Regulamentul 1689/13-iun-2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială)

Acte UE

Jurnalul Oficial seria L

Neintrat în vigoare
Versiune de la: 12 Iulie 2024
Regulamentul 1689/13-iun-2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială)
Dată act: 13-iun-2024
Emitent: Consiliul Uniunii Europene;Parlamentul European

Art. 113: Intrare în vigoare şi aplicare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Se aplică de la 2 august 2026.

Cu toate acestea:

(a) capitolele I şi II se aplică de la 2 februarie 2025;

(b) capitolul III secţiunea 4, capitolul V, capitolul VII, capitolul XII şi articolul 78 se aplică de la 2 august 2025, cu excepţia articolului 101;

(c) articolul 6 alineatul (1) şi obligaţiile corespunzătoare din prezentul regulament se aplică de la 2 august 2027.

(Text cu relevanţă pentru SEE)
PARLAMENTUL EUROPEAN ŞI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcţionarea Uniunii Europene, în special articolele 16 şi 114,
având în vedere propunerea Comisiei Europene,
după transmiterea proiectului de act legislativ către parlamentele naţionale,
având în vedere avizul Comitetului Economic şi Social European (1),
(1)JO C 517, 22.12.2021, p. 56.
având în vedere avizul Băncii Centrale Europene (2),
(2)JO C 115, 11.3.2022, p. 5.
având în vedere avizul Comitetului Regiunilor (3),
(3)JO C 97, 28.2.2022, p. 60.
hotărând în conformitate cu procedura legislativă ordinară (4),
(4)Poziţia Parlamentului European din 13 martie 2024 (nepublicată încă în Jurnalul Oficial) şi Decizia Consiliului din 21 mai 2024.
Întrucât:
(1)Scopul prezentului regulament este de a îmbunătăţi funcţionarea pieţei interne prin stabilirea unui cadru juridic uniform, în special pentru dezvoltarea, introducerea pe piaţă, punerea în funcţiune şi utilizarea de sisteme de inteligenţă artificială (sisteme de IA) în Uniune, în conformitate cu valorile Uniunii, de a promova adoptarea unei inteligenţe artificiale (IA) de încredere şi centrate pe factorul uman, asigurând în acelaşi timp un nivel ridicat de protecţie a sănătăţii, a siguranţei, a drepturilor fundamentale consacrate în Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare "carta"), inclusiv a democraţiei, a statului de drept şi a mediului, de a proteja împotriva efectelor dăunătoare ale sistemelor de IA în Uniune, precum şi de a sprijini inovarea. Prezentul regulament asigură libera circulaţie transfrontalieră a bunurilor şi serviciilor bazate pe IA, împiedicând astfel statele membre să impună restricţii privind dezvoltarea, comercializarea şi utilizarea sistemelor de IA, cu excepţia cazului în care acest lucru este autorizat în mod explicit de prezentul regulament.
(2)Prezentul regulament ar trebui să se aplice în conformitate cu valorile Uniunii consacrate în cartă, facilitând protecţia persoanelor fizice, a întreprinderilor, a democraţiei, a statului de drept şi a mediului, stimulând în acelaşi timp inovarea şi ocuparea forţei de muncă şi asigurând Uniunii o poziţie de lider în adoptarea unei IA de încredere.
(3)Sistemele de IA pot fi implementate cu uşurinţă într-o mare varietate de sectoare ale economiei şi în multe părţi ale societăţii, inclusiv la nivel transfrontalier, şi pot circula cu uşurinţă în întreaga Uniune. Anumite state membre au explorat deja adoptarea unor norme naţionale pentru a se asigura că IA este sigură şi de încredere şi că este dezvoltată şi utilizată în conformitate cu obligaţiile în materie de drepturi fundamentale. Divergenţele dintre normele naţionale pot duce la fragmentarea pieţei interne şi pot reduce gradul de securitate juridică pentru operatorii care dezvoltă, importă sau utilizează sisteme de IA. Prin urmare, ar trebui să se asigure un nivel ridicat şi consecvent de protecţie în întreaga Uniune pentru a se obţine o IA de încredere, iar divergenţele care împiedică libera circulaţie, inovarea, implementarea şi adoptarea sistemelor de IA şi a produselor şi serviciilor conexe în cadrul pieţei interne ar trebui să fie prevenite, prin stabilirea unor obligaţii uniforme pentru operatori şi prin garantarea protecţiei uniforme a motivelor imperative de interes public major şi a drepturilor persoanelor în întreaga piaţă internă, în temeiul articolului 114 din Tratatul privind funcţionarea Uniunii Europene (TFUE). În măsura în care prezentul regulament conţine norme specifice de protecţie a persoanelor fizice în contextul prelucrării datelor cu caracter personal, referitoare la restricţiile de utilizare a sistemelor de IA pentru identificarea biometrică la distanţă în scopul aplicării legii, la utilizarea sistemelor de IA pentru evaluarea riscurilor persoanelor fizice în scopul aplicării legii şi la utilizarea sistemelor de IA de clasificare biometrică în scopul aplicării legii, este oportun ca prezentul regulament să se întemeieze, în ceea ce priveşte normele specifice respective, pe articolul 16 din TFUE. Având în vedere normele specifice respective şi recurgerea la articolul 16 din TFUE, este oportun să se consulte Comitetul european pentru protecţia datelor.
(4)IA este o familie de tehnologii cu evoluţie rapidă, care contribuie la o gamă largă de beneficii economice, de mediu şi societale în întregul spectru de industrii şi activităţi sociale. Prin îmbunătăţirea previziunilor, optimizarea operaţiunilor şi a alocării resurselor, precum şi prin personalizarea soluţiilor digitale disponibile pentru persoane fizice şi organizaţii, utilizarea IA poate oferi avantaje concurenţiale esenţiale întreprinderilor şi poate sprijini obţinerea de rezultate benefice din punct de vedere social şi al mediului, în domenii precum îngrijirile de sănătate, agricultura, siguranţa alimentară, educaţia şi formarea, mass-media, sportul, cultura, gestionarea infrastructurii, energia, transporturile şi logistica, serviciile publice, securitatea, justiţia, eficienţa energetică şi a utilizării resurselor, monitorizarea mediului, conservarea şi refacerea biodiversităţii şi ecosistemelor, precum şi atenuarea schimbărilor climatice şi adaptarea la acestea.
(5)În acelaşi timp, în funcţie de circumstanţele legate de aplicarea şi utilizarea sa specifică, precum şi de nivelul său specific de dezvoltare tehnologică, IA poate genera riscuri şi poate aduce prejudicii intereselor publice şi drepturilor fundamentale care sunt protejate de dreptul Uniunii. Un astfel de prejudiciu ar putea fi material sau moral, inclusiv de natură fizică, psihologică, societală sau economică.
(6)Având în vedere impactul major pe care IA îl poate avea asupra societăţii şi necesitatea de a genera încredere, este esenţial ca IA şi cadrul său de reglementare să fie dezvoltate în concordanţă cu valorile Uniunii consacrate la articolul 2 din Tratatul privind Uniunea Europeană (TUE) şi cu drepturile şi libertăţile fundamentale consacrate în tratate şi, potrivit articolului 6 din TUE, în cartă. Ca o condiţie prealabilă, IA ar trebui să fie o tehnologie centrată pe factorul uman. Aceasta ar trebui să le servească oamenilor ca un instrument, cu scopul final de a le spori bunăstarea.
(7)Pentru a asigura un nivel consecvent şi ridicat de protecţie a intereselor publice în ceea ce priveşte sănătatea, siguranţa şi drepturile fundamentale, ar trebui să fie stabilite norme comune pentru sistemele de IA cu grad ridicat de risc. Normele respective ar trebui să fie în concordanţă cu carta şi ar trebui să fie nediscriminatorii şi în conformitate cu angajamentele comerciale internaţionale ale Uniunii. De asemenea, ele ar trebui să ţină seama de Declaraţia europeană privind drepturile şi principiile digitale pentru deceniul digital şi de Orientările în materie de etică pentru o IA fiabilă ale Grupului independent de experţi la nivel înalt privind inteligenţa artificială.
(8)Prin urmare, este necesar un cadru juridic al Uniunii care să stabilească norme armonizate privind IA pentru a încuraja dezvoltarea, utilizarea şi adoptarea pe piaţa internă a IA şi care să asigure, în acelaşi timp, un nivel ridicat de protecţie a intereselor publice, cum ar fi sănătatea şi siguranţa, şi protecţia drepturilor fundamentale, inclusiv a democraţiei, a statului de drept şi a mediului, astfel cum sunt recunoscute şi protejate de dreptul Uniunii. Pentru atingerea acestui obiectiv, ar trebui să fie stabilite norme care să reglementeze introducerea pe piaţă, punerea în funcţiune şi utilizarea anumitor sisteme de IA, asigurând astfel buna funcţionare a pieţei interne şi permiţând sistemelor respective să beneficieze de principiul liberei circulaţii a bunurilor şi a serviciilor. Normele respective ar trebui să fie clare şi solide în ceea ce priveşte protejarea drepturilor fundamentale, sprijinind noile soluţii inovatoare, permiţând unui ecosistem european de actori publici şi privaţi să creeze sisteme de IA în conformitate cu valorile Uniunii şi deblocând potenţialul transformării digitale în toate regiunile Uniunii. Prin stabilirea normelor respective, precum şi a unor măsuri de susţinere a inovării cu un accent special pe întreprinderile mici şi mijlocii (IMM), inclusiv pe întreprinderile nou-înfiinţate, prezentul regulament sprijină obiectivul de promovare a abordării europene centrate pe factorul uman faţă de IA şi de poziţionare ca lider mondial în dezvoltarea unei IA sigure, de încredere şi etice, astfel cum a afirmat Consiliul European (5), şi asigură protecţia principiilor etice, astfel cum a solicitat în mod expres Parlamentul European (6).
(5)Consiliul European, Reuniunea extraordinară a Consiliului European (1-2 octombrie 2020) - Concluzii, EUCO 13/20, 2020, p. 6.
(6)Rezoluţia Parlamentului European din 20 octombrie 2020 conţinând recomandări adresate Comisiei privind cadrul de aspecte etice asociate cu inteligenţa artificială, robotica şi tehnologiile conexe, 2020/2012(INL).
(9)Normele armonizate aplicabile introducerii pe piaţă, punerii în funcţiune şi utilizării sistemelor de IA cu grad ridicat de risc ar trebui să fie stabilite în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului (7), cu Decizia nr. 768/2008/CE a Parlamentului European şi a Consiliului (8) şi cu Regulamentul (UE) 2019/1020 al Parlamentului European şi al Consiliului (9) (denumite în continuare "noul cadru legislativ"). Normele armonizate prevăzute în prezentul regulament ar trebui să se aplice în toate sectoarele şi, în conformitate cu noul cadru legislativ, ar trebui să nu aducă atingere dreptului în vigoare al Uniunii, în special în ceea ce priveşte protecţia datelor, protecţia consumatorilor, drepturile fundamentale, ocuparea forţei de muncă, protecţia lucrătorilor şi siguranţa produselor, cu care prezentul regulament este complementar. În consecinţă, toate drepturile şi căile de atac prevăzute de dreptul Uniunii pentru consumatori şi alte persoane asupra cărora sistemele de IA ar putea avea un impact negativ, inclusiv în ceea ce priveşte despăgubirea pentru eventuale prejudicii prevăzută în Directiva 85/374/CEE a Consiliului (10), rămân neafectate şi pe deplin aplicabile. În plus, în contextul ocupării forţei de muncă şi al protecţiei lucrătorilor, prezentul regulament ar trebui aşadar să nu aducă atingere dreptului Uniunii privind politica socială şi dreptului naţional al muncii, în conformitate cu dreptul Uniunii, în ceea ce priveşte condiţiile de angajare şi de muncă, inclusiv securitatea şi sănătatea în muncă şi relaţia dintre angajatori şi lucrători. De asemenea, prezentul regulament ar trebui să nu aducă atingere exercitării drepturilor fundamentale, astfel cum sunt recunoscute în statele membre şi la nivelul Uniunii, inclusiv dreptului sau libertăţii de a intra în grevă sau de a întreprinde alte acţiuni care ţin de sistemele specifice de relaţii de muncă din statele membre, precum şi dreptului de a negocia, de a încheia şi de a pune în aplicare contracte colective de muncă sau de a desfăşura acţiuni colective în conformitate cu dreptul intern. Prezentul regulament ar trebui să nu aducă atingere dispoziţiilor care vizează îmbunătăţirea condiţiilor de muncă în ceea ce priveşte munca prin intermediul platformelor, prevăzute într-o Directivă a Parlamentului European şi a Consiliului privind îmbunătăţirea condiţiilor de muncă pentru lucrul prin intermediul platformelor. În plus, prezentul regulament urmăreşte să consolideze eficacitatea acestor drepturi şi căi de atac existente prin stabilirea unor cerinţe şi obligaţii specifice, inclusiv în ceea ce priveşte transparenţa, documentaţia tehnică şi păstrarea evidenţelor sistemelor de IA. De asemenea, obligaţiile impuse diferiţilor operatori implicaţi în lanţul valoric al IA în temeiul prezentului regulament ar trebui să se aplice fără a aduce atingere dreptului intern, în conformitate cu dreptul Uniunii, având ca efect limitarea utilizării anumitor sisteme de IA în cazul în care dreptul respectiv nu intră în domeniul de aplicare al prezentului regulament sau urmăreşte alte obiective legitime de interes public decât cele urmărite de prezentul regulament. De exemplu, dreptul intern al muncii şi dreptul intern privind protecţia minorilor, şi anume a persoanelor cu vârsta sub 18 ani, ţinând seama de Comentariul general nr. 25 (2021) la Convenţia UNCRC cu privire la drepturile copiilor în legătură cu mediul digital, în măsura în care nu sunt specifice sistemelor de IA şi urmăresc alte obiective legitime de interes public, ar trebui să nu fie afectate de prezentul regulament.
(7)Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului din 9 iulie 2008 de stabilire a cerinţelor de acreditare şi de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30).
(8)Decizia nr. 768/2008/CE a Parlamentului European şi a Consiliului din 9 iulie 2008 privind un cadru comun pentru comercializarea produselor şi de abrogare a Deciziei 93/465/CEE a Consiliului (JO L 218, 13.8.2008, p. 82).
(9)Regulamentul (UE) 2019/1020 al Parlamentului European şi al Consiliului din 20 iunie 2019 privind supravegherea pieţei şi conformitatea produselor şi de modificare a Directivei 2004/42/CE şi a Regulamentelor (CE) nr. 765/2008 şi (UE) nr. 305/2011 (JO L 169, 25.6.2019, p. 1).
(10)Directiva 85/374/CEE a Consiliului din 25 iulie 1985 de apropiere a actelor cu putere de lege şi a actelor administrative ale statelor membre cu privire la răspunderea pentru produsele cu defect (JO L 210, 7.8.1985, p. 29).
(10)Dreptul fundamental la protecţia datelor cu caracter personal este protejat în special de Regulamentele (UE) 2016/679 (11) şi (UE) 2018/1725 (12) ale Parlamentului European şi ale Consiliului şi de Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului (13). Directiva 2002/58/CE a Parlamentului European şi a Consiliului (14) protejează, în plus, viaţa privată şi confidenţialitatea comunicaţiilor, inclusiv prin faptul că prevede condiţii pentru stocarea şi accesarea pe echipamente terminale a oricăror date cu şi fără caracter personal. Respectivele acte legislative ale Uniunii asigură temeiul prelucrării durabile şi responsabile a datelor, inclusiv atunci când seturile de date conţin un amestec de date cu caracter personal şi date fără caracter personal. Prezentul regulament nu urmăreşte să aducă atingere aplicării dreptului în vigoare al Uniunii care reglementează prelucrarea datelor cu caracter personal, nici sarcinilor şi competenţelor autorităţilor de supraveghere independente care sunt competente să monitorizeze respectarea instrumentelor respective. Prezentul regulament nu aduce atingere nici obligaţiilor furnizorilor şi implementatorilor de sisteme de IA în rolul lor de operatori de date sau de persoane împuternicite de operatori, care decurg din dreptul Uniunii sau din dreptul naţional privind protecţia datelor cu caracter personal, în măsura în care proiectarea, dezvoltarea sau utilizarea sistemelor de IA implică prelucrarea de date cu caracter personal. De asemenea, este oportun să se clarifice că persoanele vizate continuă să beneficieze de toate drepturile şi garanţiile care le sunt acordate de dreptul Uniunii, printre care se numără drepturile legate de procesul decizional individual complet automatizat, inclusiv crearea de profiluri. Normele armonizate pentru introducerea pe piaţă, punerea în funcţiune şi utilizarea sistemelor de IA instituite în temeiul prezentului regulament ar trebui să faciliteze punerea în aplicare efectivă şi să permită exercitarea drepturilor persoanelor vizate şi a altor căi de atac garantate în temeiul dreptului Uniunii privind protecţia datelor cu caracter personal şi a altor drepturi fundamentale.
(11)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1).
(12)Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).
(13)Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).
(14)Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37).
(11)Prezentul regulament ar trebui să nu aducă atingere dispoziţiilor privind răspunderea furnizorilor de servicii intermediare prevăzute în Regulamentul (UE) 2022/2065 al Parlamentului European şi al Consiliului (15).
(15)Regulamentul (UE) 2022/2065 al Parlamentului European şi al Consiliului din 19 octombrie 2022 privind o piaţă unică pentru serviciile digitale şi de modificare a Directivei 2000/31/CE (Regulamentul privind serviciile digitale) (JO L 277, 27.10.2022, p. 1).
(12)Noţiunea de "sistem de IA" din prezentul regulament ar trebui să fie definită în mod clar şi ar trebui să fie aliniată îndeaproape la lucrările organizaţiilor internaţionale care îşi desfăşoară activitatea în domeniul IA, pentru a asigura securitatea juridică şi a facilita convergenţa internaţională şi acceptarea pe scară largă, oferind în acelaşi timp flexibilitatea necesară pentru a ţine seama de evoluţiile tehnologice rapide din acest domeniu. În plus, definiţia ar trebui să se bazeze pe caracteristicile esenţiale ale sistemelor de IA, care le diferenţiază de sistemele software sau abordările de programare tradiţionale mai simple, şi nu ar trebui să acopere sistemele care se bazează pe reguli definite exclusiv de persoane fizice pentru a executa în mod automat anumite operaţiuni. O caracteristică esenţială a sistemelor de IA este capabilitatea lor de a realiza deducţii. Această capabilitate se referă la procesul de obţinere a rezultatelor, cum ar fi previziuni, conţinut, recomandări sau decizii, care pot influenţa mediile fizice şi virtuale, precum şi la capabilitatea sistemelor de IA de a deriva modele sau algoritmi, sau ambele, din date sau din datele de intrare. Printre tehnicile folosite în timpul conceperii unui sistem de IA care fac posibilă realizarea de deducţii se numără abordările bazate pe învăţarea automată, care presupun a învăţa, pe baza datelor, cum pot fi atinse anumite obiective, şi abordările bazate pe logică şi pe cunoaştere, care presupun realizarea de deducţii pornind de la cunoştinţe codificate sau de la reprezentarea simbolică a sarcinii de rezolvat. Capacitatea unui sistem de IA de a realiza deducţii depăşeşte simpla prelucrare de date, făcând posibile învăţarea, raţionamentul sau modelarea. Termenul "bazat pe calculator" se referă la faptul că sistemele de IA rulează pe calculatoare. Trimiterea la obiective explicite sau implicite subliniază faptul că sistemele de IA pot funcţiona în conformitate cu obiective definite explicite sau cu obiective implicite. Obiectivele sistemului de IA pot fi diferite de scopul preconizat al sistemului de IA într-un context specific. În sensul prezentului regulament, mediile ar trebui să fie înţelese ca fiind contextele în care funcţionează sistemele de IA, în timp ce rezultatele generate de sistemele de IA reflectă diferitele funcţii îndeplinite de acestea şi includ previziuni, conţinut, recomandări sau decizii. Sistemele de IA sunt concepute pentru a funcţiona cu diferite niveluri de autonomie, ceea ce înseamnă că au un anumit grad de independenţă a acţiunilor faţă de implicarea umană şi anumite capabilităţi de a funcţiona fără intervenţie umană. Adaptabilitatea de care un sistem de IA ar putea da dovadă după implementare se referă la capabilităţile de autoînvăţare, care permit sistemului să se modifice în timpul utilizării. Sistemele de IA pot fi utilizate în mod independent sau ca o componentă a unui produs, indiferent dacă sistemul este integrat fizic în produs (încorporat) sau dacă serveşte funcţionalităţii produsului fără a fi integrat în acesta (neîncorporat).
(13)Noţiunea de "implementator" menţionată în prezentul regulament ar trebui să fie interpretată ca făcând referire la orice persoană fizică sau juridică, inclusiv la o autoritate publică, o agenţie sau un alt organism, care utilizează un sistem de IA aflat sub autoritatea sa, cu excepţia cazului în care sistemul de IA este utilizat în cursul unei activităţi personale, fără caracter profesional. În funcţie de tipul de sistem de IA, utilizarea sistemului poate afecta alte persoane decât implementatorul.
(14)Noţiunea de "date biometrice" utilizată în prezentul regulament ar trebui să fie interpretată în concordanţă cu noţiunea de "date biometrice", astfel cum este definită la articolul 4 punctul 14 din Regulamentul (UE) 2016/679, la articolul 3 punctul 18 din Regulamentul (UE) 2018/1725 şi la articolul 3 punctul 13 din Directiva (UE) 2016/680. Datele biometrice pot permite autentificarea, identificarea sau clasificarea persoanelor fizice, precum şi recunoaşterea emoţiilor acestora.
