Secţiunea 4 - Autorităţile de notificare şi organismele notificate - Regulamentul 1689/13-iun-2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială)
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 12 Iulie 2024
SECŢIUNEA 4:Autorităţile de notificare şi organismele notificate
Art. 28: Autorităţile de notificare
(1)Fiecare stat membru desemnează sau instituie cel puţin o autoritate de notificare responsabilă cu instituirea şi efectuarea procedurilor necesare pentru evaluarea, desemnarea şi notificarea organismelor de evaluare a conformităţii şi pentru monitorizarea acestora. Procedurile respective se elaborează în cooperare între autorităţile de notificare ale tuturor statelor membre.
(2)Statele membre pot decide ca evaluarea şi monitorizarea menţionate la alineatul (1) să fie efectuate de un organism naţional de acreditare în sensul Regulamentului (CE) nr. 765/2008 şi în conformitate cu acesta.
(3)Autorităţile de notificare sunt instituite şi organizate şi funcţionează astfel încât să nu apară niciun conflict de interese cu organismele de evaluare a conformităţii şi să se protejeze obiectivitatea şi imparţialitatea activităţilor lor.
(4)Autorităţile de notificare sunt organizate astfel încât deciziile cu privire la notificarea organismelor de evaluare a conformităţii să fie luate de persoane competente, altele decât cele care au efectuat evaluarea organismelor respective.
(5)Autorităţile de notificare nu oferă şi nu prestează nici activităţi pe care le prestează organismele de evaluare a conformităţii şi nici servicii de consultanţă în condiţii comerciale sau concurenţiale.
(6)Autorităţile de notificare garantează confidenţialitatea informaţiilor pe care le obţin, în conformitate cu articolul 78.
(7)Autorităţile de notificare au la dispoziţie un număr adecvat de membri competenţi ai personalului în vederea îndeplinirii corespunzătoare a sarcinilor lor. Membrii competenţi ai personalului deţin cunoştinţele de specialitate necesare, după caz, pentru funcţia pe care o îndeplinesc, în domenii precum tehnologiile informaţiei, IA şi drept, inclusiv supravegherea drepturilor fundamentale.
Art. 29: Cererea de notificare a unui organism de evaluare a conformităţii
(1)Organismele de evaluare a conformităţii depun o cerere de notificare la autoritatea de notificare a statului membru în care sunt stabilite.
(2)Cererea de notificare este însoţită de o descriere a activităţilor de evaluare a conformităţii, a modulului sau modulelor de evaluare a conformităţii şi a tipurilor de sisteme de IA pentru care organismul de evaluare a conformităţii se consideră a fi competent, precum şi de un certificat de acreditare, în cazul în care există, eliberat de un organism naţional de acreditare care să ateste că organismul de evaluare a conformităţii satisface cerinţele prevăzute la articolul 31.
Se adaugă orice document valabil referitor la desemnările existente ale organismului notificat solicitant în temeiul oricăror alte acte legislative de armonizare ale Uniunii.
(3)În cazul în care un organism de evaluare a conformităţii nu poate prezenta un certificat de acreditare, acesta prezintă autorităţii de notificare toate documentele justificative necesare pentru verificarea, recunoaşterea şi monitorizarea periodică a conformităţii acestuia cu cerinţele prevăzute la articolul 31.
(4)În cazul organismelor notificate care sunt desemnate în temeiul oricăror alte acte legislative de armonizare ale Uniunii, toate documentele şi certificatele legate de aceste desemnări pot fi utilizate pentru a sprijini procedura de desemnare a acestora în temeiul prezentului regulament, după caz. Organismul notificat actualizează documentaţia menţionată la alineatele (2) şi (3) de la prezentul articol ori de câte ori au loc modificări relevante, pentru a oferi autorităţii naţionale responsabile de organismele notificate posibilitatea de a monitoriza şi de a verifica respectarea continuă a tuturor cerinţelor prevăzute la articolul 31.
