Regulamentul 1689/13-iun-2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială)

Acte UE

Jurnalul Oficial seria L

Neintrat în vigoare

Versiune de la: 12 Iulie 2024

Dată act: 13-iun-2024

Emitent: Consiliul Uniunii Europene;Parlamentul European

Art. 113: Intrare în vigoare şi aplicare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Se aplică de la 2 august 2026.

Cu toate acestea:

(a) capitolele I şi II se aplică de la 2 februarie 2025;

(b) capitolul III secţiunea 4, capitolul V, capitolul VII, capitolul XII şi articolul 78 se aplică de la 2 august 2025, cu excepţia articolului 101;

(1)Scopul prezentului regulament este de a îmbunătăţi funcţionarea pieţei interne prin stabilirea unui cadru juridic uniform, în special pentru dezvoltarea, introducerea pe piaţă, punerea în funcţiune şi utilizarea de sisteme de inteligenţă artificială (sisteme de IA) în Uniune, în conformitate cu valorile Uniunii, de a promova adoptarea unei inteligenţe artificiale (IA) de încredere şi centrate pe factorul uman, asigurând în acelaşi timp un nivel ridicat de protecţie a sănătăţii, a siguranţei, a drepturilor fundamentale consacrate în Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare "carta"), inclusiv a democraţiei, a statului de drept şi a mediului, de a proteja împotriva efectelor dăunătoare ale sistemelor de IA în Uniune, precum şi de a sprijini inovarea. Prezentul regulament asigură libera circulaţie transfrontalieră a bunurilor şi serviciilor bazate pe IA, împiedicând astfel statele membre să impună restricţii privind dezvoltarea, comercializarea şi utilizarea sistemelor de IA, cu excepţia cazului în care acest lucru este autorizat în mod explicit de prezentul regulament.

(3)Sistemele de IA pot fi implementate cu uşurinţă într-o mare varietate de sectoare ale economiei şi în multe părţi ale societăţii, inclusiv la nivel transfrontalier, şi pot circula cu uşurinţă în întreaga Uniune. Anumite state membre au explorat deja adoptarea unor norme naţionale pentru a se asigura că IA este sigură şi de încredere şi că este dezvoltată şi utilizată în conformitate cu obligaţiile în materie de drepturi fundamentale. Divergenţele dintre normele naţionale pot duce la fragmentarea pieţei interne şi pot reduce gradul de securitate juridică pentru operatorii care dezvoltă, importă sau utilizează sisteme de IA. Prin urmare, ar trebui să se asigure un nivel ridicat şi consecvent de protecţie în întreaga Uniune pentru a se obţine o IA de încredere, iar divergenţele care împiedică libera circulaţie, inovarea, implementarea şi adoptarea sistemelor de IA şi a produselor şi serviciilor conexe în cadrul pieţei interne ar trebui să fie prevenite, prin stabilirea unor obligaţii uniforme pentru operatori şi prin garantarea protecţiei uniforme a motivelor imperative de interes public major şi a drepturilor persoanelor în întreaga piaţă internă, în temeiul articolului 114 din Tratatul privind funcţionarea Uniunii Europene (TFUE). În măsura în care prezentul regulament conţine norme specifice de protecţie a persoanelor fizice în contextul prelucrării datelor cu caracter personal, referitoare la restricţiile de utilizare a sistemelor de IA pentru identificarea biometrică la distanţă în scopul aplicării legii, la utilizarea sistemelor de IA pentru evaluarea riscurilor persoanelor fizice în scopul aplicării legii şi la utilizarea sistemelor de IA de clasificare biometrică în scopul aplicării legii, este oportun ca prezentul regulament să se întemeieze, în ceea ce priveşte normele specifice respective, pe articolul 16 din TFUE. Având în vedere normele specifice respective şi recurgerea la articolul 16 din TFUE, este oportun să se consulte Comitetul european pentru protecţia datelor.

(4)IA este o familie de tehnologii cu evoluţie rapidă, care contribuie la o gamă largă de beneficii economice, de mediu şi societale în întregul spectru de industrii şi activităţi sociale. Prin îmbunătăţirea previziunilor, optimizarea operaţiunilor şi a alocării resurselor, precum şi prin personalizarea soluţiilor digitale disponibile pentru persoane fizice şi organizaţii, utilizarea IA poate oferi avantaje concurenţiale esenţiale întreprinderilor şi poate sprijini obţinerea de rezultate benefice din punct de vedere social şi al mediului, în domenii precum îngrijirile de sănătate, agricultura, siguranţa alimentară, educaţia şi formarea, mass-media, sportul, cultura, gestionarea infrastructurii, energia, transporturile şi logistica, serviciile publice, securitatea, justiţia, eficienţa energetică şi a utilizării resurselor, monitorizarea mediului, conservarea şi refacerea biodiversităţii şi ecosistemelor, precum şi atenuarea schimbărilor climatice şi adaptarea la acestea.

(6)Având în vedere impactul major pe care IA îl poate avea asupra societăţii şi necesitatea de a genera încredere, este esenţial ca IA şi cadrul său de reglementare să fie dezvoltate în concordanţă cu valorile Uniunii consacrate la articolul 2 din Tratatul privind Uniunea Europeană (TUE) şi cu drepturile şi libertăţile fundamentale consacrate în tratate şi, potrivit articolului 6 din TUE, în cartă. Ca o condiţie prealabilă, IA ar trebui să fie o tehnologie centrată pe factorul uman. Aceasta ar trebui să le servească oamenilor ca un instrument, cu scopul final de a le spori bunăstarea.

(7)Pentru a asigura un nivel consecvent şi ridicat de protecţie a intereselor publice în ceea ce priveşte sănătatea, siguranţa şi drepturile fundamentale, ar trebui să fie stabilite norme comune pentru sistemele de IA cu grad ridicat de risc. Normele respective ar trebui să fie în concordanţă cu carta şi ar trebui să fie nediscriminatorii şi în conformitate cu angajamentele comerciale internaţionale ale Uniunii. De asemenea, ele ar trebui să ţină seama de Declaraţia europeană privind drepturile şi principiile digitale pentru deceniul digital şi de Orientările în materie de etică pentru o IA fiabilă ale Grupului independent de experţi la nivel înalt privind inteligenţa artificială.

(8)Prin urmare, este necesar un cadru juridic al Uniunii care să stabilească norme armonizate privind IA pentru a încuraja dezvoltarea, utilizarea şi adoptarea pe piaţa internă a IA şi care să asigure, în acelaşi timp, un nivel ridicat de protecţie a intereselor publice, cum ar fi sănătatea şi siguranţa, şi protecţia drepturilor fundamentale, inclusiv a democraţiei, a statului de drept şi a mediului, astfel cum sunt recunoscute şi protejate de dreptul Uniunii. Pentru atingerea acestui obiectiv, ar trebui să fie stabilite norme care să reglementeze introducerea pe piaţă, punerea în funcţiune şi utilizarea anumitor sisteme de IA, asigurând astfel buna funcţionare a pieţei interne şi permiţând sistemelor respective să beneficieze de principiul liberei circulaţii a bunurilor şi a serviciilor. Normele respective ar trebui să fie clare şi solide în ceea ce priveşte protejarea drepturilor fundamentale, sprijinind noile soluţii inovatoare, permiţând unui ecosistem european de actori publici şi privaţi să creeze sisteme de IA în conformitate cu valorile Uniunii şi deblocând potenţialul transformării digitale în toate regiunile Uniunii. Prin stabilirea normelor respective, precum şi a unor măsuri de susţinere a inovării cu un accent special pe întreprinderile mici şi mijlocii (IMM), inclusiv pe întreprinderile nou-înfiinţate, prezentul regulament sprijină obiectivul de promovare a abordării europene centrate pe factorul uman faţă de IA şi de poziţionare ca lider mondial în dezvoltarea unei IA sigure, de încredere şi etice, astfel cum a afirmat Consiliul European (⁵), şi asigură protecţia principiilor etice, astfel cum a solicitat în mod expres Parlamentul European (⁶).

(9)Normele armonizate aplicabile introducerii pe piaţă, punerii în funcţiune şi utilizării sistemelor de IA cu grad ridicat de risc ar trebui să fie stabilite în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului (⁷), cu Decizia nr. 768/2008/CE a Parlamentului European şi a Consiliului (⁸) şi cu Regulamentul (UE) 2019/1020 al Parlamentului European şi al Consiliului (⁹) (denumite în continuare "noul cadru legislativ"). Normele armonizate prevăzute în prezentul regulament ar trebui să se aplice în toate sectoarele şi, în conformitate cu noul cadru legislativ, ar trebui să nu aducă atingere dreptului în vigoare al Uniunii, în special în ceea ce priveşte protecţia datelor, protecţia consumatorilor, drepturile fundamentale, ocuparea forţei de muncă, protecţia lucrătorilor şi siguranţa produselor, cu care prezentul regulament este complementar. În consecinţă, toate drepturile şi căile de atac prevăzute de dreptul Uniunii pentru consumatori şi alte persoane asupra cărora sistemele de IA ar putea avea un impact negativ, inclusiv în ceea ce priveşte despăgubirea pentru eventuale prejudicii prevăzută în Directiva 85/374/CEE a Consiliului (¹⁰), rămân neafectate şi pe deplin aplicabile. În plus, în contextul ocupării forţei de muncă şi al protecţiei lucrătorilor, prezentul regulament ar trebui aşadar să nu aducă atingere dreptului Uniunii privind politica socială şi dreptului naţional al muncii, în conformitate cu dreptul Uniunii, în ceea ce priveşte condiţiile de angajare şi de muncă, inclusiv securitatea şi sănătatea în muncă şi relaţia dintre angajatori şi lucrători. De asemenea, prezentul regulament ar trebui să nu aducă atingere exercitării drepturilor fundamentale, astfel cum sunt recunoscute în statele membre şi la nivelul Uniunii, inclusiv dreptului sau libertăţii de a intra în grevă sau de a întreprinde alte acţiuni care ţin de sistemele specifice de relaţii de muncă din statele membre, precum şi dreptului de a negocia, de a încheia şi de a pune în aplicare contracte colective de muncă sau de a desfăşura acţiuni colective în conformitate cu dreptul intern. Prezentul regulament ar trebui să nu aducă atingere dispoziţiilor care vizează îmbunătăţirea condiţiilor de muncă în ceea ce priveşte munca prin intermediul platformelor, prevăzute într-o Directivă a Parlamentului European şi a Consiliului privind îmbunătăţirea condiţiilor de muncă pentru lucrul prin intermediul platformelor. În plus, prezentul regulament urmăreşte să consolideze eficacitatea acestor drepturi şi căi de atac existente prin stabilirea unor cerinţe şi obligaţii specifice, inclusiv în ceea ce priveşte transparenţa, documentaţia tehnică şi păstrarea evidenţelor sistemelor de IA. De asemenea, obligaţiile impuse diferiţilor operatori implicaţi în lanţul valoric al IA în temeiul prezentului regulament ar trebui să se aplice fără a aduce atingere dreptului intern, în conformitate cu dreptul Uniunii, având ca efect limitarea utilizării anumitor sisteme de IA în cazul în care dreptul respectiv nu intră în domeniul de aplicare al prezentului regulament sau urmăreşte alte obiective legitime de interes public decât cele urmărite de prezentul regulament. De exemplu, dreptul intern al muncii şi dreptul intern privind protecţia minorilor, şi anume a persoanelor cu vârsta sub 18 ani, ţinând seama de Comentariul general nr. 25 (2021) la Convenţia UNCRC cu privire la drepturile copiilor în legătură cu mediul digital, în măsura în care nu sunt specifice sistemelor de IA şi urmăresc alte obiective legitime de interes public, ar trebui să nu fie afectate de prezentul regulament.

(10)Dreptul fundamental la protecţia datelor cu caracter personal este protejat în special de Regulamentele (UE) 2016/679 (¹¹) şi (UE) 2018/1725 (¹²) ale Parlamentului European şi ale Consiliului şi de Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului (¹³). Directiva 2002/58/CE a Parlamentului European şi a Consiliului (¹⁴) protejează, în plus, viaţa privată şi confidenţialitatea comunicaţiilor, inclusiv prin faptul că prevede condiţii pentru stocarea şi accesarea pe echipamente terminale a oricăror date cu şi fără caracter personal. Respectivele acte legislative ale Uniunii asigură temeiul prelucrării durabile şi responsabile a datelor, inclusiv atunci când seturile de date conţin un amestec de date cu caracter personal şi date fără caracter personal. Prezentul regulament nu urmăreşte să aducă atingere aplicării dreptului în vigoare al Uniunii care reglementează prelucrarea datelor cu caracter personal, nici sarcinilor şi competenţelor autorităţilor de supraveghere independente care sunt competente să monitorizeze respectarea instrumentelor respective. Prezentul regulament nu aduce atingere nici obligaţiilor furnizorilor şi implementatorilor de sisteme de IA în rolul lor de operatori de date sau de persoane împuternicite de operatori, care decurg din dreptul Uniunii sau din dreptul naţional privind protecţia datelor cu caracter personal, în măsura în care proiectarea, dezvoltarea sau utilizarea sistemelor de IA implică prelucrarea de date cu caracter personal. De asemenea, este oportun să se clarifice că persoanele vizate continuă să beneficieze de toate drepturile şi garanţiile care le sunt acordate de dreptul Uniunii, printre care se numără drepturile legate de procesul decizional individual complet automatizat, inclusiv crearea de profiluri. Normele armonizate pentru introducerea pe piaţă, punerea în funcţiune şi utilizarea sistemelor de IA instituite în temeiul prezentului regulament ar trebui să faciliteze punerea în aplicare efectivă şi să permită exercitarea drepturilor persoanelor vizate şi a altor căi de atac garantate în temeiul dreptului Uniunii privind protecţia datelor cu caracter personal şi a altor drepturi fundamentale.

(12)Noţiunea de "sistem de IA" din prezentul regulament ar trebui să fie definită în mod clar şi ar trebui să fie aliniată îndeaproape la lucrările organizaţiilor internaţionale care îşi desfăşoară activitatea în domeniul IA, pentru a asigura securitatea juridică şi a facilita convergenţa internaţională şi acceptarea pe scară largă, oferind în acelaşi timp flexibilitatea necesară pentru a ţine seama de evoluţiile tehnologice rapide din acest domeniu. În plus, definiţia ar trebui să se bazeze pe caracteristicile esenţiale ale sistemelor de IA, care le diferenţiază de sistemele software sau abordările de programare tradiţionale mai simple, şi nu ar trebui să acopere sistemele care se bazează pe reguli definite exclusiv de persoane fizice pentru a executa în mod automat anumite operaţiuni. O caracteristică esenţială a sistemelor de IA este capabilitatea lor de a realiza deducţii. Această capabilitate se referă la procesul de obţinere a rezultatelor, cum ar fi previziuni, conţinut, recomandări sau decizii, care pot influenţa mediile fizice şi virtuale, precum şi la capabilitatea sistemelor de IA de a deriva modele sau algoritmi, sau ambele, din date sau din datele de intrare. Printre tehnicile folosite în timpul conceperii unui sistem de IA care fac posibilă realizarea de deducţii se numără abordările bazate pe învăţarea automată, care presupun a învăţa, pe baza datelor, cum pot fi atinse anumite obiective, şi abordările bazate pe logică şi pe cunoaştere, care presupun realizarea de deducţii pornind de la cunoştinţe codificate sau de la reprezentarea simbolică a sarcinii de rezolvat. Capacitatea unui sistem de IA de a realiza deducţii depăşeşte simpla prelucrare de date, făcând posibile învăţarea, raţionamentul sau modelarea. Termenul "bazat pe calculator" se referă la faptul că sistemele de IA rulează pe calculatoare. Trimiterea la obiective explicite sau implicite subliniază faptul că sistemele de IA pot funcţiona în conformitate cu obiective definite explicite sau cu obiective implicite. Obiectivele sistemului de IA pot fi diferite de scopul preconizat al sistemului de IA într-un context specific. În sensul prezentului regulament, mediile ar trebui să fie înţelese ca fiind contextele în care funcţionează sistemele de IA, în timp ce rezultatele generate de sistemele de IA reflectă diferitele funcţii îndeplinite de acestea şi includ previziuni, conţinut, recomandări sau decizii. Sistemele de IA sunt concepute pentru a funcţiona cu diferite niveluri de autonomie, ceea ce înseamnă că au un anumit grad de independenţă a acţiunilor faţă de implicarea umană şi anumite capabilităţi de a funcţiona fără intervenţie umană. Adaptabilitatea de care un sistem de IA ar putea da dovadă după implementare se referă la capabilităţile de autoînvăţare, care permit sistemului să se modifice în timpul utilizării. Sistemele de IA pot fi utilizate în mod independent sau ca o componentă a unui produs, indiferent dacă sistemul este integrat fizic în produs (încorporat) sau dacă serveşte funcţionalităţii produsului fără a fi integrat în acesta (neîncorporat).

(13)Noţiunea de "implementator" menţionată în prezentul regulament ar trebui să fie interpretată ca făcând referire la orice persoană fizică sau juridică, inclusiv la o autoritate publică, o agenţie sau un alt organism, care utilizează un sistem de IA aflat sub autoritatea sa, cu excepţia cazului în care sistemul de IA este utilizat în cursul unei activităţi personale, fără caracter profesional. În funcţie de tipul de sistem de IA, utilizarea sistemului poate afecta alte persoane decât implementatorul.

(14)Noţiunea de "date biometrice" utilizată în prezentul regulament ar trebui să fie interpretată în concordanţă cu noţiunea de "date biometrice", astfel cum este definită la articolul 4 punctul 14 din Regulamentul (UE) 2016/679, la articolul 3 punctul 18 din Regulamentul (UE) 2018/1725 şi la articolul 3 punctul 13 din Directiva (UE) 2016/680. Datele biometrice pot permite autentificarea, identificarea sau clasificarea persoanelor fizice, precum şi recunoaşterea emoţiilor acestora.

(15)Noţiunea de "identificare biometrică" menţionată în prezentul regulament ar trebui să fie definită drept recunoaşterea automată a unor trăsături umane fizice, fiziologice şi comportamentale, precum faţa, mişcările ochilor, forma corpului, vocea, intonaţia, mersul, postura, frecvenţa cardiacă, tensiunea arterială, mirosul, particularităţile de tastare, în scopul de a stabili identitatea unei persoane comparând datele biometrice ale persoanei respective cu date biometrice ale unor persoane stocate într-o bază de date de referinţă, indiferent dacă persoana în cauză şi-a dat sau nu consimţământul. Nu se încadrează aici sistemele de IA destinate a fi utilizate pentru verificarea biometrică, care include autentificarea, al căror unic scop este de a confirma că o anumită persoană fizică este persoana care susţine că este şi de a confirma identitatea unei persoane fizice cu unicul scop de a-i permite accesul la un serviciu, deblocarea unui dispozitiv sau accesul securizat într-o incintă.

(16)Noţiunea de "clasificare biometrică" menţionată în prezentul regulament ar trebui să fie definită drept încadrarea persoanelor fizice în categorii specifice pe baza datelor lor biometrice. Astfel de categorii specifice se pot referi la aspecte precum sexul, vârsta, culoarea părului, culoarea ochilor, tatuajele, trăsăturile comportamentale sau de personalitate, limba, religia, apartenenţa la o minoritate naţională, orientarea sexuală sau politică. Nu se încadrează aici sistemele de clasificare biometrică care constituie un element pur auxiliar legat intrinsec de un alt serviciu comercial, ceea ce înseamnă că, din motive tehnice obiective, elementul respectiv nu poate fi utilizat fără serviciul principal, iar integrarea acelui element sau a acelei funcţionalităţi nu este un mijloc de a eluda aplicabilitatea normelor prezentului regulament. De exemplu, filtrele care clasifică caracteristicile faciale sau corporale utilizate pe pieţele online ar putea constitui un astfel de element auxiliar, deoarece pot fi utilizate numai în legătură cu serviciul principal care constă în vânzarea unui produs, permiţând consumatorului să vizualizeze cum ar arăta produsul pe el însuşi şi ajutându-l să ia o decizie de cumpărare. Filtrele utilizate în cadrul serviciilor de reţele de socializare care clasifică caracteristicile faciale sau corporale pentru a permite utilizatorilor să adauge sau să modifice fotografii sau materiale video ar putea, de asemenea, să fie considerate elemente auxiliare, deoarece un astfel de filtru nu poate fi utilizat fără serviciul principal de reţea de socializare care constă în partajarea de conţinut online.

(17)Noţiunea de "sistem de identificare biometrică la distanţă" menţionată în prezentul regulament ar trebui să fie definită din punct de vedere funcţional ca fiind un sistem de IA destinat identificării persoanelor fizice fără implicarea activă a acestora, de regulă de la distanţă, prin compararea datelor biometrice ale unei persoane cu datele biometrice conţinute într-o bază de date de referinţă, indiferent de tehnologia specifică, procesele specifice sau tipurile specifice de date biometrice utilizate. Astfel de sisteme de identificare biometrică la distanţă sunt utilizate, de regulă, pentru a percepe mai multe persoane sau comportamentul acestora simultan, cu scopul de a facilita în mod semnificativ identificarea persoanelor fizice fără implicarea lor activă. Nu se încadrează aici sistemele de IA destinate a fi utilizate pentru verificarea biometrică, care include autentificarea, al căror unic scop este de a confirma că o anumită persoană fizică este persoana care susţine că este şi de a confirma identitatea unei persoane fizice cu unicul scop de a-i permite accesul la un serviciu, deblocarea unui dispozitiv sau accesul securizat într-o incintă. Această excludere este justificată de faptul că, cel mai probabil, astfel de sisteme au un impact minor asupra drepturilor fundamentale ale persoanelor fizice în comparaţie cu sistemele de identificare biometrică la distanţă care pot fi utilizate pentru prelucrarea datelor biometrice ale unui număr mare de persoane fără implicarea lor activă. În cazul sistemelor "în timp real", captarea datelor biometrice, compararea şi identificarea se efectuează instantaneu, aproape instantaneu sau, în orice caz, fără întârzieri semnificative. În acest sens, nu ar trebui să existe posibilităţi de eludare a normelor prezentului regulament privind utilizarea "în timp real" a sistemelor de IA în cauză prin prevederea unor întârzieri minore. Sistemele "în timp real" implică utilizarea de materiale "în direct" sau "aproape în direct", cum ar fi înregistrări video generate de o cameră video sau de un alt dispozitiv cu funcţionalitate similară. În schimb, în cazul sistemelor de identificare "ulterioară", datele biometrice au fost deja captate, iar compararea şi identificarea au loc numai după o întârziere semnificativă. În acest caz sunt utilizate materiale, cum ar fi imagini sau înregistrări video generate de camere de televiziune cu circuit închis sau de dispozitive private, care au fost generate înainte de utilizarea sistemului în legătură cu persoanele fizice în cauză.

(18)Noţiunea de "sistem de recunoaştere a emoţiilor" menţionată în prezentul regulament ar trebui să fie definită ca un sistem de IA destinat identificării sau deducerii emoţiilor sau intenţiilor persoanelor fizice pe baza datelor lor biometrice. Noţiunea se referă la emoţii sau intenţii precum fericirea, tristeţea, furia, surpriza, dezgustul, stânjeneala, entuziasmul, ruşinea, dispreţul, satisfacţia şi amuzamentul. Nu sunt incluse stări fizice, cum ar fi durerea sau oboseala, inclusiv, de exemplu, sistemele utilizate pentru detectarea stării de oboseală a piloţilor sau conducătorilor auto profesionişti în scopul prevenirii accidentelor. De asemenea, nu este inclusă simpla detectare a expresiilor, gesturilor sau mişcărilor evidente, decât dacă sunt utilizate pentru identificarea sau deducerea emoţiilor. Expresiile respective pot fi expresii faciale de bază, cum ar fi o încruntătură sau un zâmbet, ori gesturi, cum ar fi mişcarea mâinilor, a braţelor sau a capului, ori caracteristici ale vocii unei persoane, cum ar fi o voce ridicată sau vorbitul în şoaptă.

(19)În sensul prezentului regulament, noţiunea de "spaţiu accesibil publicului" ar trebui să fie înţeleasă ca referindu-se la orice spaţiu fizic accesibil unui număr nedeterminat de persoane fizice, indiferent dacă spaţiul în cauză este proprietate privată sau publică şi indiferent de activitatea pentru care poate fi utilizat spaţiul, cum ar fi comerţ, de exemplu, magazine, restaurante, cafenele; servicii, de exemplu, bănci, activităţi profesionale, structuri de primire turistică; sport, de exemplu, piscine, săli de sport, stadioane; transporturi, de exemplu, staţii de autobuz şi de metrou, gări, aeroporturi, mijloace de transport; divertisment, de exemplu, cinematografe, teatre, muzee, săli de concerte şi de conferinţe, agrement sau altele, de exemplu, drumuri şi pieţe publice, parcuri, păduri, terenuri de joacă. Totodată, un spaţiu ar trebui să fie clasificat ca fiind accesibil publicului şi în cazul în care, indiferent de capacitatea potenţială sau de restricţiile de securitate, accesul este supus anumitor condiţii prestabilite, care pot fi îndeplinite de un număr nedeterminat de persoane, cum ar fi achiziţionarea unui bilet sau a unui titlu de transport, înregistrarea prealabilă sau condiţia de a avea o anumită vârstă. În schimb, un spaţiu nu ar trebui să fie considerat accesibil publicului dacă accesul este limitat la anumite persoane fizice definite ca atare fie prin dreptul Uniunii, fie prin cel intern, în legătură directă cu siguranţa sau securitatea publică sau prin manifestarea clară de voinţă a persoanei care deţine autoritatea necesară asupra spaţiului. Simpla posibilitate de acces (cum ar fi o uşă descuiată sau o poartă deschisă într-un gard) nu implică faptul că spaţiul este accesibil publicului în prezenţa unor indicaţii sau circumstanţe care sugerează contrariul (de exemplu, semne care interzic sau restricţionează accesul). Sediile întreprinderilor şi ale fabricilor, precum şi birourile şi locurile de muncă care sunt destinate a fi accesate numai de către angajaţii şi prestatorii de servicii competenţi sunt spaţii care nu sunt accesibile publicului. Spaţiile accesibile publicului nu ar trebui să includă închisorile sau punctele de control la frontieră. Alte spaţii pot cuprinde atât spaţii accesibile publicului, cât şi spaţii care nu sunt accesibile publicului, cum ar fi holul unei clădiri rezidenţiale private, care trebuie parcurs pentru a avea acces la un cabinet medical, sau un aeroport. Spaţiile online nu sunt nici ele vizate, deoarece nu sunt spaţii fizice. Cu toate acestea, ar trebui să se stabilească de la caz la caz dacă un anumit spaţiu este accesibil publicului, având în vedere particularităţile situaţiei individuale în cauză.

(20)Pentru a obţine beneficii cât mai mari de pe urma sistemelor de IA, protejând în acelaşi timp drepturile fundamentale, sănătatea şi siguranţa, şi pentru a permite controlul democratic, alfabetizarea în domeniul IA ar trebui să le ofere furnizorilor, implementatorilor şi persoanelor afectate noţiunile necesare pentru a lua decizii în cunoştinţă de cauză cu privire la sistemele de IA. Aceste noţiuni pot varia în funcţie de contextul relevant şi pot include înţelegerea aplicării corecte a elementelor tehnice în faza de dezvoltare a sistemului de IA, măsurile care trebuie aplicate în timpul utilizării sale, modalităţile adecvate de interpretare a rezultatelor sistemului de IA şi, în cazul persoanelor afectate, cunoştinţele necesare pentru a înţelege impactul pe care îl vor avea asupra lor deciziile luate cu ajutorul IA. În contextul aplicării prezentului regulament, alfabetizarea în domeniul IA ar trebui să ofere tuturor actorilor relevanţi din lanţul valoric al IA informaţiile necesare pentru a asigura conformitatea adecvată şi aplicarea corectă a regulamentului. În plus, punerea în aplicare pe scară largă a măsurilor de alfabetizare în domeniul IA şi introducerea unor acţiuni subsecvente adecvate ar putea contribui la îmbunătăţirea condiţiilor de muncă şi, în cele din urmă, ar putea susţine consolidarea unei IA de încredere şi inovarea în acest domeniu în Uniune. Consiliul european pentru inteligenţa artificială (denumit în continuare "Consiliul IA") ar trebui să sprijine Comisia pentru a promova instrumente de alfabetizare în domeniul IA, sensibilizarea publicului şi înţelegerea beneficiilor, a riscurilor, a garanţiilor, a drepturilor şi a obligaţiilor care decurg din utilizarea sistemelor de IA. În cooperare cu părţile interesate relevante, Comisia şi statele membre ar trebui să faciliteze elaborarea unor coduri de conduită voluntare pentru a promova alfabetizarea în domeniul IA în rândul persoanelor care se ocupă de dezvoltarea, exploatarea şi utilizarea IA.

(22)Având în vedere natura lor digitală, anumite sisteme de IA ar trebui să intre în domeniul de aplicare al prezentului regulament chiar şi atunci când nu sunt introduse pe piaţă, nu sunt puse în funcţiune şi nu sunt utilizate în Uniune. Acesta este cazul, de exemplu, al unui operator stabilit în Uniune care contractează anumite servicii unui operator stabilit într-o ţară terţă în legătură cu o activitate care urmează să fie desfăşurată de un sistem de IA care s-ar califica drept prezentând un grad ridicat de risc. În aceste circumstanţe, sistemul de IA utilizat de operator într-o ţară terţă ar putea prelucra date colectate în Uniune şi transferate din Uniune în mod legal şi ar putea furniza operatorului contractant din Uniune rezultatele produse de sistemul de IA respectiv ca urmare a prelucrării respective, fără ca sistemul de IA să fie introdus pe piaţă, pus în funcţiune sau utilizat în Uniune. Pentru a preveni eludarea prezentului regulament şi pentru a asigura o protecţie eficace a persoanelor fizice situate în Uniune, prezentul regulament ar trebui să se aplice, de asemenea, furnizorilor şi implementatorilor de sisteme de IA care sunt stabiliţi într-o ţară terţă, în măsura în care rezultatele produse de sistemele respective sunt destinate a fi utilizate în Uniune. Cu toate acestea, pentru a ţine seama de acordurile existente şi de nevoile speciale de cooperare viitoare cu partenerii străini cu care se fac schimburi de informaţii şi probe, prezentul regulament nu ar trebui să se aplice autorităţilor publice ale unei ţări terţe şi organizaţiilor internaţionale atunci când acestea acţionează în cadrul acordurilor internaţionale sau de cooperare încheiate la nivelul Uniunii sau la nivel naţional pentru cooperarea în materie de aplicare a legii şi cooperarea judiciară cu Uniunea sau cu statele membre, cu condiţia ca ţara terţă sau organizaţia internaţională relevantă să ofere garanţii adecvate în ceea ce priveşte protecţia drepturilor şi libertăţilor fundamentale ale persoanelor. După caz, acest lucru s-ar putea aplica activităţilor desfăşurate de entităţile cărora ţările terţe le-au încredinţat îndeplinirea unor sarcini specifice în sprijinul unei astfel de cooperări judiciare şi în materie de aplicare a legii. Cadrele de cooperare sau acordurile sus-menţionate au fost încheiate bilateral între statele membre şi ţări terţe sau între Uniunea Europeană, Europol sau alte agenţii ale Uniunii, pe de o parte, şi ţări terţe sau organizaţii internaţionale, pe de altă parte. Autorităţile competente cu supravegherea autorităţilor de aplicare a legii şi a autorităţilor judiciare în temeiul prezentului regulament ar trebui să evalueze dacă respectivele cadre de cooperare sau acorduri internaţionale includ garanţii adecvate în ceea ce priveşte protecţia drepturilor şi libertăţilor fundamentale ale persoanelor. Autorităţile naţionale destinatare şi instituţiile, organele, oficiile şi agenţiile Uniunii care utilizează astfel de rezultate în Uniune rămân responsabile pentru asigurarea faptului că utilizarea lor respectă dreptul Uniunii. La revizuirea acordurilor internaţionale respective sau la încheierea unor acorduri noi în viitor, părţile contractante ar trebui să depună toate eforturile pentru a alinia acordurile respective la cerinţele prezentului regulament.

(24)În cazul şi în măsura în care sistemele de IA sunt introduse pe piaţă, puse în funcţiune sau utilizate cu sau fără modificarea lor în scopuri militare, de apărare sau de securitate naţională, sistemele respective ar trebui să fie excluse din domeniul de aplicare al prezentului regulament, indiferent de tipul de entitate care desfăşoară activităţile respective, de exemplu dacă este o entitate publică sau privată. În ceea ce priveşte scopurile militare şi de apărare, o astfel de excludere este justificată atât de articolul 4 alineatul (2) din TUE, cât şi de particularităţile politicii de apărare a statelor membre şi ale politicii de apărare comune a Uniunii, care intră sub incidenţa titlului V capitolul 2 din TUE; acestea fac obiectul dreptului internaţional public, care este, prin urmare, cadrul juridic mai adecvat pentru reglementarea sistemelor de IA în contextul utilizării forţei letale şi a altor sisteme de IA în contextul activităţilor militare şi de apărare. În ceea ce priveşte obiectivele de securitate naţională, excluderea este justificată atât de faptul că securitatea naţională rămâne responsabilitatea exclusivă a statelor membre în conformitate cu articolul 4 alineatul (2) din TUE, cât şi de natura specifică şi de nevoile operaţionale ale activităţilor de securitate naţională şi de normele naţionale specifice aplicabile activităţilor respective. Însă, în cazul în care un sistem de IA dezvoltat, introdus pe piaţă, pus în funcţiune sau utilizat în scopuri militare, de apărare sau de securitate naţională este utilizat, temporar sau permanent, în afara acestui cadru în alte scopuri, de exemplu în scopuri civile sau umanitare, de aplicare a legii sau de securitate publică, un astfel de sistem ar intra în domeniul de aplicare al prezentului regulament. În acest caz, entitatea care utilizează sistemul de IA în alte scopuri decât cele militare, de apărare sau de securitate naţională ar trebui să asigure conformitatea sistemului de IA cu prezentul regulament, cu excepţia cazului în care sistemul respectă deja prezentul regulament. Sistemele de IA introduse pe piaţă sau puse în funcţiune pentru un scop care face obiectul excluderii, şi anume în scop militar, de apărare sau de securitate naţională, şi pentru unul sau mai multe scopuri care nu fac obiectul excluderii, de exemplu în scopuri civile sau de aplicare a legii, intră în domeniul de aplicare al prezentului regulament, iar furnizorii sistemelor respective ar trebui să asigure conformitatea cu prezentul regulament. În aceste cazuri, faptul că un sistem de IA poate intra în domeniul de aplicare al prezentului regulament nu ar trebui să afecteze posibilitatea ca entităţile care desfăşoară activităţi de securitate naţională, de apărare şi militare, indiferent de tipul de entitate care desfăşoară activităţile respective, să utilizeze sisteme de IA în scopuri de securitate naţională, militare şi de apărare, utilizare care este exclusă din domeniul de aplicare al prezentului regulament. Un sistem de IA introdus pe piaţă în scopuri civile sau de aplicare a legii şi care este utilizat cu sau fără modificări în scopuri militare, de apărare sau de securitate naţională nu ar trebui să intre în domeniul de aplicare al prezentului regulament, indiferent de tipul de entitate care desfăşoară activităţile respective.

(25)Prezentul regulament ar trebui să sprijine inovarea, ar trebui să respecte libertatea ştiinţei şi nu ar trebui să submineze activitatea de cercetare şi dezvoltare. Prin urmare, este necesar să se excludă din domeniul său de aplicare sistemele şi modelele de IA dezvoltate şi puse în funcţiune în mod specific în scopul unic al cercetării şi dezvoltării ştiinţifice. În plus, este necesar să se asigure că prezentul regulament nu afectează într-un alt mod activitatea de cercetare şi dezvoltare ştiinţifică privind sistemele sau modelele de IA înainte de a fi introduse pe piaţă sau puse în funcţiune. În ceea ce priveşte activitatea de cercetare, testare şi dezvoltare orientată spre produse aferentă sistemelor sau modelelor de IA, dispoziţiile prezentului regulament nu ar trebui, de asemenea, să se aplice înainte ca aceste sisteme şi modele să fie puse în funcţiune sau introduse pe piaţă. Această excludere nu aduce atingere obligaţiei de a respecta prezentul regulament în cazul în care un sistem de IA aflat sub incidenţa prezentului regulament este introdus pe piaţă sau pus în funcţiune ca urmare a unei astfel de activităţi de cercetare şi dezvoltare, şi nici aplicării dispoziţiilor privind spaţiile de testare în materie de reglementare în domeniul IA şi testarea în condiţii reale. În plus, fără a aduce atingere excluderii sistemelor de IA dezvoltate şi puse în funcţiune în mod specific în scopul unic al cercetării şi dezvoltării ştiinţifice, orice alt sistem de IA care poate fi utilizat pentru desfăşurarea oricărei activităţi de cercetare şi dezvoltare ar trebui să facă în continuare obiectul dispoziţiilor prezentului regulament. În orice caz, toate activităţile de cercetare şi dezvoltare ar trebui să se desfăşoare în conformitate cu standardele etice şi profesionale recunoscute pentru cercetarea ştiinţifică, precum şi în conformitate cu dreptul aplicabil al Uniunii.

(26)Pentru a introduce un set proporţional şi eficace de norme obligatorii pentru sistemele de IA, ar trebui să fie urmată o abordare bazată pe riscuri clar definită. Această abordare ar trebui să adapteze tipul şi conţinutul unor astfel de norme la intensitatea şi amploarea riscurilor pe care le pot genera sistemele de IA. Prin urmare, este necesar să se interzică anumite practici în domeniul IA care sunt inacceptabile, să se stabilească cerinţe pentru sistemele de IA cu grad ridicat de risc şi obligaţii pentru operatorii relevanţi şi să se stabilească obligaţii în materie de transparenţă pentru anumite sisteme de IA.

(27)Deşi abordarea bazată pe riscuri reprezintă temelia pentru un set proporţional şi eficace de norme obligatorii, este important să se reamintească Orientările în materie de etică pentru o IA fiabilă din 2019, elaborate de Grupul independent de experţi la nivel înalt privind IA numit de Comisie. În orientările respective, grupul de experţi a elaborat şapte principii etice fără caracter obligatoriu pentru IA, care sunt menite să contribuie la asigurarea faptului că IA este de încredere şi că este solidă din punct de vedere etic. Cele şapte principii sunt: implicarea şi supravegherea umană; robusteţea tehnică şi siguranţa; respectarea vieţii private şi guvernanţa datelor; transparenţa; diversitatea, nediscriminarea şi echitatea; bunăstarea socială şi de mediu şi asumarea răspunderii. Fără a aduce atingere cerinţelor obligatorii din punct de vedere juridic prevăzute în prezentul regulament şi în orice alt act legislativ aplicabil al Uniunii, aceste orientări contribuie la conceperea unei IA coerente, de încredere şi centrate pe factorul uman, în conformitate cu carta şi cu valorile pe care se întemeiază Uniunea. Potrivit orientărilor Grupului de experţi la nivel înalt privind IA, implicarea şi supravegherea umană înseamnă că sistemele de IA sunt dezvoltate şi utilizate ca un instrument ce serveşte oamenilor, respectă demnitatea umană şi autonomia personală şi funcţionează într-un mod care poate fi controlat şi supravegheat în mod corespunzător de către oameni. Robusteţea tehnică şi siguranţa înseamnă că sistemele de IA sunt dezvoltate şi utilizate într-un mod care asigură robusteţea în caz de probleme şi rezilienţa la încercările de a modifica utilizarea sau performanţa sistemului de IA în vederea permiterii utilizării ilegale de către terţi şi care reduce la minimum prejudiciile neintenţionate. Respectarea vieţii private şi guvernanţa datelor înseamnă că sistemele de IA sunt dezvoltate şi utilizate în conformitate cu normele privind protecţia vieţii private şi a datelor şi că, în acelaşi timp, se prelucrează date care respectă standarde ridicate de calitate şi de integritate. Transparenţa înseamnă că sistemele de IA sunt dezvoltate şi utilizate într-un mod care permite trasabilitatea şi explicabilitatea adecvate, aducând totodată la cunoştinţa oamenilor faptul că interacţionează sau comunică cu un sistem de IA şi informând în mod corespunzător implementatorii cu privire la capabilităţile şi limitele respectivului sistem de IA şi persoanele afectate cu privire la drepturile lor. Diversitatea, nediscriminarea şi echitatea înseamnă că sistemele de IA sunt dezvoltate şi utilizate într-un mod care presupune implicarea a diverşi actori şi promovează accesul egal, egalitatea de gen şi diversitatea culturală, evitând totodată efectele discriminatorii şi prejudecăţile inechitabile interzise prin dreptul Uniunii sau dreptul intern. Bunăstarea socială şi de mediu înseamnă că sistemele de IA sunt dezvoltate şi utilizate într-un mod durabil, care respectă mediul şi care aduce beneficii tuturor fiinţelor umane, monitorizându-se şi evaluându-se totodată efectele pe termen lung asupra persoanelor, a societăţii şi a democraţiei. Aplicarea acestor principii ar trebui să fie transpusă, atunci când este posibil, în conceperea şi utilizarea modelelor de IA. În orice caz, aceste principii ar trebui să servească drept bază pentru elaborarea codurilor de conduită în temeiul prezentului regulament. Toate părţile interesate, inclusiv industria, mediul academic, societatea civilă şi organizaţiile de standardizare, sunt încurajate să ia în considerare, după caz, principiile etice pentru dezvoltarea de bune practici şi standarde voluntare.

(28)Pe lângă numeroasele utilizări benefice ale IA, aceasta poate fi utilizată şi în mod abuziv şi poate oferi instrumente noi şi puternice pentru practici de manipulare, exploatare şi control social. Astfel de practici sunt deosebit de nocive şi abuzive şi ar trebui să fie interzise deoarece contravin valorilor Uniunii privind respectarea demnităţii umane, a libertăţii, a egalităţii, a democraţiei şi a statului de drept, precum şi a drepturilor fundamentale consacrate în cartă, inclusiv dreptul la nediscriminare, la protecţia datelor şi la viaţa privată şi drepturile copilului.

(29)Tehnicile de manipulare bazate pe IA pot fi utilizate pentru a convinge anumite persoane să manifeste comportamente nedorite sau pentru a le înşela, împingându-le să ia decizii într-un mod care le subminează şi le afectează autonomia, capacitatea decizională şi libera alegere. Introducerea pe piaţă, punerea în funcţiune sau utilizarea anumitor sisteme de IA având drept obiectiv sau drept efect denaturarea semnificativă a comportamentului uman, caz în care este probabil să se producă prejudicii semnificative, mai ales cu efecte negative suficient de importante asupra sănătăţii fizice sau psihologice ori a intereselor financiare, sunt deosebit de periculoase şi, prin urmare, ar trebui să fie interzise. Astfel de sisteme de IA implementează componente subliminale, cum ar fi stimuli audio, sub formă de imagini sau video, pe care persoanele nu le pot percepe întrucât stimulii respectivi depăşesc percepţia umană, sau alte tehnici manipulatoare sau înşelătoare care subminează sau afectează autonomia, capacitatea decizională sau libera alegere ale unei persoane în astfel de moduri încât oamenii nu sunt conştienţi de astfel de tehnici sau, chiar dacă sunt conştienţi de acestea, tot pot fi înşelaţi sau sunt incapabili să le controleze sau să li se opună. Acest lucru ar putea fi facilitat, de exemplu, de interfeţele maşină-creier sau de realitatea virtuală, deoarece acestea permit un nivel mai ridicat de control asupra stimulilor prezentaţi persoanelor, în măsura în care aceşti stimuli pot denatura semnificativ comportamentul persoanelor într-un mod deosebit de dăunător. În plus, sistemele de IA pot exploata şi în alte moduri vulnerabilităţile unei persoane sau ale unui anumit grup de persoane din cauza vârstei sau a dizabilităţii acestora în sensul Directivei (UE) 2019/882 a Parlamentului European şi a Consiliului (¹⁶) sau din cauza unei situaţii sociale sau economice specifice care este susceptibilă să sporească vulnerabilitatea la exploatare a persoanelor respective, cum ar fi persoanele care trăiesc în sărăcie extremă sau care aparţin minorităţilor etnice sau religioase. Astfel de sisteme de IA pot fi introduse pe piaţă, puse în funcţiune sau utilizate având drept obiectiv sau drept efect denaturarea semnificativă a comportamentului unei persoane, într-un mod care cauzează sau este susceptibil în mod rezonabil să cauzeze prejudicii semnificative persoanei respective sau grupului respectiv ori unei alte persoane sau altor grupuri de persoane, inclusiv prejudicii care se pot acumula în timp, şi, prin urmare, ar trebui să fie interzise. Este posibil să nu se poată presupune că există intenţia de a denatura comportamentul în cazul în care denaturarea rezultă din factori externi sistemului de IA asupra cărora furnizorul sau implementatorul nu deţine controlul, şi anume factori care ar putea să nu fie prevăzuţi în mod rezonabil şi, prin urmare, să nu poată fi atenuaţi de către furnizorul sau implementatorul sistemului de IA. În orice caz, nu este necesar ca furnizorul sau implementatorul să aibă intenţia de a cauza un prejudiciu semnificativ, cu condiţia ca un astfel de prejudiciu să rezulte din practicile de manipulare sau de exploatare bazate pe IA. Interdicţiile privind astfel de practici în domeniul IA sunt complementare dispoziţiilor cuprinse în Directiva 2005/29/CE a Parlamentului European şi a Consiliului (¹⁷), în special faptul că practicile comerciale neloiale care conduc la prejudicii economice sau financiare pentru consumatori sunt interzise în toate circumstanţele, indiferent dacă sunt puse în aplicare prin intermediul sistemelor de IA sau în alt mod. Interdicţiile privind practicile de manipulare şi exploatare prevăzute în prezentul regulament nu ar trebui să afecteze practicile legale în contextul tratamentului medical, cum ar fi tratamentul psihologic al unei boli mintale sau reabilitarea fizică, atunci când practicile respective se desfăşoară în conformitate cu dreptul şi cu standardele medicale aplicabile, de exemplu în ceea ce priveşte consimţământul explicit al persoanelor în cauză sau al reprezentanţilor lor legali. În plus, practicile comerciale comune şi legitime, de exemplu în domeniul publicităţii, care respectă dreptul aplicabil nu ar trebui să fie considerate, în sine, ca reprezentând practici dăunătoare de manipulare bazate pe IA.

(¹⁷)Directiva 2005/29/CE a Parlamentului European şi a Consiliului din 11 mai 2005 privind practicile comerciale neloiale ale întreprinderilor de pe piaţa internă faţă de consumatori şi de modificare a Directivei 84/450/CEE a Consiliului, a Directivelor 97/7/CE, 98/27/CE şi 2002/65/CE ale Parlamentului European şi ale Consiliului şi a Regulamentului (CE) nr. 2006/2004 al Parlamentului European şi al Consiliului ("Directiva privind practicile comerciale neloiale") (JO L 149, 11.6.2005, p. 22).

(30)Sistemele de clasificare biometrică care se bazează pe datele biometrice ale persoanelor fizice, cum ar fi faţa sau amprentele digitale ale unei persoane, pentru a face presupuneri sau deducţii cu privire la opiniile politice, apartenenţa la un sindicat, convingerile religioase sau filozofice, rasa, viaţa sexuală sau orientarea sexuală ale unei persoane ar trebui să fie interzise. Această interdicţie nu ar trebui să se refere la etichetarea, filtrarea sau clasificarea legală, în funcţie de datele biometrice, a seturilor de date biometrice obţinute în conformitate cu dreptul Uniunii sau cu dreptul intern, cum ar fi sortarea imaginilor în funcţie de culoarea părului sau de culoarea ochilor, care poate fi utilizată, de exemplu, în domeniul aplicării legii.

(31)Sistemele de IA care permit atribuirea unui punctaj social persoanelor fizice de către actori privaţi sau publici pot genera rezultate discriminatorii şi excluderea anumitor grupuri. Acestea pot încălca dreptul la demnitate şi nediscriminare, precum şi valorile egalităţii şi justiţiei. Astfel de sisteme de IA evaluează sau clasifică persoanele fizice sau grupurile de persoane pe baza mai multor puncte de date legate de comportamentul lor social în contexte multiple sau de caracteristici personale sau de personalitate cunoscute, deduse sau preconizate de-a lungul anumitor perioade de timp. Punctajul social obţinut din astfel de sisteme de IA poate duce la un tratament prejudiciabil sau nefavorabil al persoanelor fizice sau al unor grupuri întregi de astfel de persoane în contexte sociale care nu au legătură cu contextul în care datele au fost iniţial generate sau colectate sau la un tratament prejudiciabil care este disproporţionat sau nejustificat în raport cu gravitatea comportamentului lor social. Sistemele de IA care implică astfel de practici inacceptabile de atribuire a unui punctaj şi care conduc la astfel de rezultate prejudiciabile sau nefavorabile ar trebui, prin urmare, să fie interzise. Această interdicţie nu ar trebui să afecteze practicile legale de evaluare a persoanelor fizice care sunt realizate într-un scop specific în conformitate cu dreptul Uniunii şi cu dreptul naţional.

(32)Utilizarea sistemelor de IA pentru identificarea biometrică la distanţă "în timp real" a persoanelor fizice în spaţiile accesibile publicului în scopul aplicării legii este deosebit de intruzivă pentru drepturile şi libertăţile persoanelor în cauză, în măsura în care poate afecta viaţa privată a unei părţi mari a populaţiei, poate inspira un sentiment de supraveghere constantă şi poate descuraja indirect exercitarea libertăţii de întrunire şi a altor drepturi fundamentale. Inexactităţile tehnice ale sistemelor de IA destinate identificării biometrice la distanţă a persoanelor fizice pot conduce la rezultate distorsionate de prejudecăţi şi pot avea efecte discriminatorii. Astfel de rezultate distorsionate şi efecte discriminatorii posibile sunt deosebit de relevante în ceea ce priveşte vârsta, etnia, rasa, sexul sau dizabilitatea. În plus, caracterul imediat al impactului şi posibilităţile limitate de a efectua verificări sau corecţii suplimentare în ceea ce priveşte utilizarea unor astfel de sisteme care funcţionează în timp real implică riscuri sporite pentru drepturile şi libertăţile persoanelor vizate în contextul activităţilor de aplicare a legii sau impactate de acestea.