(15)Noţiunea de "identificare biometrică" menţionată în prezentul regulament ar trebui să fie definită drept recunoaşterea automată a unor trăsături umane fizice, fiziologice şi comportamentale, precum faţa, mişcările ochilor, forma corpului, vocea, intonaţia, mersul, postura, frecvenţa cardiacă, tensiunea arterială, mirosul, particularităţile de tastare, în scopul de a stabili identitatea unei persoane comparând datele biometrice ale persoanei respective cu date biometrice ale unor persoane stocate într-o bază de date de referinţă, indiferent dacă persoana în cauză şi-a dat sau nu consimţământul. Nu se încadrează aici sistemele de IA destinate a fi utilizate pentru verificarea biometrică, care include autentificarea, al căror unic scop este de a confirma că o anumită persoană fizică este persoana care susţine că este şi de a confirma identitatea unei persoane fizice cu unicul scop de a-i permite accesul la un serviciu, deblocarea unui dispozitiv sau accesul securizat într-o incintă.
(16)Noţiunea de "clasificare biometrică" menţionată în prezentul regulament ar trebui să fie definită drept încadrarea persoanelor fizice în categorii specifice pe baza datelor lor biometrice. Astfel de categorii specifice se pot referi la aspecte precum sexul, vârsta, culoarea părului, culoarea ochilor, tatuajele, trăsăturile comportamentale sau de personalitate, limba, religia, apartenenţa la o minoritate naţională, orientarea sexuală sau politică. Nu se încadrează aici sistemele de clasificare biometrică care constituie un element pur auxiliar legat intrinsec de un alt serviciu comercial, ceea ce înseamnă că, din motive tehnice obiective, elementul respectiv nu poate fi utilizat fără serviciul principal, iar integrarea acelui element sau a acelei funcţionalităţi nu este un mijloc de a eluda aplicabilitatea normelor prezentului regulament. De exemplu, filtrele care clasifică caracteristicile faciale sau corporale utilizate pe pieţele online ar putea constitui un astfel de element auxiliar, deoarece pot fi utilizate numai în legătură cu serviciul principal care constă în vânzarea unui produs, permiţând consumatorului să vizualizeze cum ar arăta produsul pe el însuşi şi ajutându-l să ia o decizie de cumpărare. Filtrele utilizate în cadrul serviciilor de reţele de socializare care clasifică caracteristicile faciale sau corporale pentru a permite utilizatorilor să adauge sau să modifice fotografii sau materiale video ar putea, de asemenea, să fie considerate elemente auxiliare, deoarece un astfel de filtru nu poate fi utilizat fără serviciul principal de reţea de socializare care constă în partajarea de conţinut online.
(17)Noţiunea de "sistem de identificare biometrică la distanţă" menţionată în prezentul regulament ar trebui să fie definită din punct de vedere funcţional ca fiind un sistem de IA destinat identificării persoanelor fizice fără implicarea activă a acestora, de regulă de la distanţă, prin compararea datelor biometrice ale unei persoane cu datele biometrice conţinute într-o bază de date de referinţă, indiferent de tehnologia specifică, procesele specifice sau tipurile specifice de date biometrice utilizate. Astfel de sisteme de identificare biometrică la distanţă sunt utilizate, de regulă, pentru a percepe mai multe persoane sau comportamentul acestora simultan, cu scopul de a facilita în mod semnificativ identificarea persoanelor fizice fără implicarea lor activă. Nu se încadrează aici sistemele de IA destinate a fi utilizate pentru verificarea biometrică, care include autentificarea, al căror unic scop este de a confirma că o anumită persoană fizică este persoana care susţine că este şi de a confirma identitatea unei persoane fizice cu unicul scop de a-i permite accesul la un serviciu, deblocarea unui dispozitiv sau accesul securizat într-o incintă. Această excludere este justificată de faptul că, cel mai probabil, astfel de sisteme au un impact minor asupra drepturilor fundamentale ale persoanelor fizice în comparaţie cu sistemele de identificare biometrică la distanţă care pot fi utilizate pentru prelucrarea datelor biometrice ale unui număr mare de persoane fără implicarea lor activă. În cazul sistemelor "în timp real", captarea datelor biometrice, compararea şi identificarea se efectuează instantaneu, aproape instantaneu sau, în orice caz, fără întârzieri semnificative. În acest sens, nu ar trebui să existe posibilităţi de eludare a normelor prezentului regulament privind utilizarea "în timp real" a sistemelor de IA în cauză prin prevederea unor întârzieri minore. Sistemele "în timp real" implică utilizarea de materiale "în direct" sau "aproape în direct", cum ar fi înregistrări video generate de o cameră video sau de un alt dispozitiv cu funcţionalitate similară. În schimb, în cazul sistemelor de identificare "ulterioară", datele biometrice au fost deja captate, iar compararea şi identificarea au loc numai după o întârziere semnificativă. În acest caz sunt utilizate materiale, cum ar fi imagini sau înregistrări video generate de camere de televiziune cu circuit închis sau de dispozitive private, care au fost generate înainte de utilizarea sistemului în legătură cu persoanele fizice în cauză.
(18)Noţiunea de "sistem de recunoaştere a emoţiilor" menţionată în prezentul regulament ar trebui să fie definită ca un sistem de IA destinat identificării sau deducerii emoţiilor sau intenţiilor persoanelor fizice pe baza datelor lor biometrice. Noţiunea se referă la emoţii sau intenţii precum fericirea, tristeţea, furia, surpriza, dezgustul, stânjeneala, entuziasmul, ruşinea, dispreţul, satisfacţia şi amuzamentul. Nu sunt incluse stări fizice, cum ar fi durerea sau oboseala, inclusiv, de exemplu, sistemele utilizate pentru detectarea stării de oboseală a piloţilor sau conducătorilor auto profesionişti în scopul prevenirii accidentelor. De asemenea, nu este inclusă simpla detectare a expresiilor, gesturilor sau mişcărilor evidente, decât dacă sunt utilizate pentru identificarea sau deducerea emoţiilor. Expresiile respective pot fi expresii faciale de bază, cum ar fi o încruntătură sau un zâmbet, ori gesturi, cum ar fi mişcarea mâinilor, a braţelor sau a capului, ori caracteristici ale vocii unei persoane, cum ar fi o voce ridicată sau vorbitul în şoaptă.
(19)În sensul prezentului regulament, noţiunea de "spaţiu accesibil publicului" ar trebui să fie înţeleasă ca referindu-se la orice spaţiu fizic accesibil unui număr nedeterminat de persoane fizice, indiferent dacă spaţiul în cauză este proprietate privată sau publică şi indiferent de activitatea pentru care poate fi utilizat spaţiul, cum ar fi comerţ, de exemplu, magazine, restaurante, cafenele; servicii, de exemplu, bănci, activităţi profesionale, structuri de primire turistică; sport, de exemplu, piscine, săli de sport, stadioane; transporturi, de exemplu, staţii de autobuz şi de metrou, gări, aeroporturi, mijloace de transport; divertisment, de exemplu, cinematografe, teatre, muzee, săli de concerte şi de conferinţe, agrement sau altele, de exemplu, drumuri şi pieţe publice, parcuri, păduri, terenuri de joacă. Totodată, un spaţiu ar trebui să fie clasificat ca fiind accesibil publicului şi în cazul în care, indiferent de capacitatea potenţială sau de restricţiile de securitate, accesul este supus anumitor condiţii prestabilite, care pot fi îndeplinite de un număr nedeterminat de persoane, cum ar fi achiziţionarea unui bilet sau a unui titlu de transport, înregistrarea prealabilă sau condiţia de a avea o anumită vârstă. În schimb, un spaţiu nu ar trebui să fie considerat accesibil publicului dacă accesul este limitat la anumite persoane fizice definite ca atare fie prin dreptul Uniunii, fie prin cel intern, în legătură directă cu siguranţa sau securitatea publică sau prin manifestarea clară de voinţă a persoanei care deţine autoritatea necesară asupra spaţiului. Simpla posibilitate de acces (cum ar fi o uşă descuiată sau o poartă deschisă într-un gard) nu implică faptul că spaţiul este accesibil publicului în prezenţa unor indicaţii sau circumstanţe care sugerează contrariul (de exemplu, semne care interzic sau restricţionează accesul). Sediile întreprinderilor şi ale fabricilor, precum şi birourile şi locurile de muncă care sunt destinate a fi accesate numai de către angajaţii şi prestatorii de servicii competenţi sunt spaţii care nu sunt accesibile publicului. Spaţiile accesibile publicului nu ar trebui să includă închisorile sau punctele de control la frontieră. Alte spaţii pot cuprinde atât spaţii accesibile publicului, cât şi spaţii care nu sunt accesibile publicului, cum ar fi holul unei clădiri rezidenţiale private, care trebuie parcurs pentru a avea acces la un cabinet medical, sau un aeroport. Spaţiile online nu sunt nici ele vizate, deoarece nu sunt spaţii fizice. Cu toate acestea, ar trebui să se stabilească de la caz la caz dacă un anumit spaţiu este accesibil publicului, având în vedere particularităţile situaţiei individuale în cauză.
(20)Pentru a obţine beneficii cât mai mari de pe urma sistemelor de IA, protejând în acelaşi timp drepturile fundamentale, sănătatea şi siguranţa, şi pentru a permite controlul democratic, alfabetizarea în domeniul IA ar trebui să le ofere furnizorilor, implementatorilor şi persoanelor afectate noţiunile necesare pentru a lua decizii în cunoştinţă de cauză cu privire la sistemele de IA. Aceste noţiuni pot varia în funcţie de contextul relevant şi pot include înţelegerea aplicării corecte a elementelor tehnice în faza de dezvoltare a sistemului de IA, măsurile care trebuie aplicate în timpul utilizării sale, modalităţile adecvate de interpretare a rezultatelor sistemului de IA şi, în cazul persoanelor afectate, cunoştinţele necesare pentru a înţelege impactul pe care îl vor avea asupra lor deciziile luate cu ajutorul IA. În contextul aplicării prezentului regulament, alfabetizarea în domeniul IA ar trebui să ofere tuturor actorilor relevanţi din lanţul valoric al IA informaţiile necesare pentru a asigura conformitatea adecvată şi aplicarea corectă a regulamentului. În plus, punerea în aplicare pe scară largă a măsurilor de alfabetizare în domeniul IA şi introducerea unor acţiuni subsecvente adecvate ar putea contribui la îmbunătăţirea condiţiilor de muncă şi, în cele din urmă, ar putea susţine consolidarea unei IA de încredere şi inovarea în acest domeniu în Uniune. Consiliul european pentru inteligenţa artificială (denumit în continuare "Consiliul IA") ar trebui să sprijine Comisia pentru a promova instrumente de alfabetizare în domeniul IA, sensibilizarea publicului şi înţelegerea beneficiilor, a riscurilor, a garanţiilor, a drepturilor şi a obligaţiilor care decurg din utilizarea sistemelor de IA. În cooperare cu părţile interesate relevante, Comisia şi statele membre ar trebui să faciliteze elaborarea unor coduri de conduită voluntare pentru a promova alfabetizarea în domeniul IA în rândul persoanelor care se ocupă de dezvoltarea, exploatarea şi utilizarea IA.
(21)Pentru a asigura condiţii de concurenţă echitabile şi o protecţie eficace a drepturilor şi libertăţilor persoanelor fizice în întreaga Uniune, normele stabilite prin prezentul regulament ar trebui să se aplice în mod nediscriminatoriu furnizorilor de sisteme de IA, indiferent dacă sunt stabiliţi în Uniune sau într-o ţară terţă, precum şi implementatorilor de sisteme de IA stabiliţi în Uniune.
(22)Având în vedere natura lor digitală, anumite sisteme de IA ar trebui să intre în domeniul de aplicare al prezentului regulament chiar şi atunci când nu sunt introduse pe piaţă, nu sunt puse în funcţiune şi nu sunt utilizate în Uniune. Acesta este cazul, de exemplu, al unui operator stabilit în Uniune care contractează anumite servicii unui operator stabilit într-o ţară terţă în legătură cu o activitate care urmează să fie desfăşurată de un sistem de IA care s-ar califica drept prezentând un grad ridicat de risc. În aceste circumstanţe, sistemul de IA utilizat de operator într-o ţară terţă ar putea prelucra date colectate în Uniune şi transferate din Uniune în mod legal şi ar putea furniza operatorului contractant din Uniune rezultatele produse de sistemul de IA respectiv ca urmare a prelucrării respective, fără ca sistemul de IA să fie introdus pe piaţă, pus în funcţiune sau utilizat în Uniune. Pentru a preveni eludarea prezentului regulament şi pentru a asigura o protecţie eficace a persoanelor fizice situate în Uniune, prezentul regulament ar trebui să se aplice, de asemenea, furnizorilor şi implementatorilor de sisteme de IA care sunt stabiliţi într-o ţară terţă, în măsura în care rezultatele produse de sistemele respective sunt destinate a fi utilizate în Uniune. Cu toate acestea, pentru a ţine seama de acordurile existente şi de nevoile speciale de cooperare viitoare cu partenerii străini cu care se fac schimburi de informaţii şi probe, prezentul regulament nu ar trebui să se aplice autorităţilor publice ale unei ţări terţe şi organizaţiilor internaţionale atunci când acestea acţionează în cadrul acordurilor internaţionale sau de cooperare încheiate la nivelul Uniunii sau la nivel naţional pentru cooperarea în materie de aplicare a legii şi cooperarea judiciară cu Uniunea sau cu statele membre, cu condiţia ca ţara terţă sau organizaţia internaţională relevantă să ofere garanţii adecvate în ceea ce priveşte protecţia drepturilor şi libertăţilor fundamentale ale persoanelor. După caz, acest lucru s-ar putea aplica activităţilor desfăşurate de entităţile cărora ţările terţe le-au încredinţat îndeplinirea unor sarcini specifice în sprijinul unei astfel de cooperări judiciare şi în materie de aplicare a legii. Cadrele de cooperare sau acordurile sus-menţionate au fost încheiate bilateral între statele membre şi ţări terţe sau între Uniunea Europeană, Europol sau alte agenţii ale Uniunii, pe de o parte, şi ţări terţe sau organizaţii internaţionale, pe de altă parte. Autorităţile competente cu supravegherea autorităţilor de aplicare a legii şi a autorităţilor judiciare în temeiul prezentului regulament ar trebui să evalueze dacă respectivele cadre de cooperare sau acorduri internaţionale includ garanţii adecvate în ceea ce priveşte protecţia drepturilor şi libertăţilor fundamentale ale persoanelor. Autorităţile naţionale destinatare şi instituţiile, organele, oficiile şi agenţiile Uniunii care utilizează astfel de rezultate în Uniune rămân responsabile pentru asigurarea faptului că utilizarea lor respectă dreptul Uniunii. La revizuirea acordurilor internaţionale respective sau la încheierea unor acorduri noi în viitor, părţile contractante ar trebui să depună toate eforturile pentru a alinia acordurile respective la cerinţele prezentului regulament.
(23)Prezentul regulament ar trebui să se aplice, de asemenea, instituţiilor, organelor, oficiilor şi agenţiilor Uniunii atunci când acestea acţionează în calitate de furnizor sau implementator al unui sistem de IA.
(24)În cazul şi în măsura în care sistemele de IA sunt introduse pe piaţă, puse în funcţiune sau utilizate cu sau fără modificarea lor în scopuri militare, de apărare sau de securitate naţională, sistemele respective ar trebui să fie excluse din domeniul de aplicare al prezentului regulament, indiferent de tipul de entitate care desfăşoară activităţile respective, de exemplu dacă este o entitate publică sau privată. În ceea ce priveşte scopurile militare şi de apărare, o astfel de excludere este justificată atât de articolul 4 alineatul (2) din TUE, cât şi de particularităţile politicii de apărare a statelor membre şi ale politicii de apărare comune a Uniunii, care intră sub incidenţa titlului V capitolul 2 din TUE; acestea fac obiectul dreptului internaţional public, care este, prin urmare, cadrul juridic mai adecvat pentru reglementarea sistemelor de IA în contextul utilizării forţei letale şi a altor sisteme de IA în contextul activităţilor militare şi de apărare. În ceea ce priveşte obiectivele de securitate naţională, excluderea este justificată atât de faptul că securitatea naţională rămâne responsabilitatea exclusivă a statelor membre în conformitate cu articolul 4 alineatul (2) din TUE, cât şi de natura specifică şi de nevoile operaţionale ale activităţilor de securitate naţională şi de normele naţionale specifice aplicabile activităţilor respective. Însă, în cazul în care un sistem de IA dezvoltat, introdus pe piaţă, pus în funcţiune sau utilizat în scopuri militare, de apărare sau de securitate naţională este utilizat, temporar sau permanent, în afara acestui cadru în alte scopuri, de exemplu în scopuri civile sau umanitare, de aplicare a legii sau de securitate publică, un astfel de sistem ar intra în domeniul de aplicare al prezentului regulament. În acest caz, entitatea care utilizează sistemul de IA în alte scopuri decât cele militare, de apărare sau de securitate naţională ar trebui să asigure conformitatea sistemului de IA cu prezentul regulament, cu excepţia cazului în care sistemul respectă deja prezentul regulament. Sistemele de IA introduse pe piaţă sau puse în funcţiune pentru un scop care face obiectul excluderii, şi anume în scop militar, de apărare sau de securitate naţională, şi pentru unul sau mai multe scopuri care nu fac obiectul excluderii, de exemplu în scopuri civile sau de aplicare a legii, intră în domeniul de aplicare al prezentului regulament, iar furnizorii sistemelor respective ar trebui să asigure conformitatea cu prezentul regulament. În aceste cazuri, faptul că un sistem de IA poate intra în domeniul de aplicare al prezentului regulament nu ar trebui să afecteze posibilitatea ca entităţile care desfăşoară activităţi de securitate naţională, de apărare şi militare, indiferent de tipul de entitate care desfăşoară activităţile respective, să utilizeze sisteme de IA în scopuri de securitate naţională, militare şi de apărare, utilizare care este exclusă din domeniul de aplicare al prezentului regulament. Un sistem de IA introdus pe piaţă în scopuri civile sau de aplicare a legii şi care este utilizat cu sau fără modificări în scopuri militare, de apărare sau de securitate naţională nu ar trebui să intre în domeniul de aplicare al prezentului regulament, indiferent de tipul de entitate care desfăşoară activităţile respective.
(25)Prezentul regulament ar trebui să sprijine inovarea, ar trebui să respecte libertatea ştiinţei şi nu ar trebui să submineze activitatea de cercetare şi dezvoltare. Prin urmare, este necesar să se excludă din domeniul său de aplicare sistemele şi modelele de IA dezvoltate şi puse în funcţiune în mod specific în scopul unic al cercetării şi dezvoltării ştiinţifice. În plus, este necesar să se asigure că prezentul regulament nu afectează într-un alt mod activitatea de cercetare şi dezvoltare ştiinţifică privind sistemele sau modelele de IA înainte de a fi introduse pe piaţă sau puse în funcţiune. În ceea ce priveşte activitatea de cercetare, testare şi dezvoltare orientată spre produse aferentă sistemelor sau modelelor de IA, dispoziţiile prezentului regulament nu ar trebui, de asemenea, să se aplice înainte ca aceste sisteme şi modele să fie puse în funcţiune sau introduse pe piaţă. Această excludere nu aduce atingere obligaţiei de a respecta prezentul regulament în cazul în care un sistem de IA aflat sub incidenţa prezentului regulament este introdus pe piaţă sau pus în funcţiune ca urmare a unei astfel de activităţi de cercetare şi dezvoltare, şi nici aplicării dispoziţiilor privind spaţiile de testare în materie de reglementare în domeniul IA şi testarea în condiţii reale. În plus, fără a aduce atingere excluderii sistemelor de IA dezvoltate şi puse în funcţiune în mod specific în scopul unic al cercetării şi dezvoltării ştiinţifice, orice alt sistem de IA care poate fi utilizat pentru desfăşurarea oricărei activităţi de cercetare şi dezvoltare ar trebui să facă în continuare obiectul dispoziţiilor prezentului regulament. În orice caz, toate activităţile de cercetare şi dezvoltare ar trebui să se desfăşoare în conformitate cu standardele etice şi profesionale recunoscute pentru cercetarea ştiinţifică, precum şi în conformitate cu dreptul aplicabil al Uniunii.
(26)Pentru a introduce un set proporţional şi eficace de norme obligatorii pentru sistemele de IA, ar trebui să fie urmată o abordare bazată pe riscuri clar definită. Această abordare ar trebui să adapteze tipul şi conţinutul unor astfel de norme la intensitatea şi amploarea riscurilor pe care le pot genera sistemele de IA. Prin urmare, este necesar să se interzică anumite practici în domeniul IA care sunt inacceptabile, să se stabilească cerinţe pentru sistemele de IA cu grad ridicat de risc şi obligaţii pentru operatorii relevanţi şi să se stabilească obligaţii în materie de transparenţă pentru anumite sisteme de IA.