Art. 30: Procedura de notificare
(1)Autorităţile de notificare pot notifica numai organismele de evaluare a conformităţii care îndeplinesc cerinţele prevăzute la articolul 31.
(2)Autorităţile de notificare înştiinţează Comisia şi celelalte state membre prin intermediul instrumentului de notificare electronică dezvoltat şi administrat de Comisie cu privire la fiecare organism de evaluare a conformităţii menţionat la alineatul (1).
(3)Notificarea menţionată la alineatul (2) de la prezentul articol include detalii complete privind activităţile de evaluare a conformităţii, modulul sau modulele de evaluare a conformităţii şi tipurile de sisteme de IA în cauză, precum şi atestarea relevantă a competenţei. În cazul în care notificarea nu se bazează pe un certificat de acreditare menţionat la articolul 29 alineatul (2), autoritatea de notificare prezintă Comisiei şi celorlalte state membre documentele justificative care atestă competenţa organismului de evaluare a conformităţii şi măsurile adoptate pentru a se asigura că organismul respectiv va fi monitorizat periodic şi că va îndeplini în continuare cerinţele prevăzute la articolul 31.
(4)Organismul de evaluare a conformităţii în cauză poate exercita activităţile unui organism notificat numai în cazul în care nu există obiecţii din partea Comisiei sau a celorlalte state membre, transmise în termen de două săptămâni de la o notificare din partea unei autorităţi de notificare, în cazul în care se include un certificat de acreditare menţionat la articolul 29 alineatul (2), sau în termen de două luni de la o notificare din partea unei autorităţi de notificare, în cazul în care se includ documentele justificative menţionate la articolul 29 alineatul (3).
(5)În cazul în care se ridică obiecţii, Comisia iniţiază fără întârziere consultaţii cu statele membre relevante şi cu organismul de evaluare a conformităţii. În lumina acestora, Comisia decide dacă autorizaţia este justificată. Comisia comunică decizia luată statului membru în cauză şi organismului relevant de evaluare a conformităţii.
Art. 31: Cerinţe cu privire la organismele notificate
(1)Un organism notificat este instituit în temeiul dreptului intern al unui stat membru şi are personalitate juridică.
(2)Organismele notificate îndeplinesc cerinţele organizatorice, de management al calităţii, de resurse şi în materie de procese care sunt necesare pentru îndeplinirea sarcinilor lor, precum şi cerinţele adecvate în materie de securitate cibernetică.
(3)Structura organizaţională, alocarea responsabilităţilor, liniile de raportare şi funcţionarea organismelor notificate asigură încrederea în performanţa acestora şi în rezultatele activităţilor de evaluare a conformităţii pe care le desfăşoară organismele notificate.
(4)Organismele notificate sunt independente de furnizorul unui sistem de IA cu grad ridicat de risc în legătură cu care efectuează activităţi de evaluare a conformităţii. Organismele notificate sunt, de asemenea, independente de orice alt operator care are un interes economic în legătură cu sistemele de IA cu grad ridicat de risc evaluate, precum şi de orice concurent al furnizorului. Acest lucru nu împiedică utilizarea sistemelor de IA cu grad ridicat de risc evaluate care sunt necesare pentru operaţiunile organismului de evaluare a conformităţii sau utilizarea sistemelor respective de IA cu grad ridicat de risc în scopuri personale.
(5)Nici organismul de evaluare a conformităţii, personalul său de conducere de nivel superior, nici personalul responsabil cu îndeplinirea sarcinilor acestuia de evaluare a conformităţii nu sunt direct implicaţi în proiectarea, dezvoltarea, comercializarea sau utilizarea sistemelor de IA cu grad ridicat de risc şi nici nu reprezintă părţile implicate în respectivele activităţi. Aceştia nu se implică în nicio activitate susceptibilă de a le afecta imparţialitatea sau integritatea în ceea ce priveşte activităţile de evaluare a conformităţii pentru care sunt notificaţi. Această dispoziţie se aplică în special serviciilor de consultanţă.