(33)Prin urmare, utilizarea sistemelor respective în scopul aplicării legii ar trebui să fie interzisă, cu excepţia situaţiilor enumerate în mod exhaustiv şi definite în mod precis în care utilizarea este strict necesară pentru un interes public substanţial, a cărui importanţă este superioară riscurilor. Situaţiile respective implică căutarea anumitor victime ale unor infracţiuni, inclusiv persoane dispărute, anumite ameninţări la adresa vieţii sau a siguranţei fizice a persoanelor fizice sau privind un atac terorist şi localizarea sau identificarea autorilor infracţiunilor enumerate într-o anexă la prezentul regulament sau a persoanelor suspectate de acestea, în cazul în care infracţiunile respective se pedepsesc în statul membru în cauză cu o pedeapsă sau o măsură de siguranţă privativă de libertate pentru o perioadă maximă de cel puţin patru ani şi astfel cum sunt definite în dreptul intern al statului membru respectiv. Un astfel de prag pentru pedeapsa sau măsura de siguranţă privativă de libertate în conformitate cu dreptul intern contribuie la asigurarea faptului că infracţiunea ar trebui să fie suficient de gravă pentru a justifica eventual utilizarea sistemelor de identificare biometrică la distanţă "în timp real". În plus, lista infracţiunilor prevăzută în anexa la prezentul regulament se bazează pe cele 32 de infracţiuni enumerate în Decizia-cadru 2002/584/JAI a Consiliului (¹⁸), ţinând seama de faptul că unele infracţiuni sunt, în practică, susceptibile să fie mai relevante decât altele, în sensul că recurgerea la identificarea biometrică la distanţă "în timp real" ar putea, în mod previzibil, fi necesară şi proporţională în grade foarte diferite pentru urmărirea practică a localizării sau a identificării unui autor al diferitelor infracţiuni enumerate sau a unei persoane suspectate de acestea, şi având în vedere diferenţele probabile în ceea ce priveşte gravitatea, probabilitatea şi amploarea prejudiciului sau posibilele consecinţe negative. O ameninţare iminentă la adresa vieţii sau a siguranţei fizice a unor persoane fizice ar putea rezulta şi dintr-o perturbare gravă a infrastructurii critice, astfel cum este definită la articolul 2 punctul 4 din Directiva (UE) 2022/2557 a Parlamentului European şi a Consiliului (¹⁹), în cazul în care perturbarea sau distrugerea unei astfel de infrastructuri critice ar genera o ameninţare iminentă la adresa vieţii sau a siguranţei fizice a unei persoane, inclusiv prin afectarea gravă a aprovizionării cu produse de bază a populaţiei sau a exercitării funcţiilor de bază ale statului. În plus, prezentul regulament ar trebui să menţină capacitatea autorităţilor de aplicare a legii, de control la frontiere, de imigraţie sau de azil de a efectua controale de identitate în prezenţa persoanei vizate, în conformitate cu condiţiile prevăzute în dreptul Uniunii şi în cel intern pentru astfel de controale. În special, autorităţile de aplicare a legii, de control la frontiere, de imigraţie sau de azil ar trebui să poată utiliza sistemele de informaţii, în conformitate cu dreptul Uniunii sau cu cel intern, pentru a identifica persoane care, în cursul unui control de identitate, fie refuză să fie identificate, fie sunt incapabile să îşi declare sau să îşi dovedească identitatea, fără ca autorităţile în cauză să fie obligate prin prezentul regulament să obţină o autorizaţie prealabilă. Ar putea fi vorba, de exemplu, de o persoană implicată într-o infracţiune care fie nu doreşte, fie, din cauza unui accident sau a unei afecţiuni medicale, nu poate să îşi divulge identitatea autorităţilor de aplicare a legii.

(34)Pentru a se asigura că sistemele respective sunt utilizate în mod responsabil şi proporţional, este de asemenea important să se stabilească faptul că, în fiecare dintre aceste situaţii enumerate în mod exhaustiv şi precis definite, ar trebui să fie luate în considerare anumite elemente, în special în ceea ce priveşte natura situaţiei care a stat la baza cererii şi consecinţele utilizării asupra drepturilor şi libertăţilor tuturor persoanelor vizate, precum şi garanţiile şi condiţiile prevăzute pentru utilizare. În plus, ar trebui să se recurgă la utilizarea sistemelor de identificare biometrică la distanţă "în timp real" în spaţiile accesibile publicului în scopul aplicării legii numai pentru a confirma identitatea persoanei vizate în mod specific şi această utilizare ar trebui să se limiteze la ceea ce este strict necesar din punct de vedere al perioadei de timp, precum şi al sferei de aplicare geografică şi personală, având în vedere în special dovezile sau indicaţiile privind ameninţările, victimele sau autorul infracţiunii. Utilizarea sistemului de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului ar trebui să fie autorizată numai dacă autoritatea relevantă de aplicare a legii a finalizat o evaluare a impactului asupra drepturilor fundamentale şi, cu excepţia cazului în care se prevede altfel în prezentul regulament, a înregistrat sistemul în baza de date prevăzută în prezentul regulament. Baza de date de referinţă a persoanelor ar trebui să fie adecvată pentru fiecare caz de utilizare în fiecare dintre situaţiile menţionate mai sus.

(35)Fiecare utilizare a unui sistem de identificare biometrică la distanţă "în timp real" în spaţiile accesibile publicului în scopul aplicării legii ar trebui să facă obiectul unei autorizări exprese şi specifice de către o autoritate judiciară sau o autoritate administrativă independentă a unui stat membru a cărei decizie este obligatorie. O astfel de autorizaţie ar trebui, în principiu, să fie obţinută înainte de utilizarea sistemului de IA în vederea identificării uneia sau mai multor persoane. Ar trebui să fie permise excepţii de la această regulă în situaţii justificate în mod corespunzător din motive de urgenţă, şi anume în situaţiile în care necesitatea de a utiliza sistemele în cauză este de natură să facă imposibilă în mod efectiv şi obiectiv obţinerea unei autorizaţii înainte de începerea utilizării sistemului de IA. În astfel de situaţii de urgenţă, utilizarea sistemului de IA ar trebui să fie limitată la ceea ce este minim şi absolut necesar şi ar trebui să facă obiectul unor garanţii şi condiţii adecvate, astfel cum sunt stabilite în dreptul intern şi specificate de către însăşi autoritatea de aplicare a legii în contextul fiecărui caz individual de utilizare urgentă. În plus, în astfel de situaţii, autoritatea de aplicare a legii ar trebui să solicite o astfel de autorizaţie şi să furnizeze în acelaşi timp motivele pentru care nu a fost în măsură să o solicite mai devreme, fără întârzieri nejustificate şi cel târziu în termen de 24 de ore. În cazul în care solicitarea unei astfel de autorizaţii este respinsă, utilizarea sistemelor de identificare biometrică în timp real legate de autorizaţia respectivă ar trebui să înceteze cu efect imediat şi toate datele legate de utilizarea respectivă ar trebui să fie înlăturate şi şterse. Aceste date includ datele de intrare dobândite direct de un sistem de IA în cursul utilizării unui astfel de sistem, precum şi rezultatele şi produsele obţinute în cadrul utilizării legate de autorizaţia respectivă, dar nu ar trebui să includă datele de intrare dobândite în mod legal în conformitate cu un alt act legislativ al Uniunii sau naţional. În orice caz, nicio decizie care produce un efect juridic negativ asupra unei persoane nu ar trebui să fie luată exclusiv pe baza unui produs al sistemului de identificare biometrică la distanţă.

(36)Pentru a-şi îndeplini sarcinile în conformitate cu cerinţele prevăzute în prezentul regulament, precum şi în normele naţionale, autoritatea relevantă de supraveghere a pieţei şi autoritatea naţională pentru protecţia datelor ar trebui să fie notificate cu privire la fiecare utilizare a sistemului de identificare biometrică în timp real. Autorităţile de supraveghere a pieţei şi autorităţile naţionale pentru protecţia datelor care au fost notificate ar trebui să prezinte Comisiei un raport anual privind utilizarea sistemelor de identificare biometrică în timp real.

(37)În plus, este oportun să se prevadă, în cadrul exhaustiv stabilit de prezentul regulament, că o astfel de utilizare pe teritoriul unui stat membru în conformitate cu prezentul regulament ar trebui să fie posibilă numai în cazul şi în măsura în care statul membru respectiv a decis să prevadă în mod expres posibilitatea de a autoriza o astfel de utilizare în normele sale detaliate de drept intern. În consecinţă, în temeiul prezentului regulament, statele membre au în continuare libertatea de a nu prevedea o astfel de posibilitate sau de a prevedea o astfel de posibilitate numai în ceea ce priveşte unele dintre obiectivele care pot justifica utilizarea autorizată identificate în prezentul regulament. Astfel de norme naţionale ar trebui să fie notificate Comisiei în termen de 30 de zile de la adoptare.

(38)Utilizarea sistemelor de IA pentru identificarea biometrică la distanţă în timp real a persoanelor fizice în spaţiile accesibile publicului în scopul aplicării legii implică în mod necesar prelucrarea de date biometrice. Normele din prezentul regulament care interzic, sub rezerva anumitor excepţii, o astfel de utilizare, care se întemeiază pe articolul 16 din TFUE, ar trebui să se aplice ca lex specialis în ceea ce priveşte normele privind prelucrarea datelor biometrice prevăzute la articolul 10 din Directiva (UE) 2016/680, reglementând astfel în mod exhaustiv această utilizare şi prelucrarea datelor biometrice implicate. Prin urmare, o astfel de utilizare şi prelucrare ar trebui să fie posibile numai în măsura în care sunt compatibile cu cadrul stabilit de prezentul regulament, fără a exista, în afara cadrului respectiv, posibilitatea ca autorităţile competente, atunci când acţionează în scopul aplicării legii, să utilizeze astfel de sisteme şi să prelucreze astfel de date în legătură cu utilizarea respectivă din motivele enumerate la articolul 10 din Directiva (UE) 2016/680. În acest context, prezentul regulament nu este menit să ofere temeiul juridic pentru prelucrarea datelor cu caracter personal în baza articolului 8 din Directiva (UE) 2016/680. Cu toate acestea, utilizarea sistemelor de identificare biometrică la distanţă în timp real în spaţii accesibile publicului în alte scopuri decât cele de aplicare a legii, inclusiv de către autorităţile competente, nu ar trebui să facă obiectul cadrului specific privind o astfel de utilizare în scopul aplicării legii stabilit de prezentul regulament. Prin urmare, o astfel de utilizare în alte scopuri decât aplicarea legii nu ar trebui să facă obiectul solicitării unei autorizaţii în temeiul prezentului regulament şi al normelor de drept intern detaliate aplicabile prin care autorizaţia respectivă poate produce efecte.

(39)Orice prelucrare de date biometrice şi alte date cu caracter personal implicate în utilizarea sistemelor de IA pentru identificarea biometrică, alta decât în legătură cu utilizarea sistemelor de identificare biometrică la distanţă în timp real în spaţii accesibile publicului în scopul aplicării legii, astfel cum este reglementată de prezentul regulament, ar trebui să respecte în continuare toate cerinţele care decurg din articolul 10 din Directiva (UE) 2016/680. În ceea ce priveşte alte scopuri decât aplicarea legii, articolul 9 alineatul (1) din Regulamentul (UE) 2016/679 şi articolul 10 alineatul (1) din Regulamentul (UE) 2018/1725 interzic prelucrarea de date biometrice, sub rezerva unor excepţii limitate prevăzute la articolele respective. În vederea aplicării articolului 9 alineatul (1) din Regulamentul (UE) 2016/679, utilizarea identificării biometrice la distanţă în alte scopuri decât aplicarea legii a făcut deja obiectul unor decizii de interzicere luate de autorităţile naţionale pentru protecţia datelor.

(40)În conformitate cu articolul 6a din Protocolul nr. 21 privind poziţia Regatului Unit şi a Irlandei în ceea ce priveşte spaţiul de libertate, securitate şi justiţie, anexat la TUE şi la TFUE, Irlandei nu îi revin obligaţii în temeiul normelor prevăzute la articolul 5 alineatul (1) primul paragraf litera (g) în măsura în care se aplică utilizării sistemelor de clasificare biometrică pentru activităţi în domeniul cooperării poliţieneşti şi al cooperării judiciare în materie penală, la articolul 5 alineatul (1) primul paragraf litera (d) în măsura în care se aplică utilizării sistemelor de IA care intră sub incidenţa dispoziţiei respective, la articolul 5 alineatul (1) primul paragraf litera (h) şi alineatele (2)-(6) şi la articolul 26 alineatul (10) din prezentul regulament adoptate în temeiul articolului 16 din TFUE, referitoare la prelucrarea datelor cu caracter personal de către statele membre atunci când exercită activităţi care intră în domeniul de aplicare al părţii a treia titlul V capitolul 4 sau 5 din TFUE, în cazurile în care Irlandei nu îi revin obligaţii în temeiul normelor privind formele de cooperare judiciară în materie penală sau de cooperare poliţienească care necesită respectarea dispoziţiilor stabilite în temeiul articolului 16 din TFUE.

(41)În conformitate cu articolele 2 şi 2a din Protocolul nr. 22 privind poziţia Danemarcei, anexat la TUE şi la TFUE, Danemarcei nu îi revin obligaţii în temeiul normelor prevăzute la articolul 5 alineatul (1) primul paragraf litera (g) în măsura în care se aplică utilizării sistemelor de clasificare biometrică pentru activităţi în domeniul cooperării poliţieneşti şi al cooperării judiciare în materie penală, la articolul 5 alineatul (1) primul paragraf litera (d) în măsura în care se aplică utilizării sistemelor de IA care intră sub incidenţa dispoziţiei respective, la articolul 5 alineatul (1) primul paragraf litera (h) şi alineatele (2)-(6) şi la articolul 26 alineatul (10) din prezentul regulament adoptate în temeiul articolului 16 din TFUE, referitoare la prelucrarea datelor cu caracter personal de către statele membre atunci când exercită activităţi care intră în domeniul de aplicare al părţii a treia titlul V capitolul 4 sau 5 din TFUE şi Danemarca nu face obiectul aplicării normelor respective.

(42)În conformitate cu prezumţia de nevinovăţie, persoanele fizice din Uniune ar trebui să fie întotdeauna judecate în funcţie de comportamentul lor real. Persoanele fizice nu ar trebui să fie niciodată judecate în funcţie de comportamentul preconizat de IA exclusiv pe baza creării profilurilor lor, a trăsăturilor lor de personalitate sau a unor caracteristici precum cetăţenia, locul naşterii, locul de reşedinţă, numărul de copii, nivelul datoriilor sau tipul de autoturism, dacă nu există o suspiciune rezonabilă, bazată pe fapte obiective verificabile, că persoana respectivă este implicată într-o activitate infracţională şi dacă nu se face o evaluare în acest sens de către un om. Prin urmare, ar trebui să fie interzise evaluările riscurilor efectuate în legătură cu persoane fizice pentru a evalua probabilitatea ca acestea să comită infracţiuni sau pentru a anticipa producerea unei infracţiuni reale sau potenţiale exclusiv pe baza creării profilurilor acestor persoane sau a evaluării trăsăturilor lor de personalitate şi a caracteristicilor lor. În orice caz, această interdicţie nu priveşte şi nici nu afectează analiza de risc care nu se bazează pe crearea de profiluri ale persoanelor sau pe trăsăturile de personalitate şi caracteristicile persoanelor, cum ar fi sistemele de IA care utilizează analiza de risc pentru a evalua probabilitatea de fraudă financiară din partea întreprinderilor pe baza unor tranzacţii suspecte sau instrumentele analitice de risc utilizate pentru a prevedea probabilitatea localizării de către autorităţile vamale a stupefiantelor sau a mărfurilor ilicite, de exemplu pe baza rutelor de trafic cunoscute.

(44)Există preocupări serioase cu privire la baza ştiinţifică a sistemelor de IA care vizează identificarea sau deducerea emoţiilor, în special deoarece exprimarea emoţiilor variază considerabil de la o cultură la alta şi de la o situaţie la alta şi chiar la nivelul unei singure persoane. Printre principalele deficienţe ale unor astfel de sisteme se numără fiabilitatea limitată, lipsa specificităţii şi posibilităţile limitate de generalizare. Prin urmare, sistemele de IA care identifică sau deduc emoţiile sau intenţiile persoanelor fizice pe baza datelor lor biometrice pot genera rezultate discriminatorii şi pot fi intruzive pentru drepturile şi libertăţile persoanelor în cauză. Având în vedere dezechilibrul de putere în contextul muncii sau al educaţiei, combinat cu caracterul intruziv al acestor sisteme, ele ar putea conduce la un tratament prejudiciabil sau nefavorabil al anumitor persoane fizice sau al unor grupuri întregi de astfel de persoane. Prin urmare, ar trebui să fie interzise introducerea pe piaţă, punerea în funcţiune şi utilizarea sistemelor de IA destinate a fi utilizate pentru a detecta starea emoţională a persoanelor în situaţii legate de locul de muncă şi de educaţie. Această interdicţie nu ar trebui să se aplice sistemelor de IA introduse pe piaţă strict din motive medicale sau de siguranţă, cum ar fi sistemele destinate utilizării în scop terapeutic.

(46)Sistemele de IA cu grad ridicat de risc ar trebui să fie introduse pe piaţa Uniunii, puse în funcţiune sau utilizate numai dacă respectă anumite cerinţe obligatorii. Cerinţele respective ar trebui să asigure faptul că sistemele de IA cu grad ridicat de risc disponibile în Uniune sau ale căror rezultate sunt utilizate în alt mod în Uniune nu prezintă riscuri inacceptabile pentru interesele publice importante ale Uniunii, astfel cum sunt recunoscute şi protejate de dreptul Uniunii. Pe baza noului cadru legislativ, astfel cum s-a clarificat în Comunicarea Comisiei intitulată "«Ghidul albastru» din 2022 referitor la punerea în aplicare a normelor UE privind produsele" (²⁰), regula generală este că cel puţin un act juridic din legislaţia de armonizare a Uniunii, cum ar fi Regulamentele (UE) 2017/745 (²¹) şi (UE) 2017/746 (²²) ale Parlamentului European şi ale Consiliului sau Directiva 2006/42/CE a Parlamentului European şi a Consiliului (²³), poate fi aplicabil unui singur produs, deoarece punerea la dispoziţie sau punerea în funcţiune poate avea loc numai atunci când produsul respectă întreaga legislaţie de armonizare a Uniunii aplicabilă. Pentru a se asigura coerenţa şi a se evita sarcinile administrative sau costurile inutile, furnizorii unui produs care conţine unul sau mai multe sisteme de IA cu grad ridicat de risc, cărora li se aplică cerinţele prezentului regulament şi ale legislaţiei de armonizare a Uniunii astfel cum este conţinută într-o anexă la prezentul regulament, ar trebui să fie flexibili în ceea ce priveşte deciziile operaţionale cu privire la modul optim de asigurare a conformităţii unui produs care conţine unul sau mai multe sisteme de IA cu toate cerinţele aplicabile din respectiva legislaţie de armonizare a Uniunii. Sistemele de IA identificate ca prezentând un grad ridicat de risc ar trebui să se limiteze la cele care au un impact negativ semnificativ asupra sănătăţii, siguranţei şi drepturilor fundamentale ale persoanelor din Uniune, iar o astfel de limitare ar trebui să reducă la minimum orice eventuală restricţionare a comerţului internaţional.

(47)Sistemele de IA ar putea avea un impact negativ asupra sănătăţii şi siguranţei persoanelor, în special atunci când funcţionează drept componente de siguranţă ale produselor. În concordanţă cu obiectivele legislaţiei de armonizare a Uniunii de a facilita libera circulaţie a produselor pe piaţa internă şi de a asigura că numai produsele sigure şi conforme în toate privinţele ajung pe piaţă, este important ca riscurile în materie de siguranţă care pot fi generate de un produs în ansamblu din cauza componentelor sale digitale, inclusiv a sistemelor de IA, să fie prevenite şi atenuate în mod corespunzător. De exemplu, roboţii din ce în ce mai autonomi, fie în contextul producţiei, fie în contextul asistenţei şi îngrijirii personale, ar trebui să fie în măsură să îşi desfăşoare activitatea şi să îşi îndeplinească funcţiile în condiţii de siguranţă în medii complexe. În mod similar, în sectorul sănătăţii, unde mizele privind viaţa şi sănătatea sunt deosebit de ridicate, sistemele de diagnosticare din ce în ce mai sofisticate şi sistemele care sprijină deciziile umane ar trebui să fie fiabile şi exacte.

(48)Amploarea impactului negativ al sistemului de IA asupra drepturilor fundamentale protejate de cartă este deosebit de relevantă atunci când un sistem de IA este clasificat ca prezentând un grad ridicat de risc. Printre aceste drepturi se numără dreptul la demnitate umană, respectarea vieţii private şi de familie, protecţia datelor cu caracter personal, libertatea de exprimare şi de informare, libertatea de întrunire şi de asociere, precum, dreptul la nediscriminarea, dreptul la educaţie, protecţia consumatorilor, drepturile lucrătorilor, drepturile persoanelor cu dizabilităţi, egalitatea de gen, drepturile de proprietate intelectuală, dreptul la o cale de atac eficientă şi la un proces echitabil, dreptul la apărare şi prezumţia de nevinovăţie şi dreptul la o bună administrare. Pe lângă aceste drepturi, este important să se sublinieze faptul că copiii au drepturi specifice, astfel cum sunt consacrate la articolul 24 din cartă şi în Convenţia Organizaţiei Naţiunilor Unite cu privire la drepturile copilului, detaliată în Comentariul general nr. 25 la aceasta privind mediul digital, ambele impunând luarea în considerare a vulnerabilităţilor copiilor şi asigurarea protecţiei şi îngrijirii necesare pentru bunăstarea lor. Dreptul fundamental la un nivel ridicat de protecţie a mediului consacrat în cartă şi pus în aplicare în politicile Uniunii ar trebui, de asemenea, să fie luat în considerare atunci când se evaluează gravitatea prejudiciului pe care îl poate cauza un sistem de IA, inclusiv în ceea ce priveşte sănătatea şi siguranţa persoanelor.

(49)În ceea ce priveşte sistemele de IA cu grad ridicat de risc care sunt componente de siguranţă ale produselor sau sistemelor sau care sunt ele însele produse sau sisteme care intră în domeniul de aplicare al Regulamentului (CE) nr. 300/2008 al Parlamentului European şi al Consiliului (²⁴), al Regulamentului (UE) nr. 167/2013 al Parlamentului European şi al Consiliului (²⁵), al Regulamentului (UE) nr. 168/2013 al Parlamentului European şi al Consiliului (²⁶), al Directivei 2014/90/UE a Parlamentului European şi a Consiliului (²⁷), al Directivei (UE) 2016/797 a Parlamentului European şi a Consiliului (²⁸), al Regulamentului (UE) 2018/858 al Parlamentului European şi al Consiliului (²⁹), al Regulamentului (UE) 2018/1139 al Parlamentului European şi al Consiliului (³⁰) şi al Regulamentului (UE) 2019/2144 al Parlamentului European şi al Consiliului (³¹), este oportun să se modifice respectivele acte legislative pentru a se asigura luarea în considerare de către Comisie, pe baza specificităţilor tehnice şi de reglementare ale fiecărui sector şi fără a afecta mecanismele şi autorităţile existente de guvernanţă, de evaluare a conformităţii şi de aplicare a legislaţiei instituite în acestea, a cerinţelor obligatorii pentru sistemele de IA cu grad ridicat de risc prevăzute în prezentul regulament atunci când adoptă orice act delegat sau de punere în aplicare relevant pe baza respectivelor acte legislative.

(³⁰)Regulamentul (UE) 2018/1139 al Parlamentului European şi al Consiliului din 4 iulie 2018 privind normele comune în domeniul aviaţiei civile şi de înfiinţare a Agenţiei Uniunii Europene pentru Siguranţa Aviaţiei, de modificare a Regulamentelor (CE) nr. 2111/2005, (CE) nr. 1008/2008, (UE) nr. 996/2010, (UE) nr. 376/2014 şi a Directivelor 2014/30/UE şi 2014/53/UE ale Parlamentului European şi ale Consiliului, precum şi de abrogare a Regulamentelor (CE) nr. 552/2004 şi (CE) nr. 216/2008 ale Parlamentului European şi ale Consiliului şi a Regulamentului (CEE) nr. 3922/91 al Consiliului (JO L 212, 22.8.2018, p. 1).

(³¹)Regulamentul (UE) 2019/2144 al Parlamentului European şi al Consiliului din 27 noiembrie 2019 privind cerinţele pentru omologarea de tip a autovehiculelor şi remorcilor acestora, precum şi a sistemelor, componentelor şi unităţilor tehnice separate destinate unor astfel de vehicule, în ceea ce priveşte siguranţa generală a acestora şi protecţia ocupanţilor vehiculului şi a utilizatorilor vulnerabili ai drumurilor, de modificare a Regulamentului (UE) 2018/858 al Parlamentului European şi al Consiliului şi de abrogare a Regulamentelor (CE) nr. 78/2009, (CE) nr. 79/2009 şi (CE) nr. 661/2009 ale Parlamentului European şi ale Consiliului şi a Regulamentelor (CE) nr. 631/2009, (UE) nr. 406/2010, (UE) nr. 672/2010, (UE) nr. 1003/2010, (UE) nr. 1005/2010, (UE) nr. 1008/2010, (UE) nr. 1009/2010, (UE) nr. 19/2011, (UE) nr. 109/2011, (UE) nr. 458/2011, (UE) nr. 65/2012, (UE) nr. 130/2012, (UE) nr. 347/2012, (UE) nr. 351/2012, (UE) nr. 1230/2012 şi (UE) 2015/166 ale Comisiei (JO L 325, 16.12.2019, p. 1).

(50)În ceea ce priveşte sistemele de IA care sunt componente de siguranţă ale produselor sau care sunt ele însele produse care intră în domeniul de aplicare al anumitor acte legislative de armonizare ale Uniunii enumerate într-o anexă la prezentul regulament, este oportun să fie clasificate ca prezentând un grad ridicat de risc în temeiul prezentului regulament în cazul în care produsul respectiv este supus procedurii de evaluare a conformităţii efectuate de un organism terţ de evaluare a conformităţii în temeiul respectivelor acte legislative de armonizare relevante ale Uniunii. În special, astfel de produse sunt echipamentele tehnice, jucăriile, ascensoarele, echipamentele şi sistemele de protecţie destinate utilizării în atmosfere potenţial explozive, echipamentele radio, echipamentele sub presiune, echipamentele pentru ambarcaţiuni de agrement, instalaţiile pe cablu, aparatele consumatoare de combustibili gazoşi, dispozitivele medicale, dispozitivele medicale pentru diagnostic in vitro, cele din industria auto şi aeronautică.

(51)Clasificarea unui sistem de IA ca prezentând un grad ridicat de risc în temeiul prezentului regulament nu ar trebui să însemne neapărat că produsul a cărui componentă de siguranţă este sistemul de IA sau că sistemul de IA în sine ca produs este considerat ca prezentând un grad ridicat de risc în conformitate cu criteriile stabilite în actele legislative de armonizare relevante ale Uniunii care se aplică produsului. Acesta este, în special, cazul Regulamentelor (UE) 2017/745 şi (UE) 2017/746, care prevăd o evaluare a conformităţii de către un terţ pentru produsele cu grad mediu de risc şi cu grad ridicat de risc.

(52)În ceea ce priveşte sistemele de IA autonome, şi anume alte sisteme de IA cu grad ridicat de risc decât cele care sunt componente de siguranţă ale unor produse sau care sunt ele însele produse, este oportun să fie clasificate ca prezentând un grad ridicat de risc dacă, având în vedere scopul lor preconizat, prezintă un risc ridicat de a aduce prejudicii sănătăţii şi siguranţei sau drepturilor fundamentale ale persoanelor, ţinându-se seama atât de gravitatea posibilelor prejudicii, cât şi de probabilitatea producerii acestora, şi dacă sunt utilizate într-o serie de domenii predefinite în mod specific precizate în prezentul regulament. Identificarea sistemelor respective se bazează pe aceeaşi metodologie şi pe aceleaşi criterii avute în vedere pentru eventuale modificări viitoare ale listei de sisteme de IA cu grad ridicat de risc, modificări pe care Comisia ar trebui să fie împuternicită să le adopte, prin intermediul unor acte delegate, pentru a ţine seama de ritmul rapid al dezvoltării tehnologice şi de eventualele modificări în utilizarea sistemelor de IA.

(53)De asemenea, este important să se clarifice faptul că pot exista cazuri specifice în care sistemele de IA menţionate în domenii predefinite specificate în prezentul regulament nu conduc la un risc semnificativ de a aduce prejudicii intereselor juridice protejate în cadrul domeniilor respective, deoarece nu influenţează în mod semnificativ procesul decizional sau nu aduc prejudicii substanţiale intereselor respective. În sensul prezentului regulament, un sistem de IA care nu influenţează în mod semnificativ rezultatul procesului decizional ar trebui să fie înţeles ca fiind un sistem de IA care nu are un impact asupra substanţei şi, prin urmare, nici asupra rezultatului procesului decizional, indiferent dacă este uman sau automatizat. Un sistem de IA care nu influenţează în mod semnificativ rezultatul procesului decizional ar putea include situaţii în care sunt îndeplinite una sau mai multe dintre condiţiile prezentate în continuare. Prima condiţie ar trebui să fie aceea ca sistemul de IA să fie destinat să îndeplinească o sarcină procedurală restrânsă, de exemplu un sistem de IA care transformă date nestructurate în date structurate, un sistem de IA care clasifică pe categorii documentele primite sau un sistem de IA care este utilizat pentru a detecta duplicatele dintr-un număr mare de candidaturi. Aceste sarcini au un caracter atât de restrâns şi de limitat încât prezintă doar riscuri reduse, riscuri care nu cresc prin utilizarea unui sistem de IA într-un context enumerat ca utilizare cu grad ridicat de risc într-o anexă la prezentul regulament. A doua condiţie ar trebui să fie ca sarcina îndeplinită de sistemul de IA să fie menită să îmbunătăţească rezultatul unei activităţi umane finalizate anterior care poate fi relevantă în sensul utilizărilor cu grad ridicat de risc enumerate într-o anexă la prezentul regulament. Având în vedere aceste caracteristici, sistemul de IA adaugă doar un nivel suplimentar unei activităţi umane, prezentând în consecinţă un risc redus. Această condiţie s-ar aplica, de exemplu, sistemelor de IA care sunt menite să îmbunătăţească limbajul utilizat în documente redactate anterior, de exemplu în ceea ce priveşte tonul profesional, stilul academic de limbaj sau alinierea textului la mesajele specifice unei anumite mărci. A treia condiţie ar trebui să fie aceea ca sistemul de IA să fie destinat să detecteze modelele decizionale sau devierile de la modele decizionale anterioare. Riscul ar fi redus deoarece utilizarea sistemului de IA este ulterioară unei evaluări finalizate anterior de către un om, pe care nu este destinată să o înlocuiască sau să o influenţeze fără o revizuire adecvată de către un om. Printre aceste sisteme de IA se numără, de exemplu, cele care, având în vedere un anumit model de notare folosit de un cadru didactic, pot fi utilizate pentru a verifica ex post dacă respectivul cadru didactic s-a abătut de la modelul de notare în cauză şi pentru a semnala astfel eventuale inconsecvenţe sau anomalii. A patra condiţie ar trebui să fie aceea ca sistemul de IA să fie destinat să îndeplinească o sarcină care este doar pregătitoare pentru o evaluare relevantă pentru scopurile sistemelor de IA enumerate într-o anexă la prezentul regulament, făcând astfel ca posibilul impact al rezultatelor sistemului să prezinte un risc foarte scăzut pentru evaluarea ulterioară bazată pe ele. Această condiţie se referă, printre altele, la soluţiile inteligente de gestionare a fişierelor, care includ diverse funcţii, cum ar fi indexarea, căutarea, prelucrarea textelor şi a vorbirii sau corelarea datelor cu alte surse de date, ori la sistemele de IA utilizate pentru traducerea documentelor iniţiale. În orice caz, ar trebui să se considere că sistemele de IA utilizate în situaţii cu grad ridicat de risc enumerate într-o anexă la prezentul regulament prezintă riscuri semnificative de prejudicii la adresa sănătăţii, siguranţei sau drepturilor fundamentale dacă implică crearea de profiluri în sensul articolului 4 punctul 4 din Regulamentul (UE) 2016/679 sau al articolului 3 punctul 4 din Directiva (UE) 2016/680 sau al articolului 3 punctul 5 din Regulamentul (UE) 2018/1725. Pentru a asigura trasabilitatea şi transparenţa, un furnizor care consideră pe baza condiţiilor menţionate mai sus că un sistem de IA nu prezintă un grad ridicat de risc ar trebui să întocmească documentaţia pentru evaluare înainte ca sistemul respectiv să fie introdus pe piaţă sau pus în funcţiune şi ar trebui să furnizeze respectiva documentaţie autorităţilor naţionale competente, la cerere. Furnizorul ar trebui să fie obligat să înregistreze sistemul de IA în baza de date a UE instituită în temeiul prezentului regulament. Pentru a oferi îndrumare suplimentară în vederea punerii în practică a condiţiilor în care sistemele de IA enumerate într-o anexă la prezentul regulament nu prezintă, în mod excepţional, un grad ridicat de risc, Comisia ar trebui, după consultarea Consiliului IA, să furnizeze orientări care să detalieze respectiva punere în practică, completate de o listă cuprinzătoare de exemple practice de cazuri de utilizare a sistemelor de IA cu grad ridicat de risc şi cazuri de utilizare fără grad ridicat de risc.

(54)Întrucât datele biometrice constituie o categorie specială de date cu caracter personal, este oportun ca mai multe cazuri de utilizare critică a sistemelor biometrice să fie clasificate ca prezentând un grad ridicat de risc, în măsura în care utilizarea acestora este permisă în temeiul dreptului Uniunii şi al dreptului intern relevant. Inexactităţile tehnice ale sistemelor de IA destinate identificării biometrice la distanţă a persoanelor fizice pot conduce la rezultate distorsionate de prejudecăţi şi pot avea efecte discriminatorii. Riscul unor astfel de rezultate distorsionate de prejudecăţi şi efecte discriminatorii este deosebit de relevant în ceea ce priveşte vârsta, etnia, rasa, sexul sau dizabilităţile. Prin urmare, sistemele de identificare biometrică la distanţă ar trebui să fie clasificate ca prezentând un grad ridicat de risc, având în vedere riscurile pe care le implică. Nu se încadrează în această clasificare sistemele de IA destinate a fi utilizate pentru verificarea biometrică, inclusiv pentru autentificare, al cărei unic scop este de a confirma că o anumită persoană fizică este cine susţine că este şi de a confirma identitatea unei persoane fizice cu unicul scop de a-i permite accesul la un serviciu, deblocarea unui dispozitiv sau accesul securizat într-o incintă. În plus, ar trebui să fie clasificate ca prezentând un grad ridicat de risc sistemele de IA destinate a fi utilizate pentru clasificarea biometrică în funcţie de atribute sau caracteristici sensibile protejate în temeiul articolului 9 alineatul (1) din Regulamentul (UE) 2016/679 pe baza datelor biometrice, în măsura în care nu sunt interzise în temeiul prezentului regulament, şi sistemele de recunoaştere a emoţiilor care nu sunt interzise în temeiul prezentului regulament. Sistemele biometrice destinate a fi utilizate exclusiv în scopul aplicării măsurilor de securitate cibernetică şi de protecţie a datelor cu caracter personal nu ar trebui să fie considerate sisteme de IA cu grad ridicat de risc.

(55)În ceea ce priveşte gestionarea şi exploatarea infrastructurii critice, este oportun să se clasifice ca prezentând un grad ridicat de risc sistemele de IA destinate utilizării drept componente de siguranţă în cadrul gestionării şi exploatării infrastructurilor digitale critice enumerate la punctul 8 din anexa la Directiva (UE) 2022/2557, a traficului rutier şi a aprovizionării cu apă, gaz, încălzire şi energie electrică, deoarece defectarea lor sau funcţionarea lor defectuoasă poate pune în pericol viaţa şi sănătatea persoanelor la scară largă şi poate conduce la perturbări semnificative ale desfăşurării obişnuite a activităţilor sociale şi economice. Componentele de siguranţă ale infrastructurii critice, inclusiv ale infrastructurii digitale critice, sunt sisteme utilizate pentru a proteja în mod direct integritatea fizică a infrastructurii critice sau sănătatea şi siguranţa persoanelor şi a bunurilor, dar care nu sunt necesare pentru funcţionarea sistemului. Defectarea sau funcţionarea defectuoasă a unor astfel de componente ar putea conduce în mod direct la riscuri pentru integritatea fizică a infrastructurii critice şi, prin urmare, la riscuri pentru sănătatea şi siguranţa persoanelor şi a bunurilor. Componentele destinate a fi utilizate exclusiv în scopuri de securitate cibernetică nu ar trebui să se califice drept componente de siguranţă. Printre exemplele de componente de siguranţă ale unei astfel de infrastructuri critice se numără sistemele de monitorizare a presiunii apei sau sistemele de control al alarmei de incendiu în centrele de cloud computing.

(56)Implementarea sistemelor de IA în educaţie este importantă pentru a promova educaţia şi formarea digitală de înaltă calitate şi pentru a permite tuturor cursanţilor şi cadrelor didactice să dobândească şi să partajeze aptitudinile şi competenţele digitale necesare, inclusiv educaţia în domeniul mass-mediei şi gândirea critică, pentru a participa activ la economie, în societate şi la procesele democratice. Cu toate acestea, sistemele de IA utilizate în educaţie sau în formarea profesională, în special pentru stabilirea accesului sau a admiterii, pentru repartizarea persoanelor în instituţii sau programe educaţionale şi de formare profesională la toate nivelurile, pentru evaluarea rezultatelor învăţării unei persoane, pentru evaluarea nivelului adecvat de instruire al unei persoane, pentru influenţarea semnificativă a nivelului de educaţie şi formare pe care îl vor primi sau îl vor putea accesa persoanele sau pentru monitorizarea şi detectarea comportamentului interzis al elevilor şi studenţilor în timpul testelor, ar trebui să fie clasificate drept sisteme de IA cu grad ridicat de risc, deoarece pot determina parcursul educaţional şi profesional din viaţa unei persoane şi, prin urmare, pot afecta capacitatea acesteia de a-şi asigura mijloace de subzistenţă. Atunci când sunt concepute şi utilizate în mod necorespunzător, astfel de sisteme pot fi deosebit de intruzive şi pot încălca dreptul la educaţie şi formare, precum şi dreptul de a nu fi discriminat şi pot perpetua tipare istorice de discriminare, de exemplu împotriva femeilor, a anumitor grupe de vârstă, a persoanelor cu dizabilităţi sau a persoanelor de anumite origini rasiale ori etnice sau cu o anumită orientare sexuală.

(57)De asemenea, sistemele de IA utilizate în domeniul ocupării forţei de muncă, al gestionării lucrătorilor şi al accesului la activităţi independente, în special pentru recrutarea şi selectarea persoanelor, pentru luarea deciziilor care afectează condiţiile relaţiei legate de muncă, pentru promovarea şi încetarea relaţiilor contractuale legate de muncă, pentru alocarea sarcinilor pe baza comportamentului individual sau a trăsăturilor sau caracteristicilor personale, precum şi pentru monitorizarea sau evaluarea persoanelor aflate în relaţii contractuale legate de muncă, ar trebui să fie clasificate ca prezentând un grad ridicat de risc, deoarece aceste sisteme pot avea un impact semnificativ asupra viitoarelor perspective de carieră, asupra mijloacelor de subzistenţă ale acestor persoane şi asupra drepturilor lucrătorilor. Relaţiile contractuale relevante legate de muncă ar trebui să implice într-un mod semnificativ angajaţii şi persoanele care prestează servicii prin intermediul platformelor, astfel cum se menţionează în Programul de lucru al Comisiei pentru 2021. Pe tot parcursul procesului de recrutare, precum şi în evaluarea, promovarea sau menţinerea persoanelor în relaţii contractuale legate de muncă, astfel de sisteme pot perpetua tipare istorice de discriminare, de exemplu împotriva femeilor, a anumitor grupe de vârstă, a persoanelor cu dizabilităţi sau a persoanelor de anumite origini rasiale ori etnice sau cu o anumită orientare sexuală. Sistemele de IA utilizate pentru a monitoriza performanţa şi comportamentul acestor persoane pot, de asemenea, să le submineze drepturile fundamentale la protecţia datelor şi la viaţa privată.

(58)Un alt domeniu în care utilizarea sistemelor de IA merită o atenţie deosebită este accesul şi posibilitatea de a beneficia de anumite prestaţii şi servicii publice şi private esenţiale, necesare pentru ca oamenii să participe pe deplin în societate sau să îşi îmbunătăţească nivelul de trai. În special, persoanele fizice care solicită sau primesc prestaţii şi servicii esenţiale de asistenţă publică din partea autorităţilor publice, şi anume servicii de îngrijiri de sănătate, prestaţii de asigurări sociale, servicii sociale care oferă protecţie în cazuri precum maternitatea, boala, accidentele de muncă, dependenţa, bătrâneţea, pierderea locului de muncă, precum şi asistenţă socială şi legată de locuinţe, sunt de regulă dependente de aceste prestaţii şi servicii şi se află într-o poziţie vulnerabilă în raport cu autorităţile responsabile. În cazul în care sistemele de IA sunt utilizate pentru a stabili dacă astfel de prestaţii şi servicii ar trebui să fie acordate, refuzate, reduse, revocate sau recuperate de autorităţi, inclusiv dacă beneficiarii au dreptul legitim la astfel de prestaţii sau servicii, sistemele respective pot avea un impact semnificativ asupra mijloacelor de subzistenţă ale persoanelor şi le pot încălca drepturile fundamentale, cum ar fi dreptul la protecţie socială, la nediscriminare, la demnitatea umană sau la o cale de atac efectivă şi, prin urmare, ar trebui să fie clasificate ca prezentând un grad ridicat de risc. Cu toate acestea, prezentul regulament nu ar trebui să împiedice dezvoltarea şi utilizarea unor abordări inovatoare în administraţia publică, care ar putea beneficia de o utilizare mai largă a sistemelor de IA conforme şi sigure, cu condiţia ca aceste sisteme să nu implice un risc ridicat pentru persoanele fizice şi juridice. În plus, sistemele de IA utilizate pentru a evalua punctajul de credit sau bonitatea persoanelor fizice ar trebui să fie clasificate ca sisteme de IA cu grad ridicat de risc, întrucât acestea determină accesul persoanelor respective la resurse financiare sau la servicii esenţiale, cum ar fi locuinţe, electricitate şi telecomunicaţii. Sistemele de IA utilizate în aceste scopuri pot duce la discriminare între persoane sau între grupuri şi pot perpetua tipare istorice de discriminare, de exemplu pe criterii de origine rasială sau etnică, sex, dizabilitate, vârstă sau orientare sexuală, sau pot crea noi forme de impact discriminatoriu. Cu toate acestea, sistemele de IA prevăzute de dreptul Uniunii în scopul detectării fraudelor în furnizarea de servicii financiare şi în scopuri prudenţiale pentru a calcula cerinţele de capital ale instituţiilor de credit şi ale întreprinderilor de asigurări nu ar trebui să fie considerate ca prezentând un grad ridicat de risc în temeiul prezentului regulament. În plus, sistemele de IA destinate a fi utilizate pentru evaluarea riscurilor şi stabilirea preţurilor pentru asigurarea de sănătate şi de viaţă în cazul persoanelor fizice pot avea, de asemenea, un impact semnificativ asupra mijloacelor de subzistenţă ale persoanelor şi, dacă nu sunt concepute, dezvoltate şi utilizate în mod corespunzător, pot încălca drepturile lor fundamentale şi pot avea consecinţe grave pentru viaţa şi sănătatea oamenilor, cum ar fi excluziunea financiară şi discriminarea. În cele din urmă, sistemele de IA utilizate pentru evaluarea şi clasificarea apelurilor de urgenţă ale persoanelor fizice sau pentru distribuirea sau stabilirea priorităţilor în distribuirea serviciilor de primă intervenţie de urgenţă, inclusiv de către poliţie, pompieri şi asistenţa medicală, precum şi în cadrul sistemelor de triaj medical de urgenţă al pacienţilor, ar trebui de asemenea să fie clasificate ca prezentând un grad ridicat de risc, deoarece iau decizii în situaţii foarte critice pentru viaţa şi sănătatea persoanelor şi pentru bunurile acestora.

(59)Având în vedere rolul şi responsabilitatea lor, acţiunile întreprinse de autorităţile de aplicare a legii care implică anumite utilizări ale sistemelor de IA sunt caracterizate de un grad semnificativ de dezechilibru de putere şi pot duce la supravegherea, arestarea sau privarea de libertate a unei persoane fizice, precum şi la alte efecte negative asupra drepturilor fundamentale garantate în cartă. În special, în cazul în care nu este alimentat cu date de înaltă calitate, nu îndeplineşte cerinţe adecvate de performanţă, acurateţe sau robusteţe sau nu este proiectat şi testat în mod corespunzător înainte de a fi introdus pe piaţă sau pus în funcţiune în alt mod, sistemul de IA poate selecta persoanele într-un mod discriminatoriu sau, la un nivel mai general, în mod incorect ori injust. În plus, exercitarea unor drepturi procedurale fundamentale importante, cum ar fi dreptul la o cale de atac efectivă şi la un proces echitabil, precum şi dreptul la apărare şi prezumţia de nevinovăţie, ar putea fi împiedicată, în special în cazul în care astfel de sisteme de IA nu sunt suficient de transparente, explicabile şi documentate. Prin urmare, este oportun să fie clasificate ca prezentând un grad ridicat de risc, în măsura în care utilizarea lor este permisă în temeiul dreptului Uniunii şi al dreptului intern relevant, o serie de sisteme de IA destinate a fi utilizate în contextul aplicării legii, în care acurateţea, fiabilitatea şi transparenţa sunt deosebit de importante pentru a evita efectele negative, pentru a păstra încrederea publicului şi pentru a asigura asumarea răspunderii şi reparaţii efective. Având în vedere natura activităţilor şi riscurile aferente, aceste sisteme de IA cu grad ridicat de risc ar trebui să includă, în special, sistemele de IA destinate a fi utilizate de autorităţile de aplicare a legii sau în numele acestora sau de instituţiile, organele, oficiile sau agenţiile Uniunii în sprijinul autorităţilor de aplicare a legii pentru a evalua riscul ca o persoană fizică să devină victimă a infracţiunilor, ca poligrafe şi instrumente similare pentru evaluarea fiabilităţii probelor în cursul investigării sau urmăririi penale a infracţiunilor şi, în măsura în care nu se interzice în temeiul prezentului regulament, pentru a evalua riscul ca o persoană fizică să comită o infracţiune sau o recidivă, nu numai pe baza creării de profiluri ale persoanelor fizice, a evaluării trăsăturilor de personalitate şi a caracteristicilor lor sau a comportamentului infracţional anterior al persoanelor fizice sau al grupurilor, precum şi pentru a crea profiluri în cursul depistării, investigării sau urmăririi penale a infracţiunilor. Sistemele de IA destinate în mod specific utilizării în proceduri administrative de către autorităţile fiscale şi vamale, precum şi de către unităţile de informaţii financiare care efectuează sarcini administrative prin care analizează informaţii în temeiul dreptului Uniunii privind combaterea spălării banilor, nu ar trebui să fie clasificate ca sisteme de IA cu grad ridicat de risc utilizate de autorităţile de aplicare a legii în scopul prevenirii, depistării, investigării şi urmăririi penale a infracţiunilor. Utilizarea instrumentelor de IA de către autorităţile de aplicare a legii şi de alte autorităţi relevante nu ar trebui să devină un factor de inegalitate sau de excluziune. Impactul utilizării instrumentelor de IA asupra drepturilor la apărare ale suspecţilor nu ar trebui să fie ignorat, în special dificultatea de a obţine informaţii semnificative cu privire la funcţionarea acestor sisteme şi, în consecinţă, dificultatea de a contesta rezultatele acestora în instanţă, în special de către persoanele fizice care fac obiectul investigării.

(60)Sistemele de IA utilizate în domeniile migraţiei, azilului şi gestionării controlului la frontiere afectează persoane care se află adesea într-o poziţie deosebit de vulnerabilă şi care depind de rezultatul acţiunilor autorităţilor publice competente. Acurateţea, caracterul nediscriminatoriu şi transparenţa sistemelor de IA utilizate în aceste contexte sunt, prin urmare, deosebit de importante pentru a garanta respectarea drepturilor fundamentale ale persoanelor afectate, în special a drepturilor acestora la liberă circulaţie, nediscriminare, protecţia vieţii private şi a datelor cu caracter personal, protecţie internaţională şi bună administrare. Prin urmare, este oportun să fie clasificate ca prezentând un grad ridicat de risc, în măsura în care utilizarea lor este permisă în temeiul dreptului Uniunii şi al dreptului intern relevant, sistemele de IA destinate a fi utilizate de către autorităţile publice competente ori în numele acestora sau de către instituţiile, organele, oficiile sau agenţiile Uniunii care au atribuţii în domeniile migraţiei, azilului şi gestionării controlului la frontiere ca poligrafe şi instrumente similare, pentru a evalua anumite riscuri prezentate de persoanele fizice care intră pe teritoriul unui stat membru sau care solicită viză sau azil, pentru a acorda asistenţă autorităţilor publice competente în ceea ce priveşte examinarea, inclusiv evaluarea conexă a fiabilităţii probelor, a cererilor de azil, de vize şi de permise de şedere şi a plângerilor aferente cu privire la obiectivul de stabilire a eligibilităţii persoanelor fizice care solicită un statut, în scopul detectării, al recunoaşterii sau al identificării persoanelor fizice în contextul migraţiei, al azilului şi al gestionării controlului la frontiere, cu excepţia verificării documentelor de călătorie. Sistemele de IA din domeniul migraţiei, azilului şi gestionării controlului la frontiere reglementate de prezentul regulament ar trebui să respecte cerinţele procedurale relevante stabilite de Regulamentul (CE) nr. 810/2009 al Parlamentului European şi al Consiliului (³²), de Directiva 2013/32/UE a Parlamentului European şi a Consiliului (³³) şi de alte dispoziţii relevante din dreptul Uniunii. Statele membre sau instituţiile, organele, oficiile şi agenţiile Uniunii nu ar trebui în niciun caz să utilizeze sistemele de IA în domeniul migraţiei, azilului şi gestionării controlului la frontiere ca mijloc de eludare a obligaţiilor lor internaţionale în temeiul Convenţiei ONU privind statutul refugiaţilor întocmită la Geneva la 28 iulie 1951, astfel cum a fost modificată prin Protocolul din 31 ianuarie 1967. De asemenea, respectivele sisteme de IA nu ar trebui să fie utilizate pentru a încălca în vreun fel principiul nereturnării sau pentru a refuza căi legale sigure şi eficace de intrare pe teritoriul Uniunii, inclusiv dreptul la protecţie internaţională.

(61)Anumite sisteme de IA destinate administrării justiţiei şi proceselor democratice ar trebui să fie clasificate ca prezentând un grad ridicat de risc, având în vedere impactul potenţial semnificativ al acestora asupra democraţiei, statului de drept şi libertăţilor individuale, precum şi asupra dreptului la o cale de atac efectivă şi la un proces echitabil. În special, pentru a aborda potenţialele riscuri de prejudecăţi, erori şi opacitate, este oportun să fie calificate drept sisteme cu grad ridicat de risc sistemele de IA destinate să fie utilizate de o autoritate judiciară sau în numele acesteia pentru a ajuta autorităţile judiciare să cerceteze şi să interpreteze faptele şi legea şi să aplice legea unui set concret de fapte. Sistemele de IA destinate a fi utilizate de organismele de soluţionare alternativă a litigiilor în aceste scopuri ar trebui, de asemenea, să fie considerate ca având un grad ridicat de risc atunci când rezultatele procedurilor de soluţionare alternativă a litigiilor produc efecte juridice pentru părţi. Utilizarea instrumentelor de IA poate sprijini puterea de decizie a judecătorilor sau independenţa sistemului judiciar, dar nu ar trebui să le înlocuiască: procesul decizional final trebuie să rămână o activitate umană. Clasificarea sistemelor de IA ca prezentând un grad ridicat de risc nu ar trebui, totuşi, să se extindă la sistemele de IA destinate unor activităţi administrative pur auxiliare care nu afectează administrarea efectivă a justiţiei în cazuri individuale, cum ar fi anonimizarea sau pseudonimizarea hotărârilor judecătoreşti, a documentelor sau a datelor, comunicarea între membrii personalului, sarcinile administrative.

(62)Fără a aduce atingere normelor prevăzute în Regulamentul (UE) 2024/900 al Parlamentului European şi al Consiliului (³⁴) şi pentru a aborda riscurile de ingerinţe externe nejustificate în dreptul de vot consacrat la articolul 39 din cartă şi de efecte adverse asupra democraţiei şi a statului de drept, sistemele de IA destinate a fi utilizate pentru a influenţa rezultatul unor alegeri sau al unui referendum sau comportamentul de vot al persoanelor fizice în exercitarea votului lor în cadrul alegerilor sau al referendumurilor ar trebui să fie clasificate drept sisteme de IA cu grad ridicat de risc, cu excepţia sistemelor de IA la ale căror rezultate persoanele fizice nu sunt expuse în mod direct, cum ar fi instrumentele utilizate pentru organizarea, optimizarea şi structurarea campaniilor politice din punct de vedere administrativ şi logistic.