(27)Deşi abordarea bazată pe riscuri reprezintă temelia pentru un set proporţional şi eficace de norme obligatorii, este important să se reamintească Orientările în materie de etică pentru o IA fiabilă din 2019, elaborate de Grupul independent de experţi la nivel înalt privind IA numit de Comisie. În orientările respective, grupul de experţi a elaborat şapte principii etice fără caracter obligatoriu pentru IA, care sunt menite să contribuie la asigurarea faptului că IA este de încredere şi că este solidă din punct de vedere etic. Cele şapte principii sunt: implicarea şi supravegherea umană; robusteţea tehnică şi siguranţa; respectarea vieţii private şi guvernanţa datelor; transparenţa; diversitatea, nediscriminarea şi echitatea; bunăstarea socială şi de mediu şi asumarea răspunderii. Fără a aduce atingere cerinţelor obligatorii din punct de vedere juridic prevăzute în prezentul regulament şi în orice alt act legislativ aplicabil al Uniunii, aceste orientări contribuie la conceperea unei IA coerente, de încredere şi centrate pe factorul uman, în conformitate cu carta şi cu valorile pe care se întemeiază Uniunea. Potrivit orientărilor Grupului de experţi la nivel înalt privind IA, implicarea şi supravegherea umană înseamnă că sistemele de IA sunt dezvoltate şi utilizate ca un instrument ce serveşte oamenilor, respectă demnitatea umană şi autonomia personală şi funcţionează într-un mod care poate fi controlat şi supravegheat în mod corespunzător de către oameni. Robusteţea tehnică şi siguranţa înseamnă că sistemele de IA sunt dezvoltate şi utilizate într-un mod care asigură robusteţea în caz de probleme şi rezilienţa la încercările de a modifica utilizarea sau performanţa sistemului de IA în vederea permiterii utilizării ilegale de către terţi şi care reduce la minimum prejudiciile neintenţionate. Respectarea vieţii private şi guvernanţa datelor înseamnă că sistemele de IA sunt dezvoltate şi utilizate în conformitate cu normele privind protecţia vieţii private şi a datelor şi că, în acelaşi timp, se prelucrează date care respectă standarde ridicate de calitate şi de integritate. Transparenţa înseamnă că sistemele de IA sunt dezvoltate şi utilizate într-un mod care permite trasabilitatea şi explicabilitatea adecvate, aducând totodată la cunoştinţa oamenilor faptul că interacţionează sau comunică cu un sistem de IA şi informând în mod corespunzător implementatorii cu privire la capabilităţile şi limitele respectivului sistem de IA şi persoanele afectate cu privire la drepturile lor. Diversitatea, nediscriminarea şi echitatea înseamnă că sistemele de IA sunt dezvoltate şi utilizate într-un mod care presupune implicarea a diverşi actori şi promovează accesul egal, egalitatea de gen şi diversitatea culturală, evitând totodată efectele discriminatorii şi prejudecăţile inechitabile interzise prin dreptul Uniunii sau dreptul intern. Bunăstarea socială şi de mediu înseamnă că sistemele de IA sunt dezvoltate şi utilizate într-un mod durabil, care respectă mediul şi care aduce beneficii tuturor fiinţelor umane, monitorizându-se şi evaluându-se totodată efectele pe termen lung asupra persoanelor, a societăţii şi a democraţiei. Aplicarea acestor principii ar trebui să fie transpusă, atunci când este posibil, în conceperea şi utilizarea modelelor de IA. În orice caz, aceste principii ar trebui să servească drept bază pentru elaborarea codurilor de conduită în temeiul prezentului regulament. Toate părţile interesate, inclusiv industria, mediul academic, societatea civilă şi organizaţiile de standardizare, sunt încurajate să ia în considerare, după caz, principiile etice pentru dezvoltarea de bune practici şi standarde voluntare.
(28)Pe lângă numeroasele utilizări benefice ale IA, aceasta poate fi utilizată şi în mod abuziv şi poate oferi instrumente noi şi puternice pentru practici de manipulare, exploatare şi control social. Astfel de practici sunt deosebit de nocive şi abuzive şi ar trebui să fie interzise deoarece contravin valorilor Uniunii privind respectarea demnităţii umane, a libertăţii, a egalităţii, a democraţiei şi a statului de drept, precum şi a drepturilor fundamentale consacrate în cartă, inclusiv dreptul la nediscriminare, la protecţia datelor şi la viaţa privată şi drepturile copilului.
(29)Tehnicile de manipulare bazate pe IA pot fi utilizate pentru a convinge anumite persoane să manifeste comportamente nedorite sau pentru a le înşela, împingându-le să ia decizii într-un mod care le subminează şi le afectează autonomia, capacitatea decizională şi libera alegere. Introducerea pe piaţă, punerea în funcţiune sau utilizarea anumitor sisteme de IA având drept obiectiv sau drept efect denaturarea semnificativă a comportamentului uman, caz în care este probabil să se producă prejudicii semnificative, mai ales cu efecte negative suficient de importante asupra sănătăţii fizice sau psihologice ori a intereselor financiare, sunt deosebit de periculoase şi, prin urmare, ar trebui să fie interzise. Astfel de sisteme de IA implementează componente subliminale, cum ar fi stimuli audio, sub formă de imagini sau video, pe care persoanele nu le pot percepe întrucât stimulii respectivi depăşesc percepţia umană, sau alte tehnici manipulatoare sau înşelătoare care subminează sau afectează autonomia, capacitatea decizională sau libera alegere ale unei persoane în astfel de moduri încât oamenii nu sunt conştienţi de astfel de tehnici sau, chiar dacă sunt conştienţi de acestea, tot pot fi înşelaţi sau sunt incapabili să le controleze sau să li se opună. Acest lucru ar putea fi facilitat, de exemplu, de interfeţele maşină-creier sau de realitatea virtuală, deoarece acestea permit un nivel mai ridicat de control asupra stimulilor prezentaţi persoanelor, în măsura în care aceşti stimuli pot denatura semnificativ comportamentul persoanelor într-un mod deosebit de dăunător. În plus, sistemele de IA pot exploata şi în alte moduri vulnerabilităţile unei persoane sau ale unui anumit grup de persoane din cauza vârstei sau a dizabilităţii acestora în sensul Directivei (UE) 2019/882 a Parlamentului European şi a Consiliului (16) sau din cauza unei situaţii sociale sau economice specifice care este susceptibilă să sporească vulnerabilitatea la exploatare a persoanelor respective, cum ar fi persoanele care trăiesc în sărăcie extremă sau care aparţin minorităţilor etnice sau religioase. Astfel de sisteme de IA pot fi introduse pe piaţă, puse în funcţiune sau utilizate având drept obiectiv sau drept efect denaturarea semnificativă a comportamentului unei persoane, într-un mod care cauzează sau este susceptibil în mod rezonabil să cauzeze prejudicii semnificative persoanei respective sau grupului respectiv ori unei alte persoane sau altor grupuri de persoane, inclusiv prejudicii care se pot acumula în timp, şi, prin urmare, ar trebui să fie interzise. Este posibil să nu se poată presupune că există intenţia de a denatura comportamentul în cazul în care denaturarea rezultă din factori externi sistemului de IA asupra cărora furnizorul sau implementatorul nu deţine controlul, şi anume factori care ar putea să nu fie prevăzuţi în mod rezonabil şi, prin urmare, să nu poată fi atenuaţi de către furnizorul sau implementatorul sistemului de IA. În orice caz, nu este necesar ca furnizorul sau implementatorul să aibă intenţia de a cauza un prejudiciu semnificativ, cu condiţia ca un astfel de prejudiciu să rezulte din practicile de manipulare sau de exploatare bazate pe IA. Interdicţiile privind astfel de practici în domeniul IA sunt complementare dispoziţiilor cuprinse în Directiva 2005/29/CE a Parlamentului European şi a Consiliului (17), în special faptul că practicile comerciale neloiale care conduc la prejudicii economice sau financiare pentru consumatori sunt interzise în toate circumstanţele, indiferent dacă sunt puse în aplicare prin intermediul sistemelor de IA sau în alt mod. Interdicţiile privind practicile de manipulare şi exploatare prevăzute în prezentul regulament nu ar trebui să afecteze practicile legale în contextul tratamentului medical, cum ar fi tratamentul psihologic al unei boli mintale sau reabilitarea fizică, atunci când practicile respective se desfăşoară în conformitate cu dreptul şi cu standardele medicale aplicabile, de exemplu în ceea ce priveşte consimţământul explicit al persoanelor în cauză sau al reprezentanţilor lor legali. În plus, practicile comerciale comune şi legitime, de exemplu în domeniul publicităţii, care respectă dreptul aplicabil nu ar trebui să fie considerate, în sine, ca reprezentând practici dăunătoare de manipulare bazate pe IA.
(16)Directiva (UE) 2019/882 a Parlamentului European şi a Consiliului din 17 aprilie 2019 privind cerinţele de accesibilitate aplicabile produselor şi serviciilor (JO L 151, 7.6.2019, p. 70).
(17)Directiva 2005/29/CE a Parlamentului European şi a Consiliului din 11 mai 2005 privind practicile comerciale neloiale ale întreprinderilor de pe piaţa internă faţă de consumatori şi de modificare a Directivei 84/450/CEE a Consiliului, a Directivelor 97/7/CE, 98/27/CE şi 2002/65/CE ale Parlamentului European şi ale Consiliului şi a Regulamentului (CE) nr. 2006/2004 al Parlamentului European şi al Consiliului ("Directiva privind practicile comerciale neloiale") (JO L 149, 11.6.2005, p. 22).
(30)Sistemele de clasificare biometrică care se bazează pe datele biometrice ale persoanelor fizice, cum ar fi faţa sau amprentele digitale ale unei persoane, pentru a face presupuneri sau deducţii cu privire la opiniile politice, apartenenţa la un sindicat, convingerile religioase sau filozofice, rasa, viaţa sexuală sau orientarea sexuală ale unei persoane ar trebui să fie interzise. Această interdicţie nu ar trebui să se refere la etichetarea, filtrarea sau clasificarea legală, în funcţie de datele biometrice, a seturilor de date biometrice obţinute în conformitate cu dreptul Uniunii sau cu dreptul intern, cum ar fi sortarea imaginilor în funcţie de culoarea părului sau de culoarea ochilor, care poate fi utilizată, de exemplu, în domeniul aplicării legii.
(31)Sistemele de IA care permit atribuirea unui punctaj social persoanelor fizice de către actori privaţi sau publici pot genera rezultate discriminatorii şi excluderea anumitor grupuri. Acestea pot încălca dreptul la demnitate şi nediscriminare, precum şi valorile egalităţii şi justiţiei. Astfel de sisteme de IA evaluează sau clasifică persoanele fizice sau grupurile de persoane pe baza mai multor puncte de date legate de comportamentul lor social în contexte multiple sau de caracteristici personale sau de personalitate cunoscute, deduse sau preconizate de-a lungul anumitor perioade de timp. Punctajul social obţinut din astfel de sisteme de IA poate duce la un tratament prejudiciabil sau nefavorabil al persoanelor fizice sau al unor grupuri întregi de astfel de persoane în contexte sociale care nu au legătură cu contextul în care datele au fost iniţial generate sau colectate sau la un tratament prejudiciabil care este disproporţionat sau nejustificat în raport cu gravitatea comportamentului lor social. Sistemele de IA care implică astfel de practici inacceptabile de atribuire a unui punctaj şi care conduc la astfel de rezultate prejudiciabile sau nefavorabile ar trebui, prin urmare, să fie interzise. Această interdicţie nu ar trebui să afecteze practicile legale de evaluare a persoanelor fizice care sunt realizate într-un scop specific în conformitate cu dreptul Uniunii şi cu dreptul naţional.
(32)Utilizarea sistemelor de IA pentru identificarea biometrică la distanţă "în timp real" a persoanelor fizice în spaţiile accesibile publicului în scopul aplicării legii este deosebit de intruzivă pentru drepturile şi libertăţile persoanelor în cauză, în măsura în care poate afecta viaţa privată a unei părţi mari a populaţiei, poate inspira un sentiment de supraveghere constantă şi poate descuraja indirect exercitarea libertăţii de întrunire şi a altor drepturi fundamentale. Inexactităţile tehnice ale sistemelor de IA destinate identificării biometrice la distanţă a persoanelor fizice pot conduce la rezultate distorsionate de prejudecăţi şi pot avea efecte discriminatorii. Astfel de rezultate distorsionate şi efecte discriminatorii posibile sunt deosebit de relevante în ceea ce priveşte vârsta, etnia, rasa, sexul sau dizabilitatea. În plus, caracterul imediat al impactului şi posibilităţile limitate de a efectua verificări sau corecţii suplimentare în ceea ce priveşte utilizarea unor astfel de sisteme care funcţionează în timp real implică riscuri sporite pentru drepturile şi libertăţile persoanelor vizate în contextul activităţilor de aplicare a legii sau impactate de acestea.
(33)Prin urmare, utilizarea sistemelor respective în scopul aplicării legii ar trebui să fie interzisă, cu excepţia situaţiilor enumerate în mod exhaustiv şi definite în mod precis în care utilizarea este strict necesară pentru un interes public substanţial, a cărui importanţă este superioară riscurilor. Situaţiile respective implică căutarea anumitor victime ale unor infracţiuni, inclusiv persoane dispărute, anumite ameninţări la adresa vieţii sau a siguranţei fizice a persoanelor fizice sau privind un atac terorist şi localizarea sau identificarea autorilor infracţiunilor enumerate într-o anexă la prezentul regulament sau a persoanelor suspectate de acestea, în cazul în care infracţiunile respective se pedepsesc în statul membru în cauză cu o pedeapsă sau o măsură de siguranţă privativă de libertate pentru o perioadă maximă de cel puţin patru ani şi astfel cum sunt definite în dreptul intern al statului membru respectiv. Un astfel de prag pentru pedeapsa sau măsura de siguranţă privativă de libertate în conformitate cu dreptul intern contribuie la asigurarea faptului că infracţiunea ar trebui să fie suficient de gravă pentru a justifica eventual utilizarea sistemelor de identificare biometrică la distanţă "în timp real". În plus, lista infracţiunilor prevăzută în anexa la prezentul regulament se bazează pe cele 32 de infracţiuni enumerate în Decizia-cadru 2002/584/JAI a Consiliului (18), ţinând seama de faptul că unele infracţiuni sunt, în practică, susceptibile să fie mai relevante decât altele, în sensul că recurgerea la identificarea biometrică la distanţă "în timp real" ar putea, în mod previzibil, fi necesară şi proporţională în grade foarte diferite pentru urmărirea practică a localizării sau a identificării unui autor al diferitelor infracţiuni enumerate sau a unei persoane suspectate de acestea, şi având în vedere diferenţele probabile în ceea ce priveşte gravitatea, probabilitatea şi amploarea prejudiciului sau posibilele consecinţe negative. O ameninţare iminentă la adresa vieţii sau a siguranţei fizice a unor persoane fizice ar putea rezulta şi dintr-o perturbare gravă a infrastructurii critice, astfel cum este definită la articolul 2 punctul 4 din Directiva (UE) 2022/2557 a Parlamentului European şi a Consiliului (19), în cazul în care perturbarea sau distrugerea unei astfel de infrastructuri critice ar genera o ameninţare iminentă la adresa vieţii sau a siguranţei fizice a unei persoane, inclusiv prin afectarea gravă a aprovizionării cu produse de bază a populaţiei sau a exercitării funcţiilor de bază ale statului. În plus, prezentul regulament ar trebui să menţină capacitatea autorităţilor de aplicare a legii, de control la frontiere, de imigraţie sau de azil de a efectua controale de identitate în prezenţa persoanei vizate, în conformitate cu condiţiile prevăzute în dreptul Uniunii şi în cel intern pentru astfel de controale. În special, autorităţile de aplicare a legii, de control la frontiere, de imigraţie sau de azil ar trebui să poată utiliza sistemele de informaţii, în conformitate cu dreptul Uniunii sau cu cel intern, pentru a identifica persoane care, în cursul unui control de identitate, fie refuză să fie identificate, fie sunt incapabile să îşi declare sau să îşi dovedească identitatea, fără ca autorităţile în cauză să fie obligate prin prezentul regulament să obţină o autorizaţie prealabilă. Ar putea fi vorba, de exemplu, de o persoană implicată într-o infracţiune care fie nu doreşte, fie, din cauza unui accident sau a unei afecţiuni medicale, nu poate să îşi divulge identitatea autorităţilor de aplicare a legii.
(18)Decizia-cadru 2002/584/JAI a Consiliului din 13 iunie 2002 privind mandatul european de arestare şi procedurile de predare între statele membre (JO L 190, 18.7.2002, p. 1).
(19)Directiva (UE) 2022/2557 a Parlamentului European şi a Consiliului din 14 decembrie 2022 privind rezilienţa entităţilor critice şi de abrogare a Directivei 2008/114/CE a Consiliului (JO L 333, 27.12.2022, p. 164).
(34)Pentru a se asigura că sistemele respective sunt utilizate în mod responsabil şi proporţional, este de asemenea important să se stabilească faptul că, în fiecare dintre aceste situaţii enumerate în mod exhaustiv şi precis definite, ar trebui să fie luate în considerare anumite elemente, în special în ceea ce priveşte natura situaţiei care a stat la baza cererii şi consecinţele utilizării asupra drepturilor şi libertăţilor tuturor persoanelor vizate, precum şi garanţiile şi condiţiile prevăzute pentru utilizare. În plus, ar trebui să se recurgă la utilizarea sistemelor de identificare biometrică la distanţă "în timp real" în spaţiile accesibile publicului în scopul aplicării legii numai pentru a confirma identitatea persoanei vizate în mod specific şi această utilizare ar trebui să se limiteze la ceea ce este strict necesar din punct de vedere al perioadei de timp, precum şi al sferei de aplicare geografică şi personală, având în vedere în special dovezile sau indicaţiile privind ameninţările, victimele sau autorul infracţiunii. Utilizarea sistemului de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului ar trebui să fie autorizată numai dacă autoritatea relevantă de aplicare a legii a finalizat o evaluare a impactului asupra drepturilor fundamentale şi, cu excepţia cazului în care se prevede altfel în prezentul regulament, a înregistrat sistemul în baza de date prevăzută în prezentul regulament. Baza de date de referinţă a persoanelor ar trebui să fie adecvată pentru fiecare caz de utilizare în fiecare dintre situaţiile menţionate mai sus.
(35)Fiecare utilizare a unui sistem de identificare biometrică la distanţă "în timp real" în spaţiile accesibile publicului în scopul aplicării legii ar trebui să facă obiectul unei autorizări exprese şi specifice de către o autoritate judiciară sau o autoritate administrativă independentă a unui stat membru a cărei decizie este obligatorie. O astfel de autorizaţie ar trebui, în principiu, să fie obţinută înainte de utilizarea sistemului de IA în vederea identificării uneia sau mai multor persoane. Ar trebui să fie permise excepţii de la această regulă în situaţii justificate în mod corespunzător din motive de urgenţă, şi anume în situaţiile în care necesitatea de a utiliza sistemele în cauză este de natură să facă imposibilă în mod efectiv şi obiectiv obţinerea unei autorizaţii înainte de începerea utilizării sistemului de IA. În astfel de situaţii de urgenţă, utilizarea sistemului de IA ar trebui să fie limitată la ceea ce este minim şi absolut necesar şi ar trebui să facă obiectul unor garanţii şi condiţii adecvate, astfel cum sunt stabilite în dreptul intern şi specificate de către însăşi autoritatea de aplicare a legii în contextul fiecărui caz individual de utilizare urgentă. În plus, în astfel de situaţii, autoritatea de aplicare a legii ar trebui să solicite o astfel de autorizaţie şi să furnizeze în acelaşi timp motivele pentru care nu a fost în măsură să o solicite mai devreme, fără întârzieri nejustificate şi cel târziu în termen de 24 de ore. În cazul în care solicitarea unei astfel de autorizaţii este respinsă, utilizarea sistemelor de identificare biometrică în timp real legate de autorizaţia respectivă ar trebui să înceteze cu efect imediat şi toate datele legate de utilizarea respectivă ar trebui să fie înlăturate şi şterse. Aceste date includ datele de intrare dobândite direct de un sistem de IA în cursul utilizării unui astfel de sistem, precum şi rezultatele şi produsele obţinute în cadrul utilizării legate de autorizaţia respectivă, dar nu ar trebui să includă datele de intrare dobândite în mod legal în conformitate cu un alt act legislativ al Uniunii sau naţional. În orice caz, nicio decizie care produce un efect juridic negativ asupra unei persoane nu ar trebui să fie luată exclusiv pe baza unui produs al sistemului de identificare biometrică la distanţă.
(36)Pentru a-şi îndeplini sarcinile în conformitate cu cerinţele prevăzute în prezentul regulament, precum şi în normele naţionale, autoritatea relevantă de supraveghere a pieţei şi autoritatea naţională pentru protecţia datelor ar trebui să fie notificate cu privire la fiecare utilizare a sistemului de identificare biometrică în timp real. Autorităţile de supraveghere a pieţei şi autorităţile naţionale pentru protecţia datelor care au fost notificate ar trebui să prezinte Comisiei un raport anual privind utilizarea sistemelor de identificare biometrică în timp real.
(37)În plus, este oportun să se prevadă, în cadrul exhaustiv stabilit de prezentul regulament, că o astfel de utilizare pe teritoriul unui stat membru în conformitate cu prezentul regulament ar trebui să fie posibilă numai în cazul şi în măsura în care statul membru respectiv a decis să prevadă în mod expres posibilitatea de a autoriza o astfel de utilizare în normele sale detaliate de drept intern. În consecinţă, în temeiul prezentului regulament, statele membre au în continuare libertatea de a nu prevedea o astfel de posibilitate sau de a prevedea o astfel de posibilitate numai în ceea ce priveşte unele dintre obiectivele care pot justifica utilizarea autorizată identificate în prezentul regulament. Astfel de norme naţionale ar trebui să fie notificate Comisiei în termen de 30 de zile de la adoptare.
(38)Utilizarea sistemelor de IA pentru identificarea biometrică la distanţă în timp real a persoanelor fizice în spaţiile accesibile publicului în scopul aplicării legii implică în mod necesar prelucrarea de date biometrice. Normele din prezentul regulament care interzic, sub rezerva anumitor excepţii, o astfel de utilizare, care se întemeiază pe articolul 16 din TFUE, ar trebui să se aplice ca lex specialis în ceea ce priveşte normele privind prelucrarea datelor biometrice prevăzute la articolul 10 din Directiva (UE) 2016/680, reglementând astfel în mod exhaustiv această utilizare şi prelucrarea datelor biometrice implicate. Prin urmare, o astfel de utilizare şi prelucrare ar trebui să fie posibile numai în măsura în care sunt compatibile cu cadrul stabilit de prezentul regulament, fără a exista, în afara cadrului respectiv, posibilitatea ca autorităţile competente, atunci când acţionează în scopul aplicării legii, să utilizeze astfel de sisteme şi să prelucreze astfel de date în legătură cu utilizarea respectivă din motivele enumerate la articolul 10 din Directiva (UE) 2016/680. În acest context, prezentul regulament nu este menit să ofere temeiul juridic pentru prelucrarea datelor cu caracter personal în baza articolului 8 din Directiva (UE) 2016/680. Cu toate acestea, utilizarea sistemelor de identificare biometrică la distanţă în timp real în spaţii accesibile publicului în alte scopuri decât cele de aplicare a legii, inclusiv de către autorităţile competente, nu ar trebui să facă obiectul cadrului specific privind o astfel de utilizare în scopul aplicării legii stabilit de prezentul regulament. Prin urmare, o astfel de utilizare în alte scopuri decât aplicarea legii nu ar trebui să facă obiectul solicitării unei autorizaţii în temeiul prezentului regulament şi al normelor de drept intern detaliate aplicabile prin care autorizaţia respectivă poate produce efecte.
