz.
(5)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica anexa V prin actualizarea conţinutului declaraţiei de conformitate UE prevăzute în anexa menţionată, pentru a introduce elemente care devin necesare având în vedere progresele tehnice.
Art. 48: Marcajul CE
(1)Marcajul CE face obiectul principiilor generale prevăzute la articolul 30 din Regulamentul (CE) nr. 765/2008.
(2)În cazul sistemelor de IA cu grad ridicat de risc furnizate digital se utilizează un marcaj CE digital numai dacă poate fi accesat cu uşurinţă prin intermediul interfeţei de la care este accesat sistemul respectiv sau printr-un cod uşor accesibil, prelucrabil automat, sau prin alte mijloace electronice.
(3)Marcajul CE se aplică în mod vizibil, lizibil şi indelebil pe sistemele de IA cu grad ridicat de risc. În cazul în care acest lucru nu este posibil sau justificat din considerente ţinând de natura sistemului de IA cu grad ridicat de risc, marcajul se aplică pe ambalaj sau pe documentele de însoţire, după caz.
(4)Dacă este cazul, marcajul CE este urmat de numărul de identificare al organismului notificat responsabil de procedurile de evaluare a conformităţii menţionate la articolul 43. Numărul de identificare al organismului notificat se aplică chiar de către organism sau, la instrucţiunile acestuia, de către furnizor sau reprezentantul autorizat al furnizorului. De asemenea, numărul de identificare se indică în orice material promoţional care menţionează că sistemul de IA cu grad ridicat de risc îndeplineşte cerinţele aferente marcajului CE.
(5)În cazul în care sistemele de IA cu grad ridicat de risc fac obiectul altor acte legislative ale Uniunii care prevăd de asemenea aplicarea marcajului CE, acesta indică faptul că sistemele de IA cu grad ridicat de risc îndeplinesc şi cerinţele celorlalte acte legislative.
Art. 49: Înregistrare
(1)Înainte de a introduce pe piaţă sau de a pune în funcţiune un sistem de IA cu grad ridicat de risc care figurează în anexa III, cu excepţia sistemelor de IA cu grad ridicat de risc menţionate în anexa III punctul 2, furnizorul şi, după caz, reprezentantul autorizat se înregistrează pe sine, alături de sistemul lor în baza de date a UE menţionată la articolul 71.
(2)Înainte de a introduce pe piaţă sau de a pune în funcţiune un sistem de IA pentru care furnizorul a concluzionat că nu prezintă un grad ridicat de risc în conformitate cu articolul 6 alineatul (3), furnizorul respectiv sau, după caz, reprezentantul autorizat se înregistrează pe sine, alături de sistemul respectiv în baza de date a UE menţionată la articolul 71.
(3)Înainte de a pune în funcţiune sau de a utiliza un sistem de IA cu grad ridicat de risc care figurează în anexa III, cu excepţia sistemelor de IA cu grad ridicat de risc care figurează în anexa III punctul 2, implementatorii care sunt autorităţi publice, instituţii, organe, oficii sau agenţii ale Uniunii ori persoane care acţionează în numele acestora se înregistrează, selectează sistemul şi înregistrează utilizarea acestuia în baza de date a UE menţionată la articolul 71.
(4)Pentru sistemele de IA cu grad ridicat de risc menţionate la punctele 1, 6 şi 7 din anexa III, în domeniul aplicării legii, al migraţiei, al azilului şi al gestionării controlului la frontiere, înregistrarea menţionată la alineatele (1), (2) şi (3) de la prezentul articol se realizează în cadrul unei secţiuni securizate, care nu este accesibilă publicului, a bazei de date a UE menţionate la articolul 71 şi include numai următoarele informaţii, după caz, menţionate la:
a)secţiunea A punctele 1-10 din anexa VIII, cu excepţia punctelor 6, 8 şi 9;
b)secţiunea B punctele 1-5, 8 şi 9 din anexa VIII;
c)secţiunea C punctele 1-3 din anexa VIII;
d)punctele 1, 2, 3 şi 5 din anexa IX.
Numai Comisia şi autorităţile naţionale menţionate la articolul 74 alineatul (8) au acces la secţiunile restricţionate respective ale bazei de date a UE care figurează la primul paragraf de la prezentul alineat.
(5)Sistemele de IA cu grad ridicat de risc menţionate la punctul 2 din anexa III se înregistrează la nivel naţional.