(63)Faptul că un sistem de IA este clasificat ca sistem de IA cu grad ridicat de risc în temeiul prezentului regulament nu ar trebui să fie interpretat ca indicând că utilizarea sistemului este legală în temeiul altor acte ale dreptului Uniunii sau al dreptului intern compatibil cu dreptul Uniunii, cum ar fi în ceea ce priveşte protecţia datelor cu caracter personal, utilizarea poligrafelor şi a instrumentelor similare sau a altor sisteme pentru detectarea stării emoţionale a persoanelor fizice. Orice astfel de utilizare ar trebui să continue să aibă loc numai în conformitate cu cerinţele aplicabile care decurg din cartă, precum şi din legislaţia secundară aplicabilă a Uniunii şi din dreptul intern aplicabil. Prezentul regulament nu ar trebui să fie înţeles ca oferind temeiul juridic pentru prelucrarea datelor cu caracter personal, inclusiv a categoriilor speciale de date cu caracter personal, după caz, cu excepţia cazului în care se specifică altfel în cuprinsul prezentului regulament.

(64)Pentru atenuarea riscurilor generate de sistemele de IA cu grad ridicat de risc introduse pe piaţă sau puse în funcţiune şi pentru a asigura un nivel înalt de credibilitate, ar trebui să se aplice anumite cerinţe obligatorii în cazul sistemelor de IA cu grad ridicat de risc, ţinând seama de scopul preconizat şi de contextul utilizării sistemului de IA şi în conformitate cu sistemul de gestionare a riscurilor care urmează să fie instituit de furnizor. Măsurile adoptate de furnizori pentru a se conforma cerinţelor obligatorii din prezentul regulament ar trebui să ţină seama de stadiul general recunoscut al tehnologiei în materie de IA, să fie proporţionale şi eficace pentru a îndeplini obiectivele prezentului regulament. Pe baza noului cadru legislativ, astfel cum s-a clarificat în Comunicarea Comisiei intitulată "«Ghidul albastru» din 2022 referitor la punerea în aplicare a normelor UE privind produsele", regula generală este că cel puţin un act juridic din legislaţia de armonizare a Uniunii poate fi aplicabil unui singur produs, deoarece punerea la dispoziţie sau punerea în funcţiune poate avea loc numai atunci când produsul respectă întreaga legislaţie de armonizare a Uniunii aplicabilă. Pericolele sistemelor de IA care fac obiectul cerinţelor prezentului regulament se referă la aspecte diferite faţă de legislaţia existentă de armonizare a Uniunii şi, prin urmare, cerinţele prezentului regulament ar completa corpul existent al legislaţiei de armonizare a Uniunii. De exemplu, maşinile sau dispozitivele medicale care încorporează un sistem de IA ar putea prezenta riscuri care nu sunt abordate de cerinţele esenţiale de sănătate şi siguranţă prevăzute în legislaţia armonizată relevantă a Uniunii, deoarece legislaţia sectorială respectivă nu abordează riscurile specifice sistemelor de IA. Acest lucru necesită o aplicare simultană şi complementară a diferitelor acte legislative. Pentru a se asigura coerenţa şi a se evita sarcinile administrative şi costurile inutile, furnizorii unui produs care conţine unul sau mai multe sisteme de IA cu grad ridicat de risc, cărora li se aplică cerinţele prezentului regulament şi ale legislaţiei de armonizare a Uniunii bazate pe noul cadru legislativ şi care figurează într-o anexă la prezentul regulament, ar trebui să fie flexibili în ceea ce priveşte deciziile operaţionale cu privire la modul optim de asigurare a conformităţii unui produs care conţine unul sau mai multe sisteme de IA cu toate cerinţele aplicabile din respectiva legislaţie armonizată a Uniunii. Această flexibilitate ar putea însemna, de exemplu, o decizie a furnizorului de a integra o parte a proceselor de testare şi raportare necesare, informaţiile şi documentaţia impuse în temeiul prezentului regulament în documentaţia şi în procedurile deja existente impuse în temeiul legislaţiei de armonizare existente a Uniunii bazate pe noul cadru legislativ şi care figurează într-o anexă la prezentul regulament. Acest lucru nu ar trebui să submineze în niciun fel obligaţia furnizorului de a respecta toate cerinţele aplicabile.

(65)Sistemul de gestionare a riscurilor ar trebui să constea într-un proces iterativ continuu care este preconizat şi derulat pe parcursul întregului ciclu de viaţă al unui sistem de IA cu grad ridicat de risc. Respectivul proces ar trebui să aibă drept scop identificarea şi atenuarea riscurilor relevante reprezentate de sistemele de IA pentru sănătate, siguranţă şi drepturile fundamentale. Sistemul de gestionare a riscurilor ar trebui să fie evaluat şi actualizat periodic pentru a se asigura eficacitatea sa continuă, precum şi justificarea şi documentarea oricăror decizii şi acţiuni semnificative luate în temeiul prezentului regulament. Acest proces ar trebui să garanteze faptul că furnizorul identifică riscurile sau efectele negative şi pune în aplicare măsuri de atenuare pentru riscurile cunoscute şi previzibile în mod rezonabil reprezentate de sistemele de IA pentru sănătate, siguranţă şi drepturile fundamentale, având în vedere scopul preconizat al acestora şi utilizarea necorespunzătoare previzibilă în mod rezonabil ale acestor sisteme, inclusiv posibilele riscuri care decurg din interacţiunea dintre sistemele de IA şi mediul în care funcţionează. Sistemul de gestionare a riscurilor ar trebui să adopte cele mai adecvate măsuri de gestionare a riscurilor, având în vedere stadiul cel mai avansat al tehnologiei în domeniul IA. Atunci când identifică cele mai adecvate măsuri de gestionare a riscurilor, furnizorul ar trebui să documenteze şi să explice alegerile făcute şi, după caz, să implice experţi şi părţi interesate externe. Atunci când identifică utilizarea necorespunzătoare previzibilă în mod rezonabil a sistemelor de IA cu grad ridicat de risc, furnizorul ar trebui să acopere utilizările sistemelor de IA în legătură cu care se poate aştepta în mod rezonabil, să rezulte dintr-un comportament uman uşor previzibil în contextul caracteristicilor specifice şi al utilizării unui anumit sistem de IA, deşi utilizările respective nu sunt acoperite în mod direct de scopul preconizat şi nu sunt prevăzute în instrucţiunile de utilizare. Orice circumstanţe cunoscute sau previzibile legate de utilizarea sistemului de IA cu grad ridicat de risc în conformitate cu scopul său preconizat sau în condiţii de utilizare necorespunzătoare previzibilă în mod rezonabil, care pot conduce la riscuri pentru sănătate şi siguranţă sau pentru drepturile fundamentale, ar trebui să fie incluse în instrucţiunile de utilizare care sunt furnizate de furnizor. Scopul este de a se asigura că implementatorul le cunoaşte şi le ia în considerare atunci când utilizează sistemul de IA cu grad ridicat de risc. Identificarea şi punerea în aplicare a măsurilor de atenuare a riscurilor în caz de utilizare necorespunzătoare previzibilă în temeiul prezentului regulament nu ar trebui să necesite din partea furnizorului antrenare suplimentară specifică pentru sistemul de IA cu grad ridicat de risc pentru a aborda utilizarea necorespunzătoare previzibilă. Cu toate acestea, furnizorii sunt încurajaţi să ia în considerare astfel de măsuri suplimentare de antrenare pentru a atenua utilizările necorespunzătoare previzibile în mod rezonabil, după cum este necesar şi adecvat.

(66)Cerinţele ar trebui să se aplice sistemelor de IA cu grad ridicat de risc în ceea ce priveşte gestionarea riscurilor, calitatea şi relevanţa seturilor de date utilizate, documentaţia tehnică şi păstrarea evidenţelor, transparenţa şi furnizarea de informaţii către implementatori, supravegherea umană, robusteţea, acurateţea şi securitatea cibernetică. Aceste cerinţe sunt necesare pentru a atenua în mod eficace riscurile pentru sănătate, siguranţă şi drepturile fundamentale. Nefiind disponibile în mod rezonabil alte măsuri mai puţin restrictive privind comerţul, respectivele restricţii în calea comerţului nu sunt astfel nejustificate.

(67)Datele de înaltă calitate şi accesul la date de înaltă calitate joacă un rol vital în ceea ce priveşte furnizarea structurii şi asigurarea performanţei multor sisteme de IA, în special atunci când se utilizează tehnici care implică antrenarea modelelor, pentru a se asigura că sistemul de IA cu grad ridicat de risc funcţionează astfel cum s-a prevăzut şi în condiţii de siguranţă şi nu devine o sursă de discriminare, interzisă de dreptul Uniunii. Seturile de date de înaltă calitate de antrenare, de validare şi de testare necesită punerea în aplicare a unor practici adecvate de guvernanţă şi gestionare a datelor. Seturile de date de antrenare, de validare şi de testare, inclusiv etichetele, ar trebui să fie relevante, suficient de reprezentative şi, pe cât posibil, fără erori şi complete, având în vedere scopul preconizat al sistemului. Pentru a facilita respectarea dreptului Uniunii în materie de protecţie a datelor, cum ar fi Regulamentul (UE) 2016/679, practicile de guvernanţă şi gestionare a datelor ar trebui să includă, în cazul datelor cu caracter personal, transparenţa cu privire la scopul iniţial al colectării datelor. Seturile de date ar trebui să aibă, de asemenea, proprietăţile statistice adecvate, inclusiv în ceea ce priveşte persoanele sau grupurile de persoane în legătură cu care se intenţionează să fie utilizat sistemul de IA cu grad ridicat de risc, acordând o atenţie deosebită atenuării posibilelor prejudecăţi din seturile de date, care ar putea afecta sănătatea şi siguranţa persoanelor, ar putea avea un impact negativ asupra drepturilor fundamentale sau ar putea conduce la discriminare interzisă în temeiul dreptului Uniunii, în special în cazul în care datele de ieşire influenţează datele de intrare pentru operaţiunile viitoare ("bucle de feedback"). Prejudecăţile pot fi, de exemplu, inerente seturilor de date subiacente, mai ales când sunt utilizate date istorice, sau pot fi generate în timpul implementării în condiţii reale a sistemelor. Rezultatele produse de sistemele de IA ar putea fi influenţate de aceste prejudecăţi inerente care tind să crească treptat şi astfel să perpetueze şi să amplifice discriminarea existentă, în special pentru persoanele care aparţin anumitor grupuri vulnerabile, inclusiv grupuri rasiale sau etnice. Cerinţa ca seturile de date să fie, pe cât posibil, complete şi fără erori nu ar trebui să afecteze utilizarea tehnicilor de protejare a vieţii private în contextul dezvoltării şi testării sistemelor de IA. În special, seturile de date ar trebui să ţină seama, în măsura în care acest lucru este necesar având în vedere scopul lor preconizat, de particularităţile, caracteristicile sau elementele care sunt specifice cadrului geografic, contextual, comportamental sau funcţional în care este destinat să fie utilizat sistemul de IA. Cerinţele legate de guvernanţa datelor pot fi respectate prin recurgerea la părţi terţe care oferă servicii de conformitate certificate, inclusiv verificarea guvernanţei datelor, a integrităţii seturilor de date şi a practicilor de antrenare, validare şi testare a datelor, în măsura în care este asigurată respectarea cerinţelor în materie de date din prezentul regulament.

(68)Pentru dezvoltarea şi evaluarea sistemelor de IA cu grad ridicat de risc, anumiţi actori, cum ar fi furnizorii, organismele notificate şi alte entităţi relevante, cum ar fi centrele europene de inovare digitală, unităţile de testare şi experimentare şi cercetătorii, ar trebui să poată accesa şi utiliza seturi de date de înaltă calitate în domeniile de activitate ale actorilor respectivi care sunt legate de prezentul regulament. Spaţiile europene comune ale datelor instituite de Comisie şi facilitarea schimbului de date între întreprinderi şi cu administraţiile publice în interes public vor fi esenţiale pentru a oferi un acces de încredere, responsabil şi nediscriminatoriu la date de înaltă calitate pentru antrenarea, validarea şi testarea sistemelor de IA. De exemplu, în domeniul sănătăţii, spaţiul european al datelor privind sănătatea va facilita accesul nediscriminatoriu la datele privind sănătatea şi antrenarea algoritmilor IA cu aceste seturi de date, într-un mod care protejează viaţa privată, sigur, prompt, transparent şi fiabil şi cu o guvernanţă instituţională adecvată. Autorităţile competente relevante, inclusiv cele sectoriale, care furnizează sau sprijină accesul la date pot sprijini, de asemenea, furnizarea de date de înaltă calitate pentru antrenarea, validarea şi testarea sistemelor de IA.

(69)Dreptul la viaţa privată şi la protecţia datelor cu caracter personal trebuie să fie garantat pe parcursul întregului ciclu de viaţă al sistemului de IA. În acest sens, principiile reducerii la minimum a datelor şi protecţiei datelor începând cu momentul conceperii şi în mod implicit, astfel cum sunt prevăzute în dreptul Uniunii privind protecţia datelor, sunt aplicabile atunci când sunt prelucrate date cu caracter personal. Măsurile luate de furnizori pentru a asigura respectarea principiilor respective pot include nu numai anonimizarea şi criptarea, ci şi folosirea unei tehnologii care permite să se aplice algoritmi datelor şi antrenarea sistemelor de IA, fără ca aceste date să fie transmise între părţi şi fără ca înseşi datele primare sau datele structurate să fie copiate, fără a aduce atingere cerinţelor privind guvernanţa datelor prevăzute în prezentul regulament.

(70)Pentru a proteja dreptul altora împotriva discriminării care ar putea rezulta din prejudecăţile inerente sistemelor de IA, furnizorii ar trebui să poată să prelucreze şi categorii speciale de date cu caracter personal, ca o chestiune de interes public major în înţelesul articolului 9 alineatul (2) litera (g) din Regulamentul (UE) 2016/679 şi al articolului 10 alineatul (2) litera (g) din Regulamentul (UE) 2018/1725, în mod excepţional, în măsura în care este strict necesar în scopul asigurării detectării şi corectării prejudecăţilor în legătură cu sistemele de IA cu grad ridicat de risc, sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile fundamentale ale persoanelor fizice şi în urma aplicării tuturor condiţiilor prevăzute în temeiul prezentului regulament în plus faţă de condiţiile prevăzute în Regulamentele (UE) 2016/679 şi (UE) 2018/1725 şi în Directiva (UE) 2016/680.

(71)Deţinerea de informaţii uşor de înţeles cu privire la modul în care au fost dezvoltate sistemele de IA cu grad ridicat de risc şi la modul în care acestea funcţionează pe toată durata lor de viaţă este esenţială pentru a permite trasabilitatea sistemelor respective, pentru a verifica conformitatea cu cerinţele prevăzute în prezentul regulament, precum şi pentru monitorizarea funcţionării lor şi pentru monitorizarea ulterioară introducerii pe piaţă. Acest lucru presupune păstrarea evidenţelor şi disponibilitatea unei documentaţii tehnice care să conţină informaţiile necesare pentru a evalua conformitatea sistemului de IA cu cerinţele relevante şi a facilita monitorizarea ulterioară introducerii pe piaţă. Aceste informaţii ar trebui să includă caracteristicile generale, capabilităţile şi limitările sistemului, algoritmii, datele, procesele de antrenare, testare şi validare utilizate, precum şi documentaţia privind sistemul relevant de gestionare a riscurilor şi ar trebui să fie redactate într-o formă clară şi cuprinzătoare. Documentaţia tehnică ar trebui să fie actualizată permanent şi în mod adecvat pe toată durata de viaţă a sistemului de IA. În plus, sistemele de IA cu grad ridicat de risc ar trebui să permită din punct de vedere tehnic înregistrarea automată a evenimentelor, prin intermediul unor fişiere de jurnalizare, de-a lungul duratei de viaţă a sistemului.

(72)Pentru a răspunde preocupărilor legate de opacitatea şi complexitatea anumitor sisteme de IA şi pentru a-i ajuta pe implementatori să îşi îndeplinească obligaţiile care le revin în temeiul prezentului regulament, ar trebui să fie impusă transparenţa pentru sistemele de IA cu grad ridicat de risc înainte ca acestea să fie introduse pe piaţă sau puse în funcţiune. Sistemele de IA cu grad ridicat de risc ar trebui să fie proiectate astfel încât să le permită implementatorilor să înţeleagă modul în care funcţionează sistemul de IA, să îi evalueze funcţionalitatea şi să îi înţeleagă punctele forte şi limitările. Sistemele de IA cu grad ridicat de risc ar trebui să fie însoţite de informaţii adecvate sub formă de instrucţiuni de utilizare. Astfel de informaţii ar trebui să includă caracteristicile, capabilităţile şi limitările performanţei sistemului de IA. Acestea ar acoperi informaţii privind posibile circumstanţe cunoscute şi previzibile legate de utilizarea sistemului de IA cu grad ridicat de risc, inclusiv acţiuni ale implementatorului care pot influenţa comportamentul şi performanţa sistemului, din cauza cărora sistemul de IA poate genera riscuri pentru sănătate, siguranţă şi drepturile fundamentale, privind modificările care au fost prestabilite şi evaluate din punctul de vedere al conformităţii de către furnizor şi privind măsurile relevante de supraveghere umană, inclusiv măsurile de facilitare a interpretării rezultatelor sistemului de IA de către implementatori. Transparenţa, inclusiv instrucţiunile de utilizare însoţitoare, ar trebui să ajute implementatorii să utilizeze sistemul şi să îi sprijine să ia decizii în cunoştinţă de cauză. Printre altele, implementatorii ar trebui să fie mai în măsură să aleagă corect sistemul pe care intenţionează să îl utilizeze, având în vedere obligaţiile care le sunt aplicabile, să fie informaţi despre utilizările preconizate şi interzise şi să utilizeze sistemul de IA în mod corect şi adecvat. Pentru a spori lizibilitatea şi accesibilitatea informaţiilor incluse în instrucţiunile de utilizare, ar trebui să fie incluse, după caz, exemple ilustrative, de exemplu privind limitările şi utilizările preconizate şi interzise ale sistemului de IA. Furnizorii ar trebui să se asigure că toată documentaţia, inclusiv instrucţiunile de utilizare, conţine informaţii semnificative, cuprinzătoare, accesibile şi uşor de înţeles, ţinând seama de nevoile şi cunoştinţele previzibile ale implementatorilor vizaţi. Instrucţiunile de utilizare ar trebui să fie puse la dispoziţie într-o limbă uşor de înţeles de către implementatorii vizaţi, astfel cum se stabileşte de statul membru în cauză.

(73)Sistemele de IA cu grad ridicat de risc ar trebui să fie concepute şi dezvoltate astfel încât persoanele fizice să poată supraveghea funcţionarea lor şi să se poată asigura că ele sunt utilizate conform destinaţiei lor şi că impactul lor este abordat pe parcursul întregului ciclu de viaţă al sistemului. În acest scop, furnizorul sistemului ar trebui să identifice măsuri adecvate de supraveghere umană înainte de introducerea sa pe piaţă sau de punerea sa în funcţiune. În special, după caz, astfel de măsuri ar trebui să garanteze că sistemul este supus unor constrângeri operaţionale integrate care nu pot fi dezactivate de sistem şi care sunt receptive la operatorul uman şi că persoanele fizice cărora le-a fost încredinţată supravegherea umană au competenţa, pregătirea şi autoritatea necesare pentru îndeplinirea acestui rol. De asemenea, este esenţial, după caz, să se asigure faptul că sistemele de IA cu grad ridicat de risc includ mecanisme de ghidare şi informare a unei persoane fizice căreia i-a fost încredinţată supravegherea umană pentru a lua decizii în cunoştinţă de cauză pentru a stabili dacă, când şi cum să intervină pentru a evita consecinţele negative sau riscurile sau pentru a opri sistemul dacă nu funcţionează astfel cum s-a prevăzut. Având în vedere consecinţele semnificative pentru persoane în cazul unei concordanţe incorecte generate de anumite sisteme de identificare biometrică, este oportun să se prevadă o cerinţă de supraveghere umană mai strictă pentru sistemele respective, astfel încât implementatorul să nu poată lua nicio măsură sau decizie pe baza identificării rezultate din sistem, decât dacă acest lucru a fost verificat şi confirmat separat de cel puţin două persoane fizice. Aceste persoane ar putea proveni de la una sau mai multe entităţi şi ar putea include persoana care operează sau utilizează sistemul. Această cerinţă nu ar trebui să reprezinte o povară inutilă sau să genereze întârzieri inutile şi ar putea fi suficient ca verificările separate efectuate de diferite persoane să fie înregistrate automat în fişierele de jurnalizare generate de sistem. Având în vedere particularităţile din domeniile aplicării legii, migraţiei, controlului la frontiere şi azilului, această cerinţă nu ar trebui să se aplice în cazul în care dreptul Uniunii sau dreptul intern consideră că aplicarea cerinţei respective este disproporţionată.

(74)Sistemele de IA cu grad ridicat de risc ar trebui să funcţioneze în mod consecvent pe parcursul întregului lor ciclu de viaţă şi să atingă un nivel adecvat de acurateţe, robusteţe şi securitate cibernetică, având în vedere scopul lor preconizat şi în conformitate cu stadiul de avansare al tehnologiei general recunoscut. Comisia şi organizaţiile şi părţile interesate relevante sunt încurajate să ţină seama în mod corespunzător de atenuarea riscurilor şi a impacturilor negative ale sistemului de IA. Nivelul preconizat al indicatorilor de performanţă ar trebui să fie declarat în instrucţiunile de utilizare însoţitoare. Furnizorii sunt îndemnaţi să comunice aceste informaţii implementatorilor într-un mod clar şi uşor de înţeles, fără induceri în eroare sau declaraţii înşelătoare. Dreptul Uniunii privind metrologia legală, inclusiv Directivele 2014/31/UE (³⁵) şi 2014/32/UE (³⁶) ale Parlamentului European şi ale Consiliului, urmăreşte să asigure acurateţea măsurătorilor şi să contribuie la transparenţa şi echitatea tranzacţiilor comerciale. În acest context, în cooperare cu părţile interesate şi organizaţiile relevante, cum ar fi autorităţile din domeniul metrologiei şi al etalonării, Comisia ar trebui să încurajeze, după caz, elaborarea unor valori de referinţă şi a unor metodologii de măsurare pentru sistemele de IA. În acest sens, Comisia ar trebui să ţină seama de partenerii internaţionali care lucrează în domeniul metrologiei şi al indicatorilor de măsurare relevanţi referitori la IA şi să colaboreze cu partenerii respectivi.

(75)Robusteţea tehnică este o cerinţă esenţială pentru sistemele de IA cu grad ridicat de risc. Acestea ar trebui să fie reziliente în raport cu comportamentul prejudiciabil sau altfel indezirabil, care poate rezulta din limitările din cadrul sistemelor sau al mediului în care funcţionează sistemele (de exemplu, erori, defecţiuni, inconsecvenţe, situaţii neprevăzute). Prin urmare, ar trebui să fie luate măsuri tehnice şi organizatorice pentru a asigura robusteţea sistemelor de IA cu grad ridicat de risc, de exemplu prin proiectarea şi dezvoltarea de soluţii tehnice adecvate pentru a preveni sau a reduce la minimum comportamentul prejudiciabil sau altfel indezirabil în alt mod. Soluţiile tehnice respective pot include, de exemplu, mecanisme care permit sistemului să îşi întrerupă funcţionarea în condiţii de siguranţă (planuri de autoprotecţie) în prezenţa anumitor anomalii sau atunci când funcţionarea are loc în afara anumitor limite prestabilite. Incapacitatea de a asigura protecţia împotriva acestor riscuri ar putea avea un impact asupra siguranţei sau ar putea afecta în mod negativ drepturile fundamentale, de exemplu din cauza unor decizii eronate sau a unor rezultate greşite sau distorsionate de prejudecăţi generate de sistemul de IA.

(76)Securitatea cibernetică joacă un rol esenţial în asigurarea rezilienţei sistemelor de IA împotriva încercărilor de modificare a utilizării, a comportamentului, a performanţei sau de compromitere a proprietăţilor lor de securitate de către părţi terţe răuvoitoare care exploatează vulnerabilităţile sistemului. Atacurile cibernetice împotriva sistemelor de IA se pot folosi de active specifice de IA, cum ar fi seturi de date de antrenament (de exemplu, otrăvirea datelor) sau modele antrenate (de exemplu, atacuri contradictorii sau inferenţe din datele membrilor - membership inference), sau pot exploata vulnerabilităţile activelor digitale ale sistemului de IA sau ale infrastructurii TIC subiacente. Pentru a asigura un nivel de securitate cibernetică adecvat riscurilor, furnizorii de sisteme de IA cu grad ridicat de risc ar trebui, prin urmare, să ia măsuri adecvate, cum ar fi controalele de securitate, ţinând seama, după caz, şi de infrastructura TIC subiacentă.

(77)Fără a aduce atingere cerinţelor legate de robusteţe şi acurateţe prevăzute în prezentul regulament, sistemele de IA cu grad ridicat de risc care intră în domeniul de aplicare al Regulamentului Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale, în conformitate cu regulamentul respectiv, pot demonstra conformitatea cu cerinţele de securitate cibernetică prevăzute în prezentul regulament prin îndeplinirea cerinţelor esenţiale de securitate cibernetică prevăzute în regulamentul respectiv. Atunci când îndeplinesc cerinţele esenţiale ale Regulamentului Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale, sistemele de IA cu grad ridicat de risc ar trebui să fie considerate conforme cu cerinţele de securitate cibernetică prevăzute în prezentul regulament, în măsura în care îndeplinirea cerinţelor respective este demonstrată în declaraţia de conformitate UE sau în părţi ale acesteia emise în temeiul regulamentului respectiv. În acest scop, evaluarea riscurilor în materie de securitate cibernetică asociate unui produs cu elemente digitale clasificat drept sistem de IA cu grad ridicat de risc în conformitate cu prezentul regulament, efectuată în temeiul Regulamentului Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale, ar trebui să ia în considerare riscurile la adresa rezilienţei cibernetice a unui sistem de IA în ceea ce priveşte încercările unor părţi terţe neautorizate de a-i modifica utilizarea, comportamentul sau performanţa, inclusiv vulnerabilităţile specifice IA, cum ar fi otrăvirea datelor sau atacurile contradictorii, precum şi, după caz, riscurile la adresa drepturilor fundamentale, astfel cum se prevede în prezentul regulament.

(78)Procedura de evaluare a conformităţii prevăzută de prezentul regulament ar trebui să se aplice în ceea ce priveşte cerinţele esenţiale în materie de securitate cibernetică ale unui produs cu elemente digitale care intră sub incidenţa Regulamentului Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale şi clasificat drept sistem de IA cu grad ridicat de risc în temeiul prezentului regulament. Totuşi, această regulă nu ar trebui să conducă la reducerea nivelului necesar de asigurare pentru produsele critice cu elemente digitale care intră sub incidenţa Regulamentului Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale. Prin urmare, prin derogare de la această regulă, sistemele de IA cu grad ridicat de risc care intră în domeniul de aplicare al prezentului regulament şi care sunt calificate, de asemenea, drept produse importante şi critice cu elemente digitale în temeiul Regulamentului Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale şi cărora li se aplică procedura de evaluare a conformităţii bazată pe control intern prevăzută într-o anexă la prezentul regulament fac obiectul dispoziţiilor privind evaluarea conformităţii din Regulamentul Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale în ceea ce priveşte cerinţele esenţiale în materie de securitate cibernetică din regulamentul respectiv. În acest caz, pentru toate celelalte aspecte reglementate de prezentul regulament ar trebui să se aplice dispoziţiile respective privind evaluarea conformităţii bazate pe control intern prevăzute într-o anexă la prezentul regulament. Valorificând cunoaşterea şi cunoştinţele de specialitate din ENISA în ceea ce priveşte politica în materie de securitate cibernetică şi sarcinile atribuite ENISA în temeiul Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului (³⁷), Comisia ar trebui să coopereze cu ENISA în ceea ce priveşte aspectele legate de securitatea cibernetică a sistemelor de IA.

(80)În calitate de semnatare ale Convenţiei Naţiunilor Unite privind drepturile persoanelor cu dizabilităţi, Uniunea şi statele membre sunt obligate din punct de vedere juridic să protejeze persoanele cu dizabilităţi împotriva discriminării şi să promoveze egalitatea acestora, să se asigure că persoanele cu dizabilităţi au acces, în condiţii de egalitate cu ceilalţi, la tehnologiile şi sistemele informaţiei şi comunicaţiilor şi să garanteze respectarea vieţii private a persoanelor cu dizabilităţi. Având în vedere importanţa şi utilizarea în creştere a sistemelor de IA, aplicarea principiilor proiectării universale la toate noile tehnologii şi servicii ar trebui să asigure accesul deplin şi egal al tuturor persoanelor potenţial afectate de tehnologiile IA sau care utilizează aceste tehnologii, inclusiv al persoanelor cu dizabilităţi, într-un mod care să ţină seama pe deplin de demnitatea şi diversitatea lor inerentă. Prin urmare, este esenţial ca furnizorii să asigure conformitatea deplină cu cerinţele de accesibilitate, inclusiv cu Directiva (UE) 2016/2102 a Parlamentului European şi a Consiliului (³⁸) şi cu Directiva (UE) 2019/882. Furnizorii ar trebui să asigure conformitatea cu aceste cerinţe din faza de proiectare. Prin urmare, măsurile necesare ar trebui să fie integrate cât mai mult posibil în proiectarea sistemului de IA cu grad ridicat de risc.

(81)Furnizorul ar trebui să instituie un sistem bine pus la punct de management al calităţii, să asigure realizarea procedurii necesare de evaluare a conformităţii, să întocmească documentaţia relevantă şi să instituie un sistem solid de monitorizare după introducerea pe piaţă. Furnizorii de sisteme de IA cu grad ridicat de risc care fac obiectul unor obligaţii privind sistemele de management al calităţii în temeiul dreptului sectorial relevant al Uniunii ar trebui să aibă posibilitatea de a include elementele sistemului de management al calităţii prevăzut în prezentul regulament ca parte a sistemului existent de management al calităţii prevăzut în respectivul drept sectorial al Uniunii. Complementaritatea dintre prezentul regulament şi dreptul sectorial existent al Uniunii ar trebui, de asemenea, să fie luată în considerare în viitoarele activităţi de standardizare sau orientări adoptate de Comisie. Autorităţile publice care pun în funcţiune sisteme de IA cu grad ridicat de risc pentru uzul propriu pot adopta şi pune în aplicare norme privind sistemul de management al calităţii ca parte a sistemului de management al calităţii adoptat la nivel naţional sau regional, după caz, ţinând seama de particularităţile sectorului şi de competenţele şi organizarea autorităţii publice în cauză.

(82)Pentru a permite aplicarea prezentului regulament şi pentru a crea condiţii de concurenţă echitabile pentru operatori şi ţinând seama de diferitele forme de punere la dispoziţie a produselor digitale, este important să se asigure că, în toate circumstanţele, o persoană stabilită în Uniune poate furniza autorităţilor toate informaţiile necesare cu privire la conformitatea unui sistem de IA. Prin urmare, înainte de a-şi pune la dispoziţie sistemele de IA în Uniune, furnizorii stabiliţi în ţări terţe ar trebui să desemneze, prin mandat scris, un reprezentant autorizat stabilit în Uniune. Respectivul reprezentant autorizat joacă un rol central în asigurarea conformităţii sistemelor de IA cu grad ridicat de risc introduse pe piaţă sau puse în funcţiune în Uniune de furnizorii respectivi care nu sunt stabiliţi în Uniune şi în îndeplinirea rolului de persoană de contact a acestora stabilită în Uniune.

(83)Având în vedere natura şi complexitatea lanţului valoric pentru sistemele de IA şi în conformitate cu noul cadru legislativ, este esenţial să se asigure securitatea juridică şi să se faciliteze respectarea prezentului regulament. Prin urmare, este necesar să se clarifice rolul şi obligaţiile specifice ale operatorilor relevanţi de-a lungul lanţului valoric respectiv, cum ar fi importatorii şi distribuitorii care pot contribui la dezvoltarea sistemelor de IA. În anumite situaţii, operatorii respectivi ar putea acţiona în mai multe roluri în acelaşi timp şi, prin urmare, ar trebui să îndeplinească în mod cumulativ toate obligaţiile relevante asociate rolurilor respective. De exemplu, un operator ar putea acţiona în acelaşi timp ca distribuitor şi ca importator.

(84)Pentru a se asigura securitatea juridică, este necesar să se clarifice că, în anumite condiţii specifice, orice distribuitor, importator, implementator sau altă parte terţă ar trebui să fie considerat drept furnizor al unui sistem de IA cu grad ridicat de risc şi, prin urmare, să îşi asume toate obligaţiile relevante. Acest lucru ar fi valabil dacă partea respectivă îşi pune numele sau marca comercială pe un sistem de IA cu grad ridicat de risc deja introdus pe piaţă sau pus în funcţiune, fără a aduce atingere dispoziţiilor contractuale care prevăd că obligaţiile sunt alocate în alt mod. Acest lucru ar fi valabil şi dacă partea respectivă aduce o modificare substanţială unui sistem de IA cu grad ridicat de risc care a fost deja introdus pe piaţă sau a fost deja pus în funcţiune şi într-un mod în care acesta rămâne un sistem de IA cu grad ridicat de risc în conformitate cu prezentul regulament sau dacă modifică scopul preconizat al unui sistem de IA, inclusiv al unui sistem de IA de uz general, care nu a fost clasificat ca prezentând un grad ridicat de risc şi care a fost deja introdus pe piaţă sau pus în funcţiune, într-un mod în care sistemul de IA devine un sistem de IA cu grad ridicat de risc în conformitate cu prezentul regulament. Aceste dispoziţii ar trebui să se aplice fără a aduce atingere dispoziţiilor mai specifice stabilite în anumite acte legislative de armonizare ale Uniunii întemeiate pe noul cadru legislativ, împreună cu care ar trebui să se aplice prezentul regulament. De exemplu, articolul 16 alineatul (2) din Regulamentul (UE) 2017/745, care stabileşte că anumite modificări nu ar trebui să fie considerate modificări ale unui dispozitiv care ar putea afecta conformitatea acestuia cu cerinţele aplicabile, ar trebui să se aplice în continuare sistemelor de IA cu grad ridicat de risc care sunt dispozitive medicale în sensul regulamentului respectiv.

(85)Sistemele de IA de uz general pot fi utilizate în sine ca sisteme de IA cu grad ridicat de risc sau pot fi componente ale altor sisteme de IA cu grad ridicat de risc. Prin urmare, având în vedere natura lor specifică şi pentru a asigura o partajare echitabilă a responsabilităţilor de-a lungul lanţului valoric al IA, furnizorii de astfel de sisteme ar trebui, indiferent dacă pot fi utilizate ca sisteme de IA cu grad ridicat de risc ca atare de alţi furnizori sau drept componente ale unor sisteme de IA cu grad ridicat de risc şi cu excepţia cazului în care se prevede altfel în prezentul regulament, să coopereze îndeaproape cu furnizorii sistemelor de IA cu grad ridicat de risc relevante pentru a permite respectarea de către acestea a obligaţiilor relevante în temeiul prezentului regulament şi cu autorităţile competente instituite în temeiul prezentului regulament.

(86)În cazul în care, în condiţiile prevăzute în prezentul regulament, furnizorul care a introdus iniţial sistemul de IA pe piaţă sau l-a pus în funcţiune nu ar mai trebui să fie considerat furnizor în sensul prezentului regulament şi în cazul în care furnizorul respectiv nu a exclus în mod expres schimbarea sistemului de IA într-un sistem de IA cu grad ridicat de risc, primul furnizor ar trebui totuşi să coopereze îndeaproape, să pună la dispoziţie informaţiile necesare şi să furnizeze accesul tehnic şi alte tipuri de asistenţă preconizate în mod rezonabil care sunt necesare pentru îndeplinirea obligaţiilor prevăzute în prezentul regulament, în special în ceea ce priveşte respectarea cerinţelor privind evaluarea conformităţii sistemelor de IA cu grad ridicat de risc.

(87)În plus, în cazul în care un sistem de IA cu grad ridicat de risc care este o componentă de siguranţă a unui produs care intră în domeniul de aplicare al legislaţiei de armonizare a Uniunii întemeiate pe noul cadru legislativ nu este introdus pe piaţă sau pus în funcţiune independent de produs, fabricantul produsului definit în legislaţia respectivă ar trebui să respecte obligaţiile furnizorului stabilite în prezentul regulament şi ar trebui, în special, să se asigure că sistemul de IA încorporat în produsul final respectă cerinţele prezentului regulament.

(88)De-a lungul lanţului valoric al IA, numeroase părţi furnizează adesea sisteme, instrumente şi servicii de IA, dar şi componente sau procese care sunt încorporate de furnizor în sistemul de IA, cu diferite obiective, inclusiv antrenarea modelelor, reconversia modelelor, testarea şi evaluarea modelelor, integrarea în software sau alte aspecte ale dezvoltării de modele. Respectivele părţi au un rol important în lanţul valoric faţă de furnizorul sistemului de IA cu grad ridicat de risc în care sunt integrate sistemele, instrumentele, serviciile, componentele sau procesele lor de IA şi ar trebui să îi ofere acestui furnizor, printr-un acord scris, informaţiile, capabilităţile, accesul tehnic şi alte tipuri de asistenţă necesare bazate pe stadiul de avansare al tehnologiei general recunoscut, pentru a permite furnizorului să respecte pe deplin obligaţiile prevăzute în prezentul regulament, fără a-şi compromite propriile drepturi de proprietate intelectuală sau secrete comerciale.

(89)Părţile terţe care pun la dispoziţia publicului instrumente, servicii, procese sau componente de IA, altele decât modelele de IA de uz general, ar trebui să nu fie obligate să respecte cerinţe care vizează responsabilităţile de-a lungul lanţului valoric al IA, în special faţă de furnizorul care le-a utilizat sau le-a integrat, atunci când aceste instrumente, servicii, procese sau componente de IA sunt puse la dispoziţie sub licenţă liberă şi deschisă. Dezvoltatorii de instrumente, servicii, procese sau componente de IA libere şi cu sursă deschisă, altele decât modelele de IA de uz general, ar trebui să fie încurajaţi să pună în aplicare practici de documentare adoptate pe scară largă, cum ar fi carduri însoţitoare ale modelelor şi fişe de date, ca modalitate de a accelera schimbul de informaţii de-a lungul lanţului valoric al IA, permiţând promovarea unor sisteme de IA fiabile în Uniune.

(90)Comisia ar putea elabora şi recomanda un model voluntar de clauze contractuale între furnizorii de sisteme de IA cu grad ridicat de risc şi părţile terţe care furnizează instrumente, servicii, componente sau procese care sunt utilizate sau integrate în sistemele de IA cu grad ridicat de risc, pentru a facilita cooperarea de-a lungul lanţului valoric. Atunci când elaborează modelul voluntar de clauze contractuale, Comisia ar trebui să ia în considerare şi eventualele cerinţe contractuale aplicabile în anumite sectoare sau situaţii economice.

(91)Având în vedere natura sistemelor de IA şi riscurile la adresa siguranţei şi a drepturilor fundamentale care pot fi asociate cu utilizarea lor, inclusiv în ceea ce priveşte necesitatea de a asigura o monitorizare adecvată a performanţei unui sistem de IA într-un context real, este oportun să se stabilească responsabilităţi specifice pentru implementatori. Implementatorii ar trebui, în special, să ia măsurile tehnice şi organizatorice adecvate pentru a se asigura că utilizează sisteme de IA cu grad ridicat de risc în conformitate cu instrucţiunile de utilizare şi ar trebui să fie prevăzute şi alte obligaţii în ceea ce priveşte monitorizarea funcţionării sistemelor de IA şi păstrarea evidenţelor, după caz. În plus, implementatorii ar trebui să se asigure că persoanele desemnate să pună în aplicare instrucţiunile de utilizare şi supravegherea umană, astfel cum sunt prevăzute în prezentul regulament, au competenţa necesară, în special un nivel adecvat de alfabetizare, formare şi autoritate în domeniul IA pentru a îndeplini în mod corespunzător sarcinile respective. Respectivele obligaţii nu ar trebui să aducă atingere altor obligaţii ale implementatorilor în ceea ce priveşte sistemele de IA cu grad ridicat de risc în temeiul dreptului Uniunii sau al dreptului intern.

(92)Prezentul regulament nu aduce atingere obligaţiilor angajatorilor de a informa sau de a informa şi consulta lucrătorii sau reprezentanţii acestora în temeiul dreptului şi al practicilor Uniunii sau naţionale, inclusiv al Directivei 2002/14/CE a Parlamentului European şi a Consiliului (³⁹), cu privire la deciziile de punere în funcţiune sau de utilizare a sistemelor de IA. Este în continuare necesar să se asigure informarea lucrătorilor şi a reprezentanţilor acestora cu privire la implementarea planificată a sistemelor de IA cu grad ridicat de risc la locul de muncă în cazul în care nu sunt îndeplinite condiţiile pentru respectivele obligaţii de informare sau de informare şi consultare prevăzute în alte instrumente juridice. În plus, un astfel de drept la informare este auxiliar şi necesar în raport cu obiectivul de protecţie a drepturilor fundamentale care stă la baza prezentului regulament. Prin urmare, prezentul regulament ar trebui să prevadă o cerinţă de informare în acest sens, fără a afecta drepturile existente ale lucrătorilor.

(93)Deşi riscurile legate de sistemele de IA pot rezulta din modul în care sunt proiectate sistemele respective, pot decurge riscuri şi din modul în care aceste sisteme de IA sunt utilizate. Prin urmare, implementatorii sistemelor de IA cu grad ridicat de risc joacă un rol esenţial în garantarea faptului că drepturile fundamentale sunt protejate, completând obligaţiile furnizorului la dezvoltarea sistemului de IA. Implementatorii sunt cei mai în măsură să înţeleagă modul în care sistemul de IA cu grad ridicat de risc va fi utilizat concret şi, prin urmare, pot identifica potenţialele riscuri semnificative care nu au fost prevăzute în faza de dezvoltare, datorită cunoaşterii mai exacte a contextului de utilizare, a persoanelor sau a grupurilor de persoane care ar putea fi afectate, inclusiv a grupurilor vulnerabile. Implementatorii de sisteme de IA cu grad ridicat de risc enumerate într-o anexă la prezentul regulament joacă, de asemenea, un rol esenţial în informarea persoanelor fizice şi ar trebui, atunci când iau decizii sau contribuie la luarea deciziilor referitoare la persoane fizice, după caz, să informeze persoanele fizice că fac obiectul utilizării sistemului de IA cu grad ridicat de risc. Aceste informaţii ar trebui să includă scopul urmărit şi tipul de decizii luate. Implementatorul ar trebui, de asemenea, să informeze persoanele fizice cu privire la dreptul lor la o explicaţie furnizată în temeiul prezentului regulament. În ceea ce priveşte sistemele de IA cu grad ridicat de risc utilizate în scopul aplicării legii, această obligaţie ar trebui să fie pusă în aplicare în conformitate cu articolul 13 din Directiva (UE) 2016/680.

(94)Orice prelucrare a datelor biometrice implicate în utilizarea sistemelor de IA pentru identificarea biometrică în scopul aplicării legii trebuie să respecte articolul 10 din Directiva (UE) 2016/680, care permite o astfel de prelucrare numai atunci când este strict necesară, sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile persoanei vizate, şi atunci când este autorizată de dreptul Uniunii sau de dreptul intern. O astfel de utilizare, atunci când este autorizată, trebuie, de asemenea, să respecte principiile prevăzute la articolul 4 alineatul (1) din Directiva (UE) 2016/680, inclusiv legalitatea, echitatea şi transparenţa, limitarea scopului, exactitatea şi limitarea stocării.

(95)Fără a aduce atingere dreptului aplicabil al Uniunii, în special Regulamentului (UE) 2016/679 şi Directivei (UE) 2016/680, având în vedere caracterul intruziv al sistemelor de identificare biometrică la distanţă ulterioară, utilizarea sistemelor de identificare biometrică la distanţă ulterioară ar trebui să facă obiectul unor garanţii. Sistemele de identificare biometrică la distanţă ulterioară ar trebui să fie utilizate întotdeauna într-un mod proporţional, legitim şi strict necesar şi, prin urmare, adaptat, în ceea ce priveşte persoanele care urmează să fie identificate, localizarea, acoperirea temporală şi pe baza unui set de date închis de înregistrări video obţinute în mod legal. În orice caz, sistemele de identificare biometrică la distanţă ulterioară nu ar trebui să fie utilizate în cadrul aplicării legii pentru a conduce la o supraveghere arbitrară. Condiţiile pentru identificarea biometrică la distanţă ulterioară nu ar trebui, în niciun caz, să ofere o bază pentru a eluda condiţiile interdicţiei şi excepţiile stricte pentru identificarea biometrică la distanţă în timp real.

(96)Pentru a se asigura în mod eficient că drepturile fundamentale sunt protejate, implementatorii de sisteme de IA cu grad ridicat de risc care sunt organisme de drept public sau entităţile private care furnizează servicii publice şi implementatorii care implementează anumite sisteme de IA cu grad ridicat de risc enumerate într-o anexă la prezentul regulament, cum ar fi entităţile bancare sau de asigurări, ar trebui să efectueze o evaluare a impactului asupra drepturilor fundamentale înainte de a pune aceste sisteme în funcţiune. Serviciile importante pentru persoanele fizice care sunt de natură publică pot fi furnizate şi de entităţi private. Entităţile private care furnizează astfel de servicii publice sunt legaţi de sarcini de interes public, cum ar fi în domeniul educaţiei, al îngrijirilor de sănătate, al serviciilor sociale, al locuinţelor, al administrării justiţiei. Scopul evaluării impactului asupra drepturilor fundamentale este ca implementatorul să identifice riscurile specifice pentru drepturile persoanelor sau ale grupurilor de persoane care ar putea fi afectate şi să identifice măsurile care trebuie luate în cazul materializării riscurilor respective. Evaluarea impactului ar trebui să fie efectuată înainte de implementarea sistemului de IA cu grad ridicat de risc şi ar trebui să fie actualizată atunci când implementatorul consideră că oricare dintre factorii relevanţi s-au schimbat. Evaluarea impactului ar trebui să identifice procesele relevante ale implementatorului în care sistemul de IA cu grad ridicat de risc va fi utilizat în conformitate cu scopul său preconizat şi ar trebui să includă o descriere a perioadei de timp şi a frecvenţei în care se intenţionează utilizarea sistemului, precum şi a categoriilor specifice de persoane fizice şi grupuri care sunt susceptibile de a fi afectate în contextul specific de utilizare. Evaluarea ar trebui să includă, de asemenea, identificarea riscurilor specifice de prejudiciu care ar putea avea un impact asupra drepturilor fundamentale ale persoanelor sau grupurilor respective. Atunci când efectuează această evaluare, implementatorul ar trebui să ţină seama de informaţiile relevante pentru o evaluare adecvată a impactului, inclusiv de informaţiile furnizate de furnizorul sistemului de IA cu grad ridicat de risc în instrucţiunile de utilizare, dar fără a se limita la aceste informaţii. Având în vedere riscurile identificate, implementatorii ar trebui să stabilească măsurile care trebuie luate în cazul materializării acestor riscuri, inclusiv, de exemplu, mecanisme de guvernanţă în acest context specific de utilizare, cum ar fi mecanisme de supraveghere umană în conformitate cu instrucţiunile de utilizare sau proceduri de tratare a plângerilor şi proceduri aferente măsurilor reparatorii, deoarece acestea ar putea fi esenţiale pentru atenuarea riscurilor la adresa drepturilor fundamentale în cazuri concrete de utilizare. După efectuarea respectivei evaluări a impactului, implementatorul ar trebui să îi notifice acest lucru autorităţii relevante de supraveghere a pieţei. După caz, pentru a colecta informaţiile relevante necesare pentru efectuarea evaluării impactului, implementatorii de sisteme de IA cu grad ridicat de risc, în special atunci când sistemele de IA sunt utilizate în sectorul public, ar putea implica părţile interesate relevante, inclusiv reprezentanţii grupurilor de persoane susceptibile de a fi afectate de sistemul de IA, experţii independenţi şi organizaţiile societăţii civile în efectuarea unor astfel de evaluări ale impactului şi în conceperea măsurilor care trebuie luate în cazul materializării riscurilor. Oficiul european pentru inteligenţa artificială (Oficiul pentru IA) ar trebui să elaboreze un model de chestionar pentru a facilita conformitatea şi a reduce sarcina administrativă pentru implementatori.

(97)Noţiunea de modele de IA de uz general ar trebui să fie definită în mod clar şi separată de noţiunea de sisteme de IA pentru a asigura securitatea juridică. Definiţia ar trebui să se bazeze pe caracteristicile funcţionale esenţiale ale unui model de IA de uz general, în special pe generalitate şi pe capabilitatea de a îndeplini în mod competent o gamă largă de sarcini distincte. Aceste modele sunt, de regulă, antrenate pe volume mari de date, prin diverse metode, cum ar fi învăţarea autosupravegheată, nesupravegheată sau prin întărire. Modelele de IA de uz general pot fi introduse pe piaţă în diferite moduri, inclusiv prin biblioteci, interfeţe de programare a aplicaţiilor (API), sub formă de descărcare directă sau sub formă de copie fizică. Aceste modele pot fi modificate suplimentar sau calibrate şi astfel transformate în modele noi. Deşi modelele de IA sunt componente esenţiale ale sistemelor de IA, ele nu constituie sisteme de IA în sine. Modelele de IA necesită adăugarea de componente suplimentare, cum ar fi, de exemplu, o interfaţă cu utilizatorul, pentru a deveni sisteme de IA. Modelele de IA sunt, de regulă, integrate în sistemele de IA şi fac parte din acestea. Prezentul regulament prevede norme specifice pentru modelele de IA de uz general şi pentru modelele de IA de uz general care prezintă riscuri sistemice, norme care ar trebui să se aplice şi atunci când aceste modele sunt integrate sau fac parte dintr-un sistem de IA. Ar trebui să se înţeleagă că obligaţiile furnizorilor de modele de IA de uz general ar trebui să se aplice odată ce modelele de IA de uz general sunt introduse pe piaţă. Atunci când furnizorul unui model de IA de uz general integrează un model propriu în propriul sistem de IA care este pus la dispoziţie pe piaţă sau pus în funcţiune, modelul respectiv ar trebui să fie considerat ca fiind introdus pe piaţă şi, prin urmare, obligaţiile prevăzute în prezentul regulament pentru modele ar trebui să se aplice în continuare în plus faţă de cele pentru sistemele de IA. Obligaţiile stabilite pentru modele nu ar trebui în niciun caz să se aplice atunci când un model propriu este utilizat pentru procese pur interne care nu sunt esenţiale pentru furnizarea unui produs sau a unui serviciu către terţi, iar drepturile persoanelor fizice nu sunt afectate. Având în vedere potenţialele lor efecte negative semnificative, modelele de IA de uz general cu risc sistemic ar trebui să facă întotdeauna obiectul obligaţiilor relevante în temeiul prezentului regulament. Definiţia nu ar trebui să acopere modelele de IA utilizate înainte de introducerea lor pe piaţă în scopul unic al activităţilor de cercetare, dezvoltare şi creare de prototipuri. Acest lucru nu aduce atingere obligaţiei de a se conforma prezentului regulament atunci când, în urma unor astfel de activităţi, se introduce pe piaţă un model.