(39)Orice prelucrare de date biometrice şi alte date cu caracter personal implicate în utilizarea sistemelor de IA pentru identificarea biometrică, alta decât în legătură cu utilizarea sistemelor de identificare biometrică la distanţă în timp real în spaţii accesibile publicului în scopul aplicării legii, astfel cum este reglementată de prezentul regulament, ar trebui să respecte în continuare toate cerinţele care decurg din articolul 10 din Directiva (UE) 2016/680. În ceea ce priveşte alte scopuri decât aplicarea legii, articolul 9 alineatul (1) din Regulamentul (UE) 2016/679 şi articolul 10 alineatul (1) din Regulamentul (UE) 2018/1725 interzic prelucrarea de date biometrice, sub rezerva unor excepţii limitate prevăzute la articolele respective. În vederea aplicării articolului 9 alineatul (1) din Regulamentul (UE) 2016/679, utilizarea identificării biometrice la distanţă în alte scopuri decât aplicarea legii a făcut deja obiectul unor decizii de interzicere luate de autorităţile naţionale pentru protecţia datelor.
(40)În conformitate cu articolul 6a din Protocolul nr. 21 privind poziţia Regatului Unit şi a Irlandei în ceea ce priveşte spaţiul de libertate, securitate şi justiţie, anexat la TUE şi la TFUE, Irlandei nu îi revin obligaţii în temeiul normelor prevăzute la articolul 5 alineatul (1) primul paragraf litera (g) în măsura în care se aplică utilizării sistemelor de clasificare biometrică pentru activităţi în domeniul cooperării poliţieneşti şi al cooperării judiciare în materie penală, la articolul 5 alineatul (1) primul paragraf litera (d) în măsura în care se aplică utilizării sistemelor de IA care intră sub incidenţa dispoziţiei respective, la articolul 5 alineatul (1) primul paragraf litera (h) şi alineatele (2)-(6) şi la articolul 26 alineatul (10) din prezentul regulament adoptate în temeiul articolului 16 din TFUE, referitoare la prelucrarea datelor cu caracter personal de către statele membre atunci când exercită activităţi care intră în domeniul de aplicare al părţii a treia titlul V capitolul 4 sau 5 din TFUE, în cazurile în care Irlandei nu îi revin obligaţii în temeiul normelor privind formele de cooperare judiciară în materie penală sau de cooperare poliţienească care necesită respectarea dispoziţiilor stabilite în temeiul articolului 16 din TFUE.
(41)În conformitate cu articolele 2 şi 2a din Protocolul nr. 22 privind poziţia Danemarcei, anexat la TUE şi la TFUE, Danemarcei nu îi revin obligaţii în temeiul normelor prevăzute la articolul 5 alineatul (1) primul paragraf litera (g) în măsura în care se aplică utilizării sistemelor de clasificare biometrică pentru activităţi în domeniul cooperării poliţieneşti şi al cooperării judiciare în materie penală, la articolul 5 alineatul (1) primul paragraf litera (d) în măsura în care se aplică utilizării sistemelor de IA care intră sub incidenţa dispoziţiei respective, la articolul 5 alineatul (1) primul paragraf litera (h) şi alineatele (2)-(6) şi la articolul 26 alineatul (10) din prezentul regulament adoptate în temeiul articolului 16 din TFUE, referitoare la prelucrarea datelor cu caracter personal de către statele membre atunci când exercită activităţi care intră în domeniul de aplicare al părţii a treia titlul V capitolul 4 sau 5 din TFUE şi Danemarca nu face obiectul aplicării normelor respective.
(42)În conformitate cu prezumţia de nevinovăţie, persoanele fizice din Uniune ar trebui să fie întotdeauna judecate în funcţie de comportamentul lor real. Persoanele fizice nu ar trebui să fie niciodată judecate în funcţie de comportamentul preconizat de IA exclusiv pe baza creării profilurilor lor, a trăsăturilor lor de personalitate sau a unor caracteristici precum cetăţenia, locul naşterii, locul de reşedinţă, numărul de copii, nivelul datoriilor sau tipul de autoturism, dacă nu există o suspiciune rezonabilă, bazată pe fapte obiective verificabile, că persoana respectivă este implicată într-o activitate infracţională şi dacă nu se face o evaluare în acest sens de către un om. Prin urmare, ar trebui să fie interzise evaluările riscurilor efectuate în legătură cu persoane fizice pentru a evalua probabilitatea ca acestea să comită infracţiuni sau pentru a anticipa producerea unei infracţiuni reale sau potenţiale exclusiv pe baza creării profilurilor acestor persoane sau a evaluării trăsăturilor lor de personalitate şi a caracteristicilor lor. În orice caz, această interdicţie nu priveşte şi nici nu afectează analiza de risc care nu se bazează pe crearea de profiluri ale persoanelor sau pe trăsăturile de personalitate şi caracteristicile persoanelor, cum ar fi sistemele de IA care utilizează analiza de risc pentru a evalua probabilitatea de fraudă financiară din partea întreprinderilor pe baza unor tranzacţii suspecte sau instrumentele analitice de risc utilizate pentru a prevedea probabilitatea localizării de către autorităţile vamale a stupefiantelor sau a mărfurilor ilicite, de exemplu pe baza rutelor de trafic cunoscute.
(43)Introducerea pe piaţă, punerea în funcţiune în scopul specific respectiv şi utilizarea sistemelor de IA care creează sau extind baze de date de recunoaştere facială prin extragerea fără scop precis de imagini faciale de pe internet sau din înregistrări TVCI ar trebui să fie interzise, deoarece această practică amplifică sentimentul de supraveghere în masă şi poate duce la încălcări grave ale drepturilor fundamentale, inclusiv ale dreptului la viaţă privată.
(44)Există preocupări serioase cu privire la baza ştiinţifică a sistemelor de IA care vizează identificarea sau deducerea emoţiilor, în special deoarece exprimarea emoţiilor variază considerabil de la o cultură la alta şi de la o situaţie la alta şi chiar la nivelul unei singure persoane. Printre principalele deficienţe ale unor astfel de sisteme se numără fiabilitatea limitată, lipsa specificităţii şi posibilităţile limitate de generalizare. Prin urmare, sistemele de IA care identifică sau deduc emoţiile sau intenţiile persoanelor fizice pe baza datelor lor biometrice pot genera rezultate discriminatorii şi pot fi intruzive pentru drepturile şi libertăţile persoanelor în cauză. Având în vedere dezechilibrul de putere în contextul muncii sau al educaţiei, combinat cu caracterul intruziv al acestor sisteme, ele ar putea conduce la un tratament prejudiciabil sau nefavorabil al anumitor persoane fizice sau al unor grupuri întregi de astfel de persoane. Prin urmare, ar trebui să fie interzise introducerea pe piaţă, punerea în funcţiune şi utilizarea sistemelor de IA destinate a fi utilizate pentru a detecta starea emoţională a persoanelor în situaţii legate de locul de muncă şi de educaţie. Această interdicţie nu ar trebui să se aplice sistemelor de IA introduse pe piaţă strict din motive medicale sau de siguranţă, cum ar fi sistemele destinate utilizării în scop terapeutic.
(45)Practicile interzise de dreptul Uniunii, inclusiv dreptul privind protecţia datelor, dreptul privind nediscriminarea, dreptul privind protecţia consumatorilor şi dreptul concurenţei, nu ar trebui să fie afectate de prezentul regulament.
(46)Sistemele de IA cu grad ridicat de risc ar trebui să fie introduse pe piaţa Uniunii, puse în funcţiune sau utilizate numai dacă respectă anumite cerinţe obligatorii. Cerinţele respective ar trebui să asigure faptul că sistemele de IA cu grad ridicat de risc disponibile în Uniune sau ale căror rezultate sunt utilizate în alt mod în Uniune nu prezintă riscuri inacceptabile pentru interesele publice importante ale Uniunii, astfel cum sunt recunoscute şi protejate de dreptul Uniunii. Pe baza noului cadru legislativ, astfel cum s-a clarificat în Comunicarea Comisiei intitulată "«Ghidul albastru» din 2022 referitor la punerea în aplicare a normelor UE privind produsele" (20), regula generală este că cel puţin un act juridic din legislaţia de armonizare a Uniunii, cum ar fi Regulamentele (UE) 2017/745 (21) şi (UE) 2017/746 (22) ale Parlamentului European şi ale Consiliului sau Directiva 2006/42/CE a Parlamentului European şi a Consiliului (23), poate fi aplicabil unui singur produs, deoarece punerea la dispoziţie sau punerea în funcţiune poate avea loc numai atunci când produsul respectă întreaga legislaţie de armonizare a Uniunii aplicabilă. Pentru a se asigura coerenţa şi a se evita sarcinile administrative sau costurile inutile, furnizorii unui produs care conţine unul sau mai multe sisteme de IA cu grad ridicat de risc, cărora li se aplică cerinţele prezentului regulament şi ale legislaţiei de armonizare a Uniunii astfel cum este conţinută într-o anexă la prezentul regulament, ar trebui să fie flexibili în ceea ce priveşte deciziile operaţionale cu privire la modul optim de asigurare a conformităţii unui produs care conţine unul sau mai multe sisteme de IA cu toate cerinţele aplicabile din respectiva legislaţie de armonizare a Uniunii. Sistemele de IA identificate ca prezentând un grad ridicat de risc ar trebui să se limiteze la cele care au un impact negativ semnificativ asupra sănătăţii, siguranţei şi drepturilor fundamentale ale persoanelor din Uniune, iar o astfel de limitare ar trebui să reducă la minimum orice eventuală restricţionare a comerţului internaţional.
(20)JO C 247, 29.6.2022, p. 1.
(21)Regulamentul (UE) 2017/745 al Parlamentului European şi al Consiliului din 5 aprilie 2017 privind dispozitivele medicale, de modificare a Directivei 2001/83/CE, a Regulamentului (CE) nr. 178/2002 şi a Regulamentului (CE) nr. 1223/2009 şi de abrogare a Directivelor 90/385/CEE şi 93/42/CEE ale Consiliului (JO L 117, 5.5.2017, p. 1).
(22)Regulamentul (UE) 2017/746 al Parlamentului European şi al Consiliului din 5 aprilie 2017 privind dispozitivele medicale pentru diagnostic in vitro şi de abrogare a Directivei 98/79/CE şi a Deciziei 2010/227/UE a Comisiei (JO L 117, 5.5.2017, p. 176).
(23)Directiva 2006/42/CE a Parlamentului European şi a Consiliului din 17 mai 2006 privind echipamentele tehnice şi de modificare a Directivei 95/16/CE (JO L 157, 9.6.2006, p. 24).
(47)Sistemele de IA ar putea avea un impact negativ asupra sănătăţii şi siguranţei persoanelor, în special atunci când funcţionează drept componente de siguranţă ale produselor. În concordanţă cu obiectivele legislaţiei de armonizare a Uniunii de a facilita libera circulaţie a produselor pe piaţa internă şi de a asigura că numai produsele sigure şi conforme în toate privinţele ajung pe piaţă, este important ca riscurile în materie de siguranţă care pot fi generate de un produs în ansamblu din cauza componentelor sale digitale, inclusiv a sistemelor de IA, să fie prevenite şi atenuate în mod corespunzător. De exemplu, roboţii din ce în ce mai autonomi, fie în contextul producţiei, fie în contextul asistenţei şi îngrijirii personale, ar trebui să fie în măsură să îşi desfăşoare activitatea şi să îşi îndeplinească funcţiile în condiţii de siguranţă în medii complexe. În mod similar, în sectorul sănătăţii, unde mizele privind viaţa şi sănătatea sunt deosebit de ridicate, sistemele de diagnosticare din ce în ce mai sofisticate şi sistemele care sprijină deciziile umane ar trebui să fie fiabile şi exacte.
(48)Amploarea impactului negativ al sistemului de IA asupra drepturilor fundamentale protejate de cartă este deosebit de relevantă atunci când un sistem de IA este clasificat ca prezentând un grad ridicat de risc. Printre aceste drepturi se numără dreptul la demnitate umană, respectarea vieţii private şi de familie, protecţia datelor cu caracter personal, libertatea de exprimare şi de informare, libertatea de întrunire şi de asociere, precum, dreptul la nediscriminarea, dreptul la educaţie, protecţia consumatorilor, drepturile lucrătorilor, drepturile persoanelor cu dizabilităţi, egalitatea de gen, drepturile de proprietate intelectuală, dreptul la o cale de atac eficientă şi la un proces echitabil, dreptul la apărare şi prezumţia de nevinovăţie şi dreptul la o bună administrare. Pe lângă aceste drepturi, este important să se sublinieze faptul că copiii au drepturi specifice, astfel cum sunt consacrate la articolul 24 din cartă şi în Convenţia Organizaţiei Naţiunilor Unite cu privire la drepturile copilului, detaliată în Comentariul general nr. 25 la aceasta privind mediul digital, ambele impunând luarea în considerare a vulnerabilităţilor copiilor şi asigurarea protecţiei şi îngrijirii necesare pentru bunăstarea lor. Dreptul fundamental la un nivel ridicat de protecţie a mediului consacrat în cartă şi pus în aplicare în politicile Uniunii ar trebui, de asemenea, să fie luat în considerare atunci când se evaluează gravitatea prejudiciului pe care îl poate cauza un sistem de IA, inclusiv în ceea ce priveşte sănătatea şi siguranţa persoanelor.
(49)În ceea ce priveşte sistemele de IA cu grad ridicat de risc care sunt componente de siguranţă ale produselor sau sistemelor sau care sunt ele însele produse sau sisteme care intră în domeniul de aplicare al Regulamentului (CE) nr. 300/2008 al Parlamentului European şi al Consiliului (24), al Regulamentului (UE) nr. 167/2013 al Parlamentului European şi al Consiliului (25), al Regulamentului (UE) nr. 168/2013 al Parlamentului European şi al Consiliului (26), al Directivei 2014/90/UE a Parlamentului European şi a Consiliului (27), al Directivei (UE) 2016/797 a Parlamentului European şi a Consiliului (28), al Regulamentului (UE) 2018/858 al Parlamentului European şi al Consiliului (29), al Regulamentului (UE) 2018/1139 al Parlamentului European şi al Consiliului (30) şi al Regulamentului (UE) 2019/2144 al Parlamentului European şi al Consiliului (31), este oportun să se modifice respectivele acte legislative pentru a se asigura luarea în considerare de către Comisie, pe baza specificităţilor tehnice şi de reglementare ale fiecărui sector şi fără a afecta mecanismele şi autorităţile existente de guvernanţă, de evaluare a conformităţii şi de aplicare a legislaţiei instituite în acestea, a cerinţelor obligatorii pentru sistemele de IA cu grad ridicat de risc prevăzute în prezentul regulament atunci când adoptă orice act delegat sau de punere în aplicare relevant pe baza respectivelor acte legislative.
(24)Regulamentul (CE) nr. 300/2008 al Parlamentului European şi al Consiliului din 11 martie 2008 privind norme comune în domeniul securităţii aviaţiei civile şi de abrogare a Regulamentului (CE) nr. 2320/2002 (JO L 97, 9.4.2008, p. 72).
(25)Regulamentul (UE) nr. 167/2013 al Parlamentului European şi al Consiliului din 5 februarie 2013 privind omologarea şi supravegherea pieţei pentru vehiculele agricole şi forestiere (JO L 60, 2.3.2013, p. 1).
(26)Regulamentul (UE) nr. 168/2013 al Parlamentului European şi al Consiliului din 15 ianuarie 2013 privind omologarea şi supravegherea pieţei pentru vehiculele cu două sau trei roţi şi pentru cvadricicluri (JO L 60, 2.3.2013, p. 52).
(27)Directiva 2014/90/UE a Parlamentului European şi a Consiliului din 23 iulie 2014 privind echipamentele maritime şi de abrogare a Directivei 96/98/CE a Consiliului (JO L 257, 28.8.2014, p. 146).
(28)Directiva (UE) 2016/797 a Parlamentului European şi a Consiliului din 11 mai 2016 privind interoperabilitatea sistemului feroviar în Uniunea Europeană (JO L 138, 26.5.2016, p. 44).
(29)Regulamentul (UE) 2018/858 al Parlamentului European şi al Consiliului din 30 mai 2018 privind omologarea şi supravegherea pieţei autovehiculelor şi remorcilor acestora, precum şi ale sistemelor, componentelor şi unităţilor tehnice separate destinate vehiculelor respective, de modificare a Regulamentelor (CE) nr. 715/2007 şi (CE) nr. 595/2009 şi de abrogare a Directivei 2007/46/CE (JO L 151, 14.6.2018, p. 1).
(30)Regulamentul (UE) 2018/1139 al Parlamentului European şi al Consiliului din 4 iulie 2018 privind normele comune în domeniul aviaţiei civile şi de înfiinţare a Agenţiei Uniunii Europene pentru Siguranţa Aviaţiei, de modificare a Regulamentelor (CE) nr. 2111/2005, (CE) nr. 1008/2008, (UE) nr. 996/2010, (UE) nr. 376/2014 şi a Directivelor 2014/30/UE şi 2014/53/UE ale Parlamentului European şi ale Consiliului, precum şi de abrogare a Regulamentelor (CE) nr. 552/2004 şi (CE) nr. 216/2008 ale Parlamentului European şi ale Consiliului şi a Regulamentului (CEE) nr. 3922/91 al Consiliului (JO L 212, 22.8.2018, p. 1).
(31)Regulamentul (UE) 2019/2144 al Parlamentului European şi al Consiliului din 27 noiembrie 2019 privind cerinţele pentru omologarea de tip a autovehiculelor şi remorcilor acestora, precum şi a sistemelor, componentelor şi unităţilor tehnice separate destinate unor astfel de vehicule, în ceea ce priveşte siguranţa generală a acestora şi protecţia ocupanţilor vehiculului şi a utilizatorilor vulnerabili ai drumurilor, de modificare a Regulamentului (UE) 2018/858 al Parlamentului European şi al Consiliului şi de abrogare a Regulamentelor (CE) nr. 78/2009, (CE) nr. 79/2009 şi (CE) nr. 661/2009 ale Parlamentului European şi ale Consiliului şi a Regulamentelor (CE) nr. 631/2009, (UE) nr. 406/2010, (UE) nr. 672/2010, (UE) nr. 1003/2010, (UE) nr. 1005/2010, (UE) nr. 1008/2010, (UE) nr. 1009/2010, (UE) nr. 19/2011, (UE) nr. 109/2011, (UE) nr. 458/2011, (UE) nr. 65/2012, (UE) nr. 130/2012, (UE) nr. 347/2012, (UE) nr. 351/2012, (UE) nr. 1230/2012 şi (UE) 2015/166 ale Comisiei (JO L 325, 16.12.2019, p. 1).
(50)În ceea ce priveşte sistemele de IA care sunt componente de siguranţă ale produselor sau care sunt ele însele produse care intră în domeniul de aplicare al anumitor acte legislative de armonizare ale Uniunii enumerate într-o anexă la prezentul regulament, este oportun să fie clasificate ca prezentând un grad ridicat de risc în temeiul prezentului regulament în cazul în care produsul respectiv este supus procedurii de evaluare a conformităţii efectuate de un organism terţ de evaluare a conformităţii în temeiul respectivelor acte legislative de armonizare relevante ale Uniunii. În special, astfel de produse sunt echipamentele tehnice, jucăriile, ascensoarele, echipamentele şi sistemele de protecţie destinate utilizării în atmosfere potenţial explozive, echipamentele radio, echipamentele sub presiune, echipamentele pentru ambarcaţiuni de agrement, instalaţiile pe cablu, aparatele consumatoare de combustibili gazoşi, dispozitivele medicale, dispozitivele medicale pentru diagnostic in vitro, cele din industria auto şi aeronautică.
(51)Clasificarea unui sistem de IA ca prezentând un grad ridicat de risc în temeiul prezentului regulament nu ar trebui să însemne neapărat că produsul a cărui componentă de siguranţă este sistemul de IA sau că sistemul de IA în sine ca produs este considerat ca prezentând un grad ridicat de risc în conformitate cu criteriile stabilite în actele legislative de armonizare relevante ale Uniunii care se aplică produsului. Acesta este, în special, cazul Regulamentelor (UE) 2017/745 şi (UE) 2017/746, care prevăd o evaluare a conformităţii de către un terţ pentru produsele cu grad mediu de risc şi cu grad ridicat de risc.
(52)În ceea ce priveşte sistemele de IA autonome, şi anume alte sisteme de IA cu grad ridicat de risc decât cele care sunt componente de siguranţă ale unor produse sau care sunt ele însele produse, este oportun să fie clasificate ca prezentând un grad ridicat de risc dacă, având în vedere scopul lor preconizat, prezintă un risc ridicat de a aduce prejudicii sănătăţii şi siguranţei sau drepturilor fundamentale ale persoanelor, ţinându-se seama atât de gravitatea posibilelor prejudicii, cât şi de probabilitatea producerii acestora, şi dacă sunt utilizate într-o serie de domenii predefinite în mod specific precizate în prezentul regulament. Identificarea sistemelor respective se bazează pe aceeaşi metodologie şi pe aceleaşi criterii avute în vedere pentru eventuale modificări viitoare ale listei de sisteme de IA cu grad ridicat de risc, modificări pe care Comisia ar trebui să fie împuternicită să le adopte, prin intermediul unor acte delegate, pentru a ţine seama de ritmul rapid al dezvoltării tehnologice şi de eventualele modificări în utilizarea sistemelor de IA.