(6)Organismele notificate sunt organizate şi funcţionează astfel încât să garanteze independenţa, obiectivitatea şi imparţialitatea activităţilor lor. Organismele notificate documentează şi pun în aplicare o structură şi proceduri pentru garantarea imparţialităţii şi pentru promovarea şi punerea în practică a principiilor imparţialităţii în întreaga organizaţie, pentru tot personalul lor şi pentru toate activităţile lor de evaluare.
(7)Organismele notificate dispun de proceduri documentate care să asigure că personalul, comitetele, filialele, subcontractanţii lor, precum şi orice organism asociat sau membru al personalului organismelor externe respectă, în conformitate cu articolul 78, confidenţialitatea informaţiilor care le parvin în timpul derulării activităţilor de evaluare a conformităţii, cu excepţia cazurilor în care divulgarea acestora este impusă prin lege. Personalul organismelor notificate este obligat să păstreze secretul profesional referitor la toate informaţiile obţinute în cursul îndeplinirii sarcinilor sale în temeiul prezentului regulament, excepţie făcând relaţia cu autorităţile de notificare ale statului membru în care se desfăşoară activităţile sale.
(8)Organismele notificate dispun de proceduri pentru desfăşurarea activităţilor, care să ţină seama în mod corespunzător de dimensiunile unui furnizor, de sectorul în care acesta îşi desfăşoară activitatea, de structura sa şi de gradul de complexitate al sistemului de IA în cauză.
(9)Organismele notificate încheie o asigurare de răspundere civilă adecvată pentru activităţile lor de evaluare a conformităţii, cu excepţia cazului în care răspunderea este asumată de statul membru pe teritoriul căruia sunt stabilite, în conformitate cu dreptul intern, sau în care însuşi statul membru respectiv este direct responsabil pentru evaluarea conformităţii.
(10)Organismele notificate sunt capabile să îşi îndeplinească toate sarcinile în temeiul prezentului regulament cu cel mai înalt grad de integritate profesională şi cu competenţa necesară în domeniul specific, indiferent dacă sarcinile respective sunt realizate de organismele notificate înseşi sau în numele şi pe răspunderea acestora.
(11)Organismele notificate dispun de suficiente competenţe interne pentru a putea evalua în mod efectiv sarcinile îndeplinite de părţi externe în numele lor. Organismul notificat dispune în permanenţă de suficient personal administrativ, tehnic, juridic şi ştiinţific care deţine experienţă şi cunoştinţe în ceea ce priveşte tipurile relevante de sisteme de IA, de date şi de calculul datelor, precum şi în ceea ce priveşte cerinţele prevăzute în secţiunea 2.
(12)Organismele notificate participă la activităţile de coordonare menţionate la articolul 38. De asemenea, acestea participă direct sau sunt reprezentate în cadrul organizaţiilor de standardizare europene sau se asigură că sunt la curent cu situaţia referitoare la standardele relevante.
Art. 32: Prezumţia de conformitate cu cerinţele referitoare la organismele notificate
În cazul în care un organism de evaluare a conformităţii îşi demonstrează conformitatea cu criteriile prevăzute în standardele armonizate relevante sau în părţi din acestea, ale căror referinţe au fost publicate în Jurnalul Oficial al Uniunii Europene, se consideră că acesta este în conformitate cu cerinţele prevăzute la articolul 31, în măsura în care standardele armonizate aplicabile vizează aceste cerinţe.
Art. 33: Filiale ale organismelor notificate şi subcontractare
(1)În cazul în care un organism notificat subcontractează anumite sarcini legate de evaluarea conformităţii sau recurge la o filială, acesta se asigură că subcontractantul sau filiala îndeplineşte cerinţele stabilite la articolul 31 şi informează autoritatea de notificare în acest sens.