(101)Furnizorii de modele de IA de uz general au un rol şi o responsabilitate deosebite de-a lungul lanţului valoric al IA, deoarece modelele pe care le furnizează pot constitui baza pentru o serie de sisteme din aval, adesea furnizate de furnizori din aval care au nevoie de o bună înţelegere a modelelor şi a capabilităţilor acestora, atât pentru a permite integrarea unor astfel de modele în produsele lor, cât şi pentru a-şi îndeplini obligaţiile care le revin în temeiul prezentului regulament sau al altor regulamente. Prin urmare, ar trebui să fie stabilite măsuri proporţionale de transparenţă, inclusiv întocmirea şi ţinerea la zi a documentaţiei, precum şi furnizarea de informaţii privind modelul de IA de uz general pentru utilizarea sa de către furnizorii din aval. Documentaţia tehnică ar trebui să fie pregătită şi ţinută la zi de către furnizorul modelului de IA de uz general în scopul de a o pune, la cerere, la dispoziţia Oficiului pentru IA şi a autorităţilor naţionale competente. Setul minim de elemente care trebuie incluse în această documentaţie ar trebui să fie stabilit în anexele specifice la prezentul regulament. Comisia ar trebui să fie împuternicită să modifice anexele respective prin intermediul unor acte delegate în funcţie de evoluţiile tehnologice.

(102)Software-ul şi datele, inclusiv modelele, lansate sub licenţă liberă şi cu sursă deschisă care le permite să fie partajate în mod deschis şi pe care utilizatorii le pot accesa, utiliza, modifica şi redistribui liber sau versiuni modificate ale acestora, pot contribui la cercetare şi inovare pe piaţă şi pot oferi oportunităţi semnificative de creştere pentru economia Uniunii. Ar trebui să se considere că modelele de IA de uz general lansate sub licenţe libere şi cu sursă deschisă asigură niveluri ridicate de transparenţă şi deschidere dacă parametrii lor, inclusiv ponderile, informaţiile privind arhitectura modelului şi informaţiile privind utilizarea modelului, sunt puşi la dispoziţia publicului. Licenţa ar trebui să fie considerată ca fiind liberă şi cu sursă deschisă şi atunci când le permite utilizatorilor să ruleze, să copieze, să distribuie, să studieze, să modifice şi să îmbunătăţească software-ul şi datele, inclusiv modelele, cu condiţia ca furnizorul iniţial al modelului să fie menţionat şi ca termenii de distribuţie identici sau comparabili să fie respectaţi.

(103)Componentele de IA libere şi cu sursă deschisă acoperă software-ul şi datele, inclusiv modelele şi modelele, instrumentele, serviciile sau procesele de IA de uz general ale unui sistem de IA. Componentele de IA libere şi cu sursă deschisă pot fi furnizate prin diferite canale, inclusiv prin dezvoltarea lor în depozite deschise. În sensul prezentului regulament, componentele de IA care sunt furnizate contra unui preţ sau monetizate în alt mod, inclusiv prin furnizarea de sprijin tehnic sau de alte servicii, inclusiv prin intermediul unei platforme software, legate de componenta de IA, sau utilizarea datelor cu caracter personal din alte motive decât în scopul exclusiv de îmbunătăţire a securităţii, a compatibilităţii sau a interoperabilităţii software-ului, cu excepţia tranzacţiilor dintre microîntreprinderi, nu ar trebui să beneficieze de excepţiile prevăzute pentru componentele de IA libere şi cu sursă deschisă. Punerea la dispoziţie a componentelor de IA prin intermediul depozitelor deschise nu ar trebui, în sine, să constituie o monetizare.

(104)Furnizorii de modele de IA de uz general care sunt lansate sub licenţă liberă şi cu sursă deschisă şi ai căror parametri, inclusiv ponderile, informaţiile privind arhitectura modelului şi informaţiile privind utilizarea modelului, sunt puşi la dispoziţia publicului ar trebui să facă obiectul unor excepţii în ceea ce priveşte cerinţele legate de transparenţă impuse modelelor de IA de uz general, cu excepţia cazului în care se poate considera că prezintă un risc sistemic, caz în care circumstanţa că modelul este transparent şi însoţit de o licenţă cu sursă deschisă nu ar trebui să fie considerată un motiv suficient pentru a exclude respectarea obligaţiilor prevăzute în prezentul regulament. În orice caz, având în vedere că lansarea modelelor de IA de uz general sub licenţă liberă şi cu sursă deschisă nu dezvăluie neapărat informaţii substanţiale cu privire la setul de date utilizat pentru antrenarea sau calibrarea modelului şi la modul în care a fost astfel asigurată conformitatea cu dreptul privind drepturile de autor, excepţia prevăzută pentru modelele de IA de uz general de la respectarea cerinţelor legate de transparenţă nu ar trebui să se refere la obligaţia de a prezenta un rezumat cu privire la conţinutul utilizat pentru antrenarea modelelor şi la obligaţia de a institui o politică de respectare a dreptului Uniunii privind drepturile de autor, în special pentru a identifica şi a respecta rezervarea drepturilor în temeiul articolului 4 alineatul (3) din Directiva (UE) 2019/790 a Parlamentului European şi a Consiliului (⁴⁰).

(105)Modelele de IA de uz general, în special modelele de IA generative de mari dimensiuni, capabile să genereze text, imagini şi alte conţinuturi, prezintă oportunităţi unice de inovare, dar şi provocări pentru artişti, autori şi alţi creatori şi pentru modul în care conţinutul lor creativ este creat, distribuit, utilizat şi consumat. Dezvoltarea şi antrenarea unor astfel de modele necesită acces la volume mari de text, imagini, materiale video şi alte date. Tehnicile de extragere a textului şi a datelor pot fi utilizate pe scară largă în acest context pentru obţinerea şi analizarea unui astfel de conţinut, care poate fi protejat prin drepturi de autor şi drepturi conexe. Orice utilizare a unui conţinut protejat prin drepturi de autor necesită autorizare din partea titularului de drepturi în cauză, cu excepţia cazului în care se aplică excepţii şi limitări relevante ale drepturilor de autor. Directiva (UE) 2019/790 a introdus excepţii şi limitări care permit reproduceri şi extrageri ale operelor sau ale altor obiecte protejate, în scopul extragerii de text şi de date, în anumite condiţii. În temeiul acestor norme, titularii de drepturi pot alege să îşi rezerve drepturile asupra operelor lor sau asupra altor obiecte protejate ale lor pentru a preveni extragerea de text şi de date, cu excepţia cazului în care acest lucru se face în scopul cercetării ştiinţifice. În cazul în care drepturile de neparticipare au fost rezervate în mod expres într-un mod adecvat, furnizorii de modele de IA de uz general trebuie să obţină o autorizaţie din partea titularilor de drepturi dacă doresc să efectueze extragere de text şi de date din astfel de opere.

(106)Furnizorii care introduc modele de IA de uz general pe piaţa Uniunii ar trebui să asigure respectarea obligaţiilor relevante prevăzute în prezentul regulament. În acest scop, furnizorii de modele de IA de uz general ar trebui să instituie o politică de respectare a dreptului Uniunii privind drepturile de autor şi drepturile conexe, în special pentru a identifica şi a respecta rezervarea drepturilor exprimată de titularii de drepturi în temeiul articolului 4 alineatul (3) din Directiva (UE) 2019/790. Orice furnizor care introduce un model de IA de uz general pe piaţa Uniunii ar trebui să respecte această obligaţie, indiferent de jurisdicţia în care au loc actele relevante pentru drepturile de autor care stau la baza antrenării respectivelor modele de IA de uz general. Acest lucru este necesar pentru a asigura condiţii de concurenţă echitabile între furnizorii de modele de IA de uz general, în care niciun furnizor nu ar trebui să poată obţine un avantaj competitiv pe piaţa Uniunii prin aplicarea unor standarde privind drepturile de autor mai scăzute decât cele prevăzute în Uniune.

(107)Pentru a spori transparenţa datelor utilizate în preantrenarea şi antrenarea modelelor de IA de uz general, inclusiv a textului şi a datelor protejate de dreptul privind drepturile de autor, este adecvat ca furnizorii de astfel de modele să elaboreze şi să pună la dispoziţia publicului un rezumat suficient de detaliat al conţinutului utilizat pentru antrenarea modelului de IA de uz general. Ţinând seama în mod corespunzător de necesitatea de a proteja secretele comerciale şi informaţiile comerciale confidenţiale, acest rezumat ar trebui să aibă un domeniu de aplicare în general cuprinzător, în loc să fie detaliat din punct de vedere tehnic, pentru a facilita părţilor cu interese legitime, inclusiv titularilor de drepturi de autor, să îşi exercite drepturile şi să asigure respectarea drepturilor lor în temeiul dreptului Uniunii, de exemplu prin enumerarea principalelor colecţii sau seturi de date folosite la antrenarea modelului, cum ar fi bazele de date sau arhivele de date de mari dimensiuni, private sau publice, şi prin furnizarea unei explicaţii narative cu privire la alte surse de date utilizate. Este oportun ca Oficiul pentru IA să furnizeze un model pentru rezumat, care ar trebui să fie simplu, eficace şi să permită furnizorului să furnizeze rezumatul solicitat sub formă narativă.

(108)În ceea ce priveşte obligaţiile impuse furnizorilor de modele de IA de uz general de a institui o politică de respectare a dreptul Uniunii privind drepturile de autor şi de a pune la dispoziţia publicului un rezumat al conţinutului utilizat pentru antrenare, Oficiul pentru IA ar trebui să monitorizeze dacă furnizorul şi-a îndeplinit obligaţiile respective fără a verifica sau a efectua o evaluare operă cu operă a datelor de antrenament în ceea ce priveşte respectarea drepturilor de autor. Prezentul regulament nu aduce atingere aplicării normelor în materie de drepturi de autor prevăzute în dreptul Uniunii.

(109)Respectarea obligaţiilor aplicabile furnizorilor de modele de IA de uz general ar trebui să fie corespunzătoare şi proporţională cu tipul de furnizor de model, excluzând necesitatea respectării pentru persoanele care dezvoltă sau utilizează modele în alte scopuri decât cele profesionale sau de cercetare ştiinţifică, care ar trebui totuşi să fie încurajate să respecte în mod voluntar aceste cerinţe. Fără a aduce atingere dreptului Uniunii privind drepturile de autor, respectarea obligaţiilor respective ar trebui să ţină seama în mod corespunzător de dimensiunea furnizorului şi să permită modalităţi simplificate de asigurare a respectării cerinţelor pentru IMM-uri, inclusiv pentru întreprinderile nou-înfiinţate, care nu ar trebui să reprezinte un cost excesiv şi să descurajeze utilizarea unor astfel de modele. În cazul unei modificări sau calibrări a unui model, obligaţiile furnizorilor de modele de IA de uz general ar trebui să se limiteze la modificarea sau calibrarea respectivă, de exemplu prin completarea documentaţiei tehnice deja existente cu informaţii privind modificările, inclusiv noi surse de date de antrenament, ca mijloc de respectare a obligaţiilor privind lanţul valoric prevăzute în prezentul regulament.

(110)Modelele de IA de uz general ar putea prezenta riscuri sistemice care includ, printre altele, orice efecte negative reale sau previzibile în mod rezonabil în legătură cu accidente majore, perturbări ale sectoarelor critice şi consecinţe grave pentru sănătatea şi siguranţa publică, orice efecte negative reale sau previzibile în mod rezonabil asupra proceselor democratice, asupra securităţii publice şi economice, diseminarea de conţinut ilegal, fals sau discriminatoriu. Riscurile sistemice ar trebui să fie înţelese ca crescând odată cu capabilităţile modelului şi cu amploarea modelului, pot apărea de-a lungul întregului ciclu de viaţă al modelului şi sunt influenţate de condiţiile de utilizare necorespunzătoare, de fiabilitatea modelului, de echitatea modelului şi de securitatea modelului, de nivelul de autonomie a modelului, de accesul său la instrumente, de modalităţile noi sau combinate, de strategiile de lansare şi distribuţie, de potenţialul de eliminare a mecanismelor de protecţie şi de alţi factori. În special, abordările internaţionale au identificat până în prezent necesitatea de a acorda atenţie riscurilor generate de potenţialele utilizări necorespunzătoare intenţionate sau de problemele neintenţionate de control legate de alinierea la intenţia umană; riscurilor chimice, biologice, radiologice şi nucleare, cum ar fi modalităţile de reducere a barierelor la intrare, inclusiv pentru dezvoltarea, proiectarea, achiziţionarea sau utilizarea de arme; capabilităţilor cibernetice ofensive, cum ar fi modalităţile care permit descoperirea, exploatarea sau utilizarea operaţională a vulnerabilităţilor; efectelor interacţiunii şi ale utilizării instrumentelor, inclusiv, de exemplu, capacitatea de a controla sistemele fizice şi de a interfera cu infrastructura critică; riscurilor legate de posibilitatea ca modelele să facă copii după ele însele sau să se "autoreproducă" ori să antreneze alte modele; modurilor în care modelele pot da naştere unor prejudecăţi dăunătoare şi discriminării cu riscuri pentru indivizi, comunităţi sau societăţi; facilitării dezinformării sau prejudicierii vieţii private cu ameninţări la adresa valorilor democratice şi a drepturilor omului; riscului ca un anumit eveniment să conducă la o reacţie în lanţ cu efecte negative considerabile care ar putea afecta până la un întreg oraş, o întreagă activitate de domeniu sau o întreagă comunitate.

(111)Este oportun să se stabilească o metodologie pentru clasificarea modelelor de IA de uz general ca modele de IA de uz general cu riscuri sistemice. Întrucât riscurile sistemice rezultă din capabilităţi deosebit de ridicate, ar trebui să se considere că un model de IA de uz general prezintă riscuri sistemice dacă are capabilităţi cu impact ridicat, evaluate pe baza unor instrumente şi metodologii tehnice adecvate sau dacă are un impact semnificativ asupra pieţei interne din cauza amplorii sale. Capabilităţi cu impact ridicat în modelele de IA de uz general înseamnă capabilităţi care corespund capabilităţilor înregistrate în cele mai avansate modele de IA de uz general sau depăşesc capabilităţile respective. Întreaga gamă de capabilităţi ale unui model ar putea fi mai bine înţeleasă după introducerea sa pe piaţă sau atunci când implementatorii interacţionează cu modelul. În conformitate cu stadiul actual al tehnologiei la momentul intrării în vigoare a prezentului regulament, volumul cumulat de calcul utilizat pentru antrenarea modelului de IA de uz general măsurat în operaţii în virgulă mobilă este una dintre aproximările relevante pentru capabilităţile modelului. Volumul cumulat de calcul utilizat pentru antrenare include calculul utilizat pentru toate activităţile şi metodele menite să consolideze capabilităţile modelului înainte de implementare, cum ar fi preantrenarea, generarea de date sintetice şi calibrarea. Prin urmare, ar trebui să fie stabilit un prag iniţial de operaţii în virgulă mobilă, care, dacă este atins de un model de IA de uz general, conduce la prezumţia că modelul este un model de IA de uz general cu riscuri sistemice. Acest prag ar trebui să fie ajustat în timp pentru a reflecta schimbările tehnologice şi industriale, cum ar fi îmbunătăţirile algoritmice sau eficienţa hardware sporită, şi ar trebui să fie completat cu valori de referinţă şi indicatori pentru capabilitatea modelului. În acest scop, Oficiul pentru IA ar trebui să colaboreze cu comunitatea ştiinţifică, cu industria, cu societatea civilă şi cu alţi experţi. Pragurile, precum şi instrumentele şi valorile de referinţă pentru evaluarea capabilităţilor cu impact ridicat ar trebui să fie indicatori puternici ai generalităţii, ai capabilităţilor modelului şi ai riscului sistemic asociat modelelor de IA de uz general şi ar putea lua în considerare modul în care modelul va fi introdus pe piaţă sau numărul de utilizatori pe care îi poate afecta. Pentru a completa acest sistem, Comisia ar trebui să aibă posibilitatea de a lua decizii individuale de desemnare a unui model de IA de uz general ca model de IA de uz general cu risc sistemic dacă se constată că un astfel de model are capabilităţi sau un impact echivalent cu cele acoperite de pragul stabilit. Decizia respectivă ar trebui luată pe baza unei evaluări globale a criteriilor pentru desemnarea unui model de IA de uz general cu risc sistemic prevăzute într-o anexă la prezentul regulament, cum ar fi calitatea sau dimensiunea setului de date de antrenament, numărul de utilizatori comerciali şi finali, modalităţile referitoare la datele de intrare şi de ieşire ale modelului, nivelul său de autonomie şi de scalabilitate sau instrumentele la care are acces. La cererea motivată a unui furnizor al cărui model a fost desemnat drept model de IA de uz general cu risc sistemic, Comisia ar trebui să ţină seama de cerere şi poate decide să reevalueze dacă modelul de IA de uz general poate fi considerat în continuare ca prezentând riscuri sistemice.

(112)De asemenea, este necesar să se clarifice o procedură pentru clasificarea unui model de IA de uz general cu riscuri sistemice. Un model de IA de uz general care respectă pragul aplicabil pentru capabilităţile cu impact ridicat ar trebui să fie prezumat ca fiind un model de IA de uz general cu risc sistemic. Furnizorul ar trebui să notifice Oficiul pentru IA în termen de cel mult două săptămâni de la îndeplinirea cerinţelor sau de la data la care devine cunoscut faptul că un model de IA de uz general va îndeplini cerinţele care conduc la prezumţia respectivă. Acest lucru este deosebit de relevant în legătură cu pragul de operaţii în virgulă mobilă, deoarece antrenarea modelelor de IA de uz general necesită o planificare considerabilă, care include alocarea în avans a resurselor de calcul şi, prin urmare, furnizorii de modele de IA de uz general sunt în măsură să ştie dacă modelul lor ar atinge pragul înainte de finalizarea antrenării. În contextul notificării respective, furnizorul ar trebui să poată demonstra că, având în vedere caracteristicile sale specifice, un model de IA de uz general nu prezintă, în mod excepţional, riscuri sistemice şi că, prin urmare, nu ar trebui să fie clasificat drept model de IA de uz general cu riscuri sistemice. Aceste informaţii sunt valoroase deoarece Oficiul pentru IA poate să anticipeze introducerea pe piaţă a modelelor de IA de uz general cu riscuri sistemice, iar furnizorii pot începe să colaboreze cu Oficiul pentru IA din timp. Aceste informaţii sunt deosebit de importante în ceea ce priveşte modelele de IA de uz general care sunt planificate să fie lansate ca sursă deschisă, având în vedere că, după lansarea modelului cu sursă deschisă, măsurile necesare pentru a asigura respectarea obligaţiilor prevăzute în prezentul regulament pot fi mai dificil de pus în aplicare.

(113)În cazul în care Comisia constată că un model de IA de uz general îndeplineşte cerinţele de clasificare ca model de IA de uz general cu risc sistemic, lucru care anterior fie nu fusese cunoscut, fie nu fusese notificat Comisiei de furnizorul relevant, Comisia ar trebui să fie împuternicită să îl desemneze ca atare. Un sistem de alerte calificate ar trebui să asigure faptul că Oficiul pentru IA este informat de către grupul ştiinţific cu privire la modele de IA de uz general care ar putea fi clasificate drept modele de IA de uz general cu risc sistemic, pe lângă activităţile de monitorizare ale Oficiului pentru IA.

(114)Furnizorii de modele de IA de uz general care prezintă riscuri sistemice ar trebui să facă obiectul, pe lângă obligaţiile prevăzute pentru furnizorii de modele de IA de uz general, unor obligaţii menite să identifice şi să atenueze riscurile respective şi să asigure un nivel adecvat de protecţie în materie de securitate cibernetică, indiferent dacă este furnizat ca model de sine stătător sau încorporat într-un sistem sau într-un produs de IA. Pentru a atinge obiectivele respective, prezentul regulament ar trebui să impună furnizorilor să efectueze evaluările necesare ale modelelor, în special înainte de prima lor introducere pe piaţă, inclusiv efectuarea şi documentarea testării contradictorii a modelelor, inclusiv, după caz, prin testări interne sau externe independente. În plus, furnizorii de modele de IA de uz general cu riscuri sistemice ar trebui să evalueze şi să atenueze în permanenţă riscurile sistemice, inclusiv, de exemplu, prin instituirea unor politici de gestionare a riscurilor, cum ar fi procesele de asigurare a răspunderii şi de guvernanţă, prin punerea în aplicare a monitorizării ulterioare introducerii pe piaţă, prin luarea de măsuri adecvate de-a lungul întregului ciclu de viaţă al modelului şi prin cooperarea cu actorii relevanţi de-a lungul lanţului valoric al IA.

(115)Furnizorii de modele de IA de uz general cu riscuri sistemice ar trebui să evalueze şi să atenueze posibilele riscuri sistemice. Dacă, în pofida eforturilor de identificare şi prevenire a riscurilor legate de un model de IA de uz general care poate prezenta riscuri sistemice, dezvoltarea sau utilizarea modelului cauzează un incident grav, furnizorul modelului de IA de uz general ar trebui să urmărească fără întârzieri nejustificate incidentul şi să raporteze Comisiei şi autorităţilor naţionale competente orice informaţii relevante şi posibile măsuri corective. În plus, furnizorii ar trebui să asigure un nivel adecvat de protecţie în materie de securitate cibernetică pentru model şi infrastructura fizică a acestuia, dacă este cazul, de-a lungul întregului ciclu de viaţă al modelului. Protecţia în materie de securitate cibernetică legată de riscurile sistemice asociate utilizării răuvoitoare sau atacurilor ar trebui să ia în considerare în mod corespunzător scurgerile accidentale de modele, lansările neautorizate, eludarea măsurilor de siguranţă şi apărarea împotriva atacurilor cibernetice, a accesului neautorizat sau a furtului de modele. Această protecţie ar putea fi facilitată prin securizarea ponderilor modelelor, a algoritmilor, a serverelor şi a seturilor de date, de exemplu prin măsuri de securitate operaţională pentru securitatea informaţiilor, politici specifice în materie de securitate cibernetică, soluţii tehnice şi consacrate adecvate şi controale ale accesului cibernetic şi fizic, adecvate circumstanţelor relevante şi riscurilor implicate.

(116)Oficiul pentru IA ar trebui să încurajeze şi să faciliteze elaborarea, revizuirea şi adaptarea unor coduri de bune practici, ţinând seama de abordările internaţionale. Toţi furnizorii de modele de IA de uz general ar putea fi invitaţi să participe. Pentru a se asigura că codurile de bune practici reflectă stadiul actual al tehnologiei şi ţin seama în mod corespunzător de un set divers de perspective, Oficiul pentru IA ar trebui să colaboreze cu autorităţile naţionale competente relevante şi ar putea, după caz, să se consulte cu organizaţiile societăţii civile şi cu alte părţi interesate şi experţi relevanţi, inclusiv cu grupul ştiinţific, pentru elaborarea unor astfel de coduri. Codurile de bune practici ar trebui să se refere la obligaţiile furnizorilor de modele de IA de uz general şi de modele de IA de uz general care prezintă riscuri sistemice. În plus, în ceea ce priveşte riscurile sistemice, codurile de bune practici ar trebui să contribuie la stabilirea unei taxonomii a tipurilor şi naturii riscurilor sistemice la nivelul Uniunii, inclusiv a surselor acestora. Codurile de bune practici ar trebui să se axeze, de asemenea, pe măsuri specifice de evaluare şi de atenuare a riscurilor.

(117)Codurile de bune practici ar trebui să reprezinte un instrument central pentru respectarea corespunzătoare a obligaţiilor prevăzute în prezentul regulament pentru furnizorii de modele de IA de uz general. Furnizorii ar trebui să se poată baza pe coduri de bune practici pentru a demonstra respectarea obligaţiilor. Prin intermediul unor acte de punere în aplicare, Comisia poate decide să aprobe un cod de bune practici şi să îi acorde o valabilitate generală în Uniune sau, alternativ, să prevadă norme comune pentru punerea în aplicare a obligaţiilor relevante, în cazul în care, până la momentul în care prezentul regulament devine aplicabil, un cod de bune practici nu poate fi finalizat sau nu este considerat adecvat de către Oficiul pentru IA. Odată ce un standard armonizat este publicat şi evaluat ca fiind adecvat pentru a acoperi obligaţiile relevante de către Oficiul pentru IA, furnizorii ar trebui să beneficieze de prezumţia de conformitate în cazul în care respectă un standard european armonizat. În plus, furnizorii de modele de IA de uz general ar trebui să poată demonstra conformitatea utilizând mijloace alternative adecvate, dacă nu sunt disponibile coduri de bune practici sau standarde armonizate sau dacă aleg să nu se bazeze pe acestea.

(118)Prezentul regulament reglementează sistemele de IA şi modelele de IA prin impunerea anumitor cerinţe şi obligaţii pentru actorii relevanţi de pe piaţă care le introduc pe piaţă, le pun în funcţiune sau le utilizează în Uniune, completând astfel obligaţiile pentru furnizorii de servicii intermediare care încorporează astfel de sisteme sau modele în serviciile lor reglementate de Regulamentul (UE) 2022/2065. În măsura în care astfel de sisteme sau modele sunt încorporate în platforme online foarte mari sau în motoare de căutare online foarte mari desemnate, acestea fac obiectul cadrului de gestionare a riscurilor prevăzut în Regulamentul (UE) 2022/2065. În consecinţă, ar trebui să se presupună că obligaţiile corespunzătoare din prezentul regulament sunt îndeplinite, cu excepţia cazului în care apar riscuri sistemice semnificative care nu intră sub incidenţa Regulamentului (UE) 2022/2065 şi sunt identificate în astfel de modele. În acest cadru, furnizorii de platforme online foarte mari şi de motoare de căutare online foarte mari sunt obligaţi să evalueze potenţialele riscuri sistemice care decurg din proiectarea, funcţionarea şi utilizarea serviciilor lor, inclusiv modul în care proiectarea sistemelor algoritmice utilizate în cadrul serviciului poate contribui la astfel de riscuri, precum şi riscurile sistemice care decurg din potenţialele utilizări necorespunzătoare. Aceşti furnizori sunt, de asemenea, obligaţi să ia măsuri adecvate de atenuare, cu respectarea drepturilor fundamentale.

(119)Având în vedere ritmul rapid al inovării şi al evoluţiei tehnologice a serviciilor digitale care intră în domeniul de aplicare al diferitelor instrumente din dreptul Uniunii, în special având în vedere utilizarea şi percepţia destinatarilor lor, sistemele de IA care fac obiectul prezentului regulament pot fi furnizate ca servicii intermediare sau ca părţi ale acestora în sensul Regulamentului (UE) 2022/2065, care ar trebui să fie interpretat într-un mod neutru din punct de vedere tehnologic. De exemplu, sistemele de IA pot fi utilizate pentru a furniza motoare de căutare online, în special în măsura în care un sistem de IA, cum ar fi un chatbot online, efectuează căutări, în principiu, pe toate site-urile web, apoi încorporează rezultatele în cunoştinţele sale existente şi utilizează cunoştinţele actualizate pentru a genera un singur rezultat care combină diferite surse de informaţii.

(120)În plus, obligaţiile impuse prin prezentul regulament furnizorilor şi implementatorilor anumitor sisteme de IA pentru a permite detectarea şi divulgarea faptului că rezultatele sistemelor respective sunt generate sau manipulate artificial sunt deosebit de relevante pentru a facilita punerea în aplicare efectivă a Regulamentului (UE) 2022/2065. Acest lucru este valabil în special în ceea ce priveşte obligaţiile furnizorilor de platforme online foarte mari sau de motoare de căutare online foarte mari de a identifica şi a atenua riscurile sistemice care pot apărea în urma diseminării conţinutului care a fost generat sau manipulat artificial, în special riscul privind efectele negative reale sau previzibile asupra proceselor democratice, asupra discursului civic şi asupra proceselor electorale, inclusiv prin dezinformare.

(121)Standardizarea ar trebui să joace un rol esenţial în furnizarea de soluţii tehnice furnizorilor pentru a asigura conformitatea cu prezentul regulament, în conformitate cu stadiul actual al tehnologiei, pentru a promova inovarea, precum şi competitivitatea şi creşterea pe piaţa unică. Conformitatea cu standardele armonizate, astfel cum sunt definite la articolul 2 punctul 1 litera (c) din Regulamentul (UE) nr. 1025/2012 al Parlamentului European şi al Consiliului (⁴¹), care ar trebui, în mod normal, să reflecte stadiul actual al tehnologiei, ar trebui să fie un mijloc prin care furnizorii să demonstreze conformitatea cu cerinţele prezentului regulament. Prin urmare, ar trebui să fie încurajată o reprezentare echilibrată a intereselor, care să implice toate părţile interesate relevante în elaborarea standardelor, în special IMM-urile, organizaţiile consumatorilor şi părţile interesate din domeniul mediului şi din domeniul social, în conformitate cu articolele 5 şi 6 din Regulamentul (UE) nr. 1025/2012. Pentru a facilita conformitatea, solicitările de standardizare ar trebui să fie emise de Comisie fără întârzieri nejustificate. Atunci când elaborează solicitarea de standardizare, Comisia ar trebui să consulte forumul consultativ şi Consiliul IA pentru a colecta cunoştinţele de specialitate relevante. Cu toate acestea, în absenţa unor trimiteri relevante la standardele armonizate, Comisia ar trebui să poată stabili, prin intermediul unor acte de punere în aplicare şi după consultarea forumului consultativ, specificaţii comune pentru anumite cerinţe în temeiul prezentului regulament. Specificaţia comună ar trebui să constituie o soluţie excepţională de rezervă, pentru a facilita obligaţia furnizorului de a respecta cerinţele prezentului regulament, atunci când solicitarea de standardizare nu a fost acceptată de niciuna dintre organizaţiile de standardizare europene sau când standardele armonizate relevante abordează insuficient preocupările în materie de drepturi fundamentale ori când standardele armonizate nu corespund solicitării sau atunci când există întârzieri în adoptarea unui standard armonizat adecvat. În cazul în care o astfel de întârziere în adoptarea unui standard armonizat se datorează complexităţii tehnice a standardului respectiv, acest lucru ar trebui să fie luat în considerare de Comisie înainte de a avea în vedere stabilirea unor specificaţii comune. Atunci când elaborează specificaţii comune, Comisia este încurajată să coopereze cu partenerii internaţionali şi cu organismele de standardizare internaţionale.

(⁴¹)Regulamentul (UE) nr. 1025/2012 al Parlamentului European şi al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE şi 93/15/CEE ale Consiliului şi a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE şi 2009/105/CE ale Parlamentului European şi ale Consiliului şi de abrogare a Deciziei 87/95/CEE a Consiliului şi a Deciziei nr. 1673/2006/CE a Parlamentului European şi a Consiliului (JO L 316, 14.11.2012, p. 12).

(122)Este oportun ca, fără a aduce atingere utilizării standardelor armonizate şi a specificaţiilor comune, să se prezume că furnizorii unui sistem de IA cu grad ridicat de risc care a fost antrenat şi testat pe baza unor date care reflectă cadrul geografic, comportamental, contextual sau funcţional specific în care se intenţionează utilizarea sistemului de IA respectă măsura relevantă prevăzută în temeiul cerinţei privind guvernanţa datelor stabilită în prezentul regulament. Fără a aduce atingere cerinţelor legate de robusteţe şi acurateţe prevăzute în prezentul regulament, în conformitate cu articolul 54 alineatul (3) din Regulamentul (UE) 2019/881, ar trebui să se prezume că sistemele de IA cu grad ridicat de risc care au fost certificate sau pentru care a fost emisă o declaraţie de conformitate în cadrul unui sistem de securitate cibernetică în temeiul regulamentului respectiv, iar referinţele aferente au fost publicate în Jurnalul Oficial al Uniunii Europene, respectă cerinţa de securitate cibernetică menţionată în prezentul regulament, în măsura în care certificatul de securitate cibernetică sau declaraţia de conformitate sau părţi ale acestora acoperă cerinţa de securitate cibernetică din prezentul regulament. Acest lucru nu aduce atingere caracterului voluntar al respectivului sistem de securitate cibernetică.

(124)Este oportun ca, pentru a reduce la minimum sarcina impusă operatorilor şi pentru a evita eventualele suprapuneri, pentru sistemele de IA cu grad ridicat de risc legate de produse care fac obiectul legislaţiei de armonizare existente a Uniunii bazate pe noul cadru legislativ, conformitatea acestor sisteme de IA cu cerinţele prezentului regulament să fie evaluată ca parte a evaluării conformităţii prevăzute deja în legislaţia respectivă. Aplicabilitatea cerinţelor prezentului regulament nu ar trebui, prin urmare, să afecteze logica specifică, metodologia sau structura generală a evaluării conformităţii în temeiul legislaţiei de armonizare relevante a Uniunii.

(125)Având în vedere complexitatea sistemelor de IA cu grad ridicat de risc şi riscurile asociate acestora, este important să se dezvolte o procedură adecvată de evaluare a conformităţii pentru sistemele de IA cu grad ridicat de risc care implică organisme notificate, aşa-numita evaluare a conformităţii de către terţi. Cu toate acestea, având în vedere experienţa actuală a organismelor profesionale de certificare înainte de introducerea pe piaţă în domeniul siguranţei produselor şi natura diferită a riscurilor implicate, este oportun să se limiteze, cel puţin într-o fază iniţială de aplicare a prezentului regulament, domeniul de aplicare al evaluării conformităţii de către terţi pentru sistemele de IA cu grad ridicat de risc, altele decât cele legate de produse. Prin urmare, evaluarea conformităţii unor astfel de sisteme ar trebui să fie efectuată, ca regulă generală, de către furnizor pe propria răspundere, cu singura excepţie a sistemelor de IA destinate a fi utilizate pentru biometrie.

(126)În vederea efectuării de evaluări ale conformităţii de către terţi atunci când este necesar, autorităţile naţionale competente ar trebui să comunice lista organismelor notificate în temeiul prezentului regulament, cu condiţia ca acestea să îndeplinească un set de cerinţe, în special în ceea ce priveşte independenţa, competenţa, absenţa conflictelor de interese şi cerinţele minime de securitate cibernetică. Lista acestor organisme notificate ar trebui să fie trimisă de autorităţile naţionale competente Comisiei şi celorlalte state membre prin intermediul instrumentului de notificare electronică dezvoltat şi gestionat de Comisie în temeiul articolului R23 din anexa I la Decizia nr. 768/2008/CE.

(127)În conformitate cu angajamentele asumate de Uniune în temeiul Acordului Organizaţiei Mondiale a Comerţului privind barierele tehnice în calea comerţului, este adecvat să se faciliteze recunoaşterea reciprocă a rezultatelor evaluării conformităţii obţinute de organismele competente de evaluare a conformităţii, indiferent de teritoriul pe care sunt stabilite acestea, cu condiţia ca respectivele organisme de evaluare a conformităţii instituite în temeiul dreptului unei ţări terţe să îndeplinească cerinţele aplicabile ale prezentului regulament, iar Uniunea să fi încheiat un acord în acest sens. În acest context, Comisia ar trebui să analizeze în mod activ posibile instrumente internaţionale adecvate acestui scop şi, în special, să urmărească încheierea de acorduri de recunoaştere reciprocă cu ţări terţe.

(128)În conformitate cu noţiunea stabilită de comun acord de modificare substanţială pentru produsele reglementate de legislaţia de armonizare a Uniunii, este oportun ca, ori de câte ori se produce o modificare care poate afecta respectarea prezentului regulament de către un sistem de IA cu grad ridicat de risc (de exemplu, modificarea sistemului de operare sau a arhitecturii software) sau atunci când scopul preconizat al sistemului se modifică, respectivul sistem de IA să fie considerat a fi un sistem de IA nou care ar trebui să facă obiectul unei noi evaluări a conformităţii. Cu toate acestea, modificările care afectează algoritmul şi performanţa sistemelor de IA care continuă să "înveţe" după ce au fost introduse pe piaţă sau puse în funcţiune şi anume, adaptarea automată a modului în care sunt îndeplinite funcţiile nu ar trebui să constituie o modificare substanţială, cu condiţia ca modificările respective să fi fost prestabilite de furnizor şi evaluate în momentul evaluării conformităţii.

(129)Sistemele de IA cu grad ridicat de risc ar trebui să poarte marcajul CE pentru a indica conformitatea lor cu prezentul regulament, astfel încât să poată circula liber în cadrul pieţei interne. Pentru sistemele de IA cu grad ridicat de risc încorporate într-un produs ar trebui să fie aplicat un marcaj CE fizic care poate fi completat de un marcaj CE digital. Pentru sistemele de IA cu grad ridicat de risc furnizate exclusiv digital, ar trebui să fie utilizat un marcaj CE digital. Statele membre ar trebui să nu genereze obstacole nejustificate în calea introducerii pe piaţă sau a punerii în funcţiune a sistemelor de IA cu grad ridicat de risc care sunt conforme cu cerinţele prevăzute în prezentul regulament şi care poartă marcajul CE.

(130)În anumite condiţii, disponibilitatea rapidă a tehnologiilor inovatoare poate fi esenţială pentru sănătatea şi siguranţa persoanelor, pentru protecţia mediului şi combaterea schimbărilor climatice şi pentru societate în ansamblu. Prin urmare, este oportun ca, din motive excepţionale de siguranţă publică sau de protecţie a vieţii şi a sănătăţii persoanelor fizice, de protecţie a mediului şi de protecţie a activelor industriale şi de infrastructură esenţiale, autorităţile de supraveghere a pieţei să poată autoriza introducerea pe piaţă sau punerea în funcţiune a unor sisteme de IA care nu au fost supuse unei evaluări a conformităţii. În situaţii justificate în mod corespunzător, astfel cum se prevede în prezentul regulament, autorităţile de aplicare a legii sau autorităţile de protecţie civilă pot pune în funcţiune un anumit sistem de IA cu grad ridicat de risc fără autorizarea autorităţii de supraveghere a pieţei, cu condiţia ca o astfel de autorizare să fie solicitată în timpul utilizării sau după utilizare, fără întârzieri nejustificate.

(131)Pentru a facilita activitatea Comisiei şi a statelor membre în domeniul IA, precum şi pentru a spori transparenţa faţă de public, furnizorii de sisteme de IA cu grad ridicat de risc, altele decât cele legate de produse care intră în domeniul de aplicare al actelor legislative de armonizare relevante existente ale Uniunii, precum şi furnizorii care consideră că un sistem de IA care figurează între situaţiile cu grad ridicat de risc dintr-o anexă la prezentul regulament nu este, pe baza unei derogări, un sistem de IA cu grad ridicat de risc, ar trebui să aibă obligaţia de a se înregistra, precum şi de a înregistra informaţii despre propriul sistem de IA într-o bază de date a UE, care urmează să fie creată şi gestionată de Comisie. Înainte de a utiliza un sistem de IA care figurează între situaţiile cu grad ridicat de risc dintr-o anexă la prezentul regulament, implementatorii sistemelor de IA cu grad ridicat de risc care sunt autorităţi, agenţii sau organisme publice ar trebui să se înregistreze în baza de date respectivă şi să selecteze sistemul pe care intenţionează să îl utilizeze. Ceilalţi implementatori ar trebui să aibă dreptul de a face acest lucru în mod voluntar. Această secţiune a bazei de date a UE ar trebui să fie accesibilă publicului, în mod gratuit, informaţiile ar trebui să fie uşor de parcurs, uşor de înţeles şi prelucrabile automat. Baza de date a UE ar trebui, de asemenea, să fie uşor de utilizat, de exemplu prin furnizarea de funcţionalităţi de căutare, inclusiv prin intermediul cuvintelor-cheie, care să permită publicului larg să găsească informaţiile relevante care trebuie să fie transmise la înregistrarea sistemelor de IA cu grad ridicat de risc şi cu privire la cazul de utilizare a sistemelor de IA cu grad ridicat de risc, prevăzute într-o anexă la prezentul regulament, cărora le corespund sistemele de IA cu grad ridicat de risc. Orice modificare substanţială a sistemelor de IA cu grad ridicat de risc ar trebui să se înregistreze, de asemenea, în baza de date a UE. Pentru sistemele de IA cu grad ridicat de risc din domeniul aplicării legii, al migraţiei, al azilului şi al gestionării controlului la frontiere, obligaţiile de înregistrare ar trebui să fie îndeplinite în cadrul unei secţiuni securizate, care nu este accesibilă publicului, a bazei de date a UE. Accesul la secţiunea securizată care nu este accesibilă publicului ar trebui să fie strict limitat la Comisie, precum şi la autorităţile de supraveghere a pieţei în ceea ce priveşte secţiunea lor naţională din baza de date respectivă. Sistemele de IA cu grad ridicat de risc din domeniul infrastructurii critice ar trebui să fie înregistrate exclusiv la nivel naţional. Comisia ar trebui să fie operatorul bazei de date a UE, în conformitate cu Regulamentul (UE) 2018/1725. Pentru a asigura funcţionalitatea deplină a bazei de date a UE, atunci când aceasta este implementată, procedura de stabilire a bazei de date ar trebui să includă dezvoltarea de specificaţii funcţionale de către Comisie şi un raport de audit independent. Comisia ar trebui să ţină seama de riscurile în materie de securitate cibernetică atunci când îşi îndeplineşte sarcinile de operator de date în baza de date a UE. Pentru a maximiza disponibilitatea şi utilizarea bazei de date a UE de către public, baza de date a UE, inclusiv informaţiile puse la dispoziţie prin intermediul acesteia, ar trebui să îndeplinească cerinţele prevăzute în Directiva (UE) 2019/882.

(132)Anumite sisteme de IA destinate să interacţioneze cu persoane fizice sau să genereze conţinut pot prezenta riscuri specifice de uzurpare a identităţii sau de înşelăciune, indiferent dacă acestea se califică drept sisteme cu grad ridicat de risc sau nu. Prin urmare, în anumite circumstanţe, utilizarea acestor sisteme ar trebui să facă obiectul unor obligaţii specifice în materie de transparenţă, fără a aduce atingere cerinţelor şi obligaţiilor pentru sistemele de IA cu grad ridicat de risc şi sub rezerva unor excepţii specifice pentru a ţine seama de nevoia specială de a aplica legea. În special, persoanele fizice ar trebui să fie informate că interacţionează cu un sistem de IA, cu excepţia cazului în care acest lucru este evident din punctul de vedere al unei persoane fizice rezonabil de bine informată, de atentă şi de avizată, ţinând seama de circumstanţele şi contextul de utilizare. La punerea în aplicare a obligaţiei respective, caracteristicile persoanelor fizice care aparţin grupurilor vulnerabile din motive de vârstă sau dizabilitate ar trebui să fie luate în considerare în măsura în care sistemul de IA este destinat să interacţioneze şi cu aceste grupuri. În plus, persoanele fizice ar trebui să fie informate atunci când sunt expuse la sisteme de IA care, prin prelucrarea datelor lor biometrice, pot identifica sau deduce emoţiile sau intenţiile persoanelor respective sau le pot include în categorii specifice. Astfel de categorii specifice se pot referi la aspecte precum sexul, vârsta, culoarea părului, culoarea ochilor, tatuajele, trăsăturile personale, originea etnică, preferinţele şi interesele personale. Astfel de informaţii şi notificări ar trebui să fie furnizate în formate accesibile pentru persoanele cu dizabilităţi.

(133)O varietate de sisteme de IA poate genera cantităţi mari de conţinut sintetic, pe care oamenii ajung să îl distingă din ce în ce mai greu de conţinutul autentic, generat de om. Disponibilitatea pe scară largă şi capabilităţile din ce în ce mai mari ale acestor sisteme au un impact semnificativ asupra integrităţii ecosistemului informaţional şi a încrederii în acesta, generând noi riscuri de dezinformare şi manipulare la scară largă, de fraudă, de uzurpare a identităţii şi de inducere în eroare a consumatorilor. Având în vedere impactul respectiv, ritmul tehnologic rapid şi necesitatea unor noi metode şi tehnici de urmărire a originii informaţiilor, este oportun să se solicite furnizorilor acestor sisteme să încorporeze soluţii tehnice care să permită marcarea într-un format prelucrabil automat şi detectarea faptului că rezultatul a fost generat sau manipulat de un sistem de IA, şi nu de un om. Aceste tehnici şi metode ar trebui să fie suficient de fiabile, interoperabile, eficace şi robuste, în măsura în care acest lucru este fezabil din punct de vedere tehnic, ţinând seama de tehnicile disponibile sau de o combinaţie de astfel de tehnici, cum ar fi filigrane, identificări prin intermediul metadatelor, metode criptografice pentru a dovedi provenienţa şi autenticitatea conţinutului, metode de înregistrare, amprente digitale sau alte tehnici, după caz. Atunci când pun în aplicare această obligaţie, furnizorii ar trebui, de asemenea, să ţină seama de particularităţile şi limitările diferitelor tipuri de conţinut şi de evoluţiile tehnologice şi ale pieţei relevante în domeniu, astfel cum se reflectă în stadiul de avansare general recunoscut al tehnologiei. Astfel de tehnici şi metode pot fi puse în aplicare la nivelul sistemului de IA sau la nivelul modelului de IA, inclusiv al modelelor de IA de uz general care generează conţinut, facilitând astfel îndeplinirea acestei obligaţii de către furnizorul din aval al sistemului de IA. Este oportun să se aibă în vedere că, pentru a rămâne proporţională, această obligaţie de marcare nu ar trebui să vizeze sistemele de IA care îndeplinesc în principal o funcţie de asistare pentru editarea standard sau sistemele de IA care nu modifică în mod substanţial datele de intrare furnizate de implementator sau semantica acestora.

(134)Pe lângă soluţiile tehnice utilizate de furnizorii sistemului de IA, implementatorii care utilizează un sistem de IA pentru a genera sau a manipula conţinuturi de imagine, audio sau video care se aseamănă în mod apreciabil cu persoane, obiecte, locuri, entităţi sau evenimente existente şi care ar crea unei persoane impresia falsă că sunt autentice sau adevărate (deepfake-uri), ar trebui, de asemenea, să dezvăluie în mod clar şi distinct faptul că respectivul conţinut a fost creat sau manipulat în mod artificial prin etichetarea în consecinţă a rezultatului generat de IA şi divulgarea originii sale artificiale. Respectarea acestei obligaţii de transparenţă nu ar trebui să fie interpretată în sensul de a indica că utilizarea sistemului de IA sau a rezultatelor sale împiedică dreptul la libertatea de exprimare şi dreptul la libertatea artelor şi ştiinţelor garantate de cartă, în special atunci când conţinutul face parte dintr-o lucrare sau dintr-un program în mod evident creativ, satiric, artistic, fictiv sau analog, sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile terţilor. În cazurile respective, obligaţia de transparenţă pentru deepfake-uri prevăzută în prezentul regulament se limitează la divulgarea existenţei unui astfel de conţinut generat sau manipulat într-un mod adecvat, care să nu împiedice expunerea lucrării sau posibilitatea de a beneficia de aceasta, inclusiv exploatarea şi utilizarea normală a acesteia, menţinând în acelaşi timp utilitatea şi calitatea lucrării. În plus, este, de asemenea, oportun să se aibă în vedere o obligaţie similară de divulgare în ceea ce priveşte textul generat sau manipulat de IA, în măsura în care acesta este publicat cu scopul de a informa publicul cu privire la chestiuni de interes public, cu excepţia cazului în care conţinutul generat de IA a fost supus unui proces de verificare editorială sau revizuire umană şi responsabilitatea editorială pentru publicarea conţinutului este deţinută de o persoană fizică sau juridică.

(135)Fără a aduce atingere caracterului obligatoriu şi aplicabilităţii depline a obligaţiilor privind transparenţa, Comisia poate, de asemenea, să încurajeze şi să faciliteze elaborarea de coduri de bune practici la nivelul Uniunii cu scopul de a facilita punerea în aplicare efectivă a obligaţiilor privind detectarea şi etichetarea conţinutului generat sau manipulat artificial, inclusiv de a sprijini modalităţile practice pentru a oferi accesul, după caz, la mecanisme de detectare şi pentru a facilita cooperarea cu alţi actori de-a lungul lanţului valoric, pentru a disemina conţinutul sau a verifica autenticitatea şi provenienţa acestuia, astfel încât publicul să poată distinge efectiv conţinutul generat de IA.

(136)Obligaţiile impuse prin prezentul regulament furnizorilor şi implementatorilor anumitor sisteme de IA pentru a permite detectarea şi divulgarea faptului că rezultatele sistemelor respective sunt generate sau manipulate artificial sunt deosebit de relevante pentru a facilita punerea în aplicare efectivă a Regulamentului (UE) 2022/2065. Acest lucru este valabil în special în ceea ce priveşte obligaţiile furnizorilor de platforme online foarte mari sau de motoare de căutare online foarte mari de a identifica şi a atenua riscurile sistemice care pot apărea în urma diseminării conţinutului care a fost generat sau manipulat artificial, în special riscul privind efectele negative reale sau previzibile asupra proceselor democratice, asupra discursului civic şi asupra proceselor electorale, inclusiv prin dezinformare. Cerinţa de etichetare a conţinutului generat de sistemele de IA în temeiul prezentului regulament nu aduce atingere obligaţiei prevăzute la articolul 16 alineatul (6) din Regulamentul (UE) 2022/2065 pentru furnizorii de servicii de găzduire de a prelucra notificările privind conţinutul ilegal primite în temeiul articolului 16 alineatul (1) din regulamentul respectiv şi nu ar trebui să influenţeze evaluarea şi decizia privind ilegalitatea conţinutului specific. Evaluarea respectivă ar trebui să fie efectuată exclusiv în raport cu normele care reglementează legalitatea conţinutului.

(138)IA este o familie de tehnologii care se dezvoltă rapid şi care necesită supraveghere reglementară şi un spaţiu sigur şi controlat pentru experimentare, asigurând, în acelaşi timp, inovarea responsabilă şi integrarea unor garanţii adecvate şi a unor măsuri de atenuare a riscurilor. Pentru a asigura un cadru juridic care promovează inovarea, adaptat exigenţelor viitorului şi rezistent la inovări disruptive, statele membre ar trebui să se asigure că autorităţile lor naţionale competente instituie cel puţin un spaţiu de testare la nivel naţional în materie de reglementare în domeniul IA pentru a facilita dezvoltarea şi testarea sistemelor de IA inovatoare aflate sub supraveghere reglementară strictă înainte ca aceste sisteme să fie introduse pe piaţă sau puse în funcţiune în alt mod. Statele membre ar putea, de asemenea, să îndeplinească această obligaţie prin participarea la spaţiile de testare în materie de reglementare deja existente sau prin instituirea unui spaţiu de testare în comun cu una sau mai multe autorităţi competente ale statelor membre, în măsura în care această participare asigură un nivel echivalent de acoperire naţională pentru statele membre participante. Spaţiile de testare în materie de reglementare în domeniul IA ar putea fi instituite în formă fizică, digitală sau hibridă şi pot găzdui atât produse fizice, cât şi produse digitale. Autorităţile de instituire ar trebui, de asemenea, să se asigure că spaţiile de testare în materie de reglementare în domeniul IA dispun de resursele adecvate pentru funcţionarea lor, inclusiv de resurse financiare şi umane.