(53)De asemenea, este important să se clarifice faptul că pot exista cazuri specifice în care sistemele de IA menţionate în domenii predefinite specificate în prezentul regulament nu conduc la un risc semnificativ de a aduce prejudicii intereselor juridice protejate în cadrul domeniilor respective, deoarece nu influenţează în mod semnificativ procesul decizional sau nu aduc prejudicii substanţiale intereselor respective. În sensul prezentului regulament, un sistem de IA care nu influenţează în mod semnificativ rezultatul procesului decizional ar trebui să fie înţeles ca fiind un sistem de IA care nu are un impact asupra substanţei şi, prin urmare, nici asupra rezultatului procesului decizional, indiferent dacă este uman sau automatizat. Un sistem de IA care nu influenţează în mod semnificativ rezultatul procesului decizional ar putea include situaţii în care sunt îndeplinite una sau mai multe dintre condiţiile prezentate în continuare. Prima condiţie ar trebui să fie aceea ca sistemul de IA să fie destinat să îndeplinească o sarcină procedurală restrânsă, de exemplu un sistem de IA care transformă date nestructurate în date structurate, un sistem de IA care clasifică pe categorii documentele primite sau un sistem de IA care este utilizat pentru a detecta duplicatele dintr-un număr mare de candidaturi. Aceste sarcini au un caracter atât de restrâns şi de limitat încât prezintă doar riscuri reduse, riscuri care nu cresc prin utilizarea unui sistem de IA într-un context enumerat ca utilizare cu grad ridicat de risc într-o anexă la prezentul regulament. A doua condiţie ar trebui să fie ca sarcina îndeplinită de sistemul de IA să fie menită să îmbunătăţească rezultatul unei activităţi umane finalizate anterior care poate fi relevantă în sensul utilizărilor cu grad ridicat de risc enumerate într-o anexă la prezentul regulament. Având în vedere aceste caracteristici, sistemul de IA adaugă doar un nivel suplimentar unei activităţi umane, prezentând în consecinţă un risc redus. Această condiţie s-ar aplica, de exemplu, sistemelor de IA care sunt menite să îmbunătăţească limbajul utilizat în documente redactate anterior, de exemplu în ceea ce priveşte tonul profesional, stilul academic de limbaj sau alinierea textului la mesajele specifice unei anumite mărci. A treia condiţie ar trebui să fie aceea ca sistemul de IA să fie destinat să detecteze modelele decizionale sau devierile de la modele decizionale anterioare. Riscul ar fi redus deoarece utilizarea sistemului de IA este ulterioară unei evaluări finalizate anterior de către un om, pe care nu este destinată să o înlocuiască sau să o influenţeze fără o revizuire adecvată de către un om. Printre aceste sisteme de IA se numără, de exemplu, cele care, având în vedere un anumit model de notare folosit de un cadru didactic, pot fi utilizate pentru a verifica ex post dacă respectivul cadru didactic s-a abătut de la modelul de notare în cauză şi pentru a semnala astfel eventuale inconsecvenţe sau anomalii. A patra condiţie ar trebui să fie aceea ca sistemul de IA să fie destinat să îndeplinească o sarcină care este doar pregătitoare pentru o evaluare relevantă pentru scopurile sistemelor de IA enumerate într-o anexă la prezentul regulament, făcând astfel ca posibilul impact al rezultatelor sistemului să prezinte un risc foarte scăzut pentru evaluarea ulterioară bazată pe ele. Această condiţie se referă, printre altele, la soluţiile inteligente de gestionare a fişierelor, care includ diverse funcţii, cum ar fi indexarea, căutarea, prelucrarea textelor şi a vorbirii sau corelarea datelor cu alte surse de date, ori la sistemele de IA utilizate pentru traducerea documentelor iniţiale. În orice caz, ar trebui să se considere că sistemele de IA utilizate în situaţii cu grad ridicat de risc enumerate într-o anexă la prezentul regulament prezintă riscuri semnificative de prejudicii la adresa sănătăţii, siguranţei sau drepturilor fundamentale dacă implică crearea de profiluri în sensul articolului 4 punctul 4 din Regulamentul (UE) 2016/679 sau al articolului 3 punctul 4 din Directiva (UE) 2016/680 sau al articolului 3 punctul 5 din Regulamentul (UE) 2018/1725. Pentru a asigura trasabilitatea şi transparenţa, un furnizor care consideră pe baza condiţiilor menţionate mai sus că un sistem de IA nu prezintă un grad ridicat de risc ar trebui să întocmească documentaţia pentru evaluare înainte ca sistemul respectiv să fie introdus pe piaţă sau pus în funcţiune şi ar trebui să furnizeze respectiva documentaţie autorităţilor naţionale competente, la cerere. Furnizorul ar trebui să fie obligat să înregistreze sistemul de IA în baza de date a UE instituită în temeiul prezentului regulament. Pentru a oferi îndrumare suplimentară în vederea punerii în practică a condiţiilor în care sistemele de IA enumerate într-o anexă la prezentul regulament nu prezintă, în mod excepţional, un grad ridicat de risc, Comisia ar trebui, după consultarea Consiliului IA, să furnizeze orientări care să detalieze respectiva punere în practică, completate de o listă cuprinzătoare de exemple practice de cazuri de utilizare a sistemelor de IA cu grad ridicat de risc şi cazuri de utilizare fără grad ridicat de risc.
(54)Întrucât datele biometrice constituie o categorie specială de date cu caracter personal, este oportun ca mai multe cazuri de utilizare critică a sistemelor biometrice să fie clasificate ca prezentând un grad ridicat de risc, în măsura în care utilizarea acestora este permisă în temeiul dreptului Uniunii şi al dreptului intern relevant. Inexactităţile tehnice ale sistemelor de IA destinate identificării biometrice la distanţă a persoanelor fizice pot conduce la rezultate distorsionate de prejudecăţi şi pot avea efecte discriminatorii. Riscul unor astfel de rezultate distorsionate de prejudecăţi şi efecte discriminatorii este deosebit de relevant în ceea ce priveşte vârsta, etnia, rasa, sexul sau dizabilităţile. Prin urmare, sistemele de identificare biometrică la distanţă ar trebui să fie clasificate ca prezentând un grad ridicat de risc, având în vedere riscurile pe care le implică. Nu se încadrează în această clasificare sistemele de IA destinate a fi utilizate pentru verificarea biometrică, inclusiv pentru autentificare, al cărei unic scop este de a confirma că o anumită persoană fizică este cine susţine că este şi de a confirma identitatea unei persoane fizice cu unicul scop de a-i permite accesul la un serviciu, deblocarea unui dispozitiv sau accesul securizat într-o incintă. În plus, ar trebui să fie clasificate ca prezentând un grad ridicat de risc sistemele de IA destinate a fi utilizate pentru clasificarea biometrică în funcţie de atribute sau caracteristici sensibile protejate în temeiul articolului 9 alineatul (1) din Regulamentul (UE) 2016/679 pe baza datelor biometrice, în măsura în care nu sunt interzise în temeiul prezentului regulament, şi sistemele de recunoaştere a emoţiilor care nu sunt interzise în temeiul prezentului regulament. Sistemele biometrice destinate a fi utilizate exclusiv în scopul aplicării măsurilor de securitate cibernetică şi de protecţie a datelor cu caracter personal nu ar trebui să fie considerate sisteme de IA cu grad ridicat de risc.
(55)În ceea ce priveşte gestionarea şi exploatarea infrastructurii critice, este oportun să se clasifice ca prezentând un grad ridicat de risc sistemele de IA destinate utilizării drept componente de siguranţă în cadrul gestionării şi exploatării infrastructurilor digitale critice enumerate la punctul 8 din anexa la Directiva (UE) 2022/2557, a traficului rutier şi a aprovizionării cu apă, gaz, încălzire şi energie electrică, deoarece defectarea lor sau funcţionarea lor defectuoasă poate pune în pericol viaţa şi sănătatea persoanelor la scară largă şi poate conduce la perturbări semnificative ale desfăşurării obişnuite a activităţilor sociale şi economice. Componentele de siguranţă ale infrastructurii critice, inclusiv ale infrastructurii digitale critice, sunt sisteme utilizate pentru a proteja în mod direct integritatea fizică a infrastructurii critice sau sănătatea şi siguranţa persoanelor şi a bunurilor, dar care nu sunt necesare pentru funcţionarea sistemului. Defectarea sau funcţionarea defectuoasă a unor astfel de componente ar putea conduce în mod direct la riscuri pentru integritatea fizică a infrastructurii critice şi, prin urmare, la riscuri pentru sănătatea şi siguranţa persoanelor şi a bunurilor. Componentele destinate a fi utilizate exclusiv în scopuri de securitate cibernetică nu ar trebui să se califice drept componente de siguranţă. Printre exemplele de componente de siguranţă ale unei astfel de infrastructuri critice se numără sistemele de monitorizare a presiunii apei sau sistemele de control al alarmei de incendiu în centrele de cloud computing.
(56)Implementarea sistemelor de IA în educaţie este importantă pentru a promova educaţia şi formarea digitală de înaltă calitate şi pentru a permite tuturor cursanţilor şi cadrelor didactice să dobândească şi să partajeze aptitudinile şi competenţele digitale necesare, inclusiv educaţia în domeniul mass-mediei şi gândirea critică, pentru a participa activ la economie, în societate şi la procesele democratice. Cu toate acestea, sistemele de IA utilizate în educaţie sau în formarea profesională, în special pentru stabilirea accesului sau a admiterii, pentru repartizarea persoanelor în instituţii sau programe educaţionale şi de formare profesională la toate nivelurile, pentru evaluarea rezultatelor învăţării unei persoane, pentru evaluarea nivelului adecvat de instruire al unei persoane, pentru influenţarea semnificativă a nivelului de educaţie şi formare pe care îl vor primi sau îl vor putea accesa persoanele sau pentru monitorizarea şi detectarea comportamentului interzis al elevilor şi studenţilor în timpul testelor, ar trebui să fie clasificate drept sisteme de IA cu grad ridicat de risc, deoarece pot determina parcursul educaţional şi profesional din viaţa unei persoane şi, prin urmare, pot afecta capacitatea acesteia de a-şi asigura mijloace de subzistenţă. Atunci când sunt concepute şi utilizate în mod necorespunzător, astfel de sisteme pot fi deosebit de intruzive şi pot încălca dreptul la educaţie şi formare, precum şi dreptul de a nu fi discriminat şi pot perpetua tipare istorice de discriminare, de exemplu împotriva femeilor, a anumitor grupe de vârstă, a persoanelor cu dizabilităţi sau a persoanelor de anumite origini rasiale ori etnice sau cu o anumită orientare sexuală.
(57)De asemenea, sistemele de IA utilizate în domeniul ocupării forţei de muncă, al gestionării lucrătorilor şi al accesului la activităţi independente, în special pentru recrutarea şi selectarea persoanelor, pentru luarea deciziilor care afectează condiţiile relaţiei legate de muncă, pentru promovarea şi încetarea relaţiilor contractuale legate de muncă, pentru alocarea sarcinilor pe baza comportamentului individual sau a trăsăturilor sau caracteristicilor personale, precum şi pentru monitorizarea sau evaluarea persoanelor aflate în relaţii contractuale legate de muncă, ar trebui să fie clasificate ca prezentând un grad ridicat de risc, deoarece aceste sisteme pot avea un impact semnificativ asupra viitoarelor perspective de carieră, asupra mijloacelor de subzistenţă ale acestor persoane şi asupra drepturilor lucrătorilor. Relaţiile contractuale relevante legate de muncă ar trebui să implice într-un mod semnificativ angajaţii şi persoanele care prestează servicii prin intermediul platformelor, astfel cum se menţionează în Programul de lucru al Comisiei pentru 2021. Pe tot parcursul procesului de recrutare, precum şi în evaluarea, promovarea sau menţinerea persoanelor în relaţii contractuale legate de muncă, astfel de sisteme pot perpetua tipare istorice de discriminare, de exemplu împotriva femeilor, a anumitor grupe de vârstă, a persoanelor cu dizabilităţi sau a persoanelor de anumite origini rasiale ori etnice sau cu o anumită orientare sexuală. Sistemele de IA utilizate pentru a monitoriza performanţa şi comportamentul acestor persoane pot, de asemenea, să le submineze drepturile fundamentale la protecţia datelor şi la viaţa privată.
(58)Un alt domeniu în care utilizarea sistemelor de IA merită o atenţie deosebită este accesul şi posibilitatea de a beneficia de anumite prestaţii şi servicii publice şi private esenţiale, necesare pentru ca oamenii să participe pe deplin în societate sau să îşi îmbunătăţească nivelul de trai. În special, persoanele fizice care solicită sau primesc prestaţii şi servicii esenţiale de asistenţă publică din partea autorităţilor publice, şi anume servicii de îngrijiri de sănătate, prestaţii de asigurări sociale, servicii sociale care oferă protecţie în cazuri precum maternitatea, boala, accidentele de muncă, dependenţa, bătrâneţea, pierderea locului de muncă, precum şi asistenţă socială şi legată de locuinţe, sunt de regulă dependente de aceste prestaţii şi servicii şi se află într-o poziţie vulnerabilă în raport cu autorităţile responsabile. În cazul în care sistemele de IA sunt utilizate pentru a stabili dacă astfel de prestaţii şi servicii ar trebui să fie acordate, refuzate, reduse, revocate sau recuperate de autorităţi, inclusiv dacă beneficiarii au dreptul legitim la astfel de prestaţii sau servicii, sistemele respective pot avea un impact semnificativ asupra mijloacelor de subzistenţă ale persoanelor şi le pot încălca drepturile fundamentale, cum ar fi dreptul la protecţie socială, la nediscriminare, la demnitatea umană sau la o cale de atac efectivă şi, prin urmare, ar trebui să fie clasificate ca prezentând un grad ridicat de risc. Cu toate acestea, prezentul regulament nu ar trebui să împiedice dezvoltarea şi utilizarea unor abordări inovatoare în administraţia publică, care ar putea beneficia de o utilizare mai largă a sistemelor de IA conforme şi sigure, cu condiţia ca aceste sisteme să nu implice un risc ridicat pentru persoanele fizice şi juridice. În plus, sistemele de IA utilizate pentru a evalua punctajul de credit sau bonitatea persoanelor fizice ar trebui să fie clasificate ca sisteme de IA cu grad ridicat de risc, întrucât acestea determină accesul persoanelor respective la resurse financiare sau la servicii esenţiale, cum ar fi locuinţe, electricitate şi telecomunicaţii. Sistemele de IA utilizate în aceste scopuri pot duce la discriminare între persoane sau între grupuri şi pot perpetua tipare istorice de discriminare, de exemplu pe criterii de origine rasială sau etnică, sex, dizabilitate, vârstă sau orientare sexuală, sau pot crea noi forme de impact discriminatoriu. Cu toate acestea, sistemele de IA prevăzute de dreptul Uniunii în scopul detectării fraudelor în furnizarea de servicii financiare şi în scopuri prudenţiale pentru a calcula cerinţele de capital ale instituţiilor de credit şi ale întreprinderilor de asigurări nu ar trebui să fie considerate ca prezentând un grad ridicat de risc în temeiul prezentului regulament. În plus, sistemele de IA destinate a fi utilizate pentru evaluarea riscurilor şi stabilirea preţurilor pentru asigurarea de sănătate şi de viaţă în cazul persoanelor fizice pot avea, de asemenea, un impact semnificativ asupra mijloacelor de subzistenţă ale persoanelor şi, dacă nu sunt concepute, dezvoltate şi utilizate în mod corespunzător, pot încălca drepturile lor fundamentale şi pot avea consecinţe grave pentru viaţa şi sănătatea oamenilor, cum ar fi excluziunea financiară şi discriminarea. În cele din urmă, sistemele de IA utilizate pentru evaluarea şi clasificarea apelurilor de urgenţă ale persoanelor fizice sau pentru distribuirea sau stabilirea priorităţilor în distribuirea serviciilor de primă intervenţie de urgenţă, inclusiv de către poliţie, pompieri şi asistenţa medicală, precum şi în cadrul sistemelor de triaj medical de urgenţă al pacienţilor, ar trebui de asemenea să fie clasificate ca prezentând un grad ridicat de risc, deoarece iau decizii în situaţii foarte critice pentru viaţa şi sănătatea persoanelor şi pentru bunurile acestora.
(59)Având în vedere rolul şi responsabilitatea lor, acţiunile întreprinse de autorităţile de aplicare a legii care implică anumite utilizări ale sistemelor de IA sunt caracterizate de un grad semnificativ de dezechilibru de putere şi pot duce la supravegherea, arestarea sau privarea de libertate a unei persoane fizice, precum şi la alte efecte negative asupra drepturilor fundamentale garantate în cartă. În special, în cazul în care nu este alimentat cu date de înaltă calitate, nu îndeplineşte cerinţe adecvate de performanţă, acurateţe sau robusteţe sau nu este proiectat şi testat în mod corespunzător înainte de a fi introdus pe piaţă sau pus în funcţiune în alt mod, sistemul de IA poate selecta persoanele într-un mod discriminatoriu sau, la un nivel mai general, în mod incorect ori injust. În plus, exercitarea unor drepturi procedurale fundamentale importante, cum ar fi dreptul la o cale de atac efectivă şi la un proces echitabil, precum şi dreptul la apărare şi prezumţia de nevinovăţie, ar putea fi împiedicată, în special în cazul în care astfel de sisteme de IA nu sunt suficient de transparente, explicabile şi documentate. Prin urmare, este oportun să fie clasificate ca prezentând un grad ridicat de risc, în măsura în care utilizarea lor este permisă în temeiul dreptului Uniunii şi al dreptului intern relevant, o serie de sisteme de IA destinate a fi utilizate în contextul aplicării legii, în care acurateţea, fiabilitatea şi transparenţa sunt deosebit de importante pentru a evita efectele negative, pentru a păstra încrederea publicului şi pentru a asigura asumarea răspunderii şi reparaţii efective. Având în vedere natura activităţilor şi riscurile aferente, aceste sisteme de IA cu grad ridicat de risc ar trebui să includă, în special, sistemele de IA destinate a fi utilizate de autorităţile de aplicare a legii sau în numele acestora sau de instituţiile, organele, oficiile sau agenţiile Uniunii în sprijinul autorităţilor de aplicare a legii pentru a evalua riscul ca o persoană fizică să devină victimă a infracţiunilor, ca poligrafe şi instrumente similare pentru evaluarea fiabilităţii probelor în cursul investigării sau urmăririi penale a infracţiunilor şi, în măsura în care nu se interzice în temeiul prezentului regulament, pentru a evalua riscul ca o persoană fizică să comită o infracţiune sau o recidivă, nu numai pe baza creării de profiluri ale persoanelor fizice, a evaluării trăsăturilor de personalitate şi a caracteristicilor lor sau a comportamentului infracţional anterior al persoanelor fizice sau al grupurilor, precum şi pentru a crea profiluri în cursul depistării, investigării sau urmăririi penale a infracţiunilor. Sistemele de IA destinate în mod specific utilizării în proceduri administrative de către autorităţile fiscale şi vamale, precum şi de către unităţile de informaţii financiare care efectuează sarcini administrative prin care analizează informaţii în temeiul dreptului Uniunii privind combaterea spălării banilor, nu ar trebui să fie clasificate ca sisteme de IA cu grad ridicat de risc utilizate de autorităţile de aplicare a legii în scopul prevenirii, depistării, investigării şi urmăririi penale a infracţiunilor. Utilizarea instrumentelor de IA de către autorităţile de aplicare a legii şi de alte autorităţi relevante nu ar trebui să devină un factor de inegalitate sau de excluziune. Impactul utilizării instrumentelor de IA asupra drepturilor la apărare ale suspecţilor nu ar trebui să fie ignorat, în special dificultatea de a obţine informaţii semnificative cu privire la funcţionarea acestor sisteme şi, în consecinţă, dificultatea de a contesta rezultatele acestora în instanţă, în special de către persoanele fizice care fac obiectul investigării.
(60)Sistemele de IA utilizate în domeniile migraţiei, azilului şi gestionării controlului la frontiere afectează persoane care se află adesea într-o poziţie deosebit de vulnerabilă şi care depind de rezultatul acţiunilor autorităţilor publice competente. Acurateţea, caracterul nediscriminatoriu şi transparenţa sistemelor de IA utilizate în aceste contexte sunt, prin urmare, deosebit de importante pentru a garanta respectarea drepturilor fundamentale ale persoanelor afectate, în special a drepturilor acestora la liberă circulaţie, nediscriminare, protecţia vieţii private şi a datelor cu caracter personal, protecţie internaţională şi bună administrare. Prin urmare, este oportun să fie clasificate ca prezentând un grad ridicat de risc, în măsura în care utilizarea lor este permisă în temeiul dreptului Uniunii şi al dreptului intern relevant, sistemele de IA destinate a fi utilizate de către autorităţile publice competente ori în numele acestora sau de către instituţiile, organele, oficiile sau agenţiile Uniunii care au atribuţii în domeniile migraţiei, azilului şi gestionării controlului la frontiere ca poligrafe şi instrumente similare, pentru a evalua anumite riscuri prezentate de persoanele fizice care intră pe teritoriul unui stat membru sau care solicită viză sau azil, pentru a acorda asistenţă autorităţilor publice competente în ceea ce priveşte examinarea, inclusiv evaluarea conexă a fiabilităţii probelor, a cererilor de azil, de vize şi de permise de şedere şi a plângerilor aferente cu privire la obiectivul de stabilire a eligibilităţii persoanelor fizice care solicită un statut, în scopul detectării, al recunoaşterii sau al identificării persoanelor fizice în contextul migraţiei, al azilului şi al gestionării controlului la frontiere, cu excepţia verificării documentelor de călătorie. Sistemele de IA din domeniul migraţiei, azilului şi gestionării controlului la frontiere reglementate de prezentul regulament ar trebui să respecte cerinţele procedurale relevante stabilite de Regulamentul (CE) nr. 810/2009 al Parlamentului European şi al Consiliului (32), de Directiva 2013/32/UE a Parlamentului European şi a Consiliului (33) şi de alte dispoziţii relevante din dreptul Uniunii. Statele membre sau instituţiile, organele, oficiile şi agenţiile Uniunii nu ar trebui în niciun caz să utilizeze sistemele de IA în domeniul migraţiei, azilului şi gestionării controlului la frontiere ca mijloc de eludare a obligaţiilor lor internaţionale în temeiul Convenţiei ONU privind statutul refugiaţilor întocmită la Geneva la 28 iulie 1951, astfel cum a fost modificată prin Protocolul din 31 ianuarie 1967. De asemenea, respectivele sisteme de IA nu ar trebui să fie utilizate pentru a încălca în vreun fel principiul nereturnării sau pentru a refuza căi legale sigure şi eficace de intrare pe teritoriul Uniunii, inclusiv dreptul la protecţie internaţională.