(2)Organismele notificate preiau întreaga responsabilitate pentru sarcinile îndeplinite de orice subcontractant sau filială.
(3)Activităţile pot fi subcontractate sau îndeplinite de o filială doar cu acordul furnizorului. Organismele notificate pun la dispoziţia publicului o listă a filialelor acestora.
(4)Documentele relevante privind evaluarea calificărilor subcontractantului sau ale filialei şi activitatea desfăşurată de aceştia în temeiul prezentului regulament sunt puse la dispoziţia autorităţii de notificare pentru o perioadă de cinci ani de la data încetării subcontractării.
Art. 34: Obligaţii operaţionale ale organismelor notificate
(1)Organismele notificate verifică conformitatea sistemelor de IA cu grad ridicat de risc în conformitate cu procedurile de evaluare a conformităţii prevăzute la articolul 43.
(2)Organismele notificate evită sarcinile inutile pentru furnizori atunci când aceştia îşi desfăşoară activităţile şi ţin seama în mod corespunzător de dimensiunile furnizorilor, de sectorul în care aceştia îşi desfăşoară activitatea, de structura acestora şi de gradul de complexitate al sistemului de IA cu grad ridicat de risc în cauză, în special în vederea reducerii la minimum a sarcinilor administrative şi a costurilor de asigurare a conformităţii pentru microîntreprinderi şi întreprinderile mici în sensul Recomandării 2003/361/CE. Organismul notificat respectă totuşi gradul de precizie şi nivelul de protecţie impuse pentru conformitatea sistemului de IA cu grad ridicat de risc cu cerinţele prezentului regulament.
(3)Organismele notificate pun la dispoziţia autorităţii de notificare menţionate la articolul 28 şi transmit la cerere toată documentaţia relevantă, inclusiv documentaţia furnizorilor, pentru a îi permite acestei autorităţi să îşi desfăşoare activităţile de evaluare, desemnare, notificare şi monitorizare şi pentru a facilita evaluarea descrisă în prezenta secţiune.
Art. 35: Numerele de identificare şi listele organismelor notificate
(1)Comisia atribuie un număr unic de identificare fiecărui organism notificat, chiar şi în cazul în care un organism este notificat în temeiul mai multor acte ale Uniunii.
(2)Comisia pune la dispoziţia publicului lista organismelor notificate în temeiul prezentului regulament, incluzând numerele de identificare ale acestora şi activităţile pentru care au fost notificate. Comisia se asigură că lista este actualizată.
Art. 36: Modificări ale notificărilor
(1)Autoritatea de notificare înştiinţează Comisia şi celelalte state membre cu privire la orice modificare relevantă adusă notificării unui organism notificat prin intermediul instrumentului de notificare electronică menţionat la articolul 30 alineatul (2).
(2)Procedurile prevăzute la articolele 29 şi 30 se aplică extinderilor domeniului de aplicare al notificării.
În ceea ce priveşte modificările aduse notificării, altele decât extinderile domeniului său de aplicare, se aplică procedurile prevăzute la alineatele (3)-(9).
(3)În cazul în care un organism notificat decide să îşi înceteze activităţile de evaluare a conformităţii, acesta informează autoritatea de notificare şi furnizorii vizaţi cât mai curând posibil şi, în cazul unei încetări planificate, cu cel puţin un an înainte de încetarea activităţilor. Certificatele organismului notificat pot rămâne valabile pentru o perioadă de nouă luni de la încetarea activităţii organismului notificat, cu condiţia ca un alt organism notificat să fi confirmat în scris că îşi va asuma responsabilităţile pentru sistemele de IA cu grad ridicat de risc care fac obiectul respectivelor certificate. Acest din urmă organism notificat efectuează o evaluare completă a sistemelor de IA cu grad ridicat de risc în cauză până la finalul respectivei perioade de nouă luni, înainte de emiterea de noi certificate pentru aceste sisteme. În cazul în care organismul notificat şi-a încetat activitatea, autoritatea de notificare retrage desemnarea.