(139)Obiectivele spaţiilor de testare în materie de reglementare în domeniul IA ar trebui să fie promovarea inovării în domeniul IA prin instituirea unui mediu de experimentare şi testare controlat în faza de dezvoltare şi în faza anterioară introducerii pe piaţă, cu scopul de a asigura conformitatea sistemelor de IA inovatoare cu prezentul regulament şi cu alte dispoziţii relevante din dreptul Uniunii şi dreptul intern. În plus, spaţiile de testare în materie de reglementare în domeniul IA ar trebui să urmărească sporirea securităţii juridice pentru inovatori şi supravegherea şi înţelegerea de către autorităţile competente a oportunităţilor, a riscurilor emergente şi a impactului utilizării IA, facilitarea învăţării în materie de reglementare pentru autorităţi şi întreprinderi, inclusiv în vederea viitoarelor adaptări ale cadrului juridic, sprijinirea cooperării şi a schimbului de bune practici cu autorităţile implicate în spaţiul de testare în materie de reglementare în domeniul IA, precum şi accelerarea accesului la pieţe, inclusiv prin eliminarea barierelor din calea IMM-urilor, inclusiv a întreprinderilor nou-înfiinţate. Spaţiile de testare în materie de reglementare în domeniul IA ar trebui să fie disponibile pe scară largă în întreaga Uniune şi ar trebui să se acorde o atenţie deosebită accesibilităţii acestora pentru IMM-uri, inclusiv pentru întreprinderile nou-înfiinţate. Participarea la spaţiul de testare în materie de reglementare în domeniul IA ar trebui să se concentreze pe aspecte care fac ca furnizorii şi potenţialii furnizori să se confrunte cu o lipsă de securitate juridică atunci când încearcă să inoveze, să experimenteze cu IA în Uniune şi să contribuie la învăţarea bazată pe dovezi în materie de reglementare. Supravegherea sistemelor de IA în spaţiul de testare în materie de reglementare în domeniul IA ar trebui, prin urmare, să vizeze dezvoltarea, antrenarea, testarea şi validarea acestora înainte ca sistemele să fie introduse pe piaţă sau puse în funcţiune, precum şi noţiunea de modificare substanţială care ar putea necesita o nouă procedură de evaluare a conformităţii şi ocurenţa unei astfel de modificări. Orice riscuri semnificative identificate în cursul dezvoltării şi testării unor astfel de sisteme de IA ar trebui să conducă la o atenuare adecvată şi, în cazul în care atenuarea nu este posibilă, la suspendarea procesului de dezvoltare şi testare. După caz, autorităţile naţionale competente care instituie spaţii de testare în materie de reglementare în domeniul IA ar trebui să coopereze cu alte autorităţi relevante, inclusiv cu cele care supraveghează protecţia drepturilor fundamentale, şi ar putea permite implicarea altor actori din ecosistemul de IA, cum ar fi organizaţiile de standardizare naţionale sau europene, organismele notificate, unităţile de testare şi experimentare, laboratoarele de cercetare şi experimentare, centrele europene de inovare digitală şi organizaţiile relevante ale părţilor interesate şi ale societăţii civile. Pentru a asigura o punere în aplicare uniformă în întreaga Uniune şi economii de scară, este oportun să se stabilească norme comune pentru punerea în aplicare a spaţiilor de testare în materie de reglementare în domeniul IA şi un cadru de cooperare între autorităţile relevante implicate în supravegherea spaţiilor de testare. Spaţiile de testare în materie de reglementare în domeniul IA instituite în temeiul prezentului regulament nu ar trebui să aducă atingere altor dispoziţii de drept care permit instituirea altor spaţii de testare cu scopul de a asigura conformitatea cu alte dispoziţii de drept decât prezentul regulament. După caz, autorităţile competente relevante responsabile de aceste alte spaţii de testare în materie de reglementare ar trebui să ia în considerare beneficiile utilizării acestor spaţii de testare şi în scopul asigurării conformităţii sistemelor de IA cu prezentul regulament. Pe baza unui acord între autorităţile naţionale competente şi participanţii la spaţiul de testare în materie de reglementare în domeniul IA, testarea în condiţii reale poate fi, de asemenea, efectuată şi supravegheată în cadrul spaţiului de testare în materie de reglementare în domeniul IA.

(140)Prezentul regulament ar trebui să ofere furnizorilor şi potenţialilor furnizori din cadrul spaţiului de testare în materie de reglementare în domeniul IA temeiul juridic pentru utilizarea datelor cu caracter personal colectate în alte scopuri pentru a dezvolta anumite sisteme de IA de interes public în cadrul spaţiului de testare în materie de reglementare în domeniul IA numai în condiţii specificate, în conformitate cu articolul 6 alineatul (4) şi cu articolul 9 alineatul (2) litera (g) din Regulamentul (UE) 2016/679, precum şi cu articolele 5, 6 şi 10 din Regulamentul (UE) 2018/1725 şi fără a aduce atingere articolului 4 alineatul (2) şi articolului 10 din Directiva (UE) 2016/680. Toate celelalte obligaţii ale operatorilor de date şi drepturi ale persoanelor vizate în temeiul Regulamentelor (UE) 2016/679 şi (UE) 2018/1725 şi al Directivei (UE) 2016/680 rămân aplicabile. În special, prezentul regulament nu ar trebui să ofere un temei juridic în sensul articolului 22 alineatul (2) litera (b) din Regulamentul (UE) 2016/679 şi al articolului 24 alineatul (2) litera (b) din Regulamentul (UE) 2018/1725. Furnizorii şi potenţialii furnizori din cadrul spaţiului de testare în materie de reglementare în domeniul IA ar trebui să asigure garanţii adecvate şi să coopereze cu autorităţile competente, inclusiv urmând orientările acestora şi acţionând cu promptitudine şi cu bună-credinţă, în ceea ce priveşte atenuarea în mod adecvat a oricăror riscuri semnificative identificate la adresa siguranţei, sănătăţii şi a drepturilor fundamentale care ar putea apărea în timpul dezvoltării, testării şi experimentării în spaţiul de testare respectiv.

(141)Pentru a accelera procesul de dezvoltare şi introducere pe piaţă a sistemelor de IA cu grad ridicat de risc enumerate într-o anexă la prezentul regulament, este important ca furnizorii sau potenţialii furnizori ai acestor sisteme să poată beneficia, la rândul lor, de un regim specific pentru testarea acestor sisteme în condiţii reale, fără a participa la un spaţiu de testare în materie de reglementare în domeniul IA. Cu toate acestea, în astfel de cazuri, ţinând seama de posibilele consecinţe ale unor astfel de teste asupra persoanelor fizice, ar trebui să se garanteze faptul că prezentul regulament introduce garanţii şi condiţii adecvate şi suficiente pentru furnizori sau potenţiali furnizori. Astfel de garanţii ar trebui să includă, printre altele, solicitarea consimţământului în cunoştinţă de cauză al persoanelor fizice de a participa la teste în condiţii reale, cu excepţia cazurilor legate de aplicarea legii dacă solicitarea consimţământului în cunoştinţă de cauză ar împiedica testarea sistemului de IA. Consimţământul subiecţilor de a participa la astfel de teste în temeiul prezentului regulament este distinct de consimţământului persoanelor vizate pentru prelucrarea datelor lor cu caracter personal în temeiul dreptului relevant privind protecţia datelor şi nu îi aduce atingere acestuia. De asemenea, este important să se reducă la minimum riscurile şi să se permită supravegherea de către autorităţile competente şi, prin urmare, să se impună potenţialilor furnizori să facă demersurile necesare pentru prezentarea unui plan de testare în condiţii reale autorităţii competente de supraveghere a pieţei, să se înregistreze testările în secţiuni specifice din baza de date a UE, sub rezerva unor excepţii limitate, să se instituie limite privind perioada pentru care se poate efectua testarea şi să se impună garanţii suplimentare pentru persoanele care aparţin anumitor grupuri vulnerabile, precum şi un acord scris care să definească rolurile şi responsabilităţile potenţialilor furnizori şi implementatori şi supravegherea eficace de către personalul competent implicat în testarea în condiţii reale. În plus, este oportun să se prevadă garanţii suplimentare pentru a se asigura că previziunile, recomandările sau deciziile sistemului de IA pot fi efectiv inversate şi ignorate şi că datele cu caracter personal sunt protejate şi sunt şterse atunci când subiecţii îşi retrag consimţământul de a participa la testare, fără a aduce atingere drepturilor lor în calitate de persoane vizate în temeiul dreptului Uniunii privind protecţia datelor. În ceea ce priveşte transferul de date, este, de asemenea, oportun să se prevadă că datele colectate şi prelucrate în scopul testării în condiţii reale ar trebui să fie transferate către ţări terţe numai cu condiţia punerii în aplicare a unor garanţii adecvate şi aplicabile în temeiul dreptului Uniunii, în special în conformitate cu bazele pentru transferul de date cu caracter personal în temeiul dreptului Uniunii privind protecţia datelor, în timp ce pentru datele fără caracter personal sunt instituite garanţii adecvate în conformitate cu dreptul Uniunii, cum ar fi Regulamentele (UE) 2022/868 (⁴²) şi (UE) 2023/2854 (⁴³) ale Parlamentului European şi ale Consiliului.

(142)Pentru a se asigura că IA conduce la rezultate benefice din punct de vedere social şi ecologic, statele membre sunt încurajate să sprijine şi să promoveze cercetarea şi dezvoltarea de soluţii de IA în sprijinul rezultatelor benefice din punct de vedere social şi ecologic, cum ar fi soluţiile bazate pe IA pentru a spori accesibilitatea pentru persoanele cu dizabilităţi, pentru a combate inegalităţile socioeconomice sau pentru a îndeplini obiectivele de mediu, alocând resurse suficiente, inclusiv finanţare publică şi din partea Uniunii, şi, după caz şi cu condiţia îndeplinirii criteriilor de eligibilitate şi de selecţie, luând în considerare în special proiectele care urmăresc astfel de obiective. Aceste proiecte ar trebui să se bazeze pe principiul cooperării interdisciplinare dintre dezvoltatorii de IA, experţii în materie de inegalitate şi nediscriminare, accesibilitate, drepturile consumatorilor, de mediu şi digitale, precum şi cadrele universitare.

(143)Pentru a promova şi proteja inovarea, este important să fie luate în considerare în mod deosebit interesele IMM-urilor, inclusiv ale întreprinderilor nou-înfiinţate care sunt furnizori şi implementatori de sisteme de IA. În acest scop, statele membre ar trebui să elaboreze iniţiative care să vizeze operatorii respectivi, inclusiv în ceea ce priveşte sensibilizarea şi comunicarea informaţiilor. Statele membre ar trebui să ofere IMM-urilor, inclusiv întreprinderilor nou-înfiinţate, care au un sediu social sau o sucursală în Uniune, acces prioritar la spaţiile de testare în materie de reglementare în domeniul IA, cu condiţia ca acestea să îndeplinească condiţiile de eligibilitate şi criteriile de selecţie şi fără a împiedica alţi furnizori şi potenţiali furnizori să acceseze spaţiile de testare, cu condiţia să fie îndeplinite aceleaşi condiţii şi criterii. Statele membre ar trebui să utilizeze canalele existente şi, după caz, să stabilească noi canale specifice de comunicare cu IMM-urile, inclusiv întreprinderile nou-înfiinţate, implementatorii şi alţi inovatori şi, după caz, cu autorităţile publice locale, pentru a sprijini IMM-urile pe tot parcursul dezvoltării lor, oferind orientări şi răspunzând la întrebări cu privire la punerea în aplicare a prezentului regulament. După caz, aceste canale ar trebui să colaboreze pentru a crea sinergii şi pentru a asigura omogenitatea orientărilor pe care le furnizează IMM-urilor, inclusiv întreprinderilor nou-înfiinţate, şi implementatorilor. În plus, statele membre ar trebui să faciliteze participarea IMM-urilor şi a altor părţi interesate relevante la procesele de elaborare a standardelor. De asemenea, ar trebui să fie luate în considerare interesele şi nevoile specifice ale furnizorilor care sunt IMM-uri, inclusiv întreprinderi nou-înfiinţate, atunci când organismele notificate stabilesc taxe de evaluare a conformităţii. Comisia ar trebui să evalueze periodic costurile de certificare şi de conformitate suportate de IMM-uri, inclusiv de întreprinderile nou-înfiinţate, prin consultări transparente şi ar trebui să colaboreze cu statele membre pentru a reduce aceste costuri. De exemplu, costurile de traducere legate de documentaţia obligatorie şi de comunicarea cu autorităţile pot constitui un cost semnificativ pentru furnizori şi alţi operatori, în special pentru cei de dimensiuni mai mici. Statele membre ar trebui, eventual, să se asigure că una dintre limbile stabilite şi acceptate pentru documentaţia relevantă din partea furnizorilor şi pentru comunicarea cu operatorii este o limbă înţeleasă pe larg de un număr cât mai mare de implementatori transfrontalieri. Pentru a răspunde nevoilor specifice ale IMM-urilor, inclusiv ale întreprinderilor nou-înfiinţate, Comisia ar trebui să furnizeze modele standardizate pentru domeniile vizate de prezentul regulament, la solicitarea Consiliului IA. În plus, Comisia ar trebui să completeze eforturile statelor membre prin furnizarea unei platforme unice de informare cu informaţii uşor de utilizat în ceea ce priveşte prezentul regulament destinate tuturor furnizorilor şi implementatorilor, prin organizarea unor campanii de comunicare adecvate pentru sensibilizarea cu privire la obligaţiile care decurg din prezentul regulament şi prin evaluarea şi promovarea convergenţei bunelor practici în cadrul procedurilor de achiziţii publice în ceea ce priveşte sistemele de IA. Întreprinderile mijlocii care până recent se încadrau în categoria de întreprinderi mici în sensul anexei la Recomandarea 2003/361/CE a Comisiei (⁴⁴) ar trebui să aibă acces la măsurile de sprijin respective, deoarece este posibil ca aceste noi întreprinderi mijlocii să nu dispună uneori de resursele juridice şi formarea necesare pentru a asigura respectarea şi înţelegerea adecvată a prezentului regulament.

(145)Pentru a reduce la minimum riscurile la adresa punerii în aplicare care decurg din lipsa de cunoaştere şi de cunoştinţe de specialitate de pe piaţă, precum şi pentru a facilita respectarea de către furnizori, cu precădere de către IMM-uri, inclusiv întreprinderile nou-înfiinţate, precum şi de către organismele notificate a obligaţiilor care le revin în temeiul prezentului regulament, platforma de IA la cerere, centrele europene de inovare digitală şi instalaţiile de testare şi experimentare instituite de Comisie şi de statele membre la nivelul Uniunii sau la nivel naţional ar trebui să contribuie la punerea în aplicare a prezentului regulament. În cadrul misiunii şi domeniilor lor de competenţă respective, platforma de IA la cerere, centrele europene de inovare digitală şi instalaţiile de testare şi experimentare sunt în măsură să ofere, în special, sprijin tehnic şi ştiinţific furnizorilor şi organismelor notificate.

(146)În plus, având în vedere dimensiunea foarte mică a unor operatori şi pentru a asigura proporţionalitatea în ceea ce priveşte costurile inovării, este oportun să se permită microîntreprinderilor să îndeplinească într-o manieră simplificată una dintre obligaţiile cele mai costisitoare, şi anume aceea de a institui un sistem de management al calităţii, fapt care ar reduce sarcina administrativă şi costurile pentru întreprinderile respective, fără a afecta nivelul de protecţie şi necesitatea de a respecta cerinţele pentru sistemele de IA cu grad ridicat de risc. Comisia ar trebui să elaboreze orientări pentru a specifica elementele sistemului de management al calităţii care trebuie îndeplinite în această manieră simplificată de către microîntreprinderi.

(147)Este oportun ca, în măsura posibilului, Comisia să faciliteze accesul la instalaţiile de testare şi experimentare pentru organismele, grupurile sau laboratoarele înfiinţate sau acreditate în temeiul oricăror acte legislative de armonizare relevante ale Uniunii şi care îndeplinesc sarcini în contextul evaluării conformităţii produselor sau dispozitivelor reglementate de respectivele acte legislative de armonizare ale Uniunii. Acest lucru este valabil în special în ceea ce priveşte grupurile de experţi, laboratoarele de expertiză şi laboratoarele de referinţă în domeniul dispozitivelor medicale în temeiul Regulamentelor (UE) 2017/745 şi (UE) 2017/746.

(148)Prezentul regulament ar trebui să instituie un cadru de guvernanţă care să permită, pe de o parte, coordonarea şi sprijinirea aplicării prezentului regulament la nivel naţional şi, pe de altă parte, consolidarea capabilităţilor la nivelul Uniunii şi integrarea părţilor interesate în domeniul IA. Punerea în aplicare şi respectarea efectivă a prezentului regulament necesită un cadru de guvernanţă care să permită coordonarea şi consolidarea cunoştinţelor de specialitate centrale la nivelul Uniunii. Oficiul pentru IA a fost instituit printr-o decizie a Comisiei (⁴⁵) şi are ca misiune să dezvolte cunoştinţele de specialitate şi capabilităţile Uniunii în domeniul IA şi să contribuie la punerea în aplicare a dreptului Uniunii privind IA. Statele membre ar trebui să faciliteze sarcinile Oficiului pentru IA cu scopul de a sprijini dezvoltarea, la nivelul Uniunii, a cunoştinţelor de specialitate şi a capabilităţilor Uniunii şi de a consolida funcţionarea pieţei unice digitale. În plus, ar trebui să fie instituit un Consiliu IA compus din reprezentanţi ai statelor membre, un grup ştiinţific care să integreze comunitatea ştiinţifică şi un forum consultativ pentru a furniza contribuţii ale părţilor interesate pentru punerea în aplicare a prezentului regulament, la nivelul Uniunii şi la nivel naţional. Dezvoltarea cunoştinţelor de specialitate şi a capabilităţilor Uniunii ar trebui să includă şi valorificarea resurselor şi cunoştinţelor de specialitate existente, în special prin sinergii cu structurile create în contextul aplicării la nivelul Uniunii a altor acte legislative şi al sinergiilor cu iniţiativele conexe de la nivelul Uniunii, cum ar fi Întreprinderea comună EuroHPC şi unităţile de testare şi experimentare în domeniul IA din cadrul programului "Europa digitală".

(149)Pentru a facilita o punere în aplicare armonioasă, efectivă şi armonizată a prezentului regulament, ar trebui să fie instituit un Consiliu IA. Consiliul IA ar trebui să reflecte diferitele interese ale ecosistemului de IA şi să fie alcătuit din reprezentanţi ai statelor membre. Consiliul IA ar trebui să fie responsabil pentru o serie de sarcini consultative, inclusiv emiterea de avize, recomandări, consiliere sau furnizarea unor contribuţii sub formă de orientări cu privire la aspecte legate de punerea în aplicare a prezentului regulament, inclusiv cu privire la aspecte de aplicare a legii, la specificaţii tehnice sau la standarde existente în ceea ce priveşte cerinţele stabilite în prezentul regulament, precum şi furnizarea de consiliere Comisiei şi statelor lor membre şi autorităţilor naţionale competente ale acestora cu privire la chestiuni specifice legate de IA. Pentru a oferi o anumită flexibilitate statelor membre în ceea ce priveşte desemnarea reprezentanţilor lor în cadrul Consiliului IA, astfel de reprezentanţi pot fi persoane care aparţin unor entităţi publice care ar trebui să aibă competenţele şi prerogativele relevante pentru a facilita coordonarea la nivel naţional şi pentru a contribui la îndeplinirea sarcinilor Consiliului IA. Consiliul IA ar trebui să instituie două subgrupuri permanente pentru a oferi o platformă de cooperare şi de schimb între autorităţile de supraveghere a pieţei şi autorităţile de notificare cu privire la aspecte legate de supravegherea pieţei şi, respectiv, de organismele notificate. Subgrupul permanent pentru supravegherea pieţei ar trebui să acţioneze în calitate de grup de cooperare administrativă (ADCO) pentru prezentul regulament în sensul articolului 30 din Regulamentul (UE) 2019/1020. În conformitate cu articolul 33 din regulamentul respectiv, Comisia ar trebui să sprijine activităţile subgrupului permanent pentru supravegherea pieţei prin efectuarea de evaluări sau studii de piaţă, în special în vederea identificării aspectelor prezentului regulament care necesită o coordonare specifică şi urgentă între autorităţile de supraveghere a pieţei. Consiliul IA poate înfiinţa alte subgrupuri permanente sau temporare, după caz, în scopul examinării unor chestiuni specifice. Consiliul IA ar trebui, de asemenea, să coopereze, după caz, cu organismele, grupurile de experţi şi reţelele relevante ale Uniunii care îşi desfăşoară activitatea în contextul reglementărilor relevante ale dreptului Uniunii, inclusiv, în special, cu cele care îşi desfăşoară activitatea în temeiul reglementărilor relevante ale dreptului Uniunii privind datele, produsele şi serviciile digitale.

(150)Pentru a asigura implicarea părţilor interesate în punerea în aplicare şi aplicarea prezentului regulament, ar trebui să fie instituit un forum consultativ care să furnizeze Consiliului IA şi Comisiei consiliere şi cunoştinţe de specialitate tehnice. Pentru a asigura o reprezentare a părţilor interesate variată şi echilibrată între interesele comerciale şi cele necomerciale şi, în cadrul categoriei intereselor comerciale, în ceea ce priveşte IMM-urile şi alte întreprinderi, forumul consultativ ar trebui să cuprindă, printre altele, industria, întreprinderile nou-înfiinţate, IMM-urile, mediul academic, societatea civilă, inclusiv partenerii sociali, precum şi Agenţia pentru Drepturi Fundamentale, ENISA, Comitetul European de Standardizare (CEN), Comitetul European de Standardizare în Electrotehnică (CENELEC) şi Institutul European de Standardizare în Telecomunicaţii (ETSI).

(151)Pentru a sprijini punerea în aplicare şi respectarea prezentului regulament, în special activităţile de monitorizare ale Oficiului pentru IA în ceea ce priveşte modelele de IA de uz general, ar trebui să fie instituit un grup ştiinţific de experţi independenţi. Experţii independenţi din alcătuirea grupului ştiinţific ar trebui să fie selectaţi pe baza cunoştinţelor de specialitate ştiinţifice sau tehnice actualizate în domeniul IA şi ar trebui să îşi îndeplinească sarcinile cu imparţialitate şi obiectivitate şi să asigure confidenţialitatea informaţiilor şi a datelor obţinute în îndeplinirea sarcinilor şi activităţilor lor. Pentru a permite consolidarea capacităţilor naţionale necesare pentru aplicarea efectivă a prezentului regulament, statele membre ar trebui să poată solicita sprijin echipei de experţi care formează grupul ştiinţific pentru activităţile lor de aplicare a legii.

(153)Statele membre joacă un rol esenţial în aplicarea şi respectarea prezentului regulament. În acest sens, fiecare stat membru ar trebui să desemneze cel puţin o autoritate de notificare şi cel puţin o autoritate de supraveghere a pieţei în calitatea de autorităţi naţionale competente în scopul supravegherii aplicării şi punerii în aplicare a prezentului regulament. Statele membre pot decide să numească orice tip de entitate publică pentru a îndeplini sarcinile autorităţilor naţionale competente în sensul prezentului regulament, în conformitate cu caracteristicile şi nevoile organizaţionale naţionale specifice ale acestora. Pentru a spori eficienţa organizaţională din partea statelor membre şi pentru a stabili un punct unic de contact cu publicul şi cu alţi omologi la nivelul statelor membre şi al Uniunii, fiecare stat membru ar trebui să desemneze o autoritate de supraveghere a pieţei care să acţioneze ca punct unic de contact.

(154)Autorităţile naţionale competente ar trebui să îşi exercite competenţele în mod independent, imparţial şi fără prejudecăţi, garantând principiile obiectivităţii activităţilor şi sarcinilor lor şi asigurând aplicarea şi punerea în aplicare a prezentului regulament. Membrii acestor autorităţi ar trebui să se abţină de la orice act incompatibil cu natura funcţiilor lor şi ar trebui să facă obiectul normelor de confidenţialitate în temeiul prezentului regulament.

(155)Pentru a se asigura că furnizorii de sisteme de IA cu grad ridicat de risc pot ţine seama de experienţa privind utilizarea sistemelor de IA cu grad ridicat de risc pentru îmbunătăţirea sistemelor lor şi a procesului de proiectare şi dezvoltare sau că pot lua orice măsură corectivă posibilă în timp util, toţi furnizorii ar trebui să dispună de un sistem de monitorizare ulterioară introducerii pe piaţă. După caz, monitorizarea ulterioară introducerii pe piaţă ar trebui să includă o analiză a interacţiunii cu alte sisteme de IA, inclusiv cu alte dispozitive şi alt software. Monitorizarea ulterioară introducerii pe piaţă nu ar trebui să vizeze datele operaţionale sensibile ale implementatorilor care sunt autorităţi de aplicare a legii. Acest sistem este, de asemenea, esenţial pentru a se asigura că posibilele riscuri care decurg din sistemele de IA care continuă să "înveţe" după ce au fost introduse pe piaţă sau puse în funcţiune pot fi abordate într-un mod mai eficient şi în timp util. În acest context, furnizorii ar trebui, de asemenea, să aibă obligaţia de a dispune de un sistem pentru a raporta autorităţilor relevante orice incident grav care decurge din utilizarea sistemelor lor de IA, şi anume un incident sau o funcţionare defectuoasă care duce la deces sau la daune grave pentru sănătate, la perturbări grave şi ireversibile ale gestionării şi funcţionării infrastructurii critice, la încălcări ale obligaţiilor în temeiul dreptului Uniunii menite să protejeze drepturile fundamentale sau la daune grave aduse bunurilor materiale sau mediului.

(156)Pentru a se asigura respectarea adecvată şi efectivă a cerinţelor şi a obligaţiilor prevăzute în prezentul regulament, şi anume în legislaţia de armonizare a Uniunii, ar trebui să se aplice sistemul de supraveghere a pieţei şi de conformitate a produselor în ansamblul său, astfel cum a fost instituit prin Regulamentul (UE) 2019/1020. Autorităţile de supraveghere a pieţei desemnate în temeiul prezentului regulament ar trebui să dispună de toate competenţele de aplicare a dispoziţiilor stabilite în prezentul regulament şi în Regulamentul (UE) 2019/1020 şi ar trebui să îşi exercite competenţele şi să îşi îndeplinească atribuţiile în mod independent, imparţial şi fără prejudecăţi. Deşi majoritatea sistemelor de IA nu fac obiectul unor cerinţe şi obligaţii specifice în temeiul prezentului regulament, autorităţile de supraveghere a pieţei pot lua măsuri în legătură cu toate sistemele de IA atunci când acestea prezintă un risc în conformitate cu prezentul regulament. Având în vedere natura specifică a instituţiilor, agenţiilor şi organelor Uniunii care intră în domeniul de aplicare al prezentului regulament, este oportun ca Autoritatea Europeană pentru Protecţia Datelor să fie desemnată drept autoritate competentă de supraveghere a pieţei pentru acestea. Acest lucru nu ar trebui să aducă atingere desemnării autorităţilor naţionale competente de către statele membre. Activităţile de supraveghere a pieţei nu ar trebui să afecteze capacitatea entităţilor supravegheate de a-şi îndeplini sarcinile în mod independent, atunci când independenţa lor este impusă de dreptul Uniunii.

(157)Prezentul regulament nu aduce atingere competenţelor, sarcinilor, prerogativelor şi independenţei autorităţilor sau organismelor publice naţionale relevante care supraveghează aplicarea dreptului Uniunii care protejează drepturile fundamentale, inclusiv ale organismelor de promovare a egalităţii şi ale autorităţilor de protecţie a datelor. În cazul în care acest lucru este necesar pentru îndeplinirea mandatului lor, autorităţile sau organismele publice naţionale respective ar trebui să aibă, de asemenea, acces la orice documentaţie creată în temeiul prezentului regulament. Ar trebui să fie stabilită o procedură de salvgardare specifică pentru a se asigura respectarea dispoziţiilor în domeniul IA, în mod adecvat şi în timp util, în privinţa sistemelor de IA care prezintă un risc pentru sănătate, siguranţă şi drepturile fundamentale. Procedura pentru astfel de sisteme de IA care prezintă un risc ar trebui să se aplice sistemelor de IA cu grad ridicat de risc care prezintă un risc, sistemelor interzise care au fost introduse pe piaţă, puse în funcţiune sau utilizate cu încălcarea interdicţiei anumitor practici prevăzută în prezentul regulament, precum şi sistemelor de IA care au fost puse la dispoziţie cu încălcarea cerinţelor de transparenţă prevăzute în prezentul regulament şi care prezintă un risc.

(158)Dreptul Uniunii privind serviciile financiare include norme şi cerinţe privind guvernanţa internă şi gestionarea riscurilor care sunt aplicabile instituţiilor financiare reglementate în cursul furnizării acestor servicii, inclusiv atunci când acestea utilizează sisteme de IA. Pentru a asigura, în mod coerent, aplicarea şi respectarea obligaţiilor prevăzute în prezentul regulament şi a normelor şi cerinţelor relevante ale actelor juridice ale Uniunii în domeniul serviciilor financiare, autorităţile competente responsabile cu supravegherea şi aplicarea actelor juridice respective, în special autorităţile competente, astfel cum sunt definite în Regulamentul (UE) nr. 575/2013 al Parlamentului European şi al Consiliului (⁴⁶) şi în Directivele 2008/48/CE (⁴⁷), 2009/138/CE (⁴⁸), 2013/36/UE (⁴⁹), 2014/17/UE (⁵⁰) şi (UE) 2016/97 (⁵¹) ale Parlamentului European şi ale Consiliului, ar trebui să fie desemnate, în limitele competenţelor lor respective, drept autorităţi competente în scopul supravegherii punerii în aplicare a prezentului regulament, inclusiv pentru activităţile de supraveghere a pieţei, în ceea ce priveşte sistemele de IA furnizate sau utilizate de instituţiile financiare reglementate şi supravegheate, cu excepţia cazului în care statele membre decid să desemneze o altă autoritate pentru a îndeplini aceste sarcini de supraveghere a pieţei. Autorităţile competente respective ar trebui să deţină toate competenţele în temeiul prezentului regulament şi al Regulamentului (UE) 2019/1020 pentru a asigura respectarea cerinţelor şi a obligaţiilor prevăzute în prezentul regulament, inclusiv competenţele de a desfăşura activităţi ex post de supraveghere a pieţei care pot fi integrate, după caz, în mecanismele şi procedurile lor de supraveghere existente în temeiul dispoziţiilor relevante ale dreptului Uniunii din domeniul serviciilor financiare. Este oportun să se considere că, atunci când acţionează în calitate de autorităţi de supraveghere a pieţei în temeiul prezentului regulament, autorităţile naţionale responsabile de supravegherea instituţiilor de credit reglementate în temeiul Directivei 2013/36/UE, care participă la mecanismul unic de supraveghere instituit prin Regulamentul (UE) nr. 1024/2013 al Consiliului (⁵²), ar trebui să raporteze fără întârziere Băncii Centrale Europene orice informaţii identificate în cursul activităţilor lor de supraveghere a pieţei care ar putea prezenta un interes pentru sarcinile de supraveghere prudenţială ale Băncii Centrale Europene, astfel cum se specifică în regulamentul respectiv. Pentru a spori şi mai mult coerenţa dintre prezentul regulament şi normele aplicabile instituţiilor de credit reglementate în temeiul Directivei 2013/36/UE, este, de asemenea, oportun să se integreze unele dintre obligaţiile procedurale ale furnizorilor în ceea ce priveşte gestionarea riscurilor, monitorizarea ulterioară introducerii pe piaţă şi documentaţia în obligaţiile şi procedurile existente în temeiul Directivei 2013/36/UE. Pentru a evita suprapunerile, ar trebui să fie avute în vedere derogări limitate şi în ceea ce priveşte sistemul de management al calităţii al furnizorilor şi obligaţia de monitorizare impusă implementatorilor de sisteme de IA cu grad ridicat de risc, în măsura în care acestea se aplică instituţiilor de credit reglementate de Directiva 2013/36/UE. Acelaşi regim ar trebui să se aplice întreprinderilor de asigurare şi reasigurare şi holdingurilor de asigurare în temeiul Directivei 2009/138/CE, intermediarilor de asigurări în temeiul Directivei (UE) 2016/97, precum şi altor tipuri de instituţii financiare care fac obiectul cerinţelor privind guvernanţa internă, măsurile sau procesele interne instituite în temeiul dispoziţiilor relevante ale dreptului Uniunii din domeniul serviciilor financiare pentru a asigura coerenţa şi egalitatea de tratament în sectorul financiar.

(159)Fiecare autoritate de supraveghere a pieţei pentru sistemele de IA cu grad ridicat de risc din domeniul biometriei, astfel cum sunt enumerate într-o anexă la prezentul regulament, în măsura în care sistemele respective sunt utilizate în scopul aplicării legii, al migraţiei, al azilului şi al gestionării controlului la frontiere sau al administrării justiţiei şi al proceselor democratice, ar trebui să aibă competenţe de investigare şi corective efective, inclusiv cel puţin competenţa de a obţine acces la toate datele cu caracter personal care sunt prelucrate şi la toate informaţiile necesare pentru îndeplinirea sarcinilor sale. Autorităţile de supraveghere a pieţei ar trebui să îşi poată exercita competenţele acţionând cu deplină independenţă. Nicio limitare a accesului acestora la date operaţionale sensibile în temeiul prezentului regulament nu ar trebui să aducă atingere competenţelor care le sunt conferite prin Directiva (UE) 2016/680. Nicio excludere în ceea ce priveşte divulgarea de date către autorităţile naţionale de protecţie a datelor în temeiul prezentului regulament nu ar trebui să afecteze competenţele actuale sau viitoare ale autorităţilor respective în afara domeniului de aplicare al prezentului regulament.

(160)Autorităţile de supraveghere a pieţei şi Comisia ar trebui să poată propune activităţi comune, inclusiv investigaţii comune, care să fie efectuate de autorităţile de supraveghere a pieţei sau de autorităţile de supraveghere a pieţei în colaborare cu Comisia şi care au scopul de a promova conformitatea, de a identifica cazurile de neconformitate, de a sensibiliza şi de a oferi orientări în legătură cu prezentul regulament în ceea ce priveşte anumite categorii de sisteme de IA cu grad ridicat de risc despre care se constată că prezintă un risc grav în două sau mai multe state membre. Activităţile comune de promovare a conformităţii ar trebui desfăşurate în conformitate cu articolul 9 din Regulamentul (UE) 2019/1020. Oficiul pentru IA ar trebui să ofere sprijin sub formă de coordonare pentru investigaţiile comune.

(161)Este necesar să se clarifice responsabilităţile şi competenţele la nivelul Uniunii şi la nivel naţional în ceea ce priveşte sistemele de IA care au la bază modele de IA de uz general. Pentru a evita suprapunerea competenţelor, în cazul în care un sistem de IA se bazează pe un model de IA de uz general, iar modelul şi sistemul sunt furnizate de acelaşi furnizor, supravegherea ar trebui să aibă loc la nivelul Uniunii prin intermediul Oficiului pentru IA, care, în acest scop, ar trebui să deţină competenţele unei autorităţi de supraveghere a pieţei în sensul Regulamentului (UE) 2019/1020. În toate celelalte cazuri, responsabilitatea privind supravegherea sistemelor de IA rămâne în sarcina autorităţilor naţionale de supraveghere a pieţei. Cu toate acestea, pentru sistemele de IA de uz general care pot fi utilizate direct de către implementatori pentru cel puţin un scop clasificat ca prezentând un grad ridicat de risc, autorităţile de supraveghere a pieţei ar trebui să coopereze cu Oficiul pentru IA pentru a efectua evaluări ale conformităţii şi să informeze în consecinţă Consiliul IA şi alte autorităţi de supraveghere a pieţei. În plus, autorităţile de supraveghere a pieţei ar trebui să poată solicita asistenţă din partea Oficiului pentru IA în cazul în care autoritatea de supraveghere a pieţei nu este în măsură să finalizeze o investigaţie cu privire la un sistem de IA cu grad ridicat de risc din cauza incapacităţii sale de a accesa anumite informaţii legate de modelul de IA de uz general care stă la baza sistemului de IA cu grad ridicat de risc. În astfel de cazuri, ar trebui să se aplice mutatis mutandis procedura privind asistenţa reciprocă transfrontalieră din capitolul VI din Regulamentul (UE) 2019/1020.

(162)Pentru a utiliza în mod optim cunoştinţele de specialitate centralizate ale Uniunii şi sinergiile de la nivelul Uniunii, competenţele de supraveghere şi de executare a obligaţiilor care le revin furnizorilor de modele de IA de uz general ar trebui să fie deţinute de Comisie. Oficiul pentru IA ar trebui să fie în măsură să întreprindă toate acţiunile necesare pentru a monitoriza punerea în aplicare efectivă a prezentului regulament în ceea ce priveşte modelele de IA de uz general. Acesta ar trebui să fie în măsură să investigheze posibilele încălcări ale normelor privind furnizorii de modele de IA de uz general, atât din proprie iniţiativă, dând curs rezultatelor activităţilor sale de monitorizare, cât şi la cererea autorităţilor de supraveghere a pieţei, în conformitate cu condiţiile stabilite în prezentul regulament. Pentru a sprijini desfăşurarea în mod eficace de către Oficiul pentru IA a monitorizării, acesta ar trebui să prevadă posibilitatea ca furnizorii din aval să depună plângeri cu privire la posibile încălcări ale normelor privind furnizorii de sisteme şi modele de IA de uz general.

(163)În vederea completării sistemelor de guvernanţă pentru modelele de IA de uz general, grupul ştiinţific ar trebui să sprijine activităţile de monitorizare ale Oficiului pentru IA şi poate, în anumite cazuri, să furnizeze Oficiului pentru IA alerte calificate care declanşează acţiuni subsecvente, de exemplu investigaţii. Acest lucru ar trebui să fie valabil atunci când grupul ştiinţific are motive să suspecteze că un model de IA de uz general prezintă un risc concret şi identificabil la nivelul Uniunii. În plus, acest lucru ar trebui să fie valabil atunci când grupul ştiinţific are motive să suspecteze că un model de IA de uz general îndeplineşte criteriile care ar conduce la o clasificare ca model de IA de uz general cu risc sistemic. Pentru ca grupul ştiinţific să dispună de informaţiile necesare în îndeplinirea sarcinilor respective, ar trebui să existe un mecanism prin care acesta să poată solicita Comisiei să impună furnizorilor să ofere documente sau informaţii.

(164)Oficiul pentru IA ar trebui să poată lua măsurile necesare pentru a monitoriza punerea în aplicare efectivă şi respectarea obligaţiilor furnizorilor de modele de IA de uz general prevăzute în prezentul regulament. Oficiul pentru IA ar trebui să fie în măsură să investigheze posibilele încălcări în conformitate cu competenţele prevăzute în prezentul regulament, inclusiv prin solicitarea unor documente şi informaţii, prin desfăşurarea de evaluări, precum şi prin solicitarea luării de măsuri de către furnizorii de modele de IA de uz general. În desfăşurarea evaluărilor, pentru a utiliza cunoştinţe de specialitate cu caracter independent, Oficiul pentru IA ar trebui să poată implica experţi independenţi pentru a desfăşura evaluările în numele său. Respectarea obligaţiilor ar trebui să fie asigurată, printre altele, prin cereri de a lua măsuri adecvate, inclusiv măsuri de atenuare a riscurilor în cazul unor riscuri sistemice identificate, precum şi prin restricţionarea punerii la dispoziţie pe piaţă, retragerea sau rechemarea modelului. Ca o garanţie, în cazul în care aceasta este necesară dincolo de drepturile procedurale prevăzute în prezentul regulament, furnizorii de modele de IA de uz general ar trebui să beneficieze de drepturile procedurale prevăzute la articolul 18 din Regulamentul (UE) 2019/1020, care ar trebui să se aplice mutatis mutandis, fără a aduce atingere drepturilor procedurale mai specifice prevăzute în prezentul regulament.

(165)Dezvoltarea altor sisteme de IA decât cele cu grad ridicat de risc în conformitate cu cerinţele prezentului regulament poate duce la o utilizare pe scară mai largă a IA conform unor principii etice şi fiabile în Uniune. Furnizorii de sisteme de IA care nu prezintă un grad ridicat de risc ar trebui să fie încurajaţi să creeze coduri de conduită, inclusiv mecanisme de guvernanţă conexe, menite să promoveze aplicarea parţială sau integrală, în mod voluntar, a cerinţelor obligatorii aplicabile sistemelor de IA cu grad ridicat de risc, adaptate în funcţie de scopul preconizat al sistemelor şi de riscul mai scăzut implicat şi ţinând seama de soluţiile tehnice disponibile şi de bunele practici din industrie, cum ar fi modelele şi cardurile de date. Furnizorii şi, după caz, implementatorii tuturor modelelor de IA şi sistemelor de IA cu sau fără grad ridicat de risc ar trebui, de asemenea, să fie încurajaţi să aplice în mod voluntar cerinţe suplimentare legate, de exemplu, de elementele Orientărilor Uniunii în materie de etică pentru o IA fiabilă, de durabilitatea mediului, de măsuri de alfabetizare în domeniul IA, de proiectarea şi dezvoltarea sistemelor de IA ţinând seama de incluziune şi diversitate, inclusiv acordând atenţie persoanelor vulnerabile şi accesibilităţii pentru persoanele cu dizabilităţi, de participarea părţilor interesate în proiectarea şi dezvoltarea sistemelor de IA, cu implicarea, după caz, a părţilor interesate relevante, cum ar fi întreprinderi şi organizaţii ale societăţii civile, mediul academic, organizaţii de cercetare, sindicate şi organizaţii de protecţie a consumatorilor, precum şi de diversitatea în cadrul echipelor de dezvoltare, inclusiv echilibrul de gen. Pentru a se asigura eficacitatea lor, codurile de conduită voluntare ar trebui să se bazeze pe obiective clare şi pe indicatori-cheie de performanţă pentru a măsura îndeplinirea obiectivelor respective. Acestea ar trebui, de asemenea, să fie dezvoltate într-un mod incluziv, după caz, cu implicarea părţilor interesate relevante, cum ar fi întreprinderi şi organizaţii ale societăţii civile, mediul academic, organizaţii de cercetare, sindicate şi organizaţii de protecţie a consumatorilor. Comisia poate elabora iniţiative, inclusiv de natură sectorială, pentru a facilita reducerea barierelor tehnice care împiedică schimbul transfrontalier de date pentru dezvoltarea IA, inclusiv în ceea ce priveşte infrastructura de acces la date şi interoperabilitatea semantică şi tehnică a diferitelor tipuri de date.

(166)Este important ca sistemele de IA legate de produse care nu prezintă un risc ridicat în conformitate cu prezentul regulament şi care, prin urmare, nu sunt obligate să respecte cerinţele prevăzute pentru sistemele de IA cu grad ridicat de risc să fie totuşi sigure atunci când sunt introduse pe piaţă sau puse în funcţiune. Pentru a contribui la acest obiectiv, Regulamentul (UE) 2023/988 al Parlamentului European şi a Consiliului (⁵³) ar fi aplicat ca o "plasă de siguranţă".

(167)Pentru a asigura o cooperare de încredere şi constructivă a autorităţilor competente la nivelul Uniunii şi la nivel naţional, toate părţile implicate în aplicarea prezentului regulament ar trebui să respecte confidenţialitatea informaţiilor şi a datelor obţinute în cursul îndeplinirii sarcinilor lor, în conformitate cu dreptul Uniunii sau cu dreptul intern. Acestea ar trebui să îşi îndeplinească sarcinile şi activităţile astfel încât să protejeze, în special, drepturile de proprietate intelectuală, informaţiile comerciale confidenţiale şi secretele comerciale, punerea în aplicare efectivă a prezentului regulament, interesele de securitate publică şi naţională, integritatea procedurilor penale şi administrative şi integritatea informaţiilor clasificate.

(168)Respectarea prezentului regulament ar trebui să fie asigurată prin impunerea de sancţiuni şi alte măsuri de executare. Statele membre ar trebui să ia toate măsurile necesare pentru a se asigura că sunt puse în aplicare dispoziţiile prezentului regulament, inclusiv prin stabilirea unor sancţiuni efective, proporţionale şi cu efect de descurajare în cazul încălcării acestora, şi pentru a respecta principiul ne bis in idem. În scopul de a consolida şi armoniza sancţiunile administrative pentru încălcarea prezentului regulament, ar trebui să fie definite limitele superioare pentru stabilirea amenzilor administrative pentru anumite încălcări specifice. Atunci când evaluează cuantumul amenzilor, statele membre ar trebui, în fiecare caz în parte, să ţină seama de toate circumstanţele relevante ale situaţiei specifice, acordând atenţia cuvenită, în special, naturii, gravităţii şi duratei încălcării şi consecinţelor acesteia, precum şi dimensiunii furnizorului, în special în cazul în care furnizorul este un IMM, inclusiv o întreprindere nou-înfiinţată. Autoritatea Europeană pentru Protecţia Datelor ar trebui să aibă competenţa de a impune amenzi instituţiilor, agenţiilor şi organelor Uniunii care intră în domeniul de aplicare al prezentului regulament.

(169)Respectarea obligaţiilor impuse furnizorilor de modele de IA de uz general în temeiul prezentului regulament ar trebui să fie asigurată, printre altele, prin amenzi. În acest scop, ar trebui să fie stabilite, de asemenea, niveluri adecvate ale amenzilor pentru încălcarea obligaţiilor respective, inclusiv pentru nerespectarea măsurilor impuse de Comisie în conformitate cu prezentul regulament, sub rezerva unor termene de prescripţie adecvate, în conformitate cu principiul proporţionalităţii. Toate deciziile luate de Comisie în temeiul prezentului regulament fac obiectul controlului jurisdicţional al Curţii de Justiţie a Uniunii Europene în conformitate cu TFUE, incluzând competenţa nelimitată a Curţii de Justiţie cu privire la sancţiuni în temeiul articolului 261 din TFUE.

(171)Persoanele afectate ar trebui să aibă dreptul de a obţine o explicaţie atunci când decizia implementatorului este bazată în principal pe rezultatele anumitor sisteme de IA cu grad ridicat de risc care intră în domeniul de aplicare al prezentului regulament şi în cazul în care decizia respectivă produce efecte juridice sau afectează în mod similar în mod semnificativ persoanele respective într-o manieră pe care acestea o consideră ca având un impact negativ asupra sănătăţii, siguranţei sau drepturilor fundamentale ale acestora. Explicaţia respectivă ar trebui să fie clară şi semnificativă şi să ofere un temei pentru exercitarea drepturilor de către persoanele afectate. Dreptul de a obţine o explicaţie nu ar trebui să se aplice în cazul utilizării unor sisteme de IA care fac obiectul unor excepţii sau restricţii care decurg din dreptul Uniunii sau din dreptul intern şi ar trebui să se aplice numai în măsura în care acest drept nu este deja prevăzut în dreptul Uniunii.

(172)Persoanele care acţionează în calitate de avertizori de integritate cu privire la încălcările prezentului regulament ar trebui să fie protejate în temeiul dreptului Uniunii. În ceea ce priveşte raportarea încălcărilor prezentului regulament şi protecţia persoanelor care raportează astfel de încălcări ar trebui, prin urmare, să se aplice Directiva (UE) 2019/1937 a Parlamentului European şi a Consiliului (⁵⁴).

(173)Pentru a se asigura posibilitatea de adaptare a cadrului de reglementare atunci când este necesar, competenţa de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui să fie delegată Comisiei pentru a modifica condiţiile în care un sistem de IA nu este considerat ca având un grad ridicat de risc, lista sistemelor de IA cu grad ridicat de risc, dispoziţiile privind documentaţia tehnică, conţinutul declaraţiei de conformitate UE, dispoziţiile privind procedurile de evaluare a conformităţii, dispoziţiile de stabilire a sistemelor de IA cu grad ridicat de risc cărora ar trebui să li se aplice procedura de evaluare a conformităţii bazată pe evaluarea sistemului de management al calităţii şi pe evaluarea documentaţiei tehnice, pragul, valorile de referinţă şi indicatorii din cadrul normelor pentru clasificarea modelelor de IA de uz general cu risc sistemic, inclusiv prin completarea valorilor de referinţă şi indicatorilor respectivi, criteriile pentru desemnarea modelelor de IA de uz general cu risc sistemic, documentaţia tehnică pentru furnizorii de modele de IA de uz general şi informaţiile privind transparenţa pentru furnizorii de modele de IA de uz general. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experţi, şi ca respectivele consultări să se desfăşoare în conformitate cu principiile stabilite în Acordul interinstituţional din 13 aprilie 2016 privind o mai bună legiferare (⁵⁵). În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European şi Consiliul primesc toate documentele în acelaşi timp cu experţii din statele membre, iar experţii acestor instituţii au acces sistematic la reuniunile grupurilor de experţi ale Comisiei însărcinate cu pregătirea actelor delegate.

(174)Având în vedere evoluţiile tehnologice rapide şi cunoştinţele de specialitate tehnice necesare pentru aplicarea eficientă a prezentului regulament, Comisia ar trebui să evalueze şi să revizuiască prezentul regulament până la 2 august 2029 şi, ulterior, o dată la patru ani şi să raporteze Parlamentului European şi Consiliului în acest sens. În plus, ţinând seama de implicaţiile pentru domeniul de aplicare al prezentului regulament, Comisia ar trebui să efectueze o evaluare a necesităţii de a modifica, o dată pe an, lista sistemelor de IA cu grad ridicat de risc şi lista practicilor interzise. În plus, până la 2 august 2028 şi, ulterior, o dată la patru ani, Comisia ar trebui să evalueze necesitatea de a modifica lista rubricilor de domeniu cu grad ridicat de risc din anexa la prezentul regulament, sistemele de IA care intră în domeniul de aplicare al obligaţiilor de transparenţă, eficacitatea sistemului de supraveghere şi de guvernanţă şi progresele înregistrate în ceea ce priveşte elaborarea de documente de standardizare privind dezvoltarea eficientă din punct de vedere energetic a modelelor de IA de uz general, inclusiv necesitatea unor măsuri sau acţiuni suplimentare şi să raporteze Parlamentului European şi Consiliului în acest sens. În cele din urmă, până la 2 august 2028 şi, ulterior, o dată la trei ani, Comisia ar trebui să evalueze impactul şi eficacitatea codurilor de conduită voluntare în ceea ce priveşte încurajarea aplicării cerinţelor prevăzute pentru sistemele de IA cu grad ridicat de risc în cazul altor sisteme de IA decât cele cu grad ridicat de risc şi, eventual, a altor cerinţe suplimentare pentru sistemele de IA respective.

(175)În vederea asigurării unor condiţii uniforme pentru punerea în aplicare a prezentului regulament, ar trebui să fie conferite competenţe de executare Comisiei. Respectivele competenţe ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului (⁵⁶).

(176)Întrucât obiectivul prezentului regulament, şi anume de a îmbunătăţi funcţionarea pieţei interne şi de a promova adoptarea IA centrate pe factorul uman şi fiabile, asigurând în acelaşi timp un nivel ridicat de protecţie a sănătăţii, a siguranţei şi a drepturilor fundamentale consacrate în cartă, inclusiv a democraţiei, a statului de drept şi a mediului împotriva efectelor dăunătoare ale sistemelor de IA din Uniune, şi sprijinind inovarea, nu poate fi realizat în mod satisfăcător de către statele membre şi, având în vedere amploarea sau efectele acţiunii sale, poate fi realizat mai bine la nivelul Uniunii, aceasta din urmă poate adopta măsuri, în conformitate cu principiul subsidiarităţii, astfel cum se prevede la articolul 5 din TUE. În conformitate cu principiul proporţionalităţii, astfel cum este definit la articolul respectiv, prezentul regulament nu depăşeşte ceea ce este necesar pentru realizarea obiectivului menţionat.

(177)Pentru a asigura securitatea juridică, a asigura o perioadă de adaptare adecvată pentru operatori şi a evita perturbarea pieţei, inclusiv prin asigurarea continuităţii utilizării sistemelor de IA, este oportun ca prezentul regulament să se aplice sistemelor de IA cu grad ridicat de risc care au fost introduse pe piaţă sau puse în funcţiune înainte de data generală de aplicare a acestuia, numai dacă, de la data respectivă, sistemele respective fac obiectul unor modificări semnificative în ceea ce priveşte proiectarea sau scopul lor preconizat. Este oportun să se clarifice că, în acest sens, conceptul de modificare semnificativă ar trebui să fie înţeles ca fiind echivalent în esenţă cu noţiunea de modificare substanţială, care este utilizată numai în ceea ce priveşte sistemele de IA cu grad ridicat de risc, în temeiul prezentului regulament. În mod excepţional şi având în vedere răspunderea publică, operatorii de sisteme de IA care fac parte din sistemele informatice la scară largă instituite prin actele juridice care sunt enumerate într-o anexă la prezentul regulament şi operatorii de sisteme de IA cu grad ridicat de risc care sunt destinate a fi utilizate de autorităţile publice ar trebui să ia măsurile necesare pentru a se conforma cerinţelor prezentului regulament până la sfârşitul anului 2030 şi, respectiv, până la 2 august 2030.