(32)Regulamentul (CE) nr. 810/2009 al Parlamentului European şi al Consiliului din 13 iulie 2009 privind instituirea unui Cod comunitar de vize (Codul de vize) (JO L 243, 15.9.2009, p. 1).
(33)Directiva 2013/32/UE a Parlamentului European şi a Consiliului din 26 iunie 2013 privind procedurile comune de acordare şi retragere a protecţiei internaţionale (JO L 180, 29.6.2013, p. 60).
(61)Anumite sisteme de IA destinate administrării justiţiei şi proceselor democratice ar trebui să fie clasificate ca prezentând un grad ridicat de risc, având în vedere impactul potenţial semnificativ al acestora asupra democraţiei, statului de drept şi libertăţilor individuale, precum şi asupra dreptului la o cale de atac efectivă şi la un proces echitabil. În special, pentru a aborda potenţialele riscuri de prejudecăţi, erori şi opacitate, este oportun să fie calificate drept sisteme cu grad ridicat de risc sistemele de IA destinate să fie utilizate de o autoritate judiciară sau în numele acesteia pentru a ajuta autorităţile judiciare să cerceteze şi să interpreteze faptele şi legea şi să aplice legea unui set concret de fapte. Sistemele de IA destinate a fi utilizate de organismele de soluţionare alternativă a litigiilor în aceste scopuri ar trebui, de asemenea, să fie considerate ca având un grad ridicat de risc atunci când rezultatele procedurilor de soluţionare alternativă a litigiilor produc efecte juridice pentru părţi. Utilizarea instrumentelor de IA poate sprijini puterea de decizie a judecătorilor sau independenţa sistemului judiciar, dar nu ar trebui să le înlocuiască: procesul decizional final trebuie să rămână o activitate umană. Clasificarea sistemelor de IA ca prezentând un grad ridicat de risc nu ar trebui, totuşi, să se extindă la sistemele de IA destinate unor activităţi administrative pur auxiliare care nu afectează administrarea efectivă a justiţiei în cazuri individuale, cum ar fi anonimizarea sau pseudonimizarea hotărârilor judecătoreşti, a documentelor sau a datelor, comunicarea între membrii personalului, sarcinile administrative.
(62)Fără a aduce atingere normelor prevăzute în Regulamentul (UE) 2024/900 al Parlamentului European şi al Consiliului (34) şi pentru a aborda riscurile de ingerinţe externe nejustificate în dreptul de vot consacrat la articolul 39 din cartă şi de efecte adverse asupra democraţiei şi a statului de drept, sistemele de IA destinate a fi utilizate pentru a influenţa rezultatul unor alegeri sau al unui referendum sau comportamentul de vot al persoanelor fizice în exercitarea votului lor în cadrul alegerilor sau al referendumurilor ar trebui să fie clasificate drept sisteme de IA cu grad ridicat de risc, cu excepţia sistemelor de IA la ale căror rezultate persoanele fizice nu sunt expuse în mod direct, cum ar fi instrumentele utilizate pentru organizarea, optimizarea şi structurarea campaniilor politice din punct de vedere administrativ şi logistic.
(34)Regulamentul (UE) 2024/900 al Parlamentului European şi al Consiliului din 13 martie 2024 privind transparenţa şi vizarea unui public-ţintă în publicitatea politică (JO L, 2024/900, 20.3.2024, ELI: http://data.europa.eu/eli/reg/2024/900/oj).
(63)Faptul că un sistem de IA este clasificat ca sistem de IA cu grad ridicat de risc în temeiul prezentului regulament nu ar trebui să fie interpretat ca indicând că utilizarea sistemului este legală în temeiul altor acte ale dreptului Uniunii sau al dreptului intern compatibil cu dreptul Uniunii, cum ar fi în ceea ce priveşte protecţia datelor cu caracter personal, utilizarea poligrafelor şi a instrumentelor similare sau a altor sisteme pentru detectarea stării emoţionale a persoanelor fizice. Orice astfel de utilizare ar trebui să continue să aibă loc numai în conformitate cu cerinţele aplicabile care decurg din cartă, precum şi din legislaţia secundară aplicabilă a Uniunii şi din dreptul intern aplicabil. Prezentul regulament nu ar trebui să fie înţeles ca oferind temeiul juridic pentru prelucrarea datelor cu caracter personal, inclusiv a categoriilor speciale de date cu caracter personal, după caz, cu excepţia cazului în care se specifică altfel în cuprinsul prezentului regulament.
(64)Pentru atenuarea riscurilor generate de sistemele de IA cu grad ridicat de risc introduse pe piaţă sau puse în funcţiune şi pentru a asigura un nivel înalt de credibilitate, ar trebui să se aplice anumite cerinţe obligatorii în cazul sistemelor de IA cu grad ridicat de risc, ţinând seama de scopul preconizat şi de contextul utilizării sistemului de IA şi în conformitate cu sistemul de gestionare a riscurilor care urmează să fie instituit de furnizor. Măsurile adoptate de furnizori pentru a se conforma cerinţelor obligatorii din prezentul regulament ar trebui să ţină seama de stadiul general recunoscut al tehnologiei în materie de IA, să fie proporţionale şi eficace pentru a îndeplini obiectivele prezentului regulament. Pe baza noului cadru legislativ, astfel cum s-a clarificat în Comunicarea Comisiei intitulată "«Ghidul albastru» din 2022 referitor la punerea în aplicare a normelor UE privind produsele", regula generală este că cel puţin un act juridic din legislaţia de armonizare a Uniunii poate fi aplicabil unui singur produs, deoarece punerea la dispoziţie sau punerea în funcţiune poate avea loc numai atunci când produsul respectă întreaga legislaţie de armonizare a Uniunii aplicabilă. Pericolele sistemelor de IA care fac obiectul cerinţelor prezentului regulament se referă la aspecte diferite faţă de legislaţia existentă de armonizare a Uniunii şi, prin urmare, cerinţele prezentului regulament ar completa corpul existent al legislaţiei de armonizare a Uniunii. De exemplu, maşinile sau dispozitivele medicale care încorporează un sistem de IA ar putea prezenta riscuri care nu sunt abordate de cerinţele esenţiale de sănătate şi siguranţă prevăzute în legislaţia armonizată relevantă a Uniunii, deoarece legislaţia sectorială respectivă nu abordează riscurile specifice sistemelor de IA. Acest lucru necesită o aplicare simultană şi complementară a diferitelor acte legislative. Pentru a se asigura coerenţa şi a se evita sarcinile administrative şi costurile inutile, furnizorii unui produs care conţine unul sau mai multe sisteme de IA cu grad ridicat de risc, cărora li se aplică cerinţele prezentului regulament şi ale legislaţiei de armonizare a Uniunii bazate pe noul cadru legislativ şi care figurează într-o anexă la prezentul regulament, ar trebui să fie flexibili în ceea ce priveşte deciziile operaţionale cu privire la modul optim de asigurare a conformităţii unui produs care conţine unul sau mai multe sisteme de IA cu toate cerinţele aplicabile din respectiva legislaţie armonizată a Uniunii. Această flexibilitate ar putea însemna, de exemplu, o decizie a furnizorului de a integra o parte a proceselor de testare şi raportare necesare, informaţiile şi documentaţia impuse în temeiul prezentului regulament în documentaţia şi în procedurile deja existente impuse în temeiul legislaţiei de armonizare existente a Uniunii bazate pe noul cadru legislativ şi care figurează într-o anexă la prezentul regulament. Acest lucru nu ar trebui să submineze în niciun fel obligaţia furnizorului de a respecta toate cerinţele aplicabile.
(65)Sistemul de gestionare a riscurilor ar trebui să constea într-un proces iterativ continuu care este preconizat şi derulat pe parcursul întregului ciclu de viaţă al unui sistem de IA cu grad ridicat de risc. Respectivul proces ar trebui să aibă drept scop identificarea şi atenuarea riscurilor relevante reprezentate de sistemele de IA pentru sănătate, siguranţă şi drepturile fundamentale. Sistemul de gestionare a riscurilor ar trebui să fie evaluat şi actualizat periodic pentru a se asigura eficacitatea sa continuă, precum şi justificarea şi documentarea oricăror decizii şi acţiuni semnificative luate în temeiul prezentului regulament. Acest proces ar trebui să garanteze faptul că furnizorul identifică riscurile sau efectele negative şi pune în aplicare măsuri de atenuare pentru riscurile cunoscute şi previzibile în mod rezonabil reprezentate de sistemele de IA pentru sănătate, siguranţă şi drepturile fundamentale, având în vedere scopul preconizat al acestora şi utilizarea necorespunzătoare previzibilă în mod rezonabil ale acestor sisteme, inclusiv posibilele riscuri care decurg din interacţiunea dintre sistemele de IA şi mediul în care funcţionează. Sistemul de gestionare a riscurilor ar trebui să adopte cele mai adecvate măsuri de gestionare a riscurilor, având în vedere stadiul cel mai avansat al tehnologiei în domeniul IA. Atunci când identifică cele mai adecvate măsuri de gestionare a riscurilor, furnizorul ar trebui să documenteze şi să explice alegerile făcute şi, după caz, să implice experţi şi părţi interesate externe. Atunci când identifică utilizarea necorespunzătoare previzibilă în mod rezonabil a sistemelor de IA cu grad ridicat de risc, furnizorul ar trebui să acopere utilizările sistemelor de IA în legătură cu care se poate aştepta în mod rezonabil, să rezulte dintr-un comportament uman uşor previzibil în contextul caracteristicilor specifice şi al utilizării unui anumit sistem de IA, deşi utilizările respective nu sunt acoperite în mod direct de scopul preconizat şi nu sunt prevăzute în instrucţiunile de utilizare. Orice circumstanţe cunoscute sau previzibile legate de utilizarea sistemului de IA cu grad ridicat de risc în conformitate cu scopul său preconizat sau în condiţii de utilizare necorespunzătoare previzibilă în mod rezonabil, care pot conduce la riscuri pentru sănătate şi siguranţă sau pentru drepturile fundamentale, ar trebui să fie incluse în instrucţiunile de utilizare care sunt furnizate de furnizor. Scopul este de a se asigura că implementatorul le cunoaşte şi le ia în considerare atunci când utilizează sistemul de IA cu grad ridicat de risc. Identificarea şi punerea în aplicare a măsurilor de atenuare a riscurilor în caz de utilizare necorespunzătoare previzibilă în temeiul prezentului regulament nu ar trebui să necesite din partea furnizorului antrenare suplimentară specifică pentru sistemul de IA cu grad ridicat de risc pentru a aborda utilizarea necorespunzătoare previzibilă. Cu toate acestea, furnizorii sunt încurajaţi să ia în considerare astfel de măsuri suplimentare de antrenare pentru a atenua utilizările necorespunzătoare previzibile în mod rezonabil, după cum este necesar şi adecvat.
(66)Cerinţele ar trebui să se aplice sistemelor de IA cu grad ridicat de risc în ceea ce priveşte gestionarea riscurilor, calitatea şi relevanţa seturilor de date utilizate, documentaţia tehnică şi păstrarea evidenţelor, transparenţa şi furnizarea de informaţii către implementatori, supravegherea umană, robusteţea, acurateţea şi securitatea cibernetică. Aceste cerinţe sunt necesare pentru a atenua în mod eficace riscurile pentru sănătate, siguranţă şi drepturile fundamentale. Nefiind disponibile în mod rezonabil alte măsuri mai puţin restrictive privind comerţul, respectivele restricţii în calea comerţului nu sunt astfel nejustificate.
(67)Datele de înaltă calitate şi accesul la date de înaltă calitate joacă un rol vital în ceea ce priveşte furnizarea structurii şi asigurarea performanţei multor sisteme de IA, în special atunci când se utilizează tehnici care implică antrenarea modelelor, pentru a se asigura că sistemul de IA cu grad ridicat de risc funcţionează astfel cum s-a prevăzut şi în condiţii de siguranţă şi nu devine o sursă de discriminare, interzisă de dreptul Uniunii. Seturile de date de înaltă calitate de antrenare, de validare şi de testare necesită punerea în aplicare a unor practici adecvate de guvernanţă şi gestionare a datelor. Seturile de date de antrenare, de validare şi de testare, inclusiv etichetele, ar trebui să fie relevante, suficient de reprezentative şi, pe cât posibil, fără erori şi complete, având în vedere scopul preconizat al sistemului. Pentru a facilita respectarea dreptului Uniunii în materie de protecţie a datelor, cum ar fi Regulamentul (UE) 2016/679, practicile de guvernanţă şi gestionare a datelor ar trebui să includă, în cazul datelor cu caracter personal, transparenţa cu privire la scopul iniţial al colectării datelor. Seturile de date ar trebui să aibă, de asemenea, proprietăţile statistice adecvate, inclusiv în ceea ce priveşte persoanele sau grupurile de persoane în legătură cu care se intenţionează să fie utilizat sistemul de IA cu grad ridicat de risc, acordând o atenţie deosebită atenuării posibilelor prejudecăţi din seturile de date, care ar putea afecta sănătatea şi siguranţa persoanelor, ar putea avea un impact negativ asupra drepturilor fundamentale sau ar putea conduce la discriminare interzisă în temeiul dreptului Uniunii, în special în cazul în care datele de ieşire influenţează datele de intrare pentru operaţiunile viitoare ("bucle de feedback"). Prejudecăţile pot fi, de exemplu, inerente seturilor de date subiacente, mai ales când sunt utilizate date istorice, sau pot fi generate în timpul implementării în condiţii reale a sistemelor. Rezultatele produse de sistemele de IA ar putea fi influenţate de aceste prejudecăţi inerente care tind să crească treptat şi astfel să perpetueze şi să amplifice discriminarea existentă, în special pentru persoanele care aparţin anumitor grupuri vulnerabile, inclusiv grupuri rasiale sau etnice. Cerinţa ca seturile de date să fie, pe cât posibil, complete şi fără erori nu ar trebui să afecteze utilizarea tehnicilor de protejare a vieţii private în contextul dezvoltării şi testării sistemelor de IA. În special, seturile de date ar trebui să ţină seama, în măsura în care acest lucru este necesar având în vedere scopul lor preconizat, de particularităţile, caracteristicile sau elementele care sunt specifice cadrului geografic, contextual, comportamental sau funcţional în care este destinat să fie utilizat sistemul de IA. Cerinţele legate de guvernanţa datelor pot fi respectate prin recurgerea la părţi terţe care oferă servicii de conformitate certificate, inclusiv verificarea guvernanţei datelor, a integrităţii seturilor de date şi a practicilor de antrenare, validare şi testare a datelor, în măsura în care este asigurată respectarea cerinţelor în materie de date din prezentul regulament.
(68)Pentru dezvoltarea şi evaluarea sistemelor de IA cu grad ridicat de risc, anumiţi actori, cum ar fi furnizorii, organismele notificate şi alte entităţi relevante, cum ar fi centrele europene de inovare digitală, unităţile de testare şi experimentare şi cercetătorii, ar trebui să poată accesa şi utiliza seturi de date de înaltă calitate în domeniile de activitate ale actorilor respectivi care sunt legate de prezentul regulament. Spaţiile europene comune ale datelor instituite de Comisie şi facilitarea schimbului de date între întreprinderi şi cu administraţiile publice în interes public vor fi esenţiale pentru a oferi un acces de încredere, responsabil şi nediscriminatoriu la date de înaltă calitate pentru antrenarea, validarea şi testarea sistemelor de IA. De exemplu, în domeniul sănătăţii, spaţiul european al datelor privind sănătatea va facilita accesul nediscriminatoriu la datele privind sănătatea şi antrenarea algoritmilor IA cu aceste seturi de date, într-un mod care protejează viaţa privată, sigur, prompt, transparent şi fiabil şi cu o guvernanţă instituţională adecvată. Autorităţile competente relevante, inclusiv cele sectoriale, care furnizează sau sprijină accesul la date pot sprijini, de asemenea, furnizarea de date de înaltă calitate pentru antrenarea, validarea şi testarea sistemelor de IA.
(69)Dreptul la viaţa privată şi la protecţia datelor cu caracter personal trebuie să fie garantat pe parcursul întregului ciclu de viaţă al sistemului de IA. În acest sens, principiile reducerii la minimum a datelor şi protecţiei datelor începând cu momentul conceperii şi în mod implicit, astfel cum sunt prevăzute în dreptul Uniunii privind protecţia datelor, sunt aplicabile atunci când sunt prelucrate date cu caracter personal. Măsurile luate de furnizori pentru a asigura respectarea principiilor respective pot include nu numai anonimizarea şi criptarea, ci şi folosirea unei tehnologii care permite să se aplice algoritmi datelor şi antrenarea sistemelor de IA, fără ca aceste date să fie transmise între părţi şi fără ca înseşi datele primare sau datele structurate să fie copiate, fără a aduce atingere cerinţelor privind guvernanţa datelor prevăzute în prezentul regulament.
(70)Pentru a proteja dreptul altora împotriva discriminării care ar putea rezulta din prejudecăţile inerente sistemelor de IA, furnizorii ar trebui să poată să prelucreze şi categorii speciale de date cu caracter personal, ca o chestiune de interes public major în înţelesul articolului 9 alineatul (2) litera (g) din Regulamentul (UE) 2016/679 şi al articolului 10 alineatul (2) litera (g) din Regulamentul (UE) 2018/1725, în mod excepţional, în măsura în care este strict necesar în scopul asigurării detectării şi corectării prejudecăţilor în legătură cu sistemele de IA cu grad ridicat de risc, sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile fundamentale ale persoanelor fizice şi în urma aplicării tuturor condiţiilor prevăzute în temeiul prezentului regulament în plus faţă de condiţiile prevăzute în Regulamentele (UE) 2016/679 şi (UE) 2018/1725 şi în Directiva (UE) 2016/680.
(71)Deţinerea de informaţii uşor de înţeles cu privire la modul în care au fost dezvoltate sistemele de IA cu grad ridicat de risc şi la modul în care acestea funcţionează pe toată durata lor de viaţă este esenţială pentru a permite trasabilitatea sistemelor respective, pentru a verifica conformitatea cu cerinţele prevăzute în prezentul regulament, precum şi pentru monitorizarea funcţionării lor şi pentru monitorizarea ulterioară introducerii pe piaţă. Acest lucru presupune păstrarea evidenţelor şi disponibilitatea unei documentaţii tehnice care să conţină informaţiile necesare pentru a evalua conformitatea sistemului de IA cu cerinţele relevante şi a facilita monitorizarea ulterioară introducerii pe piaţă. Aceste informaţii ar trebui să includă caracteristicile generale, capabilităţile şi limitările sistemului, algoritmii, datele, procesele de antrenare, testare şi validare utilizate, precum şi documentaţia privind sistemul relevant de gestionare a riscurilor şi ar trebui să fie redactate într-o formă clară şi cuprinzătoare. Documentaţia tehnică ar trebui să fie actualizată permanent şi în mod adecvat pe toată durata de viaţă a sistemului de IA. În plus, sistemele de IA cu grad ridicat de risc ar trebui să permită din punct de vedere tehnic înregistrarea automată a evenimentelor, prin intermediul unor fişiere de jurnalizare, de-a lungul duratei de viaţă a sistemului.
(72)Pentru a răspunde preocupărilor legate de opacitatea şi complexitatea anumitor sisteme de IA şi pentru a-i ajuta pe implementatori să îşi îndeplinească obligaţiile care le revin în temeiul prezentului regulament, ar trebui să fie impusă transparenţa pentru sistemele de IA cu grad ridicat de risc înainte ca acestea să fie introduse pe piaţă sau puse în funcţiune. Sistemele de IA cu grad ridicat de risc ar trebui să fie proiectate astfel încât să le permită implementatorilor să înţeleagă modul în care funcţionează sistemul de IA, să îi evalueze funcţionalitatea şi să îi înţeleagă punctele forte şi limitările. Sistemele de IA cu grad ridicat de risc ar trebui să fie însoţite de informaţii adecvate sub formă de instrucţiuni de utilizare. Astfel de informaţii ar trebui să includă caracteristicile, capabilităţile şi limitările performanţei sistemului de IA. Acestea ar acoperi informaţii privind posibile circumstanţe cunoscute şi previzibile legate de utilizarea sistemului de IA cu grad ridicat de risc, inclusiv acţiuni ale implementatorului care pot influenţa comportamentul şi performanţa sistemului, din cauza cărora sistemul de IA poate genera riscuri pentru sănătate, siguranţă şi drepturile fundamentale, privind modificările care au fost prestabilite şi evaluate din punctul de vedere al conformităţii de către furnizor şi privind măsurile relevante de supraveghere umană, inclusiv măsurile de facilitare a interpretării rezultatelor sistemului de IA de către implementatori. Transparenţa, inclusiv instrucţiunile de utilizare însoţitoare, ar trebui să ajute implementatorii să utilizeze sistemul şi să îi sprijine să ia decizii în cunoştinţă de cauză. Printre altele, implementatorii ar trebui să fie mai în măsură să aleagă corect sistemul pe care intenţionează să îl utilizeze, având în vedere obligaţiile care le sunt aplicabile, să fie informaţi despre utilizările preconizate şi interzise şi să utilizeze sistemul de IA în mod corect şi adecvat. Pentru a spori lizibilitatea şi accesibilitatea informaţiilor incluse în instrucţiunile de utilizare, ar trebui să fie incluse, după caz, exemple ilustrative, de exemplu privind limitările şi utilizările preconizate şi interzise ale sistemului de IA. Furnizorii ar trebui să se asigure că toată documentaţia, inclusiv instrucţiunile de utilizare, conţine informaţii semnificative, cuprinzătoare, accesibile şi uşor de înţeles, ţinând seama de nevoile şi cunoştinţele previzibile ale implementatorilor vizaţi. Instrucţiunile de utilizare ar trebui să fie puse la dispoziţie într-o limbă uşor de înţeles de către implementatorii vizaţi, astfel cum se stabileşte de statul membru în cauză.