(4)În cazul în care o autoritate de notificare are motive suficiente să considere că un organism notificat nu mai îndeplineşte cerinţele prevăzute la articolul 31 sau că acesta nu îşi îndeplineşte obligaţiile, autoritatea de notificare respectivă investighează fără întârziere chestiunea, cu cea mai mare diligenţă. În acest context, aceasta informează organismul notificat în cauză cu privire la obiecţiile ridicate şi îi oferă posibilitatea de a-şi face cunoscute punctele de vedere. În cazul în care ajunge la concluzia că organismul notificat nu mai îndeplineşte cerinţele prevăzute la articolul 31 sau că nu îşi îndeplineşte obligaţiile, autoritatea de notificare restricţionează, suspendă sau retrage desemnarea, după caz, în funcţie de gravitatea încălcării cerinţelor sau a neîndeplinirii obligaţiilor. Autoritatea de notificare informează de îndată Comisia şi celelalte state membre în consecinţă.
(5)În cazul în care desemnarea sa a fost suspendată, restricţionată sau retrasă integral sau parţial, organismul notificat informează furnizorii în cauză în termen de 10 zile.
(6)În caz de restricţionare, suspendare sau retragere a unei desemnări, autoritatea de notificare ia măsurile necesare pentru a se asigura că dosarele organismului notificat în cauză sunt păstrate şi le pun la dispoziţia autorităţilor de notificare din alte state membre şi a autorităţilor de supravegherea pieţei, la cererea acestora.
(7)În caz de restricţionare, suspendare sau retragere a unei desemnări, autoritatea de notificare:
a)evaluează impactul asupra certificatelor eliberate de organismul notificat;
b)prezintă Comisiei şi celorlalte state membre un raport conţinând constatările sale în termen de trei luni de la data la care a notificat modificările aduse desemnării;
c)solicită organismului notificat să suspende sau să retragă, într-un interval rezonabil de timp stabilit de către autoritate, orice certificat care a fost eliberat în mod necorespunzător, pentru a asigura menţinerea conformităţii sistemelor de IA cu grad ridicat de risc de pe piaţă;
d)informează Comisia şi statele membre cu privire la certificatele pentru care a solicitat suspendarea sau retragerea;
e)furnizează autorităţilor naţionale competente din statul membru în care furnizorul îşi are sediul social toate informaţiile relevante cu privire la certificatele pentru care a solicitat suspendarea sau retragerea; autorităţile respective iau măsurile corespunzătoare, acolo unde este necesar, pentru evitarea unui risc potenţial pentru sănătate, siguranţă sau drepturile fundamentale.
(8)Cu excepţia certificatelor eliberate în mod necorespunzător şi în cazul în care o desemnare a fost suspendată sau restricţionată, certificatele rămân valabile în una dintre următoarele circumstanţe:
a)autoritatea de notificare a confirmat, în termen de o lună de la suspendare sau restricţionare, că nu există niciun risc pentru sănătate, siguranţă sau drepturile fundamentale în legătură cu certificatele afectate de suspendare sau de restricţionare şi a prezentat un calendar pentru acţiunile de remediere a suspendării sau a restricţionării; sau
b)autoritatea de notificare a confirmat că, pe durata suspendării sau restricţionării nu se va emite, modifica sau emite din nou niciun certificat relevant pentru suspendare şi declară dacă organismul notificat are capabilitatea de a continua să monitorizeze şi să rămână responsabil de certificatele existente pe care le-a emis pe perioada suspendării sau a restricţionării; în cazul în care autoritatea de notificare stabileşte că organismul notificat nu are capabilitatea de a gestiona certificatele existente pe care le-a emis, furnizorul sistemului care face obiectul certificatului confirmă în scris autorităţilor naţionale competente ale statului membru în care îşi are sediul social, în termen de trei luni de la suspendare sau restricţionare, că un alt organism notificat calificat îşi asumă temporar funcţiile organismului notificat de a monitoriza şi de a rămâne responsabil de certificate pe perioada suspendării sau a restricţionării.