(179)Prezentul regulament ar trebui să se aplice de la 2 august 2026. Cu toate acestea, ţinând seama de riscul inacceptabil asociat utilizării IA în anumite moduri, interdicţiile şi dispoziţiile cu caracter general din prezentul regulament ar trebui să se aplice deja de la 2 februarie 2025. Deşi efectul deplin al interdicţiilor respective este corelat cu instituirea guvernanţei şi cu aplicarea prezentului regulament, aplicarea anticipată a interdicţiilor este importantă pentru a se ţine seama de riscurile inacceptabile şi pentru a produce efecte asupra altor proceduri, cum ar fi în dreptul civil. În plus, infrastructura legată de guvernanţă şi de sistemul de evaluare a conformităţii ar trebui să fie operaţională înainte de 2 august 2026; prin urmare, dispoziţiile privind organismele notificate şi structura de guvernanţă ar trebui să se aplice de la 2 august 2025. Având în vedere ritmul rapid al progreselor tehnologice şi al adoptării modelelor de IA de uz general, ar trebui ca obligaţiile furnizorilor de modele de IA de uz general să se aplice de la 2 august 2025. Codurile de bune practici ar trebui să fie gata până la 2 mai 2025, pentru a permite furnizorilor să demonstreze conformitatea în timp util. Oficiul pentru IA ar trebui să se asigure că normele şi procedurile de clasificare sunt actualizate în funcţie de evoluţiile tehnologice. În plus, statele membre ar trebui să stabilească şi să notifice Comisiei normele privind sancţiunile, inclusiv amenzile administrative, şi să se asigure că acestea sunt puse în aplicare în mod corespunzător şi efectiv până la data aplicării prezentului regulament. Prin urmare, dispoziţiile privind sancţiunile ar trebui să se aplice de la 2 august 2025.

CAPITOLUL I:DISPOZIŢII GENERALE

Art. 1: Obiectul

(2)Prezentul regulament stabileşte:

Art. 2: Domeniul de aplicare

(1)Prezentul regulament se aplică pentru:

(2)În cazul sistemelor de IA clasificate ca sisteme de IA prezentând un grad ridicat de risc în conformitate cu articolul 6 alineatul (1), legate de produse care fac obiectul actelor legislative de armonizare ale Uniunii care figurează în anexa I secţiunea B, se aplică numai articolul 6 alineatul (1), articolele 102-109 şi articolul 112. Articolul 57 se aplică numai în măsura în care cerinţele pentru sistemele de IA cu grad ridicat de risc prevăzute în temeiul prezentului regulament au fost integrate în respectivele acte legislative de armonizare ale Uniunii.

(3)Prezentul regulament nu se aplică domeniilor care nu intră în sfera de cuprindere a dreptului Uniunii şi, în orice caz, nu afectează competenţele statelor membre în materie de securitate naţională, indiferent de tipul de entitate însărcinată de statele membre să îndeplinească sarcinile legate de competenţele respective.

(4)Prezentul regulament nu se aplică autorităţilor publice dintr-o ţară terţă şi nici organizaţiilor internaţionale care intră în sfera de cuprindere a prezentului regulament în temeiul alineatului (1), în cazul în care respectivele autorităţi sau organizaţii utilizează sisteme de IA în cadrul cooperării sau acordurilor internaţionale pentru aplicarea legii şi pentru cooperarea judiciară cu Uniunea sau cu unul sau mai multe state membre, cu condiţia ca o astfel de ţară terţă sau organizaţie internaţională să ofere garanţii adecvate în ceea ce priveşte protecţia drepturilor şi libertăţilor fundamentale ale persoanelor.

Art. 3: Definiţii

45."autoritate de aplicare a legii" înseamnă:

57."testare în condiţii reale" înseamnă testarea temporară a unui sistem de IA în scopul său preconizat, în condiţii reale, în afara unui laborator sau a unui mediu simulat în alt mod, în vederea colectării de date fiabile şi solide şi a evaluării şi verificării conformităţii sistemului de IA cu cerinţele prezentului regulament şi nu se consideră introducere pe piaţă sau punere în funcţiune a sistemului de IA în sensul prezentului regulament, dacă sunt îndeplinite toate condiţiile prevăzute la articolul 57 sau 60;

61."încălcare pe scară largă" înseamnă orice acţiuni sau omisiuni contrare dreptului Uniunii care protejează interesele persoanelor fizice şi care:

63."model de IA de uz general" înseamnă un model de IA, inclusiv în cazul în care un astfel de model de IA este antrenat cu un volum mare de date care utilizează autosupravegherea la scară largă, care prezintă o generalitate semnificativă şi este capabil să îndeplinească în mod competent o gamă largă de sarcini distincte, indiferent de modul în care este introdus pe piaţă şi care poate fi integrat într-o varietate de sisteme sau aplicaţii din aval, cu excepţia modelelor de IA care sunt utilizate pentru activităţi de cercetare, dezvoltare sau creare de prototipuri înainte de introducerea pe piaţă;

Art. 4: Alfabetizarea în domeniul IA

Furnizorii şi implementatorii de sisteme de IA iau măsuri pentru a asigura, în cea mai mare măsură posibilă, un nivel suficient de alfabetizare în domeniul IA a personalului lor şi a altor persoane care se ocupă cu operarea şi utilizarea sistemelor de IA în numele lor, ţinând seama de cunoştinţele tehnice, experienţa, educaţia şi formarea lor şi de contextul în care urmează să fie folosite sistemele de IA şi luând în considerare persoanele sau grupurile de persoane în legătură cu care urmează să fie folosite sistemele de IA.

CAPITOLUL II:PRACTICI INTERZISE ÎN DOMENIUL IA

Art. 5: Practici interzise în domeniul IA

(1)Sunt interzise următoarele practici în domeniul IA:

a)introducerea pe piaţă, punerea în funcţiune sau utilizarea unui sistem de IA care utilizează tehnici subliminale ce nu pot fi percepute în mod conştient de o persoană sau tehnici intenţionat manipulatoare sau înşelătoare, cu scopul sau efectul de a denatura în mod semnificativ comportamentul unei persoane sau al unui grup de persoane prin împiedicarea apreciabilă a capacităţii acestora de a lua o decizie în cunoştinţă de cauză, determinându-le astfel să ia o decizie pe care altfel nu ar fi luat-o, într-un mod care aduce sau este susceptibil în mod rezonabil să aducă prejudicii semnificative persoanei respective, unei alte persoane sau unui grup de persoane;

b)introducerea pe piaţă, punerea în funcţiune sau utilizarea unui sistem de IA care exploatează oricare dintre vulnerabilităţile unei persoane fizice sau ale unui anumit grup de persoane asociate vârstei, unei dizabilităţi sau unei situaţii sociale sau economice specifice, cu scopul sau efectul de a denatura în mod semnificativ comportamentul persoanei respective sau al unei persoane care aparţine grupului respectiv într-un mod care aduce sau este susceptibil în mod rezonabil să aducă prejudicii semnificative persoanei respective sau unei alte persoane;

c)introducerea pe piaţă, punerea în funcţiune sau utilizarea unor sisteme de IA pentru evaluarea sau clasificarea persoanelor fizice sau a grupurilor de persoane pe o anumită perioadă de timp, pe baza comportamentului lor social sau a caracteristicilor personale sau de personalitate cunoscute, deduse sau preconizate, cu un punctaj social care conduce la una dintre următoarele situaţii sau la ambele:

d)introducerea pe piaţă, punerea în funcţiune în acest scop specific sau utilizarea unui sistem de IA pentru efectuarea de evaluări ale riscurilor persoanelor fizice cu scopul de a evalua sau de a prevedea riscul ca o persoană fizică să comită o infracţiune, exclusiv pe baza creării profilului unei persoane fizice sau pe baza evaluării trăsăturilor şi caracteristicilor sale de personalitate; această interdicţie nu se aplică sistemelor de IA utilizate pentru a sprijini evaluarea umană a implicării unei persoane într-o activitate infracţională, care se bazează deja pe fapte obiective şi verificabile legate direct de o activitate infracţională;

g)introducerea pe piaţă sau punerea în funcţiune în acest scop specific sau utilizarea de sisteme de clasificare biometrică care clasifică în mod individual persoanele fizice pe baza datelor lor biometrice pentru a deduce sau a intui rasa, opiniile politice, apartenenţa la un sindicat, convingerile religioase sau filozofice, viaţa sexuală sau orientarea sexuală ale persoanelor respective; această interdicţie nu se referă la etichetarea sau filtrarea seturilor de date biometrice obţinute înmod legal, cum ar fi imaginile, pe baza datelor biometrice sau la clasificarea datelor biometrice în domeniul aplicării legii;

(h)utilizarea sistemelor de identificare biometrică la distanţă în timp real în spaţii accesibile publicului în scopul aplicării legii, cu excepţia cazului şi în măsura în care o astfel de utilizare este strict necesară pentru unul dintre următoarele obiective:

(2)Sistemele de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului în scopul aplicării legii pentru oricare dintre obiectivele menţionate la alineatul (1) primul paragraf litera (h) se utilizează în scopurile prevăzute la alineatul (1) litera (h) numai pentru a confirma identitatea persoanei vizate în mod specific, ţinându-se seama de următoarele elemente:

b)consecinţele utilizării sistemului asupra drepturilor şi libertăţilor tuturor persoanelor vizate, în special gravitatea, probabilitatea şi amploarea acestor consecinţe.

În plus, utilizarea sistemelor de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului în scopul aplicării legii pentru oricare dintre obiectivele menţionate la alineatul (1) primul paragraf litera (h) de la prezentul articol respectă garanţiile şi condiţiile necesare şi proporţionale în ceea ce priveşte utilizarea în conformitate cu dreptul intern care autorizează utilizarea sistemelor respective, în special în ceea ce priveşte limitările temporale, geografice şi legate de persoane. Utilizarea sistemului de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului este autorizată numai dacă autoritatea de aplicare a legii a finalizat o evaluare a impactului asupra drepturilor fundamentale, astfel cum se prevede la articolul 27, şi a înregistrat sistemul în baza de date a UE, în conformitate cu articolul 49. Cu toate acestea, în cazuri de urgenţă justificate în mod corespunzător, utilizarea sistemelor respective poate fi iniţiată fără înregistrarea în baza de date a UE, cu condiţia ca înregistrarea respectivă să fie finalizată fără întârzieri nejustificate.

(3)În sensul alineatului (1) primul paragraf litera (h) şi al alineatului (2), fiecare utilizare în scopul aplicării legii a unui sistem de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului face obiectul unei autorizaţii prealabile acordate de o autoritate judiciară sau de o autoritate administrativă independentă a cărei decizie are efect obligatoriu din statul membru în care urmează să aibă loc utilizarea; autorizaţia respectivă este emisă pe baza unei cereri motivate şi în conformitate cu normele detaliate de drept intern menţionate la alineatul (5). Cu toate acestea, într-o situaţie de urgenţă justificată în mod corespunzător, utilizarea sistemului poate începe fără autorizaţie, cu condiţia ca autorizaţia respectivă să fie solicitată fără întârzieri nejustificate, cel târziu în termen de 24 de ore. În cazul în care o astfel de autorizaţie este refuzată, utilizarea sistemului este oprită cu efect imediat şi toate datele, precum şi rezultatele şi produsele obţinute în cadrul utilizării respective sunt înlăturate şi şterse imediat.

Autoritatea judiciară competentă sau o autoritate administrativă independentă a cărei decizie are efect obligatoriu acordă autorizaţia numai dacă este convinsă, pe baza unor dovezi obiective sau a unor indicii clare care i-au fost prezentate, că utilizarea sistemului de identificare biometrică la distanţă în timp real în cauză este necesară şi proporţională pentru realizarea unuia dintre obiectivele menţionate la alineatul (1) primul paragraf litera (h), astfel cum a fost identificat în cerere şi, în special, rămâne limitată la ceea ce este strict necesar din punctul de vedere al perioadei de timp, precum şi al sferei de aplicare geografică şi personală. Atunci când ia o decizie cu privire la cerere, autoritatea respectivă ia în considerare elementele menţionate la alineatul (2). Nicio decizie care produce un efect juridic negativ asupra unei persoane nu poate fi luată exclusiv pe baza unui rezultat al sistemului de identificare biometrică la distanţă în timp real.

(4)Fără a aduce atingere alineatului (3), fiecare utilizare a unui sistem de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului în scopul aplicării legii este notificată autorităţii relevante de supraveghere a pieţei şi autorităţii naţionale pentru protecţia datelor, în conformitate cu normele naţionale menţionate la alineatul (5). Notificarea conţine cel puţin informaţiile specificate la alineatul (6) şi nu include date operaţionale sensibile.

(5)Un stat membru poate decide să prevadă posibilitatea de a autoriza, integral sau parţial, utilizarea sistemelor de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului în scopul aplicării legii, în limitele şi condiţiile enumerate la alineatul (1) primul paragraf litera (h) şi la alineatele (2) şi (3). Statul membru în cauză stabileşte în dreptul său intern normele detaliate necesare pentru solicitarea, eliberarea şi exercitarea, precum şi pentru supravegherea autorizaţiilor menţionate la alineatul (3) şi pentru raportarea cu privire la acestea. Normele respective specifică, de asemenea, pentru care dintre obiectivele enumerate la alineatul (1) primul paragraf litera (h), inclusiv pentru care dintre infracţiunile menţionate la litera (h) punctul (iii) de la alineatul respectiv, pot fi autorizate autorităţile competente să utilizeze respectivele sisteme în scopul aplicării legii. Statele membre notifică normele respective Comisiei în termen de cel mult 30 de zile de la adoptarea acestora. Statele membre pot introduce, în conformitate cu dreptul Uniunii, legi mai restrictive privind utilizarea sistemelor de identificare biometrică la distanţă.

(6)Autorităţile naţionale de supraveghere a pieţei şi autorităţile naţionale de protecţie a datelor din statele membre care au fost notificate cu privire la utilizarea sistemelor de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului în scopul aplicării legii în temeiul alineatului (4) prezintă Comisiei rapoarte anuale cu privire la utilizarea respectivă. În acest scop, Comisia furnizează statelor membre şi autorităţilor naţionale de supraveghere a pieţei şi de protecţie a datelor un model, inclusiv informaţii privind numărul deciziilor luate de autorităţile judiciare competente sau de o autoritate administrativă independentă a cărei decizie are efect obligatoriu, în ceea ce priveşte cererile de autorizare în conformitate cu alineatul (3), precum şi rezultatul cererilor respective.

CAPITOLUL III:SISTEME DE IA CU GRAD RIDICAT DE RISC

SECŢIUNEA 1:Clasificarea sistemelor de IA ca prezentând un risc ridicat

Art. 6: Norme de clasificare pentru sistemele de IA cu grad ridicat de risc

(1)Indiferent dacă un sistem de IA este introdus pe piaţă sau pus în funcţiune independent de produsele menţionate la literele (a) şi (b), respectivul sistem de IA este considerat ca prezentând un grad ridicat de risc în cazul în care sunt îndeplinite cumulativ următoarele două condiţii:

(3)Prin derogare de la alineatul (2), un sistem de IA menţionat în anexa III nu poate fi considerat ca prezentând un grad ridicat de risc dacă nu prezintă un risc semnificativ de a aduce prejudicii sănătăţii, siguranţei sau drepturilor fundamentale ale persoanelor fizice, inclusiv prin faptul că nu influenţează în mod semnificativ rezultatul procesului decizional.

(5)După consultarea Consiliului european pentru inteligenţa artificială (denumit în continuare "Consiliul IA") şi în termen de cel mult 2 februarie 2026, Comisia furnizează orientări care precizează modalităţile privind punerea în aplicare practică a prezentului articol, în conformitate cu articolul 96, împreună cu o listă cuprinzătoare de exemple practice de cazuri de utilizare a sistemelor de IA care prezintă un grad ridicat de risc şi a celor care nu prezintă un grad ridicat de risc.

(6)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica alineatul (3) al doilea paragraf de la prezentul articol prin adăugarea de noi condiţii faţă de cele prevăzute la dispoziţia menţionată sau prin modificarea acestora, în cazul în care există dovezi concrete şi fiabile ale existenţei unor sisteme de IA care intră în domeniul de aplicare al anexei III, dar care nu prezintă un risc semnificativ de a aduce prejudicii sănătăţii, siguranţei sau drepturilor fundamentale ale persoanelor fizice.

Art. 7: Modificări ale anexei III

(1)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica anexa III prin adăugarea de cazuri de utilizare a sistemelor de IA cu grad ridicat de risc sau prin modificarea unor astfel de cazuri dacă sunt îndeplinite cumulativ următoarele două condiţii:

(2)Atunci când evaluează condiţia prevăzută la alineatul (1) litera (b), Comisia ia în considerare următoarele criterii:

(3)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica lista din anexa III prin eliminarea de sisteme de IA cu grad ridicat de risc în cazul în care sunt îndeplinite cumulativ următoarele două condiţii:

SECŢIUNEA 2:Cerinţe pentru sistemele de IA cu grad ridicat de risc

Art. 8: Respectarea cerinţelor

(2)În cazul în care un produs conţine un sistem de IA căruia i se aplică cerinţele prezentului regulament, precum şi cerinţele din legislaţia de armonizare a Uniunii care figurează în anexa I secţiunea A, furnizorii au responsabilitatea de a se asigura că produsul lor respectă pe deplin toate cerinţele aplicabile impuse de legislaţia aplicabilă de armonizare a Uniunii. Pentru a asigura conformitatea sistemelor de IA cu grad ridicat de risc menţionate la alineatul (1) cu cerinţele prevăzute în prezenta secţiune şi pentru a asigura coerenţa, a evita suprapunerile şi a reduce la minimum sarcinile suplimentare, furnizorii au posibilitatea de a integra, după caz, procesele de testare şi raportare necesare, informaţiile şi documentaţia pe care le furnizează cu privire la produsul lor în documentaţia şi procedurile deja existente şi sunt impuse în temeiul legislaţiei de armonizare a Uniunii care figurează în anexa I secţiunea A.

Art. 9: Sistemul de gestionare a riscurilor

(2)Sistemul de gestionare a riscurilor este înţeles ca un proces iterativ continuu planificat şi derulat pe parcursul întregului ciclu de viaţă al unui sistem de IA cu grad ridicat de risc, necesitând în mod periodic actualizarea şi revizuirea sistematică. Acesta cuprinde următoarele etape:

(5)Măsurile de gestionare a riscurilor menţionate la alineatul (2) litera (d) sunt de aşa natură încât riscul rezidual relevant asociat fiecărui pericol, precum şi riscul rezidual global al sistemelor de IA cu grad ridicat de risc să fie considerate a fi acceptabile.

Art. 10: Datele şi guvernanţa datelor

(2)Seturile de date de antrenament, de validare şi de testare fac obiectul unor practici de guvernanţă şi gestionare a datelor adecvate scopului preconizat al sistemului de IA cu grad ridicat de risc. Practicile respective se referă în special la:

(3)Seturile de date de antrenament, de validare şi de testare sunt relevante, suficient de reprezentative, şi pe cât posibil, fără erori şi complete, având în vedere scopul preconizat. Acestea au proprietăţile statistice corespunzătoare, inclusiv, după caz, în ceea ce priveşte persoanele sau grupurile de persoane în legătură cu care se intenţionează să fie utilizat sistemul de IA cu grad ridicat de risc. Caracteristicile respective ale seturilor de date pot fi îndeplinite la nivelul seturilor de date individuale sau la nivelul unei combinaţii a acestora.

(5)În măsura în care acest lucru este strict necesar pentru a asigura detectarea şi corectarea prejudecăţilor în legătură cu sistemele de IA cu grad ridicat de risc în conformitate cu alineatul (2) literele (f) şi (g) de la prezentul articol, furnizorii de astfel de sisteme pot prelucra în mod excepţional categoriile speciale de date cu caracter personal, sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile fundamentale ale persoanelor fizice. În plus faţă de dispoziţiile prevăzute de Regulamentele (UE) 2016/679 şi (UE) 2018/1725 şi de Directiva (UE) 2016/680, pentru ca o astfel de prelucrare să aibă loc, trebuie să fie respectate toate condiţiile următoare:

Art. 11: Documentaţia tehnică

(1)Documentaţia tehnică a unui sistem de IA cu grad ridicat de risc se întocmeşte înainte ca sistemul respectiv să fie introdus pe piaţă sau pus în funcţiune şi se actualizează.

Documentaţia tehnică se întocmeşte astfel încât să demonstreze că sistemul de IA cu grad ridicat de risc respectă cerinţele prevăzute în prezenta secţiune şi să furnizeze autorităţilor naţionale competente şi organismelor notificate informaţiile necesare într-un mod clar şi cuprinzător, pentru a evalua conformitatea sistemului de IA cu cerinţele respective. Aceasta conţine cel puţin elementele prevăzute în anexa IV. IMM-urile, inclusiv întreprinderile nou-înfiinţate, pot furniza într-o manieră simplificată elementele documentaţiei tehnice specificate în anexa IV. În acest scop, Comisia stabileşte un formular simplificat de documentaţie tehnică care vizează nevoile întreprinderilor mici şi ale microîntreprinderilor. În cazul în care IMM-urile, inclusiv întreprinderile nou-înfiinţate, optează să furnizeze informaţiile solicitate în anexa IV într-o manieră simplificată, acestea utilizează formularul menţionat la prezentul alineat. Organismele notificate acceptă formularul în scopul evaluării conformităţii.

Art. 12: Păstrarea evidenţelor

(2)Pentru a asigura un nivel de trasabilitate a funcţionării sistemului de IA cu grad ridicat de risc care să fie adecvat scopului preconizat al sistemului, capabilităţile de jurnalizare permit înregistrarea evenimentelor relevante pentru:

(3)În cazul sistemelor de IA cu grad ridicat de risc menţionate în anexa III punctul 1 litera (a), capabilităţile de jurnalizare furnizează cel puţin:

Art. 13: Transparenţa şi furnizarea de informaţii implementatorilor

(3)Instrucţiunile de utilizare conţin cel puţin următoarele informaţii:

b)caracteristicile, capabilităţile şi limitările performanţei sistemului de IA cu grad ridicat de risc, inclusiv:

Art. 14: Supravegherea umană

(3)Măsurile de supraveghere sunt proporţionale cu riscurile specifice, cu nivelul de autonomie şi cu contextul utilizării sistemului de IA cu grad ridicat de risc şi se asigură fie prin unul dintre următoarele tipuri de măsuri, fie prin ambele:

(4)În scopul punerii în aplicare a alineatelor (1), (2) şi (3), sistemul de IA cu grad ridicat de risc este pus la dispoziţia implementatorului astfel încât persoanelor fizice cărora li se încredinţează supravegherea umană să li se permită, în funcţie de următoarele şi proporţional cu acestea:

(5)În cazul sistemelor de IA cu grad ridicat de risc menţionate în anexa III punctul 1 litera (a), măsurile menţionate la alineatul (3) de la prezentul articol sunt de aşa natură încât să asigure că, în plus, implementatorul nu ia nicio măsură sau decizie pe baza identificării care rezultă din sistem, cu excepţia cazului în care identificarea respectivă a fost verificată şi confirmată separat de cel puţin două persoane fizice care au competenţa, pregătirea şi autoritatea necesare.

Art. 15: Acurateţe, robusteţe şi securitate cibernetică

(4)Sistemele de IA cu grad ridicat de risc sunt cât mai reziliente posibil în ceea ce priveşte erorile, defecţiunile sau incoerenţele care pot apărea în cadrul sistemului sau în mediul în care funcţionează sistemul, în special din cauza interacţiunii lor cu persoane fizice sau cu alte sisteme. Se iau măsuri tehnice şi organizatorice în acest sens.

(5)Sistemele de IA cu grad ridicat de risc sunt reziliente în ceea ce priveşte încercările unor părţi terţe neautorizate de a le modifica utilizarea, rezultatele sau performanţa prin exploatarea vulnerabilităţilor sistemului.

Soluţiile tehnice pentru abordarea vulnerabilităţilor specifice ale IA includ, după caz, măsuri de prevenire, depistare, răspuns, soluţionare şi control în privinţa atacurilor ce vizează manipularea setului de date de antrenament (otrăvirea datelor) sau a componentelor preantrenate utilizate la antrenament (otrăvirea modelelor), a datelor de intrare concepute să determine modelul de IA să facă o greşeală (exemple contradictorii sau eludarea modelelor), a atacurilor la adresa confidenţialităţii sau a defectelor modelului.

SECŢIUNEA 3:Obligaţiile furnizorilor şi implementatorilor de sisteme de IA cu grad ridicat de risc şi ale altor părţi

Art. 16: Obligaţiile furnizorilor de sisteme de IA cu grad ridicat de risc

Art. 17: Sistemul de management al calităţii

(1)Furnizorii de sisteme de IA cu grad ridicat de risc instituie un sistem de management al calităţii care asigură conformitatea cu prezentul regulament. Acest sistem este documentat în mod sistematic şi ordonat sub formă de politici, proceduri şi instrucţiuni scrise şi include cel puţin următoarele aspecte:

(4)În cazul furnizorilor care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele interne în temeiul dreptului Uniunii din domeniul serviciilor financiare, se consideră că obligaţia de instituire a unui sistem de management al calităţii, cu excepţia alineatului (1) literele (g), (h) şi (i) de la prezentul articol, este îndeplinită prin respectarea normelor privind măsurile sau procesele de guvernanţă internă în temeiul dreptului relevant al Uniunii din domeniul serviciilor financiare. În acest scop, se ţine seama de toate standardele armonizate menţionate la articolul 40.

Art. 18: Păstrarea evidenţelor

(1)Pentru o perioadă de 10 ani după introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc, furnizorul păstrează la dispoziţia autorităţilor naţionale competente:

Art. 19: Fişiere de jurnalizare generate automat

(1)Furnizorii de sisteme de IA cu grad ridicat de risc păstrează fişierele de jurnalizare menţionate la articolul 12 alineatul (1), generate automat de sistemele de IA cu grad ridicat de risc ale acestora, în măsura în care astfel de fişiere de jurnalizare se află sub controlul lor. Fără a aduce atingere dreptului Uniunii sau dreptului intern aplicabil, fişiere de jurnalizare se păstrează pentru o perioadă adecvată scopului preconizat al sistemului de IA cu grad ridicat de risc, de cel puţin şase luni, cu excepţia cazului în care se prevede altfel în dreptul Uniunii sau în dreptul intern aplicabil, în special în dreptul Uniunii privind protecţia datelor cu caracter personal.

Art. 20: Măsuri corective şi obligaţia de informare

(1)Furnizorii de sisteme de IA cu grad ridicat de risc care consideră sau au motive să considere că un sistem de IA cu grad ridicat de risc pe care l-au introdus pe piaţă ori pe care l-au pus în funcţiune nu este în conformitate cu prezentul regulament întreprind imediat măsurile corective necesare pentru ca sistemul să fie adus în conformitate sau să fie retras, dezactivat sau rechemat, după caz. Aceştia informează în acest sens distribuitorii sistemului de IA cu grad ridicat de risc în cauză şi, dacă este cazul, implementatorii, reprezentantul autorizat şi importatorii.

(2)În cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), iar furnizorul ia cunoştinţă de riscul respectiv, acesta investighează imediat cauzele, în colaborare cu implementatorul care efectuează raportarea, după caz, şi informează autorităţile de supraveghere a pieţei competente pentru sistemul de IA cu grad ridicat de risc în cauză şi, după caz, organismul notificat care a eliberat un certificat pentru sistemul de IA cu grad ridicat de risc respectiv în conformitate cu articolul 44, în special cu privire la natura neconformităţii şi la orice măsură corectivă relevantă întreprinsă.

Art. 21: Cooperarea cu autorităţile competente

(1)La cererea motivată a unei autorităţi competente, furnizorii de sisteme de IA cu grad ridicat de risc furnizează autorităţii respective toate informaţiile şi documentaţia necesare pentru a demonstra conformitatea sistemului de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, într-o limbă care poate fi uşor înţeleasă de către autoritatea respectivă şi care este una dintre limbile oficiale ale instituţiilor Uniunii, astfel cum sunt indicate de statul membru în cauză.

Art. 22: Reprezentanţii autorizaţi ai furnizorilor de sisteme de IA cu grad ridicat de risc

(3)Reprezentantul autorizat îndeplineşte sarcinile prevăzute în mandatul primit de la furnizor. Acesta furnizează autorităţilor de supraveghere a pieţei, la cerere, o copie a mandatului, într-una din limbile oficiale ale instituţiilor Uniunii, astfel cum este indicată de autoritatea competentă. În sensul prezentului regulament, mandatul îl autorizează pe reprezentantul autorizat să îndeplinească următoarele sarcini:

b)să păstreze la dispoziţia autorităţilor competente şi a autorităţilor sau organismelor naţionale menţionate la articolul 74 alineatul (10), pentru o perioadă de 10 ani de la introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc, datele de contact ale furnizorului care a desemnat reprezentantul autorizat, o copie a declaraţiei de conformitate UE menţionată la articolul 47, documentaţia tehnică şi, dacă este cazul, certificatul eliberat de organismul notificat;

c)să furnizeze unei autorităţi competente, pe baza unei cereri motivate, toate informaţiile şi documentaţia, inclusiv cele menţionate la litera (b) de la prezentul paragraf, necesare pentru a demonstra conformitatea unui sistem de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, inclusiv accesul la fişierele de jurnalizare, astfel cum sunt menţionate la articolul 12 alineatul (1), generate automat de sistemul de IA cu grad ridicat de risc, în măsura în care aceste fişiere de jurnalizare se află sub controlul furnizorului;

Art. 23: Obligaţiile importatorilor

(1)Înainte de introducerea pe piaţă a unui sistem de IA cu grad ridicat de risc, importatorii unui astfel de sistem se asigură că sistemul este în conformitate cu prezentul regulament, verificând dacă:

(2)În cazul în care un importator are suficiente motive să considere că un sistem de IA cu grad ridicat de risc nu este în conformitate cu prezentul regulament, sau este falsificat ori însoţit de o documentaţie falsificată, acesta nu introduce sistemul respectiv pe piaţă înainte de a fi adus în conformitate. În cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), importatorul informează în acest sens furnizorul sistemului, reprezentanţii autorizaţi şi autorităţile de supraveghere a pieţei.

(6)Importatorii furnizează autorităţilor competente relevante, pe baza unei cereri motivate, toate informaţiile şi documentaţia necesare, inclusiv cele menţionate la alineatul (5), pentru a demonstra conformitatea unui sistem de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, într-o limbă care poate fi uşor înţeleasă de acestea. În acest scop, aceştia se asigură, de asemenea, că documentaţia tehnică poate fi pusă la dispoziţia autorităţilor respective.

Art. 24: Obligaţiile distribuitorilor

(2)În cazul în care un distribuitor consideră sau are motive să considere, pe baza informaţiilor pe care le deţine, că un sistem de IA cu grad ridicat de risc nu este în conformitate cu cerinţele prevăzute în secţiunea 2, acesta nu pune la dispoziţie pe piaţă sistemul de IA cu grad ridicat de risc înainte ca sistemul să fie adus în conformitate cu cerinţele respective. În plus, în cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), distribuitorul informează furnizorul sau importatorul sistemului, după caz, în acest sens.

(4)Un distribuitor care consideră sau are motive să considere, pe baza informaţiilor pe care le deţine, că un sistem de IA cu grad ridicat de risc pe care l-a pus la dispoziţie pe piaţă nu este în conformitate cu cerinţele prevăzute în secţiunea 2 ia măsurile corective necesare pentru a aduce sistemul în conformitate cu cerinţele respective, pentru a-l retrage sau pentru a-l rechema sau se asigură că furnizorul, importatorul sau orice operator relevant, după caz, ia măsurile corective respective. În cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), distribuitorul informează imediat în acest sens furnizorul sau importatorul sistemului şi autorităţile competente pentru sistemul de IA cu grad ridicat de risc în cauză, oferind informaţii detaliate, în special despre neconformitate şi orice măsură corectivă întreprinsă.

Art. 25: Responsabilităţile de-a lungul lanţului valoric al IA

(1)Se consideră că orice distribuitor, importator, implementator sau altă parte terţă este furnizor al unui sistem de IA cu grad ridicat de risc în sensul prezentului regulament şi este supus obligaţiilor care îi revin furnizorului în temeiul articolului 16, în oricare dintre următoarele situaţii:

(2)În cazul în care se produc circumstanţele menţionate la alineatul (1), furnizorul care a introdus iniţial pe piaţă sau a pus în funcţiune sistemul de IA nu mai este considerat furnizorul respectivului sistem de IA în sensul prezentului regulament. Acest furnizor iniţial cooperează îndeaproape cu noii furnizori şi pune la dispoziţie informaţiile necesare şi oferă accesul tehnic şi alte tipuri de asistenţă preconizate în mod rezonabil care sunt necesare pentru îndeplinirea obligaţiilor prevăzute în prezentul regulament, în special în ceea ce priveşte respectarea cerinţelor privind evaluarea conformităţii sistemelor de IA cu grad ridicat de risc. Prezentul alineat nu se aplică în cazurile în care furnizorul iniţial a specificat în mod clar că sistemul său de IA nu trebuie transformat într-un sistem de IA cu grad ridicat de risc şi, prin urmare, nu intră sub incidenţa obligaţiei de a preda documentaţia.

(3)În cazul sistemelor de IA cu grad ridicat de risc care sunt componente de siguranţă ale unor produse cărora li se aplică actele legislative de armonizare ale Uniunii care figurează în anexa I secţiunea A, fabricantul produselor respective este considerat furnizorul sistemului de IA cu grad ridicat de risc şi este supus obligaţiilor menţionate la articolul 16 în oricare dintre următoarele situaţii:

(4)Furnizorul unui sistem de IA cu grad ridicat de risc şi partea terţă care furnizează un sistem de IA, instrumente, servicii, componente sau procese care sunt utilizate sau integrate într-un sistem de IA cu grad ridicat de risc specifică, printr-un acord scris, pe baza stadiului de avansare general recunoscut al tehnologiei, informaţiile, capabilităţile, accesul tehnic şi alte tipuri de asistenţă necesare pentru a permite furnizorului sistemului de IA cu grad ridicat de risc să respecte întru totul obligaţiile prevăzute în prezentul regulament. Prezentul alineat nu se aplică terţilor care pun la dispoziţia publicului instrumente, servicii, procese sau componente, în afara modelelor de IA de uz general, sub licenţă liberă şi deschisă.

Oficiul pentru IA poate elabora şi recomanda un model voluntar de clauze pentru contractele dintre furnizorii de sisteme de IA cu grad ridicat de risc şi părţile terţe care furnizează instrumente, servicii, componente sau procese care sunt utilizate sau integrate în sistemele de IA cu grad ridicat de risc. Atunci când elaborează modelul voluntar de clauze, Oficiul pentru IA ia în considerare eventualele cerinţe contractuale aplicabile în anumite sectoare sau situaţii economice. Modelul voluntar de clauze se publică şi este disponibil gratuit într-un format electronic uşor de utilizat.

Art. 26: Obligaţiile implementatorilor de sisteme de IA cu grad ridicat de risc

(5)Implementatorii monitorizează funcţionarea sistemului de IA cu grad ridicat de risc pe baza instrucţiunilor de utilizare şi, atunci când este cazul, informează furnizorii în conformitate cu articolul 72. În cazul în care au motive să considere că utilizarea sistemului de IA cu grad ridicat de risc în conformitate cu instrucţiunile poate conduce la situaţia în care sistemul de IA respectiv prezintă un risc în sensul articolului 79 alineatul (1), implementatorii informează fără întârzieri nejustificate furnizorul sau distribuitorul şi autoritatea relevantă de supraveghere a pieţei şi suspendă utilizarea sistemului respectiv. De asemenea, în cazul în care au identificat un incident grav, implementatorii informează imediat mai întâi furnizorul, şi apoi importatorul sau distribuitorul şi autorităţile relevante de supraveghere a pieţei cu privire la incidentul respectiv. În cazul în care implementatorul nu poate comunica cu furnizorul, articolul 73 se aplică mutatis mutandis. Această obligaţie nu vizează datele operaţionale sensibile ale implementatorilor sistemelor de IA care sunt autorităţi de aplicare a legii.

(6)Implementatorii sistemelor de IA cu grad ridicat de risc păstrează fişierele de jurnalizare generate automat de respectivele sisteme de IA cu grad ridicat de risc, în măsura în care aceste fişiere de jurnalizare se află sub controlul lor pentru o perioadă adecvată scopului preconizat al sistemului de IA cu grad ridicat de risc, de cel puţin şase luni, cu excepţia cazului în care se prevede altfel în dreptul Uniunii sau în dreptul intern aplicabil, în special în dreptul Uniunii privind protecţia datelor cu caracter personal.

(7)Înainte de a pune în funcţiune sau de a utiliza un sistem de IA cu grad ridicat de risc la locul de muncă, implementatorii care sunt angajatori informează reprezentanţii lucrătorilor şi lucrătorii afectaţi că vor fi implicaţi în utilizarea sistemului de IA cu grad ridicat de risc. Informaţiile respective sunt furnizate, după caz, în conformitate cu normele şi procedurile prevăzute în dreptul şi practicile de la nivelul Uniunii şi de la nivel naţional privind informarea lucrătorilor şi a reprezentanţilor acestora.

(8)Implementatorii sistemelor de IA cu grad ridicat de risc care sunt autorităţi publice sau instituţii, organe, oficii sau agenţii ale Uniunii respectă obligaţiile de înregistrare menţionate la articolul 49. În cazul în care constată că sistemul de IA cu grad ridicat de risc pe care intenţionează să îl utilizeze nu a fost înregistrat în baza de date a UE menţionată la articolul 71, implementatorii respectivi nu utilizează sistemul respectiv şi informează furnizorul sau distribuitorul.

(10)Fără a aduce atingere Directivei (UE) 2016/680, în cadrul unei investigaţii pentru căutarea în mod specific a unei persoane suspectate sau condamnate de a fi comis o infracţiune, implementatorul unui sistem de IA cu grad ridicat de risc pentru identificarea biometrică la distanţă ulterioară solicită o autorizaţie, ex ante sau fără întârzieri nejustificate şi în termen de cel mult 48 de ore, din partea unei autorităţi judiciare sau a unei autorităţi administrative a cărei decizie are efect obligatoriu şi face obiectul controlului jurisdicţional, pentru utilizarea sistemului respectiv, cu excepţia cazului în care este utilizat pentru identificarea iniţială a unui potenţial suspect pe baza unor fapte obiective şi verificabile legate direct de infracţiune. Fiecare utilizare se limitează la ceea ce este strict necesar pentru investigarea unei anumite infracţiuni.

În niciun caz, un astfel de sistem de IA cu grad ridicat de risc pentru identificarea biometrică la distanţă ulterioară nu se utilizează într-un mod nedirecţionat în scopul aplicării legii, dacă nu implică nicio legătură cu o infracţiune, cu o procedură penală, cu o ameninţare reală şi prezentă sau reală şi previzibilă vizând o infracţiune sau căutarea unei anumite persoane dispărute. Se asigură faptul că autorităţile de aplicare a legii nu pot lua nicio decizie care produce un efect juridic negativ asupra unei persoane exclusiv pe baza rezultatelor unor astfel de sisteme de identificare biometrică la distanţă ulterioară.

Indiferent de scop sau de implementator, fiecare utilizare a acestor sisteme de IA cu grad ridicat de risc este documentată în dosarul relevant al poliţiei şi este pusă la dispoziţia autorităţii relevante de supraveghere a pieţei şi a autorităţii naţionale pentru protecţia datelor, la cerere, exceptând divulgarea datelor operaţionale sensibile legate de aplicarea legii. Prezentul paragraf nu aduce atingere competenţelor conferite autorităţilor de supraveghere de Directiva (UE) 2016/680.

Art. 27: Evaluarea impactului sistemelor de IA cu grad ridicat de risc asupra drepturilor fundamentale

(1)Înainte de a implementa un sistem de IA cu grad ridicat de risc, astfel cum este menţionat la articolul 6 alineatul (2), cu excepţia sistemelor de IA cu grad ridicat de risc destinate a fi utilizate în domeniul menţionat la punctul 2 din anexa III, implementatorii care sunt organisme de drept public sau entităţi private care furnizează servicii publice şi implementatorii de sisteme de IA cu grad ridicat de risc menţionate la punctul 5 literele (b) şi (c) din anexa III efectuează o evaluare a impactului asupra drepturilor fundamentale pe care îl poate produce utilizarea unor astfel de sisteme. În acest scop, implementatorii efectuează o evaluare care constă în:

(2)Obligaţia prevăzută la alineatul (1) se aplică primei utilizări a sistemului de IA cu grad ridicat de risc. În cazuri similare, implementatorul poate să se bazeze pe evaluări ale impactului asupra drepturilor fundamentale efectuate anterior sau pe evaluări existente efectuate de furnizor. În cazul în care consideră că, în timpul utilizării sistemului de IA cu grad ridicat de risc, oricare dintre elementele enumerate la alineatul (1) s-a schimbat sau nu mai este actualizat, implementatorul ia măsurile necesare pentru a actualiza informaţiile.

SECŢIUNEA 4:Autorităţile de notificare şi organismele notificate

Art. 28: Autorităţile de notificare

Art. 29: Cererea de notificare a unui organism de evaluare a conformităţii

(2)Cererea de notificare este însoţită de o descriere a activităţilor de evaluare a conformităţii, a modulului sau modulelor de evaluare a conformităţii şi a tipurilor de sisteme de IA pentru care organismul de evaluare a conformităţii se consideră a fi competent, precum şi de un certificat de acreditare, în cazul în care există, eliberat de un organism naţional de acreditare care să ateste că organismul de evaluare a conformităţii satisface cerinţele prevăzute la articolul 31.

(4)În cazul organismelor notificate care sunt desemnate în temeiul oricăror alte acte legislative de armonizare ale Uniunii, toate documentele şi certificatele legate de aceste desemnări pot fi utilizate pentru a sprijini procedura de desemnare a acestora în temeiul prezentului regulament, după caz. Organismul notificat actualizează documentaţia menţionată la alineatele (2) şi (3) de la prezentul articol ori de câte ori au loc modificări relevante, pentru a oferi autorităţii naţionale responsabile de organismele notificate posibilitatea de a monitoriza şi de a verifica respectarea continuă a tuturor cerinţelor prevăzute la articolul 31.

Art. 30: Procedura de notificare

(3)Notificarea menţionată la alineatul (2) de la prezentul articol include detalii complete privind activităţile de evaluare a conformităţii, modulul sau modulele de evaluare a conformităţii şi tipurile de sisteme de IA în cauză, precum şi atestarea relevantă a competenţei. În cazul în care notificarea nu se bazează pe un certificat de acreditare menţionat la articolul 29 alineatul (2), autoritatea de notificare prezintă Comisiei şi celorlalte state membre documentele justificative care atestă competenţa organismului de evaluare a conformităţii şi măsurile adoptate pentru a se asigura că organismul respectiv va fi monitorizat periodic şi că va îndeplini în continuare cerinţele prevăzute la articolul 31.

(4)Organismul de evaluare a conformităţii în cauză poate exercita activităţile unui organism notificat numai în cazul în care nu există obiecţii din partea Comisiei sau a celorlalte state membre, transmise în termen de două săptămâni de la o notificare din partea unei autorităţi de notificare, în cazul în care se include un certificat de acreditare menţionat la articolul 29 alineatul (2), sau în termen de două luni de la o notificare din partea unei autorităţi de notificare, în cazul în care se includ documentele justificative menţionate la articolul 29 alineatul (3).

Art. 31: Cerinţe cu privire la organismele notificate

(4)Organismele notificate sunt independente de furnizorul unui sistem de IA cu grad ridicat de risc în legătură cu care efectuează activităţi de evaluare a conformităţii. Organismele notificate sunt, de asemenea, independente de orice alt operator care are un interes economic în legătură cu sistemele de IA cu grad ridicat de risc evaluate, precum şi de orice concurent al furnizorului. Acest lucru nu împiedică utilizarea sistemelor de IA cu grad ridicat de risc evaluate care sunt necesare pentru operaţiunile organismului de evaluare a conformităţii sau utilizarea sistemelor respective de IA cu grad ridicat de risc în scopuri personale.

(5)Nici organismul de evaluare a conformităţii, personalul său de conducere de nivel superior, nici personalul responsabil cu îndeplinirea sarcinilor acestuia de evaluare a conformităţii nu sunt direct implicaţi în proiectarea, dezvoltarea, comercializarea sau utilizarea sistemelor de IA cu grad ridicat de risc şi nici nu reprezintă părţile implicate în respectivele activităţi. Aceştia nu se implică în nicio activitate susceptibilă de a le afecta imparţialitatea sau integritatea în ceea ce priveşte activităţile de evaluare a conformităţii pentru care sunt notificaţi. Această dispoziţie se aplică în special serviciilor de consultanţă.

(7)Organismele notificate dispun de proceduri documentate care să asigure că personalul, comitetele, filialele, subcontractanţii lor, precum şi orice organism asociat sau membru al personalului organismelor externe respectă, în conformitate cu articolul 78, confidenţialitatea informaţiilor care le parvin în timpul derulării activităţilor de evaluare a conformităţii, cu excepţia cazurilor în care divulgarea acestora este impusă prin lege. Personalul organismelor notificate este obligat să păstreze secretul profesional referitor la toate informaţiile obţinute în cursul îndeplinirii sarcinilor sale în temeiul prezentului regulament, excepţie făcând relaţia cu autorităţile de notificare ale statului membru în care se desfăşoară activităţile sale.

Art. 32: Prezumţia de conformitate cu cerinţele referitoare la organismele notificate

Art. 33: Filiale ale organismelor notificate şi subcontractare

Art. 34: Obligaţii operaţionale ale organismelor notificate

(2)Organismele notificate evită sarcinile inutile pentru furnizori atunci când aceştia îşi desfăşoară activităţile şi ţin seama în mod corespunzător de dimensiunile furnizorilor, de sectorul în care aceştia îşi desfăşoară activitatea, de structura acestora şi de gradul de complexitate al sistemului de IA cu grad ridicat de risc în cauză, în special în vederea reducerii la minimum a sarcinilor administrative şi a costurilor de asigurare a conformităţii pentru microîntreprinderi şi întreprinderile mici în sensul Recomandării 2003/361/CE. Organismul notificat respectă totuşi gradul de precizie şi nivelul de protecţie impuse pentru conformitatea sistemului de IA cu grad ridicat de risc cu cerinţele prezentului regulament.

Art. 35: Numerele de identificare şi listele organismelor notificate

Art. 36: Modificări ale notificărilor

(3)În cazul în care un organism notificat decide să îşi înceteze activităţile de evaluare a conformităţii, acesta informează autoritatea de notificare şi furnizorii vizaţi cât mai curând posibil şi, în cazul unei încetări planificate, cu cel puţin un an înainte de încetarea activităţilor. Certificatele organismului notificat pot rămâne valabile pentru o perioadă de nouă luni de la încetarea activităţii organismului notificat, cu condiţia ca un alt organism notificat să fi confirmat în scris că îşi va asuma responsabilităţile pentru sistemele de IA cu grad ridicat de risc care fac obiectul respectivelor certificate. Acest din urmă organism notificat efectuează o evaluare completă a sistemelor de IA cu grad ridicat de risc în cauză până la finalul respectivei perioade de nouă luni, înainte de emiterea de noi certificate pentru aceste sisteme. În cazul în care organismul notificat şi-a încetat activitatea, autoritatea de notificare retrage desemnarea.

(4)În cazul în care o autoritate de notificare are motive suficiente să considere că un organism notificat nu mai îndeplineşte cerinţele prevăzute la articolul 31 sau că acesta nu îşi îndeplineşte obligaţiile, autoritatea de notificare respectivă investighează fără întârziere chestiunea, cu cea mai mare diligenţă. În acest context, aceasta informează organismul notificat în cauză cu privire la obiecţiile ridicate şi îi oferă posibilitatea de a-şi face cunoscute punctele de vedere. În cazul în care ajunge la concluzia că organismul notificat nu mai îndeplineşte cerinţele prevăzute la articolul 31 sau că nu îşi îndeplineşte obligaţiile, autoritatea de notificare restricţionează, suspendă sau retrage desemnarea, după caz, în funcţie de gravitatea încălcării cerinţelor sau a neîndeplinirii obligaţiilor. Autoritatea de notificare informează de îndată Comisia şi celelalte state membre în consecinţă.

(7)În caz de restricţionare, suspendare sau retragere a unei desemnări, autoritatea de notificare:

(8)Cu excepţia certificatelor eliberate în mod necorespunzător şi în cazul în care o desemnare a fost suspendată sau restricţionată, certificatele rămân valabile în una dintre următoarele circumstanţe:

b)autoritatea de notificare a confirmat că, pe durata suspendării sau restricţionării nu se va emite, modifica sau emite din nou niciun certificat relevant pentru suspendare şi declară dacă organismul notificat are capabilitatea de a continua să monitorizeze şi să rămână responsabil de certificatele existente pe care le-a emis pe perioada suspendării sau a restricţionării; în cazul în care autoritatea de notificare stabileşte că organismul notificat nu are capabilitatea de a gestiona certificatele existente pe care le-a emis, furnizorul sistemului care face obiectul certificatului confirmă în scris autorităţilor naţionale competente ale statului membru în care îşi are sediul social, în termen de trei luni de la suspendare sau restricţionare, că un alt organism notificat calificat îşi asumă temporar funcţiile organismului notificat de a monitoriza şi de a rămâne responsabil de certificate pe perioada suspendării sau a restricţionării.

(9)Cu excepţia certificatelor eliberate în mod necorespunzător şi, în cazul în care desemnarea a fost retrasă, certificatele rămân valabile pe o perioadă de nouă luni în următoarele circumstanţe:

b)un alt organism notificat a confirmat în scris că îşi va asuma responsabilitatea imediat pentru respectivele sisteme de IA şi îşi încheie evaluarea în termen de 12 luni de la retragerea desemnării.

Art. 37: Contestarea competenţei organismelor notificate

(4)În cazul în care constată că un organism notificat nu îndeplineşte sau nu mai îndeplineşte cerinţele pentru a fi notificat, Comisia informează statul membru notificator în consecinţă şi îi solicită acestuia să ia măsurile corective necesare, inclusiv suspendarea sau retragerea notificării, dacă este necesar. În cazul în care statul membru nu ia măsurile corective necesare, Comisia poate, prin intermediul unui act de punere în aplicare, să suspende, să restricţioneze sau să retragă desemnarea. Actul de punere în aplicare respectiv se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

Art. 38: Coordonarea organismelor notificate

SECŢIUNEA 5:Standarde, evaluarea conformităţii, certificate, înregistrare

Art. 40: Standarde armonizate şi documente de standardizare

(1)Sistemele de IA cu grad ridicat de risc sau modelele de IA de uz general care sunt în conformitate cu standardele armonizate sau cu o parte a acestora, ale căror referinţe au fost publicate în Jurnalul Oficial al Uniunii Europene în conformitate cu Regulamentul (UE) nr. 1025/2012, sunt considerate a fi în conformitate cu cerinţele stabilite în secţiunea 2 din prezentul capitol sau, după caz, cu obligaţiile prevăzute în capitolul V secţiunile 2 şi 3 din prezentul regulament, în măsura în care standardele respective vizează cerinţele sau obligaţiile respective.

(2)În conformitate cu articolul 10 din Regulamentul (UE) nr. 1025/2012, Comisia emite, fără întârzieri nejustificate, solicitări de standardizare care vizează toate cerinţele prevăzute în secţiunea 2 din prezentul capitol şi, după caz, solicitări de standardizare care vizează obligaţiile prevăzute în capitolul V secţiunile 2 şi 3 din prezentul regulament. De asemenea, în cadrul solicitărilor de standardizare se cere furnizarea de documente privind procesele de raportare şi documentare pentru a îmbunătăţi performanţa în materie de resurse a sistemelor de IA, cum ar fi reducerea consumului de energie şi de alte resurse pentru sistemul de IA cu grad ridicat de risc pe parcursul ciclului său de viaţă, precum şi privind dezvoltarea eficientă din punct de vedere energetic a modelelor de IA de uz general. Atunci când elaborează o solicitare de standardizare, Comisia consultă Consiliul IA şi părţile interesate relevante, inclusiv forumul consultativ.