(73)Sistemele de IA cu grad ridicat de risc ar trebui să fie concepute şi dezvoltate astfel încât persoanele fizice să poată supraveghea funcţionarea lor şi să se poată asigura că ele sunt utilizate conform destinaţiei lor şi că impactul lor este abordat pe parcursul întregului ciclu de viaţă al sistemului. În acest scop, furnizorul sistemului ar trebui să identifice măsuri adecvate de supraveghere umană înainte de introducerea sa pe piaţă sau de punerea sa în funcţiune. În special, după caz, astfel de măsuri ar trebui să garanteze că sistemul este supus unor constrângeri operaţionale integrate care nu pot fi dezactivate de sistem şi care sunt receptive la operatorul uman şi că persoanele fizice cărora le-a fost încredinţată supravegherea umană au competenţa, pregătirea şi autoritatea necesare pentru îndeplinirea acestui rol. De asemenea, este esenţial, după caz, să se asigure faptul că sistemele de IA cu grad ridicat de risc includ mecanisme de ghidare şi informare a unei persoane fizice căreia i-a fost încredinţată supravegherea umană pentru a lua decizii în cunoştinţă de cauză pentru a stabili dacă, când şi cum să intervină pentru a evita consecinţele negative sau riscurile sau pentru a opri sistemul dacă nu funcţionează astfel cum s-a prevăzut. Având în vedere consecinţele semnificative pentru persoane în cazul unei concordanţe incorecte generate de anumite sisteme de identificare biometrică, este oportun să se prevadă o cerinţă de supraveghere umană mai strictă pentru sistemele respective, astfel încât implementatorul să nu poată lua nicio măsură sau decizie pe baza identificării rezultate din sistem, decât dacă acest lucru a fost verificat şi confirmat separat de cel puţin două persoane fizice. Aceste persoane ar putea proveni de la una sau mai multe entităţi şi ar putea include persoana care operează sau utilizează sistemul. Această cerinţă nu ar trebui să reprezinte o povară inutilă sau să genereze întârzieri inutile şi ar putea fi suficient ca verificările separate efectuate de diferite persoane să fie înregistrate automat în fişierele de jurnalizare generate de sistem. Având în vedere particularităţile din domeniile aplicării legii, migraţiei, controlului la frontiere şi azilului, această cerinţă nu ar trebui să se aplice în cazul în care dreptul Uniunii sau dreptul intern consideră că aplicarea cerinţei respective este disproporţionată.
(74)Sistemele de IA cu grad ridicat de risc ar trebui să funcţioneze în mod consecvent pe parcursul întregului lor ciclu de viaţă şi să atingă un nivel adecvat de acurateţe, robusteţe şi securitate cibernetică, având în vedere scopul lor preconizat şi în conformitate cu stadiul de avansare al tehnologiei general recunoscut. Comisia şi organizaţiile şi părţile interesate relevante sunt încurajate să ţină seama în mod corespunzător de atenuarea riscurilor şi a impacturilor negative ale sistemului de IA. Nivelul preconizat al indicatorilor de performanţă ar trebui să fie declarat în instrucţiunile de utilizare însoţitoare. Furnizorii sunt îndemnaţi să comunice aceste informaţii implementatorilor într-un mod clar şi uşor de înţeles, fără induceri în eroare sau declaraţii înşelătoare. Dreptul Uniunii privind metrologia legală, inclusiv Directivele 2014/31/UE (35) şi 2014/32/UE (36) ale Parlamentului European şi ale Consiliului, urmăreşte să asigure acurateţea măsurătorilor şi să contribuie la transparenţa şi echitatea tranzacţiilor comerciale. În acest context, în cooperare cu părţile interesate şi organizaţiile relevante, cum ar fi autorităţile din domeniul metrologiei şi al etalonării, Comisia ar trebui să încurajeze, după caz, elaborarea unor valori de referinţă şi a unor metodologii de măsurare pentru sistemele de IA. În acest sens, Comisia ar trebui să ţină seama de partenerii internaţionali care lucrează în domeniul metrologiei şi al indicatorilor de măsurare relevanţi referitori la IA şi să colaboreze cu partenerii respectivi.
(35)Directiva 2014/31/UE a Parlamentului European şi a Consiliului din 26 februarie 2014 privind armonizarea legislaţiei statelor membre referitoare la punerea la dispoziţie pe piaţă a aparatelor de cântărit cu funcţionare neautomată (JO L 96, 29.3.2014, p. 107).
(36)Directiva 2014/32/UE a Parlamentului European şi a Consiliului din 26 februarie 2014 privind armonizarea legislaţiei statelor membre referitoare la punerea la dispoziţie pe piaţă a mijloacelor de măsurare (JO L 96, 29.3.2014, p. 149).
(75)Robusteţea tehnică este o cerinţă esenţială pentru sistemele de IA cu grad ridicat de risc. Acestea ar trebui să fie reziliente în raport cu comportamentul prejudiciabil sau altfel indezirabil, care poate rezulta din limitările din cadrul sistemelor sau al mediului în care funcţionează sistemele (de exemplu, erori, defecţiuni, inconsecvenţe, situaţii neprevăzute). Prin urmare, ar trebui să fie luate măsuri tehnice şi organizatorice pentru a asigura robusteţea sistemelor de IA cu grad ridicat de risc, de exemplu prin proiectarea şi dezvoltarea de soluţii tehnice adecvate pentru a preveni sau a reduce la minimum comportamentul prejudiciabil sau altfel indezirabil în alt mod. Soluţiile tehnice respective pot include, de exemplu, mecanisme care permit sistemului să îşi întrerupă funcţionarea în condiţii de siguranţă (planuri de autoprotecţie) în prezenţa anumitor anomalii sau atunci când funcţionarea are loc în afara anumitor limite prestabilite. Incapacitatea de a asigura protecţia împotriva acestor riscuri ar putea avea un impact asupra siguranţei sau ar putea afecta în mod negativ drepturile fundamentale, de exemplu din cauza unor decizii eronate sau a unor rezultate greşite sau distorsionate de prejudecăţi generate de sistemul de IA.
(76)Securitatea cibernetică joacă un rol esenţial în asigurarea rezilienţei sistemelor de IA împotriva încercărilor de modificare a utilizării, a comportamentului, a performanţei sau de compromitere a proprietăţilor lor de securitate de către părţi terţe răuvoitoare care exploatează vulnerabilităţile sistemului. Atacurile cibernetice împotriva sistemelor de IA se pot folosi de active specifice de IA, cum ar fi seturi de date de antrenament (de exemplu, otrăvirea datelor) sau modele antrenate (de exemplu, atacuri contradictorii sau inferenţe din datele membrilor - membership inference), sau pot exploata vulnerabilităţile activelor digitale ale sistemului de IA sau ale infrastructurii TIC subiacente. Pentru a asigura un nivel de securitate cibernetică adecvat riscurilor, furnizorii de sisteme de IA cu grad ridicat de risc ar trebui, prin urmare, să ia măsuri adecvate, cum ar fi controalele de securitate, ţinând seama, după caz, şi de infrastructura TIC subiacentă.
(77)Fără a aduce atingere cerinţelor legate de robusteţe şi acurateţe prevăzute în prezentul regulament, sistemele de IA cu grad ridicat de risc care intră în domeniul de aplicare al Regulamentului Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale, în conformitate cu regulamentul respectiv, pot demonstra conformitatea cu cerinţele de securitate cibernetică prevăzute în prezentul regulament prin îndeplinirea cerinţelor esenţiale de securitate cibernetică prevăzute în regulamentul respectiv. Atunci când îndeplinesc cerinţele esenţiale ale Regulamentului Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale, sistemele de IA cu grad ridicat de risc ar trebui să fie considerate conforme cu cerinţele de securitate cibernetică prevăzute în prezentul regulament, în măsura în care îndeplinirea cerinţelor respective este demonstrată în declaraţia de conformitate UE sau în părţi ale acesteia emise în temeiul regulamentului respectiv. În acest scop, evaluarea riscurilor în materie de securitate cibernetică asociate unui produs cu elemente digitale clasificat drept sistem de IA cu grad ridicat de risc în conformitate cu prezentul regulament, efectuată în temeiul Regulamentului Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale, ar trebui să ia în considerare riscurile la adresa rezilienţei cibernetice a unui sistem de IA în ceea ce priveşte încercările unor părţi terţe neautorizate de a-i modifica utilizarea, comportamentul sau performanţa, inclusiv vulnerabilităţile specifice IA, cum ar fi otrăvirea datelor sau atacurile contradictorii, precum şi, după caz, riscurile la adresa drepturilor fundamentale, astfel cum se prevede în prezentul regulament.
(78)Procedura de evaluare a conformităţii prevăzută de prezentul regulament ar trebui să se aplice în ceea ce priveşte cerinţele esenţiale în materie de securitate cibernetică ale unui produs cu elemente digitale care intră sub incidenţa Regulamentului Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale şi clasificat drept sistem de IA cu grad ridicat de risc în temeiul prezentului regulament. Totuşi, această regulă nu ar trebui să conducă la reducerea nivelului necesar de asigurare pentru produsele critice cu elemente digitale care intră sub incidenţa Regulamentului Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale. Prin urmare, prin derogare de la această regulă, sistemele de IA cu grad ridicat de risc care intră în domeniul de aplicare al prezentului regulament şi care sunt calificate, de asemenea, drept produse importante şi critice cu elemente digitale în temeiul Regulamentului Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale şi cărora li se aplică procedura de evaluare a conformităţii bazată pe control intern prevăzută într-o anexă la prezentul regulament fac obiectul dispoziţiilor privind evaluarea conformităţii din Regulamentul Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale în ceea ce priveşte cerinţele esenţiale în materie de securitate cibernetică din regulamentul respectiv. În acest caz, pentru toate celelalte aspecte reglementate de prezentul regulament ar trebui să se aplice dispoziţiile respective privind evaluarea conformităţii bazate pe control intern prevăzute într-o anexă la prezentul regulament. Valorificând cunoaşterea şi cunoştinţele de specialitate din ENISA în ceea ce priveşte politica în materie de securitate cibernetică şi sarcinile atribuite ENISA în temeiul Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului (37), Comisia ar trebui să coopereze cu ENISA în ceea ce priveşte aspectele legate de securitatea cibernetică a sistemelor de IA.
(37)Regulamentul (UE) 2019/881 al Parlamentului European şi al Consiliului din 17 aprilie 2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, p. 15).
(79)Este oportun ca o anumită persoană fizică sau juridică, definită drept furnizor, să îşi asume responsabilitatea pentru introducerea pe piaţă sau punerea în funcţiune a unui sistem de IA cu grad ridicat de risc, indiferent dacă persoana fizică sau juridică respectivă este persoana care a proiectat sau a dezvoltat sistemul.
(80)În calitate de semnatare ale Convenţiei Naţiunilor Unite privind drepturile persoanelor cu dizabilităţi, Uniunea şi statele membre sunt obligate din punct de vedere juridic să protejeze persoanele cu dizabilităţi împotriva discriminării şi să promoveze egalitatea acestora, să se asigure că persoanele cu dizabilităţi au acces, în condiţii de egalitate cu ceilalţi, la tehnologiile şi sistemele informaţiei şi comunicaţiilor şi să garanteze respectarea vieţii private a persoanelor cu dizabilităţi. Având în vedere importanţa şi utilizarea în creştere a sistemelor de IA, aplicarea principiilor proiectării universale la toate noile tehnologii şi servicii ar trebui să asigure accesul deplin şi egal al tuturor persoanelor potenţial afectate de tehnologiile IA sau care utilizează aceste tehnologii, inclusiv al persoanelor cu dizabilităţi, într-un mod care să ţină seama pe deplin de demnitatea şi diversitatea lor inerentă. Prin urmare, este esenţial ca furnizorii să asigure conformitatea deplină cu cerinţele de accesibilitate, inclusiv cu Directiva (UE) 2016/2102 a Parlamentului European şi a Consiliului (38) şi cu Directiva (UE) 2019/882. Furnizorii ar trebui să asigure conformitatea cu aceste cerinţe din faza de proiectare. Prin urmare, măsurile necesare ar trebui să fie integrate cât mai mult posibil în proiectarea sistemului de IA cu grad ridicat de risc.
(38)Directiva (UE) 2016/2102 a Parlamentului European şi a Consiliului din 26 octombrie 2016 privind accesibilitatea site-urilor web şi a aplicaţiilor mobile ale organismelor din sectorul public (JO L 327, 2.12.2016, p. 1).
(81)Furnizorul ar trebui să instituie un sistem bine pus la punct de management al calităţii, să asigure realizarea procedurii necesare de evaluare a conformităţii, să întocmească documentaţia relevantă şi să instituie un sistem solid de monitorizare după introducerea pe piaţă. Furnizorii de sisteme de IA cu grad ridicat de risc care fac obiectul unor obligaţii privind sistemele de management al calităţii în temeiul dreptului sectorial relevant al Uniunii ar trebui să aibă posibilitatea de a include elementele sistemului de management al calităţii prevăzut în prezentul regulament ca parte a sistemului existent de management al calităţii prevăzut în respectivul drept sectorial al Uniunii. Complementaritatea dintre prezentul regulament şi dreptul sectorial existent al Uniunii ar trebui, de asemenea, să fie luată în considerare în viitoarele activităţi de standardizare sau orientări adoptate de Comisie. Autorităţile publice care pun în funcţiune sisteme de IA cu grad ridicat de risc pentru uzul propriu pot adopta şi pune în aplicare norme privind sistemul de management al calităţii ca parte a sistemului de management al calităţii adoptat la nivel naţional sau regional, după caz, ţinând seama de particularităţile sectorului şi de competenţele şi organizarea autorităţii publice în cauză.
(82)Pentru a permite aplicarea prezentului regulament şi pentru a crea condiţii de concurenţă echitabile pentru operatori şi ţinând seama de diferitele forme de punere la dispoziţie a produselor digitale, este important să se asigure că, în toate circumstanţele, o persoană stabilită în Uniune poate furniza autorităţilor toate informaţiile necesare cu privire la conformitatea unui sistem de IA. Prin urmare, înainte de a-şi pune la dispoziţie sistemele de IA în Uniune, furnizorii stabiliţi în ţări terţe ar trebui să desemneze, prin mandat scris, un reprezentant autorizat stabilit în Uniune. Respectivul reprezentant autorizat joacă un rol central în asigurarea conformităţii sistemelor de IA cu grad ridicat de risc introduse pe piaţă sau puse în funcţiune în Uniune de furnizorii respectivi care nu sunt stabiliţi în Uniune şi în îndeplinirea rolului de persoană de contact a acestora stabilită în Uniune.
(83)Având în vedere natura şi complexitatea lanţului valoric pentru sistemele de IA şi în conformitate cu noul cadru legislativ, este esenţial să se asigure securitatea juridică şi să se faciliteze respectarea prezentului regulament. Prin urmare, este necesar să se clarifice rolul şi obligaţiile specifice ale operatorilor relevanţi de-a lungul lanţului valoric respectiv, cum ar fi importatorii şi distribuitorii care pot contribui la dezvoltarea sistemelor de IA. În anumite situaţii, operatorii respectivi ar putea acţiona în mai multe roluri în acelaşi timp şi, prin urmare, ar trebui să îndeplinească în mod cumulativ toate obligaţiile relevante asociate rolurilor respective. De exemplu, un operator ar putea acţiona în acelaşi timp ca distribuitor şi ca importator.
(84)Pentru a se asigura securitatea juridică, este necesar să se clarifice că, în anumite condiţii specifice, orice distribuitor, importator, implementator sau altă parte terţă ar trebui să fie considerat drept furnizor al unui sistem de IA cu grad ridicat de risc şi, prin urmare, să îşi asume toate obligaţiile relevante. Acest lucru ar fi valabil dacă partea respectivă îşi pune numele sau marca comercială pe un sistem de IA cu grad ridicat de risc deja introdus pe piaţă sau pus în funcţiune, fără a aduce atingere dispoziţiilor contractuale care prevăd că obligaţiile sunt alocate în alt mod. Acest lucru ar fi valabil şi dacă partea respectivă aduce o modificare substanţială unui sistem de IA cu grad ridicat de risc care a fost deja introdus pe piaţă sau a fost deja pus în funcţiune şi într-un mod în care acesta rămâne un sistem de IA cu grad ridicat de risc în conformitate cu prezentul regulament sau dacă modifică scopul preconizat al unui sistem de IA, inclusiv al unui sistem de IA de uz general, care nu a fost clasificat ca prezentând un grad ridicat de risc şi care a fost deja introdus pe piaţă sau pus în funcţiune, într-un mod în care sistemul de IA devine un sistem de IA cu grad ridicat de risc în conformitate cu prezentul regulament. Aceste dispoziţii ar trebui să se aplice fără a aduce atingere dispoziţiilor mai specifice stabilite în anumite acte legislative de armonizare ale Uniunii întemeiate pe noul cadru legislativ, împreună cu care ar trebui să se aplice prezentul regulament. De exemplu, articolul 16 alineatul (2) din Regulamentul (UE) 2017/745, care stabileşte că anumite modificări nu ar trebui să fie considerate modificări ale unui dispozitiv care ar putea afecta conformitatea acestuia cu cerinţele aplicabile, ar trebui să se aplice în continuare sistemelor de IA cu grad ridicat de risc care sunt dispozitive medicale în sensul regulamentului respectiv.
(85)Sistemele de IA de uz general pot fi utilizate în sine ca sisteme de IA cu grad ridicat de risc sau pot fi componente ale altor sisteme de IA cu grad ridicat de risc. Prin urmare, având în vedere natura lor specifică şi pentru a asigura o partajare echitabilă a responsabilităţilor de-a lungul lanţului valoric al IA, furnizorii de astfel de sisteme ar trebui, indiferent dacă pot fi utilizate ca sisteme de IA cu grad ridicat de risc ca atare de alţi furnizori sau drept componente ale unor sisteme de IA cu grad ridicat de risc şi cu excepţia cazului în care se prevede altfel în prezentul regulament, să coopereze îndeaproape cu furnizorii sistemelor de IA cu grad ridicat de risc relevante pentru a permite respectarea de către acestea a obligaţiilor relevante în temeiul prezentului regulament şi cu autorităţile competente instituite în temeiul prezentului regulament.
(86)În cazul în care, în condiţiile prevăzute în prezentul regulament, furnizorul care a introdus iniţial sistemul de IA pe piaţă sau l-a pus în funcţiune nu ar mai trebui să fie considerat furnizor în sensul prezentului regulament şi în cazul în care furnizorul respectiv nu a exclus în mod expres schimbarea sistemului de IA într-un sistem de IA cu grad ridicat de risc, primul furnizor ar trebui totuşi să coopereze îndeaproape, să pună la dispoziţie informaţiile necesare şi să furnizeze accesul tehnic şi alte tipuri de asistenţă preconizate în mod rezonabil care sunt necesare pentru îndeplinirea obligaţiilor prevăzute în prezentul regulament, în special în ceea ce priveşte respectarea cerinţelor privind evaluarea conformităţii sistemelor de IA cu grad ridicat de risc.
(87)În plus, în cazul în care un sistem de IA cu grad ridicat de risc care este o componentă de siguranţă a unui produs care intră în domeniul de aplicare al legislaţiei de armonizare a Uniunii întemeiate pe noul cadru legislativ nu este introdus pe piaţă sau pus în funcţiune independent de produs, fabricantul produsului definit în legislaţia respectivă ar trebui să respecte obligaţiile furnizorului stabilite în prezentul regulament şi ar trebui, în special, să se asigure că sistemul de IA încorporat în produsul final respectă cerinţele prezentului regulament.
(88)De-a lungul lanţului valoric al IA, numeroase părţi furnizează adesea sisteme, instrumente şi servicii de IA, dar şi componente sau procese care sunt încorporate de furnizor în sistemul de IA, cu diferite obiective, inclusiv antrenarea modelelor, reconversia modelelor, testarea şi evaluarea modelelor, integrarea în software sau alte aspecte ale dezvoltării de modele. Respectivele părţi au un rol important în lanţul valoric faţă de furnizorul sistemului de IA cu grad ridicat de risc în care sunt integrate sistemele, instrumentele, serviciile, componentele sau procesele lor de IA şi ar trebui să îi ofere acestui furnizor, printr-un acord scris, informaţiile, capabilităţile, accesul tehnic şi alte tipuri de asistenţă necesare bazate pe stadiul de avansare al tehnologiei general recunoscut, pentru a permite furnizorului să respecte pe deplin obligaţiile prevăzute în prezentul regulament, fără a-şi compromite propriile drepturi de proprietate intelectuală sau secrete comerciale.