(9)Cu excepţia certificatelor eliberate în mod necorespunzător şi, în cazul în care desemnarea a fost retrasă, certificatele rămân valabile pe o perioadă de nouă luni în următoarele circumstanţe:
a)autoritatea naţională competentă din statul membru în care furnizorul sistemului de IA cu grad ridicat de risc care face obiectul certificatului îşi are sediul social a confirmat că nu există niciun risc pentru sănătate, siguranţă sau drepturile fundamentale asociat sistemelor de IA cu grad ridicat de risc în cauză; şi
b)un alt organism notificat a confirmat în scris că îşi va asuma responsabilitatea imediat pentru respectivele sisteme de IA şi îşi încheie evaluarea în termen de 12 luni de la retragerea desemnării.
În situaţia menţionată la primul paragraf, autoritatea naţională competentă din statul membru în care îşi are sediul social furnizorul sistemului care face obiectul certificatului poate prelungi valabilitatea provizorie a certificatelor cu perioade suplimentare de trei luni, care nu depăşesc 12 luni în total.
Autoritatea naţională competentă sau organismul notificat care îşi asumă funcţiile organismului notificat afectat de modificarea desemnării informează imediat în acest sens Comisia, celelalte state membre şi celelalte organisme notificate.
Art. 37: Contestarea competenţei organismelor notificate
(1)Dacă este necesar, Comisia investighează toate cazurile în care există motive de îndoială cu privire la competenţa unui organism notificat sau la îndeplinirea în continuare de către un organism notificat a cerinţelor prevăzute la articolul 31 şi a responsabilităţilor sale aplicabile.
(2)Autoritatea de notificare furnizează Comisiei, la cerere, toate informaţiile relevante referitoare la notificarea sau menţinerea competenţei organismului notificat în cauză.
(3)Comisia se asigură că toate informaţiile sensibile obţinute în cursul investigaţiilor sale în temeiul prezentului articol sunt tratate în mod confidenţial în conformitate cu articolul 78.
(4)În cazul în care constată că un organism notificat nu îndeplineşte sau nu mai îndeplineşte cerinţele pentru a fi notificat, Comisia informează statul membru notificator în consecinţă şi îi solicită acestuia să ia măsurile corective necesare, inclusiv suspendarea sau retragerea notificării, dacă este necesar. În cazul în care statul membru nu ia măsurile corective necesare, Comisia poate, prin intermediul unui act de punere în aplicare, să suspende, să restricţioneze sau să retragă desemnarea. Actul de punere în aplicare respectiv se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
Art. 38: Coordonarea organismelor notificate
(1)Comisia se asigură că, în ceea ce priveşte sistemele de IA cu grad ridicat de risc, se instituie şi se realizează în mod adecvat o coordonare şi o cooperare corespunzătoare între organismele notificate care desfăşoară activităţi în ceea ce priveşte procedurile de evaluare a conformităţii în temeiul prezentului regulament, sub forma unui grup sectorial al organismelor notificate.
(2)Fiecare autoritate de notificare se asigură că organismele notificate de aceasta participă la activitatea unui grup menţionat la alineatul (1), în mod direct sau prin intermediul unor reprezentanţi desemnaţi.
(3)Comisia se ocupă de organizarea unor schimburi de cunoştinţe şi bune practici între autorităţile de notificare.
Art. 39: Organisme de evaluare a conformităţii din ţări terţe
Organismele de evaluare a conformităţii instituite în temeiul legislaţiei unei ţări terţe cu care Uniunea a încheiat un acord pot fi autorizate să desfăşoare activităţile organismelor notificate în temeiul prezentului regulament, cu condiţia ca aceste organisme să îndeplinească cerinţele prevăzute la articolul 31 sau să asigure un nivel de conformitate echivalent.