Atunci când adresează o solicitare de standardizare organizaţiilor de standardizare europene, Comisia precizează că standardele trebuie să fie clare şi coerente inclusiv cu standardele elaborate în diferitele sectoare pentru produsele care fac obiectul legislaţiei existente de armonizare a Uniunii care figurează în anexa I, având drept scop să asigure faptul că sistemele de IA cu grad ridicat de risc sau modelele de IA de uz general introduse pe piaţă sau puse în funcţiune în Uniune îndeplinesc cerinţele sau obligaţiile relevante prevăzute în prezentul regulament.

(3)Participanţii la procesul de standardizare urmăresc să promoveze investiţiile şi inovarea în IA, inclusiv prin sporirea securităţii juridice, precum şi competitivitatea şi creşterea pieţei Uniunii, să contribuie la consolidarea cooperării la nivel mondial în materie de standardizare, ţinând seama de standardele internaţionale existente în domeniul IA care sunt în concordanţă cu valorile, drepturile fundamentale şi interesele Uniunii, şi să consolideze guvernanţa multipartită, asigurând o reprezentare echilibrată a intereselor şi participarea efectivă a tuturor părţilor interesate relevante, în conformitate cu articolele 5, 6 şi 7 din Regulamentul (UE) nr. 1025/2012.

Art. 41: Specificaţii comune

(1)Comisia poate să adopte acte de punere în aplicare de stabilire a specificaţiilor comune pentru cerinţele prevăzute în secţiunea 2 din prezentul capitol sau, după caz, pentru obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V, în cazul în care sunt îndeplinite următoarele condiţii:

a)Comisia a solicitat, în temeiul articolului 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012, uneia sau mai multor organizaţii de standardizare europene să elaboreze un standard armonizat pentru cerinţele prevăzute în secţiunea 2 din prezentul capitol sau, după caz, pentru obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V, şi:

b)nicio referinţă la standardele armonizate care vizează cerinţele prevăzute în secţiunea 2 din prezentul capitol sau, după caz, obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V, nu a fost publicată în Jurnalul Oficial al Uniunii Europene în conformitate cu Regulamentul (UE) nr. 1025/2012, şi nu se preconizează publicarea niciunei astfel de referinţe într-un termen rezonabil.

(4)În cazul în care un standard armonizat este adoptat de o organizaţie de standardizare europeană şi este propus Comisiei pentru ca referinţa sa să fie publicată în Jurnalul Oficial al Uniunii Europene, Comisia evaluează standardul armonizat în conformitate cu Regulamentul (UE) nr. 1025/2012. Atunci când referinţa unui standard armonizat este publicată în Jurnalul Oficial al Uniunii Europene, Comisia abrogă actele de punere în aplicare menţionate la alineatul (1) sau acele părţi ale lor care vizează aceleaşi cerinţe menţionate la secţiunea 2 din prezentul capitol sau, după caz, aceleaşi obligaţii prevăzute în secţiunile 2 şi 3 din capitolul V.

(6)În cazul în care un stat membru consideră că o specificaţie comună nu îndeplineşte în totalitate cerinţele prevăzute în secţiunea 2 sau, după caz, nu respectă în totalitate obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V, acesta informează Comisia în acest sens, furnizând o explicaţie detaliată. Comisia evaluează informaţiile respective şi, dacă este cazul, modifică actul de punere în aplicare prin care se stabileşte specificaţia comună în cauză.

Art. 42: Prezumţia de conformitate cu anumite cerinţe

(2)Sistemele de IA cu grad ridicat de risc care au fost certificate sau pentru care a fost emisă o declaraţie de conformitate în cadrul unui sistem de securitate cibernetică în temeiul Regulamentului (UE) 2019/881, iar referinţele aferente au fost publicate în Jurnalul Oficial al Uniunii Europene, sunt considerate a respecta cerinţele de securitate cibernetică prevăzute la articolul 15 din prezentul regulament în măsura în care certificatul de securitate cibernetică sau declaraţia de conformitate sau părţi ale acestora vizează cerinţele respective.

Art. 43: Evaluarea conformităţii

(1)Pentru sistemele de IA cu grad ridicat de risc enumerate la punctul 1 din anexa III, în cazul în care, pentru a demonstra conformitatea unui sistem de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, furnizorul a aplicat standardele armonizate menţionate la articolul 40 sau, după caz, specificaţiile comune menţionate la articolul 41, furnizorul optează pentru una dintre următoarele proceduri de evaluare a conformităţii:

b)evaluarea sistemului de management al calităţii şi examinarea documentaţiei tehnice, cu implicarea unui organism notificat, menţionată în anexa VII.

În sensul procedurii de evaluare a conformităţii menţionate în anexa VII, furnizorul poate alege oricare dintre organismele notificate. Cu toate acestea, în cazul în care sistemul de IA cu grad ridicat de risc este destinat să fie pus în funcţiune de către autorităţile de aplicare a legii, de imigraţie sau de azil, sau de către instituţiile, organele, oficiile sau agenţiile Uniunii, autoritatea de supraveghere a pieţei menţionată la articolul 74 alineatul (8) sau (9), după caz, acţionează ca organism notificat.

(3)În cazul sistemelor de IA cu grad ridicat de risc cărora li se aplică actele juridice de armonizare ale Uniunii care figurează în anexa I secţiunea A, furnizorul urmează procedura de evaluare a conformităţii relevantă, astfel cum se prevede în actele juridice respective. Cerinţele prevăzute în secţiunea 2 din prezentul capitol se aplică acestor sisteme de IA cu grad ridicat de risc şi fac parte din evaluarea respectivă. Se aplică, de asemenea, punctele 4.3, 4.4, 4.5 şi punctul 4.6 al cincilea paragraf din anexa VII.

În cazul în care actele juridice care figurează în anexa I secţiunea A permit fabricantului produsului să renunţe la evaluarea conformităţii efectuată de o parte terţă, cu condiţia ca fabricantul respectiv să fi aplicat toate standardele armonizate care vizează toate cerinţele relevante, fabricantul respectiv poate recurge la această opţiune numai dacă a aplicat, de asemenea, standardele armonizate sau, după caz, specificaţiile comune menţionate la articolul 41, care vizează toate cerinţele prevăzute în secţiunea 2 din prezentul capitol.

(4)Sistemele de IA cu grad ridicat de risc care au făcut deja obiectul unei proceduri de evaluare a conformităţii sunt supuse la o nouă procedură de evaluare a conformităţii în cazul unei modificări substanţiale, indiferent dacă sistemul modificat este destinat să fie distribuit mai departe sau dacă implementatorul actual continuă să utilizeze sistemul modificat.

(6)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica alineatele (1) şi (2) de la prezentul articol cu scopul de a supune sistemele de IA cu grad ridicat de risc menţionate la punctele 2-8 din anexa III procedurii de evaluare a conformităţii menţionate în anexa VII sau unor părţi ale acesteia. Comisia adoptă astfel de acte delegate ţinând seama de eficacitatea procedurii de evaluare a conformităţii bazate pe controlul intern menţionate în anexa VI în ceea ce priveşte prevenirea sau reducerea la minimum a riscurilor pentru sănătate, siguranţă şi protecţia drepturilor fundamentale pe care le prezintă astfel de sisteme, precum şi de disponibilitatea capacităţilor şi a resurselor adecvate în cadrul organismelor notificate.

Art. 44: Certificate

(2)Certificatele sunt valabile pe perioada pe care o indică, care nu depăşeşte cinci ani pentru sistemele de IA vizate de anexa I şi patru ani pentru sistemele de IA vizate de anexa III. La solicitarea furnizorului, valabilitatea unui certificat poate fi prelungită pentru perioade suplimentare, fiecare dintre acestea nedepăşind cinci ani pentru sistemele de IA vizate de anexa I şi patru ani pentru sistemele de IA vizate de anexa III, pe baza unei reevaluări în conformitate cu procedurile aplicabile de evaluare a conformităţii. Orice supliment la un certificat rămâne valabil, cu condiţia ca certificatul pe care îl completează să fie valabil.

(3)În cazul în care un organism notificat constată că un sistem de IA nu mai îndeplineşte cerinţele prevăzute în secţiunea 2, acesta, ţinând seama de principiul proporţionalităţii, suspendă sau retrage certificatul eliberat sau impune restricţii asupra acestuia, cu excepţia cazului în care îndeplinirea cerinţelor respective este asigurată prin măsuri corective adecvate întreprinse de furnizorul sistemului într-un termen adecvat stabilit de organismul notificat. Organismul notificat comunică motivele deciziei sale.

Art. 45: Obligaţii de informare care revin organismelor notificate

(1)Organismele notificate informează autoritatea de notificare în legătură cu:

(2)Fiecare organism notificat informează celelalte organisme notificate cu privire la:

Art. 46: Derogare de la procedura de evaluare a conformităţii

(1)Prin derogare de la articolul 43 şi pe baza unei cereri justificate în mod corespunzător, orice autoritate de supraveghere a pieţei poate autoriza introducerea pe piaţă sau punerea în funcţiune a anumitor sisteme de IA cu grad ridicat de risc pe teritoriul statului membru în cauză, din motive excepţionale de siguranţă publică sau de protecţie a vieţii şi sănătăţii persoanelor, de protecţie a mediului sau de protecţie a activelor industriale şi de infrastructură esenţiale. Autorizaţia respectivă se acordă pentru o perioadă limitată, cât timp procedurile necesare de evaluare a conformităţii sunt în desfăşurare, ţinând seama de motivele excepţionale care justifică derogarea. Finalizarea procedurilor respective se efectuează fără întârzieri nejustificate.

(2)Într-o situaţie de urgenţă justificată în mod corespunzător din motive excepţionale de securitate publică sau în cazul unei ameninţări specifice, substanţiale şi iminente la adresa vieţii sau a siguranţei fizice a persoanelor fizice, autorităţile de aplicare a legii sau autorităţile de protecţie civilă pot pune în funcţiune un anumit sistem de IA cu grad ridicat de risc fără autorizaţia menţionată la alineatul (1), cu condiţia ca o astfel de autorizaţie să fie solicitată în timpul utilizării sau după aceasta, fără întârzieri nejustificate. În cazul în care autorizaţia menţionată la alineatul (1) este refuzată, utilizarea sistemului de IA cu grad ridicat de risc este oprită cu efect imediat şi toate rezultatele şi produsele obţinute în cadrul unei astfel de utilizări sunt înlăturate imediat.

(3)Autorizaţia menţionată la alineatul (1) se eliberează numai în cazul în care autoritatea de supraveghere a pieţei concluzionează că sistemul de IA cu grad ridicat de risc respectă cerinţele din secţiunea 2. Autoritatea de supraveghere a pieţei informează Comisia şi celelalte state membre cu privire la orice autorizaţie eliberată în temeiul alineatelor (1) şi (2). Această obligaţie nu vizează datele operaţionale sensibile legate de activităţile autorităţilor de aplicare a legii.

(5)În cazul în care, în termen de 15 zile calendaristice de la primirea notificării menţionate la alineatul (3), sunt ridicate obiecţii de către un stat membru împotriva unei autorizaţii eliberate de o autoritate de supraveghere a pieţei dintr-un alt stat membru sau în cazul în care Comisia consideră că autorizaţia este contrară dreptului Uniunii sau că concluzia statelor membre cu privire la conformitatea sistemului, astfel cum se menţionează la alineatul (3), este nefondată, Comisia iniţiază fără întârziere consultări cu statul membru relevant. Operatorii în cauză sunt consultaţi şi au posibilitatea de a-şi prezenta punctele de vedere. În considerarea acestora, Comisia decide dacă autorizaţia este justificată. Comisia comunică decizia sa statelor membre în cauză şi operatorilor relevanţi.

Art. 47: Declaraţia de conformitate UE

(1)Furnizorul întocmeşte o declaraţie de conformitate UE elaborată într-un format prelucrabil automat, cu semnătură fizică sau electronică pentru fiecare sistem de IA cu grad ridicat de risc şi o pune la dispoziţia autorităţilor naţionale competente pe o perioadă de 10 ani după introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc. Declaraţia de conformitate UE identifică sistemul de IA cu grad ridicat de risc pentru care a fost întocmită. O copie a declaraţiei de conformitate UE este transmisă autorităţilor naţionale competente relevante, la cerere.

(3)În cazul în care sistemele de IA cu grad ridicat de risc fac obiectul altor acte legislative de armonizare ale Uniunii care necesită, de asemenea, o declaraţie de conformitate UE, se redactează o singură declaraţie de conformitate UE în legătură cu toate actele legislative ale Uniunii aplicabile sistemului de IA cu grad ridicat de risc. Declaraţia conţine toate informaţiile necesare pentru identificarea actelor legislative de armonizare ale Uniunii cu care are legătură declaraţia.

Art. 48: Marcajul CE

(4)Dacă este cazul, marcajul CE este urmat de numărul de identificare al organismului notificat responsabil de procedurile de evaluare a conformităţii menţionate la articolul 43. Numărul de identificare al organismului notificat se aplică chiar de către organism sau, la instrucţiunile acestuia, de către furnizor sau reprezentantul autorizat al furnizorului. De asemenea, numărul de identificare se indică în orice material promoţional care menţionează că sistemul de IA cu grad ridicat de risc îndeplineşte cerinţele aferente marcajului CE.

Art. 49: Înregistrare

(3)Înainte de a pune în funcţiune sau de a utiliza un sistem de IA cu grad ridicat de risc care figurează în anexa III, cu excepţia sistemelor de IA cu grad ridicat de risc care figurează în anexa III punctul 2, implementatorii care sunt autorităţi publice, instituţii, organe, oficii sau agenţii ale Uniunii ori persoane care acţionează în numele acestora se înregistrează, selectează sistemul şi înregistrează utilizarea acestuia în baza de date a UE menţionată la articolul 71.

(4)Pentru sistemele de IA cu grad ridicat de risc menţionate la punctele 1, 6 şi 7 din anexa III, în domeniul aplicării legii, al migraţiei, al azilului şi al gestionării controlului la frontiere, înregistrarea menţionată la alineatele (1), (2) şi (3) de la prezentul articol se realizează în cadrul unei secţiuni securizate, care nu este accesibilă publicului, a bazei de date a UE menţionate la articolul 71 şi include numai următoarele informaţii, după caz, menţionate la:

CAPITOLUL IV:OBLIGAŢII DE TRANSPARENŢĂ PENTRU FURNIZORII ŞI IMPLEMENTATORII ANUMITOR SISTEME DE IA

Art. 50: Obligaţii de transparenţă pentru furnizorii şi implementatorii anumitor sisteme de IA

(1)Furnizorii se asigură că sistemele de IA destinate să interacţioneze direct cu persoane fizice sunt proiectate şi dezvoltate astfel încât persoanele fizice în cauză să fie informate că interacţionează cu un sistem de IA, cu excepţia cazului în care acest lucru este evident din punctul de vedere al unei persoane fizice rezonabil de bine informată, de atentă şi de avizată, ţinând seama de circumstanţele şi contextul de utilizare. Această obligaţie nu se aplică sistemelor de IA autorizate prin lege pentru a depista, a preveni, a investiga sau a urmări penal infracţiunile, sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile terţilor, cu excepţia cazului în care aceste sisteme sunt disponibile publicului pentru a denunţa o infracţiune.

(2)Furnizorii de sisteme de IA, inclusiv de sisteme de IA de uz general, care generează conţinut sintetic în format audio, imagine, video sau text, se asigură că rezultatele sistemului de IA sunt marcate într-un format prelucrabil automat şi detectabile ca fiind generate sau manipulate artificial. Furnizorii se asigură că soluţiile lor tehnice sunt eficace, interoperabile, solide şi fiabile, în măsura în care acest lucru este fezabil din punct de vedere tehnic, ţinând seama de particularităţile şi limitările diferitelor tipuri de conţinut, de costurile de punere în aplicare şi de stadiul de avansare general recunoscut al tehnologiei, astfel cum poate fi reflectat în standardele tehnice relevante. Această obligaţie nu se aplică în măsura în care sistemele de IA îndeplinesc o funcţie de asistare pentru editarea standard sau nu modifică în mod substanţial datele de intrare furnizate de implementator sau semantica acestora sau în cazul în care sunt autorizate prin lege să depisteze, să prevină, să investigheze sau să urmărească penal infracţiunile.

(3)Implementatorii unui sistem de recunoaştere a emoţiilor sau ai unui sistem de clasificare biometrică informează persoanele fizice expuse sistemului respectiv cu privire la funcţionarea acestuia şi prelucrează datele cu caracter personal în conformitate cu Regulamentele (UE) 2016/679 şi (UE) 2018/1725 şi cu Directiva (UE) 2016/680, după caz. Această obligaţie nu se aplică sistemelor de IA utilizate pentru clasificarea biometrică şi recunoaşterea emoţiilor, care sunt autorizate prin lege să depisteze, să prevină sau să investigheze infracţiunile, sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile terţilor şi în conformitate cu dreptul Uniunii.

(4)Implementatorii unui sistem de IA care generează sau manipulează imagini, conţinuturi audio sau video care constituie deepfake-uri dezvăluie faptul că respectivul conţinut a fost generat sau manipulat artificial. Această obligaţie nu se aplică în cazul în care utilizarea este autorizată prin lege pentru depistarea, prevenirea, investigarea sau urmărirea penală a infracţiunilor. În cazul în care conţinutul face parte dintr-o operă sau dintr-un program de o vădită natură artistică, creativă, satirică, fictivă sau analogă, obligaţiile de transparenţă prevăzute la prezentul alineat se limitează la divulgarea existenţei unui astfel de conţinut generat sau manipulat într-un mod adecvat, care să nu împiedice afişarea sau receptarea operei.

Implementatorii unui sistem de IA care generează sau manipulează texte publicate cu scopul de a informa publicul cu privire la chestiuni de interes public dezvăluie faptul că textul a fost generat sau manipulat artificial. Această obligaţie nu se aplică în cazul în care utilizarea este autorizată prin lege pentru a depista, a preveni, a investiga sau a urmări penal infracţiunile sau în cazul în care conţinutul generat de IA a fost supus unui proces de verificare editorială sau revizuire umană şi responsabilitatea editorială pentru publicarea conţinutului este deţinută de o persoană fizică sau juridică.

(7)Oficiul pentru IA încurajează şi facilitează elaborarea de coduri de bune practici la nivelul Uniunii pentru a facilita punerea în aplicare efectivă a obligaţiilor privind depistarea şi etichetarea conţinutului generat sau manipulat artificial. Comisia poate să adopte acte de punere în aplicare pentru a aproba respectivele coduri de bune practici în conformitate cu procedura prevăzută la articolul 56 alineatul (6). În cazul în care consideră că codul nu este adecvat, Comisia poate să adopte un act de punere în aplicare care să precizeze normele comune pentru punerea în aplicare a obligaţiilor respective, în conformitate cu procedura de examinare prevăzută la articolul 98 alineatul (2).

CAPITOLUL V:MODELE DE IA DE UZ GENERAL

SECŢIUNEA 1:Norme de clasificare

Art. 51: Clasificarea modelelor de IA de uz general ca modele de IA de uz general cu risc sistemic

(1)Un model de IA de uz general este clasificat drept model de IA de uz general cu risc sistemic dacă îndeplineşte oricare dintre următoarele condiţii:

Art. 52: Procedură

(1)În cazul în care un model de IA de uz general îndeplineşte condiţia menţionată la articolul 51 alineatul (1) litera (a), furnizorul relevant informează Comisia fără întârziere şi, în orice caz, în termen de două săptămâni de la îndeplinirea cerinţei respective sau de la data la care se constată faptul că va fi îndeplinită. Notificarea respectivă include informaţiile necesare pentru a demonstra că a fost îndeplinită cerinţa relevantă. În cazul în care ia cunoştinţă de un model de IA de uz general care prezintă riscuri sistemice cu privire la care nu a fost notificată, Comisia poate decide să îl desemneze drept model prezentând risc sistemic.

(2)Furnizorul unui model de IA de uz general care îndeplineşte condiţia menţionată la articolul 51 alineatul (1) litera (a) poate prezenta, odată cu notificarea sa, argumente suficient de întemeiate pentru a demonstra că, în mod excepţional, deşi îndeplineşte cerinţa respectivă, modelul de IA de uz general nu prezintă riscuri sistemice, având în vedere caracteristicile sale specifice şi, prin urmare, nu ar trebui să fie clasificat drept model de IA de uz general cu risc sistemic.

(5)La cererea motivată a unui furnizor al cărui model a fost desemnat drept model de IA de uz general cu risc sistemic în temeiul alineatului (4), Comisia ia în considerare cererea şi poate decide să reevalueze dacă modelul de IA de uz general poate fi considerat în continuare ca prezentând riscuri sistemice pe baza criteriilor prevăzute în anexa XIII. O astfel de cerere conţine motive obiective, detaliate şi noi care au survenit după decizia de desemnare. Furnizorii pot solicita reevaluarea cel mai devreme la şase luni de la decizia de desemnare. În cazul în care, în urma reevaluării sale, Comisia decide să menţină desemnarea drept model de IA de uz general cu risc sistemic, furnizorii pot solicita reevaluarea cel mai devreme la şase luni de la decizia respectivă.

SECŢIUNEA 2:Obligaţiile furnizorilor de modele de IA de uz general

Art. 53: Obligaţiile furnizorilor de modele de IA de uz general

(1)Furnizorii de sisteme de IA de uz general:

b)elaborează, actualizează şi pun la dispoziţie informaţii şi documentaţie destinate furnizorilor de sisteme de IA care intenţionează să integreze modelul de IA de uz general în sistemele lor de IA. Fără a aduce atingere necesităţii de a respecta şi de a proteja drepturile de proprietate intelectuală şi informaţiile comerciale confidenţiale sau secretele comerciale în conformitate cu dreptul Uniunii şi cu dreptul intern, informaţiile şi documentaţia:

(4)Furnizorii de modele de IA de uz general se pot baza pe coduri de bune practici în sensul articolului 56 pentru a demonstra respectarea obligaţiilor prevăzute la alineatul (1) de la prezentul articol, până la publicarea unui standard armonizat. Respectarea standardelor europene armonizate oferă furnizorilor prezumţia de conformitate, în măsura în care standardele respective vizează obligaţiile respective. Furnizorii de modele de IA de uz general care nu aderă la un cod de bune practici aprobat sau nu respectă un standard european armonizat demonstrează existenţa unor mijloace alternative adecvate de conformitate spre a fi evaluate de Comisie.

Art. 54: Reprezentanţii autorizaţi ai furnizorilor de modele de IA de uz general

(3)Reprezentantul autorizat îndeplineşte sarcinile prevăzute în mandatul primit de la furnizor. Acesta furnizează Oficiului pentru IA, la cerere, o copie a mandatului, într-una din limbile oficiale ale instituţiilor Uniunii. În sensul prezentului regulament, mandatul îl împuterniceşte pe reprezentantul autorizat să îndeplinească următoarele sarcini:

SECŢIUNEA 3:Obligaţiile furnizorilor de modele de IA de uz general cu risc sistemic

Art. 55: Obligaţiile furnizorilor de modele de IA de uz general cu risc sistemic

(1)Pe lângă obligaţiile enumerate la articolele 53 şi 54, furnizorii de modele de IA de uz general cu risc sistemic:

(2)Furnizorii de modele de IA de uz general cu risc sistemic se pot baza pe coduri de bune practici în sensul articolului 56 pentru a demonstra respectarea obligaţiilor prevăzute la alineatul (1) de la prezentul articol, până la publicarea unui standard armonizat. Respectarea standardelor europene armonizate oferă furnizorilor prezumţia de conformitate, în măsura în care standardele respective vizează obligaţiile respective. Furnizorii de modele de IA de uz general cu risc sistemic care nu aderă la un cod de bune practici aprobat sau nu respectă un standard european armonizat demonstrează existenţa unor mijloace alternative adecvate de conformitate, spre a fi evaluate de Comisie.

SECŢIUNEA 4:Coduri de bune practici

Art. 56: Coduri de bune practici

(2)Oficiul pentru IA şi Consiliul IA urmăresc să se asigure că codurile de bune practici vizează cel puţin obligaţiile prevăzute la articolele 53 şi 55, inclusiv următoarele aspecte:

(6)Oficiul pentru IA şi Consiliul IA monitorizează şi evaluează periodic îndeplinirea obiectivelor codurilor de bune practici de către participanţi şi contribuţia acestora la aplicarea corespunzătoare a prezentului regulament. Oficiul pentru IA şi Consiliul IA evaluează dacă codurile de bune practici vizează obligaţiile prevăzute la articolele 53 şi 55 şi monitorizează şi evaluează periodic îndeplinirea obiectivelor lor. Acestea publică evaluarea caracterului adecvat al codurilor de bune practici.

(9)Codurile de bune practici sunt pregătite cel târziu până la 2 mai 2025. Oficiul pentru IA face demersurile necesare, inclusiv prin invitarea furnizorilor în temeiul alineatului (7).

În cazul în care, până la 2 august 2025, nu poate fi finalizat un cod de bune practici sau în cazul în care Oficiul pentru IA consideră, în urma evaluării sale în temeiul alineatului (6) de la prezentul articol, că acesta nu este adecvat, Comisia poate prevedea, prin intermediul unor acte de punere în aplicare, norme comune pentru punerea în aplicare a obligaţiilor prevăzute la articolele 53 şi 55, inclusiv aspectele prevăzute la alineatul (2) de la prezentul articol. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

CAPITOLUL VI:MĂSURI DE SPRIJINIRE A INOVĂRII

Art. 57: Spaţiile de testare în materie de reglementare în domeniul IA

(1)Statele membre se asigură că autorităţile lor competente instituie cel puţin un spaţiu de testare în materie de reglementare în domeniul IA la nivel naţional, care este operaţional până la 2 august 2026. Spaţiul de testare respectiv poate fi instituit, de asemenea, împreună cu autorităţile competente din alte state membre. Comisia poate oferi sprijin tehnic, consiliere şi instrumente pentru instituirea şi exploatarea spaţiilor de testare în materie de reglementare în domeniul IA.

(4)Statele membre se asigură că autorităţile competente menţionate la alineatele (1) şi (2) alocă resurse suficiente pentru a se conforma prezentului articol în mod eficace şi în timp util. După caz, autorităţile naţionale competente cooperează cu alte autorităţi relevante şi pot permite implicarea altor actori din ecosistemul de IA. Prezentul articol nu aduce atingere altor spaţii de testare în materie de reglementare instituite în temeiul dreptului Uniunii sau al dreptului intern. Statele membre asigură un nivel adecvat de cooperare între autorităţile care supraveghează aceste alte spaţii de testare şi autorităţile naţionale competente.

(5)Spaţiile de testare în materie de reglementare în domeniul IA instituite în temeiul alineatului (1) prevăd un mediu controlat care promovează inovarea şi facilitează dezvoltarea, antrenare, testarea şi validarea sistemelor de IA inovatoare pentru o perioadă limitată de timp înainte de introducerea lor pe piaţă sau de punerea lor în funcţiune în temeiul unui plan specific privind spaţiul de testare convenit între furnizori sau furnizorii potenţiali şi autoritatea competentă. Astfel de spaţii de testare pot include testarea în condiţii reale supravegheată în spaţiul de testare.

(6)Autorităţile competente oferă, după caz, orientări, supraveghere şi sprijin în cadrul spaţiului de testare în materie de reglementare în domeniul IA în vederea identificării riscurilor, în special în ceea ce priveşte drepturile fundamentale, sănătatea şi siguranţa, în vederea testării, precum şi în vederea unor măsuri de atenuare şi a asigurării eficacităţii acestora în ceea ce priveşte obligaţiile şi cerinţele prezentului regulament şi, după caz, ale altor dispoziţii din dreptul Uniunii şi dreptul intern care fac obiectul supravegherii în cadrul spaţiului de testare.

(7)Autorităţile competente oferă furnizorilor şi potenţialilor furnizori care participă la spaţiul de testare în materie de reglementare în domeniul IA orientări privind aşteptările în materie de reglementare şi modul de îndeplinire a cerinţelor şi a obligaţiilor prevăzute în prezentul regulament.

La cererea furnizorului sau a potenţialului furnizor al sistemului de IA, autoritatea competentă furnizează o dovadă scrisă a activităţilor desfăşurate cu succes în spaţiul de testare. Autoritatea competentă furnizează, de asemenea, un raport de ieşire care detaliază activităţile desfăşurate în spaţiul de testare, precum şi realizările şi rezultatele învăţării aferente. Furnizorii pot utiliza o astfel de documentaţie pentru a demonstra că respectă prezentul regulament prin intermediul procesului de evaluare a conformităţii sau al activităţilor relevante de supraveghere a pieţei. În acest sens, rapoartele de ieşire şi dovezile scrise furnizate de autoritatea naţională competentă sunt luate în considerare în mod pozitiv de către autorităţile de supraveghere a pieţei şi de către organismele notificate, în vederea accelerării procedurilor de evaluare a conformităţii într-o măsură rezonabilă.

(8)Sub rezerva dispoziţiilor privind confidenţialitatea de la articolul 78 şi cu acordul furnizorului sau al potenţialului furnizor, Comisia şi Consiliul IA sunt autorizate să acceseze rapoartele de ieşire şi le iau în considerare, după caz, atunci când îşi exercită atribuţiile în temeiul prezentului regulament. Dacă atât furnizorul sau potenţialul furnizor, cât şi autoritatea naţională competentă îşi dau acordul în mod explicit, raportul de ieşire poate fi pus la dispoziţia publicului prin intermediul platformei unice de informare menţionate la prezentul articol.

(9)Instituirea spaţiilor de testare în materie de reglementare în domeniul IA urmăreşte să contribuie la următoarele obiective:

(10)Autorităţile naţionale competente se asigură că, în măsura în care sistemele de IA inovatoare implică prelucrarea de date cu caracter personal sau aparţin în alt mod competenţei de supraveghere a altor autorităţi naţionale sau autorităţi competente care furnizează sau sprijină accesul la date, autorităţile naţionale de protecţie a datelor sau celelalte autorităţi naţionale sau competente respective sunt asociate exploatării spaţiului de testare în materie de reglementare în domeniul IA şi sunt implicate în supravegherea aspectelor respective pe măsura sarcinilor şi a competenţelor lor respective.

(11)Spaţiile de testare în materie de reglementare în domeniul IA nu afectează competenţele de supraveghere sau atribuţiile corective ale autorităţilor competente care supraveghează spaţiile de testare, inclusiv la nivel regional sau local. Orice riscuri semnificative pentru sănătate, siguranţă şi drepturile fundamentale identificate în timpul dezvoltării şi testării unor astfel de sisteme de IA conduc la o atenuare adecvată. Autorităţile naţionale competente au competenţa de a suspenda temporar sau permanent procesul de testare sau participarea la spaţiul de testare dacă nu este posibilă o atenuare eficace şi informează Oficiul pentru IA cu privire la o astfel de decizie. Autorităţile naţionale competente îşi exercită competenţele de supraveghere în limitele dreptului relevant, utilizându-şi competenţele discreţionare atunci când pun în aplicare dispoziţii juridice pentru un anumit proiect de spaţiu de testare în materie de reglementare în domeniul IA, cu obiectivul de a sprijini inovarea în domeniul IA în Uniune.

(12)Furnizorii şi potenţialii furnizori care participă la spaţiul de testare în materie de reglementare în domeniul IA rămân responsabili, în temeiul dreptului aplicabil al Uniunii şi al dreptului naţional aplicabil în materie de răspundere, pentru orice prejudiciu adus terţilor ca urmare a experimentării care are loc în spaţiul de testare. Cu toate acestea, cu condiţia ca potenţialii furnizori să respecte planul specific şi termenele şi condiţiile pentru participarea lor şi să urmeze cu bună-credinţă orientările oferite de autoritatea naţională competentă, autorităţile nu impun amenzi administrative pentru încălcarea prezentului regulament. În cazurile în care în supravegherea sistemului de IA în spaţiul de testare au mai fost implicate activ şi alte autorităţi competente, responsabile de alte dispoziţii ale dreptului Uniunii şi ale dreptului intern, care au furnizat orientări pentru conformitate, nu se impun amenzi administrative în ceea ce priveşte actele legislative respective.

(16)Autorităţile naţionale competente prezintă rapoarte anuale Oficiului pentru IA şi Consiliului IA, începând cu un an de la instituirea spaţiului de testare în materie de reglementare în domeniul IA şi, ulterior, în fiecare an, până la încetarea acestuia, precum şi un raport final. Rapoartele respective furnizează informaţii cu privire la progresele şi rezultatele punerii în aplicare a spaţiilor de testare respective, inclusiv cu privire la bune practici, incidente, lecţii învăţate şi recomandări privind instituirea acestora şi, după caz, cu privire la aplicarea şi posibila revizuire a prezentului regulament, inclusiv a actelor sale delegate şi de punere în aplicare, precum şi cu privire la aplicarea altor dispoziţii de drept ale Uniunii sub supravegherea autorităţilor competente în spaţiul de testare. Autorităţile naţionale competente pun la dispoziţia publicului, online, rapoartele anuale respective sau rezumate ale acestora. Comisia ţine seama, după caz, de rapoartele anuale atunci când îşi exercită atribuţiile în temeiul prezentului regulament.

(17)Comisia dezvoltă o interfaţă unică şi specifică în cadrul căreia sunt reunite toate informaţiile relevante legate de spaţiile de testare în materie de reglementare în domeniul IA pentru a permite părţilor interesate să interacţioneze cu spaţiile de testare în materie de reglementare în domeniul IA, să adreseze întrebări autorităţilor competente şi să solicite orientări fără caracter obligatoriu cu privire la conformitatea produselor, a serviciilor şi a modelelor de afaceri inovatoare care încorporează tehnologii de IA, în conformitate cu articolul 62 alineatul (1) litera (c). Comisia se coordonează în mod proactiv cu autorităţile naţionale competente, după caz.

Art. 58: Modalităţi detaliate privind spaţiile de testare în materie de reglementare a IA şi funcţionarea acestora

(1)Pentru a evita fragmentarea în cadrul Uniunii, Comisia adoptă acte de punere în aplicare care precizează modalităţile detaliate de instituire, dezvoltare, punere în aplicare, exploatare şi supraveghere a spaţiilor de testare în materie de reglementare în domeniul IA. Actele de punere în aplicare includ principii comune cu privire la următoarele aspecte:

(2)Actele de punere în aplicare menţionate la alineatul (1) garantează că:

f)spaţiile de testare în materie de reglementare în domeniul IA facilitează implicarea altor actori relevanţi din ecosistemul IA, cum ar fi organismele notificate şi organizaţiile de standardizare, IMM-urile, inclusiv întreprinderile nou-înfiinţate, întreprinderile, inovatorii, instalaţiile de testare şi experimentare, laboratoarele de cercetare şi experimentare şi centrele europene de inovare digitală, centrele de excelenţă, cercetătorii individuali, pentru a permite şi a facilita cooperarea cu sectorul public şi cu sectorul privat;

g)procedurile, procesele şi cerinţele administrative pentru depunerea cererilor, selecţie, participare şi ieşirea din spaţiul de testare în materie de reglementare în domeniul IA sunt simple, uşor de înţeles şi comunicate în mod clar pentru a facilita participarea IMM-urilor, inclusiv a întreprinderilor nou-înfiinţate, cu capacităţi juridice şi administrative limitate şi sunt raţionalizate în întreaga Uniune, pentru a evita fragmentarea şi astfel încât participarea la un spaţiu de testare în materie de reglementare în domeniul IA instituit de un stat membru sau de Autoritatea Europeană pentru Protecţia Datelor să fie recunoscută reciproc şi uniform şi să producă aceleaşi efecte juridice în întreaga Uniune;

(3)Potenţialii furnizori din spaţiile de testare în materie de reglementare în domeniul IA, în special IMM-urile şi întreprinderile nou-înfiinţate, sunt direcţionaţi, după caz, către servicii de preimplementare, cum ar fi orientări privind punerea în aplicare a prezentului regulament, către alte servicii cu valoare adăugată, cum ar fi ajutorul acordat în privinţa documentelor de standardizare şi a certificării, instalaţiile de testare şi experimentare, centrele europene de inovare digitală şi centrele de excelenţă.

(4)Atunci când autorităţile naţionale competente iau în considerare autorizarea testării în condiţii reale supravegheate în cadrul unui spaţiu de testare în materie de reglementare în domeniul IA care urmează a fi instituit în temeiul prezentului articol, acestea convin în mod specific cu participanţii asupra clauzelor şi condiţiilor unei astfel de testări şi, în special, asupra garanţiilor adecvate în vederea protejării drepturilor fundamentale, a sănătăţii şi a siguranţei. După caz, acestea cooperează cu alte autorităţi naţionale competente în vederea asigurării unor practici coerente în întreaga Uniune.

Art. 59: Prelucrarea ulterioară a datelor cu caracter personal în vederea dezvoltării anumitor sisteme de IA în interes public în spaţiul de testare în materie de reglementare în domeniul IA

(1)În spaţiul de testare în materie de reglementare în domeniul IA, datele cu caracter personal colectate în mod legal în alte scopuri pot fi prelucrate numai în scopul dezvoltării, antrenării şi testării anumitor sisteme de IA în spaţiul de testare, dacă sunt îndeplinite toate condiţiile următoare:

a)sistemele de IA sunt dezvoltate pentru protejarea unui interes public substanţial de către o autoritate publică sau de către o altă persoană fizică sau juridică şi în unul sau mai multe dintre următoarele domenii:

(2)În scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor sau al executării sancţiunilor penale, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora, sub controlul şi responsabilitatea autorităţilor de aplicare a legii, prelucrarea datelor cu caracter personal în spaţiile de testare în materie de reglementare în domeniul IA se bazează pe dispoziţii specifice ale dreptului Uniunii sau ale dreptului intern şi face obiectul aceloraşi condiţii cumulative ca cele menţionate la alineatul (1).

(3)Alineatul (1) nu aduce atingere dreptului Uniunii sau dreptului intern care exclude prelucrarea datelor cu caracter personal în alte scopuri decât cele menţionate în mod explicit în dreptul respectiv, precum şi dreptului Uniunii sau dreptului intern care stabileşte temeiul pentru prelucrarea datelor cu caracter personal care este necesară în scopul dezvoltării, testării sau antrenării sistemelor de IA inovatoare sau orice alt temei juridic, în conformitate cu dreptul Uniunii privind protecţia datelor cu caracter personal.

Art. 60: Testarea sistemelor de IA cu grad ridicat de risc în condiţii reale în afara spaţiilor de testare în materie de reglementare în domeniul IA

(1)Testarea sistemelor de IA cu grad ridicat de risc în condiţii reale în afara spaţiilor de testare în materie de reglementare în domeniul IA poate fi efectuată de către furnizorii sau potenţialii furnizori de sisteme de IA cu grad ridicat de risc enumeraţi în anexa III, în conformitate cu prezentul articol şi cu planul de testare în condiţii reale menţionat în cadrul acestuia, fără a aduce atingere interdicţiilor prevăzute la articolul 5.

(4)Furnizorii sau potenţialii furnizori pot efectua testarea în condiţii reale numai dacă sunt îndeplinite toate condiţiile următoare:

b)autoritatea de supraveghere a pieţei din statul membru în care urmează să fie efectuată testarea în condiţii reale a aprobat testarea în condiţii reale şi planul de testare în condiţii reale; în cazul în care autoritatea de supraveghere a pieţei nu a furnizat un răspuns în termen de 30 de zile, se consideră că testarea în condiţii reale şi planul de testare în condiţii reale au fost aprobate; în cazul în care dreptul intern nu prevede o aprobare tacită, testarea în condiţii reale face în continuare obiectul unei autorizaţii;

c)furnizorul sau potenţialul furnizor, cu excepţia furnizorului sau a potenţialului furnizor de sisteme de IA cu grad ridicat de risc menţionate la punctele 1, 6 şi 7 din anexa III în domeniul aplicării legii, al migraţiei, al azilului şi al gestionării controlului la frontiere şi de sisteme de IA cu grad ridicat de risc menţionate la punctul 2 din anexa III, a înregistrat testarea în condiţii reale în conformitate cu articolul 71 alineatul (4) cu un număr unic de identificare la nivelul întregii Uniuni şi furnizând informaţiile specificate în anexa IX; furnizorul sau potenţialul furnizor de sisteme de IA cu grad ridicat de risc menţionate la punctele 1, 6 şi 7 din anexa III în domeniul aplicării legii, al migraţiei, al azilului şi al gestionării controlului la frontiere a înregistrat testarea în condiţii reale în secţiunea securizată care nu este accesibilă publicului a bazei de date a UE în conformitate cu articolul 49 alineatul (4) litera (d), cu un număr unic de identificare la nivelul întregii Uniuni şi furnizând informaţiile specificate în acesta; furnizorul sau potenţialul furnizor de sisteme de IA cu grad ridicat de risc menţionate la punctul 2 din anexa III a înregistrat testarea în condiţii reale în conformitate cu articolul 49 alineatul (5);

h)în cazul în care un furnizor sau un potenţial furnizor organizează testarea în condiţii reale în cooperare cu unul sau mai mulţi implementatori sau implementatori potenţiali, aceştia din urmă au fost informaţi cu privire la toate aspectele testării care sunt relevante pentru decizia lor de a participa şi au primit instrucţiunile relevante pentru utilizarea sistemului de IA menţionate la articolul 13; furnizorul sau potenţialul furnizor şi implementatorul sau potenţialul implementator încheie un acord în care precizează rolurile şi responsabilităţile lor, în vederea asigurării conformităţii cu dispoziţiile privind testarea în condiţii reale în temeiul prezentului regulament şi al altor acte legislative aplicabile ale Uniunii, precum şi al dreptului intern;

(6)În conformitate cu articolul 75, statele membre conferă autorităţilor lor de supraveghere a pieţei competenţa de a solicita informaţii furnizorilor şi potenţialilor furnizori, de a efectua inspecţii neanunţate la distanţă sau la faţa locului şi de a efectua verificări privind efectuarea testării în condiţii reale şi a sistemelor de IA cu grad ridicat de risc conexe. Autorităţile de supraveghere a pieţei fac uz de aceste competenţe pentru a asigura o dezvoltare în condiţii de siguranţă a testării în condiţii reale.

(7)Orice incident grav identificat în cursul testării în condiţii reale se raportează autorităţii naţionale de supraveghere a pieţei în conformitate cu articolul 73. Furnizorul sau potenţialul furnizor adoptă măsuri imediate de atenuare sau, în caz contrar, suspendă testarea în condiţii reale până când are loc o astfel de atenuare sau îi pune capăt în alt mod. Furnizorul sau potenţialul furnizor instituie o procedură pentru rechemarea promptă a sistemului de IA în cazul unei astfel de încetări a testării în condiţii reale.

Art. 61: Consimţământul în cunoştinţă de cauză la participarea la testarea în condiţii reale în afara spaţiilor de testare în materie de reglementare în domeniul IA

(1)În scopul testării în condiţii reale în conformitate cu articolul 60, consimţământul în cunoştinţă de cauză acordat în mod liber se obţine de la subiecţii testării înainte de participarea lor la o astfel de testare şi după ce au fost informaţi în mod corespunzător cu informaţii concise, clare, relevante şi inteligibile cu privire la:

Art. 62: Măsuri pentru furnizori şi implementatori, în special IMM-uri, inclusiv întreprinderi nou-înfiinţate

(1)Statele membre întreprind următoarele acţiuni:

a)oferă IMM-urilor, inclusiv întreprinderilor nou-înfiinţate, care au un sediu social sau o sucursală în Uniune, acces prioritar la spaţiile de testare în materie de reglementare în domeniul IA, în măsura în care îndeplinesc condiţiile de eligibilitate şi criteriile de selecţie; accesul prioritar nu împiedică accesul altor IMM-uri, inclusiv întreprinderi nou-înfiinţate, altele decât cele menţionate la prezentul alineat, la spaţiile de testare în materie de reglementare în domeniul IA, cu condiţia ca acestea să îndeplinească de asemenea condiţiile de eligibilitate şi criteriile de selecţie;

(3)Oficiul pentru IA întreprinde următoarele acţiuni:

Art. 63: Derogări pentru operatori specifici

(1)Microîntreprinderile în sensul Recomandării 2003/361/CE pot respecta anumite elemente ale sistemului de management al calităţii prevăzut la articolul 17 din prezentul regulament într-un mod simplificat, cu condiţia să nu aibă întreprinderi partenere sau întreprinderi afiliate în sensul recomandării respective. În acest scop, Comisia elaborează orientări privind elementele sistemului de management al calităţii care pot fi respectate într-un mod simplificat, având în vedere nevoile microîntreprinderilor, fără a afecta nivelul de protecţie sau necesitatea respectării cerinţelor în ceea ce priveşte sistemele de IA cu grad ridicat de risc.

CAPITOLUL VII:GUVERNANŢA

SECŢIUNEA 1:Guvernanţa la nivelul Uniunii

Art. 65: Instituirea şi structura Consiliului european pentru inteligenţa artificială

(4)Statele membre se asigură că reprezentanţii lor în Consiliul IA:

(6)Consiliul IA instituie două subgrupuri permanente pentru a oferi o platformă de cooperare şi de schimb între autorităţile de supraveghere a pieţei şi autorităţile de notificare cu privire la aspecte legate de supravegherea pieţei şi, respectiv, de organismele notificate.

Art. 66: Sarcinile Consiliului IA

(e)la cererea Comisiei sau din proprie iniţiativă, să emită recomandări şi avize scrise cu privire la orice aspecte relevante legate de punerea în aplicare a prezentului regulament şi de aplicarea coerentă şi efectivă a acestuia, inclusiv:

Art. 67: Forumul consultativ

Art. 68: Grupul ştiinţific de experţi independenţi

(2)Grupul ştiinţific este alcătuit din experţi independenţi selectaţi de Comisie pe baza cunoştinţelor de specialitate ştiinţifice sau tehnice la zi în domeniul IA, necesare pentru îndeplinirea sarcinilor prevăzute la alineatul (3), şi este în măsură să demonstreze îndeplinirea tuturor condiţiilor următoare:

(3)Grupul ştiinţific consiliază şi sprijină Oficiul pentru IA, în special în ceea ce priveşte următoarele sarcini:

a)sprijinirea punerii în aplicare şi a respectării prezentului regulament, în ceea ce priveşte modelele şi sistemele de IA de uz general, îndeosebi prin:

(4)Experţii din cadrul grupului ştiinţific îşi îndeplinesc sarcinile cu imparţialitate şi obiectivitate şi asigură confidenţialitatea informaţiilor şi a datelor obţinute în cursul îndeplinirii sarcinilor şi activităţilor lor. Aceştia nu solicită şi nici nu acceptă instrucţiuni de la nicio persoană atunci când îşi exercită atribuţiile în temeiul alineatului (3). Fiecare expert întocmeşte o declaraţie de interese, care este pusă la dispoziţia publicului. Oficiul pentru IA instituie sisteme şi proceduri pentru a gestiona în mod activ şi pentru a preveni potenţialele conflicte de interese.

Art. 69: Accesul statelor membre la grupul de experţi

SECŢIUNEA 2:Autorităţile naţionale competente

Art. 70: Desemnarea autorităţilor naţionale competente şi a punctelor unice de contact

(1)Fiecare stat membru stabileşte sau desemnează drept autorităţi naţionale competente cel puţin o autoritate de notificare şi cel puţin o autoritate de supraveghere a pieţei în sensul prezentului regulament. Respectivele autorităţi naţionale competente îşi exercită competenţele în mod independent, imparţial şi fără prejudecăţi, astfel încât să garanteze obiectivitatea activităţilor şi sarcinilor lor şi să asigure punerea în aplicare a prezentului regulament. Membrii acestor autorităţi se abţin de la orice act incompatibil cu atribuţiile lor. Cu condiţia ca aceste principii să fie respectate, astfel de activităţi şi sarcini pot fi efectuate de una sau mai multe autorităţi desemnate, în conformitate cu nevoile organizaţionale ale statului membru.

(2)Statele membre îi comunică Comisiei identitatea autorităţilor de notificare şi a autorităţilor de supraveghere a pieţei şi sarcinile acestor autorităţi, precum şi orice modificări ulterioare ale acestora. Până la 2 august 2025, statele membre pun la dispoziţia publicului informaţii cu privire la modul în care pot fi contactate autorităţile competente şi punctele unice de contact, prin mijloace de comunicare electronică. Statele membre desemnează o autoritate de supraveghere a pieţei care să acţioneze ca punct unic de contact pentru prezentul regulament şi îi notifică Comisiei identitatea punctului unic de contact. Comisia pune la dispoziţia publicului o listă a punctelor unice de contact.

(3)Statele membre se asigură că autorităţile lor naţionale competente dispun de resurse tehnice, financiare şi umane adecvate şi de infrastructură pentru a-şi îndeplini cu eficacitate sarcinile care le revin în temeiul prezentului regulament. În special, autorităţile naţionale competente dispun în permanenţă de un personal suficient ale cărui competenţe şi cunoştinţe de specialitate includ o înţelegere aprofundată a tehnologiilor din domeniul IA, a datelor şi a prelucrării de date, a protecţiei datelor cu caracter personal, a securităţii cibernetice, a drepturilor fundamentale, a riscurilor în materie de sănătate şi siguranţă, precum şi cunoaşterea standardelor şi a cerinţelor legale existente. Statele membre evaluează şi, dacă este necesar, actualizează anual competenţele şi resursele necesare menţionate la prezentul alineat.

(8)Autorităţile naţionale competente pot oferi orientări şi consiliere cu privire la punerea în aplicare a prezentului regulament, îndeosebi IMM-urilor, inclusiv întreprinderilor nou-înfiinţate, luând în considerare orientările şi consilierea furnizate de Consiliul IA şi de Comisie, după caz. Ori de câte ori autorităţile naţionale competente intenţionează să ofere orientări şi consiliere cu privire la un sistem de IA în domenii reglementate de alte acte legislative ale Uniunii, autorităţile naţionale competente în temeiul actelor legislative respective ale Uniunii sunt consultate, după caz.

CAPITOLUL VIII:BAZA DE DATE A UE PENTRU SISTEME DE IA CU GRAD RIDICAT DE RISC

Art. 71: Baza de date a UE pentru sisteme de IA cu grad ridicat de risc enumerate în anexa III

(1)Comisia, în colaborare cu statele membre, creează şi întreţine o bază de date a UE care conţine informaţiile menţionate la alineatele (2) şi (3) de la prezentul articol privind sistemele de IA cu grad ridicat de risc menţionate la articolul 6 alineatul (2) care sunt înregistrate în conformitate cu articolele 49 şi 60 şi sistemele de IA care nu sunt considerate ca având un grad ridicat de risc în temeiul articolului 6 alineatul (3) şi care sunt înregistrate în conformitate cu articolul 6 alineatul (4) şi cu articolul 49. Atunci când stabileşte specificaţiile funcţionale ale respectivei baze de date, Comisia consultă experţii relevanţi, iar atunci când actualizează specificaţiile funcţionale ale respectivei baze de date, Comisia consultă Consiliul IA.

(4)Cu excepţia secţiunii menţionate la articolul 49 alineatul (4) şi la articolul 60 alineatul (4) litera (c), informaţiile conţinute în baza de date a UE înregistrate în conformitate cu articolul 49 sunt accesibile şi puse la dispoziţia publicului într-un mod uşor de utilizat. Informaţiile ar trebui să fie uşor de navigat şi prelucrabile automat. Informaţiile înregistrate în conformitate cu articolul 60 sunt accesibile numai autorităţilor de supraveghere a pieţei şi Comisiei, cu excepţia cazului în care potenţialul furnizor sau furnizorul şi-a dat consimţământul pentru ca aceste informaţii să fie puse şi la dispoziţia publicului.

CAPITOLUL IX:MONITORIZAREA ULTERIOARĂ INTRODUCERII PE PIAŢĂ, SCHIMBUL DE INFORMAŢII ŞI SUPRAVEGHEREA PIEŢEI

SECŢIUNEA 1:Monitorizarea ulterioară introducerii pe piaţă

Art. 72: Monitorizarea ulterioară introducerii pe piaţă de către furnizori şi planul de monitorizare ulterioară introducerii pe piaţă pentru sistemele de IA cu grad ridicat de risc

(2)Sistemul de monitorizare ulterioară introducerii pe piaţă colectează, documentează şi analizează în mod activ şi sistematic datele relevante care pot fi furnizate de implementatori sau pot fi colectate din alte surse cu privire la performanţa sistemelor de IA cu grad ridicat de risc pe toată durata lor de viaţă şi care permit furnizorului să evalueze conformitatea continuă a sistemelor de IA cu cerinţele prevăzute în capitolul III secţiunea 2. După caz, monitorizarea ulterioară introducerii pe piaţă include o analiză a interacţiunii cu alte sisteme de IA. Această obligaţie nu acoperă datele operaţionale sensibile ale implementatorilor care sunt autorităţi de aplicare a legii.

(3)Sistemul de monitorizare ulterioară introducerii pe piaţă se bazează pe un plan de monitorizare ulterioară introducerii pe piaţă. Planul de monitorizare ulterioară introducerii pe piaţă face parte din documentaţia tehnică menţionată în anexa IV. Comisia adoptă un act de punere în aplicare prin care stabileşte dispoziţii detaliate de stabilire a unui model de plan de monitorizare ulterioară introducerii pe piaţă şi a listei elementelor care trebuie incluse în plan până la 2 februarie 2026. Actul de punere în aplicare respectiv se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

(4)Pentru sistemele de IA cu grad ridicat de risc reglementate de actele legislative de armonizare ale Uniunii menţionate în secţiunea A din anexa I, în cazul în care un sistem şi un plan de monitorizare ulterioară introducerii pe piaţă sunt deja instituite în temeiul legislaţiei respective, pentru a asigura coerenţa, a evita suprapunerile şi a reduce la minimum sarcinile suplimentare, furnizorii au posibilitatea de a integra, după caz, elementele necesare descrise la alineatele (1), (2) şi (3), utilizând modelul menţionat la alineatul (3), în sistemele şi planurile deja existente în temeiul legislaţiei respective, cu condiţia ca astfel să atingă un nivel de protecţie echivalent.

SECŢIUNEA 2:Schimbul de informaţii privind incidentele grave

Art. 73: Raportarea incidentelor grave

(6)În urma raportării unui incident grav în temeiul alineatului (1), furnizorul efectuează, fără întârziere, investigaţiile necesare cu privire la incidentul grav şi la sistemul de IA în cauză. Acest lucru include o evaluare a riscurilor incidentului şi măsuri corective.

SECŢIUNEA 3:Aplicarea legii

Art. 74: Supravegherea pieţei şi controlul sistemelor de IA pe piaţa Uniunii

(1)Regulamentul (UE) 2019/1020 se aplică sistemelor de IA care intră sub incidenţa prezentului regulament. În scopul asigurării efective a respectării prezentului regulament:

(2)Ca parte a obligaţiilor lor de raportare în temeiul articolului 34 alineatul (4) din Regulamentul (UE) 2019/1020, autorităţile de supraveghere a pieţei raportează anual Comisiei şi autorităţilor naţionale de concurenţă relevante toate informaţiile identificate în cursul activităţilor de supraveghere a pieţei care ar putea prezenta un potenţial interes pentru aplicarea dreptului Uniunii privind normele în materie de concurenţă. De asemenea, acestea raportează anual Comisiei despre utilizarea practicilor interzise care a avut loc în anul respectiv şi despre măsurile luate.

(3)În cazul sistemelor de IA cu grad ridicat de risc legate de produse reglementate de actele legislative de armonizare ale Uniunii enumerate în secţiunea A din anexa I, autoritatea de supraveghere a pieţei în sensul prezentului regulament este autoritatea responsabilă cu activităţile de supraveghere a pieţei desemnată în temeiul respectivelor acte legislative.

(6)Pentru sistemele de IA cu grad ridicat de risc introduse pe piaţă, puse în funcţiune sau utilizate de instituţiile financiare reglementate de dreptul Uniunii din domeniul serviciilor financiare, autoritatea de supraveghere a pieţei în sensul prezentului regulament este autoritatea naţională relevantă responsabilă cu supravegherea financiară a instituţiilor respective în temeiul legislaţiei respective, în măsura în care introducerea pe piaţă, punerea în funcţiune sau utilizarea sistemului de IA este în legătură directă cu furnizarea serviciilor financiare respective.

(7)Prin derogare de la alineatul (6), în circumstanţe justificate şi cu condiţia asigurării coordonării, o altă autoritate relevantă poate fi identificată de statul membru drept autoritate de supraveghere a pieţei în sensul prezentului regulament.

Autorităţile naţionale de supraveghere a pieţei care supraveghează instituţiile de credit reglementate în temeiul Directivei 2013/36/UE, care participă la mecanismul unic de supraveghere instituit prin Regulamentul (UE) nr. 1024/2013, ar trebui să raporteze fără întârziere Băncii Centrale Europene orice informaţie identificată în cursul activităţilor lor de supraveghere a pieţei care ar putea prezenta un interes potenţial pentru sarcinile de supraveghere prudenţială ale Băncii Centrale Europene, astfel cum se specifică în regulamentul respectiv.

(8)Pentru sistemele de IA cu grad ridicat de risc enumerate la punctul 1 din anexa III la prezentul regulament, în măsura în care sistemele sunt utilizate în scopul aplicării legii, al gestionării frontierelor şi al respectării justiţiei şi democraţiei, şi pentru sistemele de IA cu grad ridicat de risc enumerate la punctele 6, 7 şi 8 din anexa III la prezentul regulament, statele membre desemnează drept autorităţi de supraveghere a pieţei în sensul prezentului regulament fie autorităţile competente de supraveghere a protecţiei datelor în temeiul Regulamentului (UE) 2016/679 sau al Directivei (UE) 2016/680, fie orice alte autorităţi desemnate în temeiul aceloraşi condiţii prevăzute la articolele 41-44 din Directiva (UE) 2016/680. Activităţile de supraveghere a pieţei nu afectează în niciun fel independenţa autorităţilor judiciare şi nici nu interferează în alt mod cu activităţile acestora atunci când acţionează în exerciţiul funcţiei lor judiciare.

(11)Autorităţile de supraveghere a pieţei şi Comisia sunt în măsură să propună activităţi comune, inclusiv investigaţii comune, care să fie efectuate fie de autorităţile de supraveghere a pieţei, fie de autorităţile de supraveghere a pieţei în colaborare cu Comisia şi care au scopul de a promova conformitatea, de a identifica cazurile de neconformitate, de a sensibiliza sau de a oferi orientări în legătură cu prezentul regulament în ceea ce priveşte anumite categorii de sisteme de IA cu grad ridicat de risc despre care se constată că prezintă un risc grav în două sau mai multe state membre, în conformitate cu articolul 9 din Regulamentul (UE) 2019/1020. Oficiul pentru IA oferă sprijin în materie de coordonare pentru investigaţiile comune.

(12)Fără a aduce atingere competenţelor prevăzute în Regulamentul (UE) 2019/1020 şi dacă este relevant şi limitat la ceea ce este necesar pentru a-şi îndeplini sarcinile, furnizorii acordă acces deplin autorităţilor de supraveghere a pieţei la documentaţie, precum şi la seturile de date de antrenament, de validare şi de testare utilizate pentru dezvoltarea sistemelor de IA cu grad ridicat de risc, inclusiv, după caz şi sub rezerva unor garanţii de securitate, prin interfeţe de programare a aplicaţiilor (IPA) sau prin alte mijloace şi instrumente tehnice relevante care permit accesul de la distanţă.

(13)Autorităţilor de supraveghere a pieţei li se acordă acces la codul sursă al sistemului de IA cu grad ridicat de risc pe baza unei cereri motivate şi numai atunci când sunt îndeplinite ambele condiţii următoare:

Art. 75: Asistenţa reciprocă, supravegherea pieţei şi controlul sistemelor de IA de uz general

(1)În cazul în care un sistem de IA se bazează pe un model de IA de uz general, iar modelul şi sistemul sunt dezvoltate de acelaşi furnizor, Oficiul pentru IA are competenţa de a monitoriza şi de a supraveghea conformitatea respectivului sistem de IA cu obligaţiile impuse în temeiul prezentului regulament. Pentru a îşi îndeplini sarcinile de monitorizare şi supraveghere, Oficiul pentru IA are toate competenţele unei autorităţi de supraveghere a pieţei prevăzute în prezenta secţiune şi în Regulamentul (UE) 2019/1020.

(2)În cazul în care au motive suficiente să considere că sisteme de IA de uz general care pot fi utilizate direct de către implementatori pentru cel puţin un scop clasificat ca prezentând un grad ridicat de risc în temeiul prezentului regulament nu respectă cerinţele prevăzute în prezentul regulament, autorităţile relevante de supraveghere a pieţei cooperează cu Oficiul pentru IA pentru a efectua evaluări ale conformităţii şi informează în consecinţă Consiliul IA şi alte autorităţi de supraveghere a pieţei.

(3)Dacă o autoritate de supraveghere a pieţei nu este în măsură să îşi încheie investigaţia privind sistemul de IA cu grad ridicat de risc din cauza incapacităţii sale de a accesa anumite informaţii legate de modelul de IA de uz general, în pofida faptului că a depus toate eforturile adecvate pentru a obţine informaţiile respective, aceasta poate transmite Oficiului pentru IA o cerere motivată prin care accesul la respectivele informaţii este impus. În acest caz, Oficiul pentru IA îi furnizează autorităţii solicitante fără întârziere şi, în orice caz, în termen de 30 de zile toate informaţiile pe care Oficiul pentru IA le consideră relevante pentru a stabili dacă un sistem de IA cu grad ridicat de risc este neconform. Autorităţile de supraveghere a pieţei garantează confidenţialitatea informaţiilor pe care le obţin în conformitate cu articolul 78 din prezentul regulament. Procedura prevăzută în capitolul VI din Regulamentul (UE) 2019/1020 se aplică mutatis mutandis.

Art. 76: Supravegherea testării în condiţii reale de către autorităţile de supraveghere a pieţei

(2)În cazul în care se efectuează testarea în condiţii reale pentru sisteme de IA care sunt supravegheate într-un spaţiu de testare în materie de reglementare în domeniul IA în temeiul articolului 58, autorităţile de supraveghere a pieţei verifică conformitatea cu articolul 60 ca parte a rolului lor de supraveghere pentru spaţiul de testare în materie de reglementare în domeniul IA. Autorităţile respective pot permite, după caz, ca testarea în condiţii reale să fie efectuată de furnizor sau de potenţialul furnizor, prin derogare de la condiţiile prevăzute la articolul 60 alineatul (4) literele (f) şi (g).

(3)În cazul în care o autoritate de supraveghere a pieţei a fost informată de către potenţialul furnizor, de către furnizor sau de către orice parte terţă despre un incident grav sau are alte motive pentru a considera că nu sunt îndeplinite condiţiile prevăzute la articolele 60 şi 61, aceasta poate lua oricare dintre următoarele decizii pe teritoriul său, după caz:

Art. 77: Competenţele autorităţilor care protejează drepturile fundamentale

(1)Autorităţile sau organismele publice naţionale care supraveghează sau asigură respectarea obligaţiilor în temeiul dreptului Uniunii care protejează drepturile fundamentale, inclusiv dreptul la nediscriminare, în ceea ce priveşte utilizarea sistemelor de IA cu grad ridicat de risc menţionate în anexa III au competenţa de a solicita şi de a accesa orice documentaţie creată sau păstrată în temeiul prezentului regulament într-un limbaj şi un format accesibil, atunci când accesul la documentaţia respectivă este necesar pentru îndeplinirea cu eficacitate a mandatelor lor, în limitele jurisdicţiei lor. Autoritatea sau organismul public competent informează autoritatea de supraveghere a pieţei din statul membru în cauză cu privire la orice astfel de cerere.

(3)În cazul în care documentaţia menţionată la alineatul (1) este insuficientă pentru a stabili dacă a avut loc sau nu o încălcare a obligaţiilor în temeiul dreptului Uniunii care protejează drepturile fundamentale, autoritatea sau organismul public menţionat la alineatul (1) poate adresa autorităţii de supraveghere a pieţei o cerere motivată de organizare a testării sistemului de IA cu grad ridicat de risc prin mijloace tehnice. Autoritatea de supraveghere a pieţei organizează testarea implicând îndeaproape autoritatea sau organismul public solicitant, într-un termen rezonabil de la primirea cererii.

Art. 78: Confidenţialitate

(1)Comisia, autorităţile de supraveghere a pieţei şi organismele notificate, precum şi orice altă persoană fizică sau juridică implicată în aplicarea prezentului regulament respectă, în conformitate cu dreptul Uniunii sau cu dreptul intern, confidenţialitatea informaţiilor şi a datelor obţinute în îndeplinirea sarcinilor şi a activităţilor lor într-un mod care să protejeze, în special:

a)drepturile de proprietate intelectuală şi informaţiile comerciale confidenţiale sau secretele comerciale ale unei persoane fizice sau juridice, inclusiv codul sursă, cu excepţia cazurilor menţionate la articolul 5 din Directiva (UE) 2016/943 a Parlamentului European şi a Consiliului (⁵⁷);

(2)Autorităţile implicate în aplicarea prezentului regulament în temeiul alineatului (1) solicită numai datele care sunt strict necesare pentru evaluarea riscului prezentat de sistemele de IA şi pentru exercitarea competenţelor lor în conformitate cu prezentul regulament şi cu Regulamentul (UE) 2019/1020. Acestea instituie măsuri de securitate cibernetică corespunzătoare şi eficace pentru a proteja securitatea şi confidenţialitatea informaţiilor şi a datelor obţinute şi şterg datele colectate de îndată ce acestea nu mai sunt necesare în scopul pentru care au fost obţinute, în conformitate cu dreptul Uniunii sau dreptul intern aplicabil.

(3)Fără a aduce atingere alineatelor (1) şi (2), informaţiile care au făcut obiectul unui schimb în condiţii de confidenţialitate între autorităţile naţionale competente şi între autorităţile naţionale competente şi Comisie nu se divulgă fără consultarea prealabilă a autorităţii naţionale competente emitente şi a implementatorului atunci când sistemele de IA cu grad ridicat de risc menţionate la punctul 1, 6 sau 7 din anexa III sunt utilizate de autorităţile de aplicare a legii, de control la frontiere, de imigraţie sau de azil şi atunci când o astfel de divulgare ar pune în pericol interese de siguranţă publică şi de securitate naţională. Acest schimb de informaţii nu acoperă datele operaţionale sensibile legate de activităţile autorităţilor de aplicare a legii, de control la frontiere, de imigraţie sau de azil.

În cazul în care autorităţile de aplicare a legii, de imigraţie sau de azil sunt furnizori de sisteme de IA cu grad ridicat de risc menţionate la punctul 1, 6 sau 7 din anexa III, documentaţia tehnică menţionată în anexa IV rămâne la sediul autorităţilor respective. Autorităţile respective se asigură că autorităţile de supraveghere a pieţei menţionate la articolul 74 alineatele (8) şi (9), după caz, pot, la cerere, să acceseze imediat documentaţia sau să obţină o copie a acesteia. Numai personalului autorităţii de supraveghere a pieţei care deţine nivelul corespunzător de autorizaţie de securitate i se permite accesul la documentaţia respectivă sau la orice copie a acesteia.

Art. 79: Procedura la nivel naţional aplicabilă sistemelor de IA care prezintă un risc

(2)În cazul în care autoritatea de supraveghere a pieţei dintr-un stat membru are suficiente motive să considere că un sistem de IA prezintă un risc astfel cum se menţionează la alineatul (1) de la prezentul articol, aceasta efectuează o evaluare a sistemului de IA în cauză din punctul de vedere al conformităţii sale cu toate cerinţele şi obligaţiile prevăzute în prezentul regulament. Se acordă o atenţie deosebită sistemelor de IA care prezintă un risc pentru grupurile vulnerabile. Atunci când sunt identificate riscuri pentru drepturile fundamentale, autoritatea de supraveghere a pieţei informează şi autorităţile sau organismele publice naţionale relevante menţionate la articolul 77 alineatul (1) şi cooperează pe deplin cu acestea. Operatorii relevanţi cooperează, după caz, cu autoritatea de supraveghere a pieţei şi cu celelalte autorităţi sau organisme publice naţionale menţionate la articolul 77 alineatul (1).

În cazul în care, pe parcursul evaluării respective, autoritatea de supraveghere a pieţei sau, după caz, autoritatea de supraveghere a pieţei în cooperare cu autoritatea publică naţională menţionată la articolul 77 alineatul (1) constată că sistemul de IA nu respectă cerinţele şi obligaţiile prevăzute în prezentul regulament, aceasta solicită fără întârzieri nejustificate operatorului relevant să ia toate măsurile corective adecvate pentru a asigura conformitatea sistemului de IA, pentru a retrage sistemul de IA de pe piaţă sau pentru a-l rechema într-un termen pe care autoritatea de supraveghere a pieţei îl poate indica şi, în orice caz, nu mai târziu de 15 zile lucrătoare sau astfel cum se prevede în actele legislative de armonizare relevante ale Uniunii.

(5)În cazul în care operatorul unui sistem de IA nu ia măsurile corective adecvate în termenul menţionat la alineatul (2), autoritatea de supraveghere a pieţei ia toate măsurile provizorii corespunzătoare pentru a interzice sau a restricţiona punerea la dispoziţie a sistemului de IA pe piaţa sa naţională sau punerea acestuia în funcţiune, pentru a retrage produsul sau sistemul de IA de sine stătător de pe piaţa respectivă ori pentru a-l rechema. Autoritatea respectivă notifică fără întârzieri nejustificate Comisiei şi celorlalte state membre măsurile respective.

(6)Notificarea menţionată la alineatul (5) include toate detaliile disponibile, în special informaţiile necesare pentru a identifica sistemul de IA neconform, originea sistemului de IA şi lanţul de aprovizionare, natura neconformităţii invocate şi riscul implicat, natura şi durata măsurilor naţionale luate, precum şi argumentele prezentate de operatorul relevant. În special, autorităţile de supraveghere a pieţei indică dacă neconformitatea se datorează unuia sau mai multora dintre următoarele motive:

(8)În cazul în care, în termen de trei luni de la primirea notificării menţionate la alineatul (5) de la prezentul articol, nicio autoritate de supraveghere a pieţei a niciunui stat membru şi nici Comisia nu ridică vreo obiecţie cu privire la o măsură provizorie luată de o autoritate de supraveghere a pieţei a unui alt stat membru, măsura respectivă este considerată justificată. Acest lucru nu aduce atingere drepturilor procedurale ale operatorului în cauză în conformitate cu articolul 18 din Regulamentul (UE) 2019/1020. Termenul de trei luni menţionat la prezentul alineat se reduce la 30 de zile în cazul nerespectării interdicţiei privind practicile în domeniul IA menţionate la articolul 5 din prezentul regulament.

Art. 80: Procedura aplicabilă sistemelor de IA clasificate de furnizor ca neprezentând un grad ridicat de risc în aplicarea anexei III

(1)În cazul în care o autoritate de supraveghere a pieţei are motive suficiente să considere că un sistem de IA clasificat de furnizor ca neprezentând un grad ridicat de risc în conformitate cu articolul 6 alineatul (3) prezintă, de fapt, un grad ridicat de risc, autoritatea de supraveghere a pieţei efectuează o evaluare a sistemului de IA în cauză în ceea ce priveşte clasificarea sa ca sistem de IA cu grad ridicat de risc, pe baza condiţiilor prevăzute la articolul 6 alineatul (3) şi în orientările Comisiei.

(2)În cazul în care, pe parcursul evaluării respective, autoritatea de supraveghere a pieţei constată că sistemul de IA în cauză prezintă un grad ridicat de risc, aceasta solicită fără întârzieri nejustificate furnizorului relevant să ia toate măsurile necesare pentru a asigura conformitatea sistemului de IA cu cerinţele şi obligaţiile prevăzute în prezentul regulament, precum şi să ia măsuri corective adecvate într-un termen pe care autoritatea de supraveghere a pieţei îl poate indica.

Art. 81: Procedura de salvgardare a Uniunii

(1)Dacă, în termen de trei luni de la primirea notificării menţionate la articolul 79 alineatul (5) sau în termen de 30 de zile în cazul nerespectării interdicţiei privind practicile în domeniul IA menţionate la articolul 5, se ridică obiecţii de către autoritatea de supraveghere a pieţei a unui stat membru împotriva unei măsuri luate de altă autoritate de supraveghere a pieţei sau în cazul în care Comisia consideră că măsura este contrară dreptului Uniunii, Comisia iniţiază fără întârzieri nejustificate consultări cu autoritatea de supraveghere a pieţei a statului membru relevant şi cu operatorul sau operatorii şi evaluează măsura naţională. Pe baza rezultatelor evaluării respective, Comisia decide dacă măsura naţională este justificată sau nu în termen de şase luni ori, în cazul nerespectării interdicţiei privind practicile în domeniul IA menţionate la articolul 5, în termen de 60 de zile de la notificarea menţionată la articolul 79 alineatul (5) şi notifică această decizie autorităţii de supraveghere a pieţei a statului membru în cauză. Comisia informează, de asemenea, toate celelalte autorităţi de supraveghere a pieţei cu privire la decizia sa.

(2)În cazul în care Comisia consideră că măsura luată de statul membru în cauză este justificată, toate statele membre se asigură că iau măsuri restrictive adecvate în ceea ce priveşte sistemul de IA în cauză, cum ar fi impunerea retragerii fără întârzieri nejustificate a sistemului de IA de pe piaţa lor, şi informează Comisia în consecinţă. În cazul în care Comisia consideră că măsura naţională este nejustificată, statul membru în cauză retrage măsura şi informează Comisia în consecinţă.

Art. 82: Sisteme de IA conforme care prezintă un risc

(1)Dacă, în urma efectuării unei evaluări în temeiul articolului 79, după consultarea autorităţii publice naţionale relevante menţionate la articolul 77 alineatul (1), autoritatea de supraveghere a pieţei dintr-un stat membru constată că, deşi un sistem de IA cu grad ridicat de risc este în conformitate cu prezentul regulament, acesta prezintă totuşi un risc pentru sănătatea sau siguranţa persoanelor, pentru drepturile fundamentale sau pentru alte aspecte legate de protecţia interesului public, autoritatea de supraveghere a pieţei respectivă impune operatorului relevant să ia toate măsurile corespunzătoare pentru a se asigura că sistemul de IA în cauză, atunci când este introdus pe piaţă sau pus în funcţiune, nu mai prezintă riscul respectiv fără întârzieri nejustificate, într-un termen pe care aceasta îl poate indica.

Art. 83: Neconformitatea formală

(1)Autoritatea de supraveghere a pieţei dintr-un stat membru solicită operatorului relevant să pună capăt neconformităţii în cauză, într-un termen pe care aceasta îl poate indica, atunci când constată una dintre situaţiile următoare:

Art. 84: Structurile de sprijin pentru testarea IA ale Uniunii

SECŢIUNEA 4:Căi de atac

Art. 85: Dreptul de a depune o plângere la o autoritate de supraveghere a pieţei

Art. 86: Dreptul la explicarea luării deciziilor individuale

(1)Orice persoană afectată care face obiectul unei decizii care este luată de implementator pe baza rezultatelor unui sistem de IA cu grad ridicat de risc enumerat în anexa III, cu excepţia sistemelor enumerate la punctul 2 din aceasta, şi care produce efecte juridice sau o afectează pe persoana respectivă în mod similar într-un grad semnificativ de o manieră pe care o consideră a avea un impact negativ asupra sănătăţii, siguranţei sau drepturilor sale fundamentale are dreptul de a solicita implementatorului explicaţii clare şi semnificative cu privire la rolul sistemului de IA în procedura decizională şi la principalele elemente ale deciziei luate.

SECŢIUNEA 5:Supravegherea, investigarea, aplicarea legii şi monitorizarea în ceea ce priveşte furnizorii de modele de IA de uz general

Art. 88: Executarea obligaţiilor furnizorilor de modele de IA de uz general

Art. 89: Măsuri de monitorizare

(2)Furnizorii din aval au dreptul de a depune o plângere privind încălcarea prezentului regulament. O plângere trebuie să fie motivată corespunzător şi să indice cel puţin:

Art. 90: Alerte privind riscurile sistemice transmise de grupul ştiinţific

Art. 91: Competenţa de a solicita documente şi informaţii

(5)Furnizorul modelului de IA de uz general în cauză sau reprezentantul acestuia furnizează informaţiile solicitate. În cazul persoanelor juridice, al societăţilor sau firmelor ori în cazul în care furnizorul nu are personalitate juridică, persoanele autorizate să le reprezinte în temeiul legii sau al statutului lor furnizează informaţiile solicitate în numele furnizorului modelului de IA de uz general în cauză. Juriştii autorizaţi corespunzător să acţioneze în acest sens pot furniza informaţiile în numele clienţilor lor. Clienţii rămân totuşi pe deplin răspunzători în situaţia în care informaţiile furnizate sunt incomplete, incorecte sau înşelătoare.

Art. 92: Competenţa de a efectua evaluări

(1)Oficiul pentru IA, după consultarea Consiliului IA, poate efectua evaluări ale modelului de IA de uz general în cauză:

Art. 93: Competenţa de a solicita măsuri

(1)În cazul în care este necesar şi adecvat, Comisia le poate solicita furnizorilor:

CAPITOLUL X:CODURI DE CONDUITĂ ŞI ORIENTĂRI

Art. 95: Coduri de conduită pentru aplicarea voluntară a cerinţelor specifice

(2)Oficiul pentru IA şi statele membre facilitează elaborarea de coduri de conduită privind aplicarea voluntară, inclusiv de către implementatori, a unor cerinţe specifice în privinţa tuturor sistemelor de IA, pe baza unor obiective clare şi a unor indicatori-cheie de performanţă pentru a măsura îndeplinirea obiectivelor respective, inclusiv a unor elemente precum următoarele, dar fără a se limita la acestea:

Art. 96: Orientări din partea Comisiei privind punerea în aplicare a prezentului regulament

(1)Comisia elaborează orientări privind punerea în aplicare practică a prezentului regulament, în special cu privire la:

f)aplicarea definiţiei unui sistem de IA astfel cum este prevăzută la articolul 3 punctul 1.

CAPITOLUL XI:DELEGAREA DE COMPETENŢE ŞI PROCEDURA COMITETULUI

Art. 97: Exercitarea delegării

(2)Competenţa de a adopta acte delegate menţionată la articolul 6 alineatele (6) şi (7), la articolul 7 alineatele (1) şi (3), la articolul 11 alineatul (3), la articolul 43 alineatele (5) şi (6), la articolul 47 alineatul (5), la articolul 51 alineatul (3), la articolul 52 alineatul (4) şi la articolul 53 alineatele (5) şi (6) se conferă Comisiei pe o perioadă de cinci ani de la 1 august 2024. Comisia elaborează un raport privind delegarea de competenţe cu cel puţin nouă luni înainte de încheierea perioadei de cinci ani. Delegarea de competenţe se prelungeşte tacit cu perioade de timp identice, cu excepţia cazului în care Parlamentul European sau Consiliul se opune prelungirii respective cu cel puţin trei luni înainte de încheierea fiecărei perioade.

(3)Delegarea de competenţe menţionată la articolul 6 alineatele (6) şi (7), la articolul 7 alineatele (1) şi (3), la articolul 11 alineatul (3), la articolul 43 alineatele (5) şi (6), la articolul 47 alineatul (5), la articolul 51 alineatul (3), la articolul 52 alineatul (4) şi la articolul 53 alineatele (5) şi (6) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competenţe specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menţionată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.

(6)Orice act delegat adoptat în temeiul articolului 6 alineatul (6) sau (7), al articolului 7 alineatul (1) sau (3), al articolului 11 alineatul (3), al articolului 43 alineatul (5) sau (6), al articolului 47 alineatul (5), al articolului 51 alineatul (3), al articolului 52 alineatul (4) sau al articolului 53 alineatul (5) sau (6) intră în vigoare numai în cazul în care nici Parlamentul European şi nici Consiliul nu au formulat obiecţii în termen de trei luni de la notificarea acestuia către Parlamentul European şi Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European şi Consiliul au informat Comisia că nu vor formula obiecţii. Respectivul termen se prelungeşte cu trei luni la iniţiativa Parlamentului European sau a Consiliului.

CAPITOLUL XII:SANCŢIUNI

Art. 99: Sancţiuni

(1)În conformitate cu termenele şi condiţiile prevăzute în prezentul regulament, statele membre stabilesc normele privind sancţiunile şi alte măsuri de aplicare a legii, care pot include, de asemenea, avertismente şi măsuri nemonetare, aplicabile în cazul încălcării prezentului regulament de către operatori, şi iau toate măsurile necesare pentru a se asigura că acestea sunt puse în aplicare în mod corespunzător şi efectiv, ţinând astfel seama de orientările emise de Comisie în temeiul articolului 96. Sancţiunile prevăzute trebuie să fie efective, proporţionale şi cu efect de descurajare. Acestea ţin seama de interesele IMM-urilor, inclusiv ale întreprinderilor nou-înfiinţate, precum şi de viabilitatea lor economică.

(4)Neconformitatea cu oricare dintre următoarele dispoziţii referitoare la operatori sau la organismele notificate, altele decât cele prevăzute la articolul 5, face obiectul unor amenzi administrative de până la 15 000 000 EUR sau, în cazul în care autorul infracţiunii este o întreprindere, de până la 3 % din cifra sa de afaceri mondială totală anuală pentru exerciţiul financiar precedent, luându-se în considerare valoarea cea mai mare dintre acestea:

(7)Atunci când se decide dacă să se impună o amendă administrativă şi când se decide cu privire la cuantumul amenzii administrative în fiecare caz în parte, se iau în considerare toate circumstanţele relevante ale situaţiei specifice şi, după caz, se acordă atenţie următoarelor aspecte:

Art. 100: Amenzi administrative aplicate instituţiilor, organelor, oficiilor şi agenţiilor Uniunii

(1)Autoritatea Europeană pentru Protecţia Datelor poate impune amenzi administrative instituţiilor, organelor, oficiilor şi agenţiilor Uniunii care intră în domeniul de aplicare al prezentului regulament. Atunci când se decide dacă să se impună o amendă administrativă şi când se decide cu privire la cuantumul amenzii administrative în fiecare caz în parte, se iau în considerare toate circumstanţele relevante ale situaţiei specifice şi se acordă atenţia cuvenită următoarelor aspecte:

(4)Înaintea adoptării unor decizii în temeiul prezentului articol, Autoritatea Europeană pentru Protecţia Datelor oferă instituţiei, organului, oficiului sau agenţiei Uniunii care face obiectul procedurilor desfăşurate de Autoritatea Europeană pentru Protecţia Datelor posibilitatea de a fi audiată cu privire la posibila încălcare. Autoritatea Europeană pentru Protecţia Datelor îşi fundamentează deciziile doar pe elementele şi circumstanţele asupra cărora părţile în cauză au putut formula observaţii. Reclamanţii, dacă există, sunt implicaţi îndeaproape în proceduri.

Art. 101: Amenzi pentru furnizorii de modele de IA de uz general

(1)Comisia poate impune furnizorilor de modele de IA de uz general amenzi care nu depăşesc 3 % din cifra lor de afaceri mondială totală anuală pentru exerciţiul financiar precedent sau 15 000 000 EUR, luându-se în considerare valoarea cea mai mare dintre acestea, atunci când Comisia constată că un furnizor, cu intenţie sau din culpă:

d)nu a pus la dispoziţia Comisiei accesul la modelul de IA de uz general sau la modelul de IA de uz general cu risc sistemic în vederea efectuării unei evaluări în temeiul articolului 92.

CAPITOLUL XIII:DISPOZIŢII FINALE

Art. 102: Modificarea Regulamentului (CE) nr. 300/2008

Art. 103: Modificarea Regulamentului (UE) nr. 167/2013

Art. 104: Modificarea Regulamentului (UE) nr. 168/2013

Art. 105: Modificarea Directivei 2014/90/UE

Art. 106: Modificarea Directivei (UE) 2016/797

Art. 107: Modificarea Regulamentului (UE) 2018/858

Art. 108: Modificarea Regulamentului (UE) 2018/1139

1.La articolul 17, se adaugă următorul alineat:

Art. 109: Modificarea Regulamentului (UE) 2019/2144

Art. 110: Modificarea Directivei (UE) 2020/1828

"(68) Regulamentul (UE) 2024/1689 al Parlamentului European şi al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială) (JO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj)."

Art. 111: Sisteme de IA deja introduse pe piaţă sau puse în funcţiune şi modele de IA de uz general deja introduse pe piaţă

(1)Fără a aduce atingere aplicării articolului 5, astfel cum se menţionează la articolul 113 alineatul (3) litera (a), până la 31 decembrie 2030 se asigură conformitatea cu prezentul regulament a sistemelor de IA care sunt componente ale sistemelor informatice la scară largă instituite prin actele juridice enumerate în anexa X şi care au fost introduse pe piaţă sau puse în funcţiune înainte de 2 august 2027.

(2)Fără a aduce atingere aplicării articolul 5, astfel cum se menţionează la articolul 113 alineatul (3) litera (a), prezentul regulament se aplică operatorilor de sisteme de IA cu grad ridicat de risc, altele decât sistemele menţionate la alineatul (1) de la prezentul articol, care au fost introduse pe piaţă sau puse în funcţiune înainte de 2 august 2026, numai dacă, de la data respectivă, sistemele respective fac obiectul unor modificări semnificative în ceea ce priveşte proiectarea lor. În orice caz, furnizorii şi implementatorii sistemelor de IA cu grad ridicat de risc destinate a fi utilizate de autorităţile publice iau măsurile necesare pentru a se conforma cerinţelor şi obligaţiilor din prezentul regulament până la 2 august 2030.

Art. 112: Evaluare şi revizuire

(2)Până la 2 august 2028 şi, ulterior, o dată la patru ani, Comisia evaluează următoarele aspecte şi prezintă Parlamentului European şi Consiliului un raport cu privire la acestea:

(3)Până la 2 august 2029 şi, ulterior, o dată la patru ani, Comisia prezintă Parlamentului European şi Consiliului un raport privind evaluarea şi revizuirea prezentului regulament. Raportul include o evaluare a structurii aplicării legii şi a eventualei necesităţi ca o agenţie a Uniunii să soluţioneze orice deficienţe identificate. Pe baza constatărilor, raportul respectiv este însoţit, după caz, de o propunere de modificare a prezentului regulament. Rapoartele sunt făcute publice.

(4)Rapoartele menţionate la alineatul (2) acordă o atenţie deosebită următoarelor aspecte:

(5)Până la 2 august 2028, Comisia evaluează funcţionarea Oficiului pentru IA, dacă Oficiul pentru IA a primit suficiente atribuţii şi competenţe pentru a-şi îndeplini sarcinile şi dacă ar fi relevant şi necesar, pentru punerea în aplicare şi respectarea în mod corespunzător a prezentului regulament, ca Oficiul pentru IA şi competenţele sale de executare să fie întărite şi resursele sale să fie sporite. Comisia transmite un raport privind evaluarea sa Parlamentului European şi Consiliului.

(6)Până la 2 august 2028 şi, ulterior, o dată la patru ani, Comisia prezintă Parlamentului European şi Consiliului un raport privind evaluarea progreselor înregistrate în elaborarea documentelor de standardizare privind dezvoltarea eficientă din punct de vedere energetic a modelelor de IA de uz general şi evaluează necesitatea unor măsuri sau acţiuni suplimentare, inclusiv a unor măsuri sau acţiuni obligatorii. Raportul se transmite Parlamentului European şi Consiliului şi se face public.

(11)Pentru a ghida evaluările şi revizuirile menţionate la alineatele (1)-(7) de la prezentul articol, Oficiul pentru IA elaborează o metodologie obiectivă şi participativă pentru evaluarea nivelului de risc pe baza criteriilor stabilite la articolele relevante şi includerea unor sisteme noi în:

(13)Până la 2 august 2031, Comisia efectuează o evaluare aplicării prezentului regulament şi prezintă un raport referitor la aceasta Parlamentului European, Consiliului şi Comitetului Economic şi Social European, vizând primii ani de aplicare a prezentului regulament. Pe baza constatărilor, raportul este însoţit, după caz, de o propunere de modificare a prezentului regulament cu privire la structura aplicării legii şi la necesitatea ca o agenţie a Uniunii să soluţioneze deficienţele identificate.

Art. 113: Intrare în vigoare şi aplicare

ANEXA I:Lista legislaţiei de armonizare a Uniunii

Secţiunea A:Lista actelor legislative de armonizare ale Uniunii pe baza noului cadru legislativ

Secţiunea B:Lista altor acte legislative de armonizare ale Uniunii

19.

Regulamentul (UE) 2019/2144 al Parlamentului European şi al Consiliului din 27 noiembrie 2019 privind cerinţele pentru omologarea de tip a autovehiculelor şi remorcilor acestora, precum şi a sistemelor, componentelor şi unităţilor tehnice separate destinate unor astfel de vehicule, în ceea ce priveşte siguranţa generală a acestora şi protecţia ocupanţilor vehiculului şi a utilizatorilor vulnerabili ai drumurilor, de modificare a Regulamentului (UE) 2018/858 al Parlamentului European şi al Consiliului şi de abrogare a Regulamentelor (CE) nr. 78/2009, (CE) nr. 79/2009 şi (CE) nr. 661/2009 ale Parlamentului European şi ale Consiliului şi a Regulamentelor (CE) nr. 631/2009, (UE) nr. 406/2010, (UE) nr. 672/2010, (UE) nr. 1003/2010, (UE) nr. 1005/2010, (UE) nr. 1008/2010, (UE) nr. 1009/2010, (UE) nr. 19/2011, (UE) nr. 109/2011, (UE) nr. 458/2011, (UE) nr. 65/2012, (UE) nr. 130/2012, (UE) nr. 347/2012, (UE) nr. 351/2012, (UE) nr. 1230/2012 şi (UE) 2015/166 ale Comisie (JO L 325, 16.12.2019, p. 1);

20.

Regulamentul (UE) 2018/1139 al Parlamentului European şi al Consiliului din 4 iulie 2018 privind normele comune în domeniul aviaţiei civile şi de înfiinţare a Agenţiei Uniunii Europene pentru Siguranţa Aviaţiei, de modificare a Regulamentelor (CE) nr. 2111/2005, (CE) nr. 1008/2008, (UE) nr. 996/2010, (UE) nr. 376/2014 şi a Directivelor 2014/30/UE şi 2014/53/UE ale Parlamentului European şi ale Consiliului, precum şi de abrogare a Regulamentelor (CE) nr. 552/2004 şi (CE) nr. 216/2008 ale Parlamentului European şi ale Consiliului şi a Regulamentului (CEE) nr. 3922/91 al Consiliului (JO L 212, 22.8.2018, p. 1), în ceea ce priveşte proiectarea, producerea şi introducerea pe piaţă a aeronavelor menţionate la articolul 2 alineatul (1) literele (a) şi (b), în cazul aeronavelor fără pilot la bord şi al motoarelor, elicelor, pieselor şi echipamentelor acestora de control de la distanţă.

ANEXA II:Lista infracţiunilor menţionate la articolul 5 alineatul (1) primul paragraf litera (h) punctul (iii)

ANEXA III:Sisteme de IA cu grad ridicat de risc menţionate la articolul 6 alineatul (2)

1.Biometrie, în măsura în care utilizarea acesteia este permisă în temeiul dreptului Uniunii sau intern relevant:

3.Educaţie şi formare profesională:

4.Ocuparea forţei de muncă, gestionarea lucrătorilor şi accesul la activităţi independente:

5.Accesul la servicii private esenţiale şi la servicii şi beneficii publice esenţiale, precum şi posibilitatea de a beneficia de acestea:

6.Aplicarea legii, în măsura în care utilizarea lor este permisă în temeiul dreptului Uniunii sau intern relevant:

(d)sisteme de IA destinate a fi utilizate de către autorităţile de aplicare a legii sau în numele acestora de către instituţiile, organele, oficiile sau agenţiile Uniunii în sprijinul autorităţilor de aplicare a legii pentru evaluarea riscului ca o persoană fizică să comită infracţiuni sau să recidiveze, nu doar pe baza creării de profiluri ale persoanelor fizice, astfel cum se menţionează la articolul 3 alineatul (4) din Directiva (UE) 2016/680, sau pentru a evalua trăsături şi caracteristici de personalitate ori comportamentul infracţional anterior al unor persoane fizice sau grupuri;

7.Migraţie, azil şi gestionare a controlului la frontiere, în măsura în care utilizarea lor este permisă în temeiul dreptului Uniunii sau intern relevant:

8.Administrarea justiţiei şi procesele democratice:

ANEXA IV:Documentaţia tehnică menţionată la articolul 11 alineatul (1)

1.O descriere generală a sistemului de IA, incluzând:

2.O descriere detaliată a elementelor sistemului de IA şi a procesului de dezvoltare a acestuia, incluzând:

(b)specificaţiile de proiectare ale sistemului, şi anume logica generală a sistemului de IA şi a algoritmilor; principalele opţiuni de proiectare, incluzând justificarea şi ipotezele asumate, inclusiv în ceea ce priveşte persoanele sau grupurile de persoane în legătură cu care se intenţionează să fie utilizat sistemul; principalele opţiuni de clasificare; ce anume este proiectat să optimizeze sistemul şi relevanţa diverşilor parametri; descrierea rezultatelor preconizate ale sistemului şi a calităţii preconizate a acestora; deciziile cu privire la orice posibil compromis făcut în ceea ce priveşte soluţiile tehnice adoptate în vederea respectării cerinţelor prevăzute în capitolul III secţiunea 2;

(d)după caz, cerinţele în materie de date în ceea ce priveşte fişele tehnice care descriu metodologiile şi tehnicile de antrenare şi seturile de date de antrenament utilizate, inclusiv o descriere generală a acestor seturi de date, informaţii privind provenienţa, domeniul de aplicare şi principalele caracteristici ale acestora; modul în care au fost obţinute şi selectate datele; proceduri de etichetare (de exemplu, pentru învăţarea supervizată), metodologii de curăţare a datelor (de exemplu, detectarea valorilor aberante);

(g)procedurile de validare şi testare utilizate, inclusiv informaţii cu privire la datele de validare şi testare utilizate şi la principalele caracteristici ale acestora; indicatorii utilizaţi pentru a măsura acurateţea, robusteţea şi conformitatea cu alte cerinţe relevante prevăzute în capitolul III secţiunea 2, precum şi impactul potenţial discriminatoriu; jurnalele de testare şi toate rapoartele de testare datate şi semnate de persoanele responsabile, inclusiv în ceea ce priveşte modificările prestabilite menţionate la litera (f);

3.Informaţii detaliate privind monitorizarea, funcţionarea şi controlul sistemului de IA, în special în ceea ce priveşte: capabilităţile şi limitările sale legate de performanţă, inclusiv gradele de acurateţe pentru anumite persoane sau grupuri de persoane pentru care se intenţionează să se utilizeze sistemul respectiv, precum şi nivelul general preconizat de acurateţe în raport cu scopul preconizat; rezultatele neintenţionate previzibile şi sursele de riscuri pentru sănătate, siguranţă, drepturile fundamentale şi în materie de discriminare, având în vedere scopul preconizat al sistemului de IA; măsurile de supraveghere umană necesare în conformitate cu articolul 14, inclusiv măsurile tehnice instituite pentru a facilita interpretarea rezultatelor sistemelor de IA de către implementatori; specificaţii privind datele de intrare, după caz.

ANEXA V:Declaraţia de conformitate UE

ANEXA VI:Procedura de evaluare a conformităţii bazată pe control intern

ANEXA VII:Evaluarea conformităţii pe baza unui sistem de management al calităţii şi a examinării documentaţiei tehnice

3.Sistemul de management al calităţii

3.1.

Cererea furnizorului include:

(a) numele/denumirea şi adresa furnizorului, iar, dacă cererea este depusă de către un reprezentant autorizat, şi numele şi adresa acestuia;

(b) lista sistemelor de IA care fac obiectul aceluiaşi sistem de management al calităţii;

(d) documentaţia privind sistemul de management al calităţii, care acoperă toate aspectele enumerate la articolul 17;

(e) o descriere a procedurilor instituite pentru a se asigura că sistemul de management al calităţii continuă să fie adecvat şi eficace;

(f) o declaraţie scrisă care să specifice că nu a fost depusă o cerere identică la un alt organism notificat.

4.Controlul documentaţiei tehnice

4.5.

În cazul în care este necesar pentru a evalua conformitatea sistemului de IA cu grad ridicat de risc cu cerinţele prevăzute în capitolul III secţiunea 2, după ce toate celelalte modalităţi rezonabile de verificare a conformităţii au fost epuizate ori s-au dovedit a fi insuficiente şi în urma unei cereri motivate, organismului notificat i se acordă, de asemenea, acces la modelele de antrenament sau modelele antrenate ale sistemului de IA, inclusiv la parametrii săi relevanţi. Acest acces face obiectul dreptului existent al Uniunii privind protecţia proprietăţii intelectuale şi al secretelor comerciale.

În cazul în care sistemul de IA nu îndeplineşte cerinţa referitoare la datele utilizate pentru antrenarea sa, va fi necesară reantrenarea sistemului de IA înaintea depunerii cererii pentru o nouă evaluare a conformităţii. În acest caz, decizia de evaluare motivată a organismului notificat prin care se refuză eliberarea certificatului de evaluare a documentaţiei tehnice al Uniunii conţine consideraţii specifice privind calitatea datelor utilizate pentru antrenarea sistemului de IA, în special cu privire la motivele neconformităţii.

4.7.

Orice modificare a sistemului de IA care ar putea afecta conformitatea sistemului de IA cu cerinţele sau cu scopul preconizat al acestuia este evaluată de organismul notificat care a eliberat certificatul de evaluare a documentaţiei tehnice al Uniunii. Furnizorul informează organismul notificat în cauză cu privire la intenţia sa de a introduce oricare dintre modificările menţionate anterior sau în cazul în care ia cunoştinţă în alt mod de apariţia unor astfel de modificări. Organismul notificat evaluează modificările planificate şi decide pentru care din acestea este necesară o nouă evaluare a conformităţii în concordanţă cu articolul 43 alineatul (4) sau dacă acestea ar putea fi abordate prin intermediul unui supliment la certificatul de evaluare a documentaţiei tehnice al Uniunii. În acest din urmă caz, organismul notificat evaluează modificările, îi notifică furnizorului decizia sa şi, în cazul în care modificările sunt aprobate, îi eliberează un supliment la certificatul de evaluare a documentaţiei tehnice al Uniunii.

5.Supravegherea sistemului de management al calităţii aprobat.

ANEXA VIII:Informaţiile care trebuie să fie prezentate la înregistrarea sistemelor de IA cu grad ridicat de risc în conformitate cu articolul 49

Secţiunea A:Informaţiile care trebuie să fie prezentate de furnizorii de sisteme de IA cu grad ridicat de risc în conformitate cu articolul 49 alineatul (1)

Secţiunea B:Informaţiile care trebuie să fie prezentate de furnizorii de sisteme de IA cu grad ridicat de risc în conformitate cu articolul 49 alineatul (2)

Secţiunea C:Informaţiile care trebuie să fie prezentate de implementatorii de sistemele de IA cu grad ridicat de risc în conformitate cu articolul 49 alineatul (3)

ANEXA IX:Informaţiile care trebuie să fie prezentate la înregistrarea sistemelor de IA cu grad ridicat de risc enumerate în anexa III în legătură cu testarea în condiţii reale, în conformitate cu articolul 60

ANEXA X:Actele legislative ale Uniunii privind sistemele informatice la scară largă în spaţiul de libertate, securitate şi justiţie

1.Sistemul de informaţii Schengen

(c)Regulamentul (UE) 2018/1862 al Parlamentului European şi al Consiliului din 28 noiembrie 2018 privind instituirea, funcţionarea şi utilizarea Sistemului de informaţii Schengen (SIS) în domeniul cooperării poliţieneşti şi al cooperării judiciare în materie penală, de modificare şi de abrogare a Deciziei 2007/533/JAI a Consiliului şi de abrogare a Regulamentului (CE) nr. 1986/2006 al Parlamentului European şi al Consiliului şi a Deciziei 2010/261/UE a Comisiei (JO L 312, 7.12.2018, p. 56).

2.Sistemul de informaţii privind vizele

3.Eurodac

Regulamentul (UE) 2024/1358 al Parlamentului European şi al Consiliului din 14 mai 2024 privind instituirea sistemului "Eurodac" pentru compararea datelor biometrice în scopul aplicării eficace a Regulamentelor (UE) 2024/1351 şi (UE) 2024/1350 ale Parlamentului European şi ale Consiliului şi a Directivei 2001/55/CE a Consiliului şi al identificării resortisanţilor din ţări terţe şi a apatrizilor în situaţie de şedere ilegală şi privind cererile de comparare cu datele Eurodac prezentate de autorităţile de aplicare a legii din statele membre şi de Europol cu scopul de a asigura respectarea legii, de modificare a Regulamentelor (UE) 2018/1240 şi (UE) 2019/818 ale Parlamentului European şi ale Consiliului şi de abrogare a Regulamentului (UE) nr. 603/2013 al Parlamentului European şi al Consiliului (JO L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/204/1358/oj).

4.Sistemul de intrare/ieşire

Regulamentul (UE) 2017/2226 al Parlamentului European şi al Consiliului din 30 noiembrie 2017 de instituire a Sistemului de intrare/ieşire (EES) pentru înregistrarea datelor de intrare şi de ieşire şi a datelor referitoare la refuzul intrării ale resortisanţilor ţărilor terţe care trec frontierele externe ale statelor membre, de stabilire a condiţiilor de acces la EES în scopul aplicării legii şi de modificare a Convenţiei de punere în aplicare a Acordului Schengen şi a Regulamentelor (CE) nr. 767/2008 şi (UE) nr. 1077/2011 (JO L 327, 9.12.2017, p. 20).

5.Sistemul european de informaţii şi de autorizare privind călătoriile

6.Sistemul european de informaţii cu privire la cazierele judiciare ale resortisanţilor ţărilor terţe şi apatrizilor

7.Interoperabilitate

(a)Regulamentul (UE) 2019/817 al Parlamentului European şi al Consiliului din 20 mai 2019 privind instituirea unui cadru pentru interoperabilitatea dintre sistemele de informaţii ale UE în domeniul frontierelor şi al vizelor şi de modificare a Regulamentelor (CE) nr. 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 şi (UE) 2018/1861 ale Parlamentului European şi ale Consiliului şi a Deciziilor 2004/512/CE şi 2008/633/JAI ale Consiliului (JO L 135, 22.5.2019, p. 27);

ANEXA XI:Documentaţia tehnică menţionată la articolul 53 alineatul (1) litera (a) - documentaţia tehnică pentru furnizorii de modele de IA de uz general

Secţiunea 1:Informaţii care trebuie furnizate de toţi furnizorii de modele de IA de uz general

2.O descriere detaliată a elementelor modelului menţionate la punctul 1 şi informaţii relevante privind procesul de dezvoltare, incluzând următoarele elemente:

(c)informaţii privind datele utilizate pentru antrenare, testare şi validare, după caz, inclusiv tipul şi provenienţa datelor şi metodologiile de organizare (de exemplu, curăţare, filtrare etc.), numărul de puncte de date, domeniul de aplicare şi principalele caracteristici ale acestora; modul în care au fost obţinute şi selectate datele, precum şi toate celelalte măsuri de detectare a caracterului inadecvat al surselor de date şi metode de detectare a prejudecăţilor identificabile, după caz;

Secţiunea 2:Informaţii suplimentare care trebuie furnizate de furnizorii de modele de IA de uz general cu risc sistemic

ANEXA XII:Informaţiile privind transparenţa menţionate la articolul 53 alineatul (1) litera (b) - documentaţia tehnică pentru furnizorii de modele de IA de uz general către furnizorii din aval care integrează modelul în sistemul lor de IA

1.O descriere generală a modelului de IA de uz general, incluzând:

2.O descriere a elementelor modelului şi a procesului de dezvoltare a acestuia, incluzând:

ANEXA XIII:Criterii pentru desemnarea modelelor de IA de uz general cu risc sistemic menţionate la articolul 51