(89)Părţile terţe care pun la dispoziţia publicului instrumente, servicii, procese sau componente de IA, altele decât modelele de IA de uz general, ar trebui să nu fie obligate să respecte cerinţe care vizează responsabilităţile de-a lungul lanţului valoric al IA, în special faţă de furnizorul care le-a utilizat sau le-a integrat, atunci când aceste instrumente, servicii, procese sau componente de IA sunt puse la dispoziţie sub licenţă liberă şi deschisă. Dezvoltatorii de instrumente, servicii, procese sau componente de IA libere şi cu sursă deschisă, altele decât modelele de IA de uz general, ar trebui să fie încurajaţi să pună în aplicare practici de documentare adoptate pe scară largă, cum ar fi carduri însoţitoare ale modelelor şi fişe de date, ca modalitate de a accelera schimbul de informaţii de-a lungul lanţului valoric al IA, permiţând promovarea unor sisteme de IA fiabile în Uniune.
(90)Comisia ar putea elabora şi recomanda un model voluntar de clauze contractuale între furnizorii de sisteme de IA cu grad ridicat de risc şi părţile terţe care furnizează instrumente, servicii, componente sau procese care sunt utilizate sau integrate în sistemele de IA cu grad ridicat de risc, pentru a facilita cooperarea de-a lungul lanţului valoric. Atunci când elaborează modelul voluntar de clauze contractuale, Comisia ar trebui să ia în considerare şi eventualele cerinţe contractuale aplicabile în anumite sectoare sau situaţii economice.
(91)Având în vedere natura sistemelor de IA şi riscurile la adresa siguranţei şi a drepturilor fundamentale care pot fi asociate cu utilizarea lor, inclusiv în ceea ce priveşte necesitatea de a asigura o monitorizare adecvată a performanţei unui sistem de IA într-un context real, este oportun să se stabilească responsabilităţi specifice pentru implementatori. Implementatorii ar trebui, în special, să ia măsurile tehnice şi organizatorice adecvate pentru a se asigura că utilizează sisteme de IA cu grad ridicat de risc în conformitate cu instrucţiunile de utilizare şi ar trebui să fie prevăzute şi alte obligaţii în ceea ce priveşte monitorizarea funcţionării sistemelor de IA şi păstrarea evidenţelor, după caz. În plus, implementatorii ar trebui să se asigure că persoanele desemnate să pună în aplicare instrucţiunile de utilizare şi supravegherea umană, astfel cum sunt prevăzute în prezentul regulament, au competenţa necesară, în special un nivel adecvat de alfabetizare, formare şi autoritate în domeniul IA pentru a îndeplini în mod corespunzător sarcinile respective. Respectivele obligaţii nu ar trebui să aducă atingere altor obligaţii ale implementatorilor în ceea ce priveşte sistemele de IA cu grad ridicat de risc în temeiul dreptului Uniunii sau al dreptului intern.
(92)Prezentul regulament nu aduce atingere obligaţiilor angajatorilor de a informa sau de a informa şi consulta lucrătorii sau reprezentanţii acestora în temeiul dreptului şi al practicilor Uniunii sau naţionale, inclusiv al Directivei 2002/14/CE a Parlamentului European şi a Consiliului (39), cu privire la deciziile de punere în funcţiune sau de utilizare a sistemelor de IA. Este în continuare necesar să se asigure informarea lucrătorilor şi a reprezentanţilor acestora cu privire la implementarea planificată a sistemelor de IA cu grad ridicat de risc la locul de muncă în cazul în care nu sunt îndeplinite condiţiile pentru respectivele obligaţii de informare sau de informare şi consultare prevăzute în alte instrumente juridice. În plus, un astfel de drept la informare este auxiliar şi necesar în raport cu obiectivul de protecţie a drepturilor fundamentale care stă la baza prezentului regulament. Prin urmare, prezentul regulament ar trebui să prevadă o cerinţă de informare în acest sens, fără a afecta drepturile existente ale lucrătorilor.
(39)Directiva 2002/14/CE a Parlamentului European şi a Consiliului din 11 martie 2002 de stabilire a unui cadru general de informare şi consultare a lucrătorilor din Comunitatea Europeană (JO L 80, 23.3.2002, p. 29).
(93)Deşi riscurile legate de sistemele de IA pot rezulta din modul în care sunt proiectate sistemele respective, pot decurge riscuri şi din modul în care aceste sisteme de IA sunt utilizate. Prin urmare, implementatorii sistemelor de IA cu grad ridicat de risc joacă un rol esenţial în garantarea faptului că drepturile fundamentale sunt protejate, completând obligaţiile furnizorului la dezvoltarea sistemului de IA. Implementatorii sunt cei mai în măsură să înţeleagă modul în care sistemul de IA cu grad ridicat de risc va fi utilizat concret şi, prin urmare, pot identifica potenţialele riscuri semnificative care nu au fost prevăzute în faza de dezvoltare, datorită cunoaşterii mai exacte a contextului de utilizare, a persoanelor sau a grupurilor de persoane care ar putea fi afectate, inclusiv a grupurilor vulnerabile. Implementatorii de sisteme de IA cu grad ridicat de risc enumerate într-o anexă la prezentul regulament joacă, de asemenea, un rol esenţial în informarea persoanelor fizice şi ar trebui, atunci când iau decizii sau contribuie la luarea deciziilor referitoare la persoane fizice, după caz, să informeze persoanele fizice că fac obiectul utilizării sistemului de IA cu grad ridicat de risc. Aceste informaţii ar trebui să includă scopul urmărit şi tipul de decizii luate. Implementatorul ar trebui, de asemenea, să informeze persoanele fizice cu privire la dreptul lor la o explicaţie furnizată în temeiul prezentului regulament. În ceea ce priveşte sistemele de IA cu grad ridicat de risc utilizate în scopul aplicării legii, această obligaţie ar trebui să fie pusă în aplicare în conformitate cu articolul 13 din Directiva (UE) 2016/680.
(94)Orice prelucrare a datelor biometrice implicate în utilizarea sistemelor de IA pentru identificarea biometrică în scopul aplicării legii trebuie să respecte articolul 10 din Directiva (UE) 2016/680, care permite o astfel de prelucrare numai atunci când este strict necesară, sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile persoanei vizate, şi atunci când este autorizată de dreptul Uniunii sau de dreptul intern. O astfel de utilizare, atunci când este autorizată, trebuie, de asemenea, să respecte principiile prevăzute la articolul 4 alineatul (1) din Directiva (UE) 2016/680, inclusiv legalitatea, echitatea şi transparenţa, limitarea scopului, exactitatea şi limitarea stocării.
(95)Fără a aduce atingere dreptului aplicabil al Uniunii, în special Regulamentului (UE) 2016/679 şi Directivei (UE) 2016/680, având în vedere caracterul intruziv al sistemelor de identificare biometrică la distanţă ulterioară, utilizarea sistemelor de identificare biometrică la distanţă ulterioară ar trebui să facă obiectul unor garanţii. Sistemele de identificare biometrică la distanţă ulterioară ar trebui să fie utilizate întotdeauna într-un mod proporţional, legitim şi strict necesar şi, prin urmare, adaptat, în ceea ce priveşte persoanele care urmează să fie identificate, localizarea, acoperirea temporală şi pe baza unui set de date închis de înregistrări video obţinute în mod legal. În orice caz, sistemele de identificare biometrică la distanţă ulterioară nu ar trebui să fie utilizate în cadrul aplicării legii pentru a conduce la o supraveghere arbitrară. Condiţiile pentru identificarea biometrică la distanţă ulterioară nu ar trebui, în niciun caz, să ofere o bază pentru a eluda condiţiile interdicţiei şi excepţiile stricte pentru identificarea biometrică la distanţă în timp real.
(96)Pentru a se asigura în mod eficient că drepturile fundamentale sunt protejate, implementatorii de sisteme de IA cu grad ridicat de risc care sunt organisme de drept public sau entităţile private care furnizează servicii publice şi implementatorii care implementează anumite sisteme de IA cu grad ridicat de risc enumerate într-o anexă la prezentul regulament, cum ar fi entităţile bancare sau de asigurări, ar trebui să efectueze o evaluare a impactului asupra drepturilor fundamentale înainte de a pune aceste sisteme în funcţiune. Serviciile importante pentru persoanele fizice care sunt de natură publică pot fi furnizate şi de entităţi private. Entităţile private care furnizează astfel de servicii publice sunt legaţi de sarcini de interes public, cum ar fi în domeniul educaţiei, al îngrijirilor de sănătate, al serviciilor sociale, al locuinţelor, al administrării justiţiei. Scopul evaluării impactului asupra drepturilor fundamentale este ca implementatorul să identifice riscurile specifice pentru drepturile persoanelor sau ale grupurilor de persoane care ar putea fi afectate şi să identifice măsurile care trebuie luate în cazul materializării riscurilor respective. Evaluarea impactului ar trebui să fie efectuată înainte de implementarea sistemului de IA cu grad ridicat de risc şi ar trebui să fie actualizată atunci când implementatorul consideră că oricare dintre factorii relevanţi s-au schimbat. Evaluarea impactului ar trebui să identifice procesele relevante ale implementatorului în care sistemul de IA cu grad ridicat de risc va fi utilizat în conformitate cu scopul său preconizat şi ar trebui să includă o descriere a perioadei de timp şi a frecvenţei în care se intenţionează utilizarea sistemului, precum şi a categoriilor specifice de persoane fizice şi grupuri care sunt susceptibile de a fi afectate în contextul specific de utilizare. Evaluarea ar trebui să includă, de asemenea, identificarea riscurilor specifice de prejudiciu care ar putea avea un impact asupra drepturilor fundamentale ale persoanelor sau grupurilor respective. Atunci când efectuează această evaluare, implementatorul ar trebui să ţină seama de informaţiile relevante pentru o evaluare adecvată a impactului, inclusiv de informaţiile furnizate de furnizorul sistemului de IA cu grad ridicat de risc în instrucţiunile de utilizare, dar fără a se limita la aceste informaţii. Având în vedere riscurile identificate, implementatorii ar trebui să stabilească măsurile care trebuie luate în cazul materializării acestor riscuri, inclusiv, de exemplu, mecanisme de guvernanţă în acest context specific de utilizare, cum ar fi mecanisme de supraveghere umană în conformitate cu instrucţiunile de utilizare sau proceduri de tratare a plângerilor şi proceduri aferente măsurilor reparatorii, deoarece acestea ar putea fi esenţiale pentru atenuarea riscurilor la adresa drepturilor fundamentale în cazuri concrete de utilizare. După efectuarea respectivei evaluări a impactului, implementatorul ar trebui să îi notifice acest lucru autorităţii relevante de supraveghere a pieţei. După caz, pentru a colecta informaţiile relevante necesare pentru efectuarea evaluării impactului, implementatorii de sisteme de IA cu grad ridicat de risc, în special atunci când sistemele de IA sunt utilizate în sectorul public, ar putea implica părţile interesate relevante, inclusiv reprezentanţii grupurilor de persoane susceptibile de a fi afectate de sistemul de IA, experţii independenţi şi organizaţiile societăţii civile în efectuarea unor astfel de evaluări ale impactului şi în conceperea măsurilor care trebuie luate în cazul materializării riscurilor. Oficiul european pentru inteligenţa artificială (Oficiul pentru IA) ar trebui să elaboreze un model de chestionar pentru a facilita conformitatea şi a reduce sarcina administrativă pentru implementatori.
(97)Noţiunea de modele de IA de uz general ar trebui să fie definită în mod clar şi separată de noţiunea de sisteme de IA pentru a asigura securitatea juridică. Definiţia ar trebui să se bazeze pe caracteristicile funcţionale esenţiale ale unui model de IA de uz general, în special pe generalitate şi pe capabilitatea de a îndeplini în mod competent o gamă largă de sarcini distincte. Aceste modele sunt, de regulă, antrenate pe volume mari de date, prin diverse metode, cum ar fi învăţarea autosupravegheată, nesupravegheată sau prin întărire. Modelele de IA de uz general pot fi introduse pe piaţă în diferite moduri, inclusiv prin biblioteci, interfeţe de programare a aplicaţiilor (API), sub formă de descărcare directă sau sub formă de copie fizică. Aceste modele pot fi modificate suplimentar sau calibrate şi astfel transformate în modele noi. Deşi modelele de IA sunt componente esenţiale ale sistemelor de IA, ele nu constituie sisteme de IA în sine. Modelele de IA necesită adăugarea de componente suplimentare, cum ar fi, de exemplu, o interfaţă cu utilizatorul, pentru a deveni sisteme de IA. Modelele de IA sunt, de regulă, integrate în sistemele de IA şi fac parte din acestea. Prezentul regulament prevede norme specifice pentru modelele de IA de uz general şi pentru modelele de IA de uz general care prezintă riscuri sistemice, norme care ar trebui să se aplice şi atunci când aceste modele sunt integrate sau fac parte dintr-un sistem de IA. Ar trebui să se înţeleagă că obligaţiile furnizorilor de modele de IA de uz general ar trebui să se aplice odată ce modelele de IA de uz general sunt introduse pe piaţă. Atunci când furnizorul unui model de IA de uz general integrează un model propriu în propriul sistem de IA care este pus la dispoziţie pe piaţă sau pus în funcţiune, modelul respectiv ar trebui să fie considerat ca fiind introdus pe piaţă şi, prin urmare, obligaţiile prevăzute în prezentul regulament pentru modele ar trebui să se aplice în continuare în plus faţă de cele pentru sistemele de IA. Obligaţiile stabilite pentru modele nu ar trebui în niciun caz să se aplice atunci când un model propriu este utilizat pentru procese pur interne care nu sunt esenţiale pentru furnizarea unui produs sau a unui serviciu către terţi, iar drepturile persoanelor fizice nu sunt afectate. Având în vedere potenţialele lor efecte negative semnificative, modelele de IA de uz general cu risc sistemic ar trebui să facă întotdeauna obiectul obligaţiilor relevante în temeiul prezentului regulament. Definiţia nu ar trebui să acopere modelele de IA utilizate înainte de introducerea lor pe piaţă în scopul unic al activităţilor de cercetare, dezvoltare şi creare de prototipuri. Acest lucru nu aduce atingere obligaţiei de a se conforma prezentului regulament atunci când, în urma unor astfel de activităţi, se introduce pe piaţă un model.
(98)În timp ce generalitatea unui model ar putea fi determinată, printre altele, şi de o serie de parametri, ar trebui să se considere că modelele cu cel puţin un miliard de parametri şi antrenate cu un volum mare de date utilizând autosupravegherea la scară largă prezintă o generalitate semnificativă şi îndeplinesc în mod competent o gamă largă de sarcini distincte.
(99)Modelele de IA generative de mari dimensiuni sunt un exemplu tipic de model de IA de uz general, având în vedere că permit generarea flexibilă de conţinut, cum ar fi sub formă de text, audio, imagini sau video, care pot răspunde cu uşurinţă unei game largi de sarcini distincte.
(100)Atunci când un model de IA de uz general este integrat într-un sistem de IA sau face parte dintr-un astfel de sistem, acest sistem ar trebui să fie considerat a fi un sistem de IA de uz general atunci când, în urma acestei integrări, acest sistem are capabilitatea de a servi unei varietăţi de scopuri. Un sistem de IA de uz general poate fi utilizat direct sau poate fi integrat în alte sisteme de IA.
(101)Furnizorii de modele de IA de uz general au un rol şi o responsabilitate deosebite de-a lungul lanţului valoric al IA, deoarece modelele pe care le furnizează pot constitui baza pentru o serie de sisteme din aval, adesea furnizate de furnizori din aval care au nevoie de o bună înţelegere a modelelor şi a capabilităţilor acestora, atât pentru a permite integrarea unor astfel de modele în produsele lor, cât şi pentru a-şi îndeplini obligaţiile care le revin în temeiul prezentului regulament sau al altor regulamente. Prin urmare, ar trebui să fie stabilite măsuri proporţionale de transparenţă, inclusiv întocmirea şi ţinerea la zi a documentaţiei, precum şi furnizarea de informaţii privind modelul de IA de uz general pentru utilizarea sa de către furnizorii din aval. Documentaţia tehnică ar trebui să fie pregătită şi ţinută la zi de către furnizorul modelului de IA de uz general în scopul de a o pune, la cerere, la dispoziţia Oficiului pentru IA şi a autorităţilor naţionale competente. Setul minim de elemente care trebuie incluse în această documentaţie ar trebui să fie stabilit în anexele specifice la prezentul regulament. Comisia ar trebui să fie împuternicită să modifice anexele respective prin intermediul unor acte delegate în funcţie de evoluţiile tehnologice.
(102)Software-ul şi datele, inclusiv modelele, lansate sub licenţă liberă şi cu sursă deschisă care le permite să fie partajate în mod deschis şi pe care utilizatorii le pot accesa, utiliza, modifica şi redistribui liber sau versiuni modificate ale acestora, pot contribui la cercetare şi inovare pe piaţă şi pot oferi oportunităţi semnificative de creştere pentru economia Uniunii. Ar trebui să se considere că modelele de IA de uz general lansate sub licenţe libere şi cu sursă deschisă asigură niveluri ridicate de transparenţă şi deschidere dacă parametrii lor, inclusiv ponderile, informaţiile privind arhitectura modelului şi informaţiile privind utilizarea modelului, sunt puşi la dispoziţia publicului. Licenţa ar trebui să fie considerată ca fiind liberă şi cu sursă deschisă şi atunci când le permite utilizatorilor să ruleze, să copieze, să distribuie, să studieze, să modifice şi să îmbunătăţească software-ul şi datele, inclusiv modelele, cu condiţia ca furnizorul iniţial al modelului să fie menţionat şi ca termenii de distribuţie identici sau comparabili să fie respectaţi.
(103)Componentele de IA libere şi cu sursă deschisă acoperă software-ul şi datele, inclusiv modelele şi modelele, instrumentele, serviciile sau procesele de IA de uz general ale unui sistem de IA. Componentele de IA libere şi cu sursă deschisă pot fi furnizate prin diferite canale, inclusiv prin dezvoltarea lor în depozite deschise. În sensul prezentului regulament, componentele de IA care sunt furnizate contra unui preţ sau monetizate în alt mod, inclusiv prin furnizarea de sprijin tehnic sau de alte servicii, inclusiv prin intermediul unei platforme software, legate de componenta de IA, sau utilizarea datelor cu caracter personal din alte motive decât în scopul exclusiv de îmbunătăţire a securităţii, a compatibilităţii sau a interoperabilităţii software-ului, cu excepţia tranzacţiilor dintre microîntreprinderi, nu ar trebui să beneficieze de excepţiile prevăzute pentru componentele de IA libere şi cu sursă deschisă. Punerea la dispoziţie a componentelor de IA prin intermediul depozitelor deschise nu ar trebui, în sine, să constituie o monetizare.
(104)Furnizorii de modele de IA de uz general care sunt lansate sub licenţă liberă şi cu sursă deschisă şi ai căror parametri, inclusiv ponderile, informaţiile privind arhitectura modelului şi informaţiile privind utilizarea modelului, sunt puşi la dispoziţia publicului ar trebui să facă obiectul unor excepţii în ceea ce priveşte cerinţele legate de transparenţă impuse modelelor de IA de uz general, cu excepţia cazului în care se poate considera că prezintă un risc sistemic, caz în care circumstanţa că modelul este transparent şi însoţit de o licenţă cu sursă deschisă nu ar trebui să fie considerată un motiv suficient pentru a exclude respectarea obligaţiilor prevăzute în prezentul regulament. În orice caz, având în vedere că lansarea modelelor de IA de uz general sub licenţă liberă şi cu sursă deschisă nu dezvăluie neapărat informaţii substanţiale cu privire la setul de date utilizat pentru antrenarea sau calibrarea modelului şi la modul în care a fost astfel asigurată conformitatea cu dreptul privind drepturile de autor, excepţia prevăzută pentru modelele de IA de uz general de la respectarea cerinţelor legate de transparenţă nu ar trebui să se refere la obligaţia de a prezenta un rezumat cu privire la conţinutul utilizat pentru antrenarea modelelor şi la obligaţia de a institui o politică de respectare a dreptului Uniunii privind drepturile de autor, în special pentru a identifica şi a respecta rezervarea drepturilor în temeiul articolului 4 alineatul (3) din Directiva (UE) 2019/790 a Parlamentului European şi a Consiliului (40).
(40)Directiva (UE) 2019/790 a Parlamentului European şi a Consiliului din 17 aprilie 2019 privind dreptul de autor şi drepturile conexe pe piaţa unică digitală şi de modificare a Directivelor 96/9/CE şi 2001/29/CE (JO L 130, 17.5.2019, p. 92).
(105)Modelele de IA de uz general, în special modelele de IA generative de mari dimensiuni, capabile să genereze text, imagini şi alte conţinuturi, prezintă oportunităţi unice de inovare, dar şi provocări pentru artişti, autori şi alţi creatori şi pentru modul în care conţinutul lor creativ este creat, distribuit, utilizat şi consumat. Dezvoltarea şi antrenarea unor astfel de modele necesită acces la volume mari de text, imagini, materiale video şi alte date. Tehnicile de extragere a textului şi a datelor pot fi utilizate pe scară largă în acest context pentru obţinerea şi analizarea unui astfel de conţinut, care poate fi protejat prin drepturi de autor şi drepturi conexe. Orice utilizare a unui conţinut protejat prin drepturi de autor necesită autorizare din partea titularului de drepturi în cauză, cu excepţia cazului în care se aplică excepţii şi limitări relevante ale drepturilor de autor. Directiva (UE) 2019/790 a introdus excepţii şi limitări care permit reproduceri şi extrageri ale operelor sau ale altor obiecte protejate, în scopul extragerii de text şi de date, în anumite condiţii. În temeiul acestor norme, titularii de drepturi pot alege să îşi rezerve drepturile asupra operelor lor sau asupra altor obiecte protejate ale lor pentru a preveni extragerea de text şi de date, cu excepţia cazului în care acest lucru se face în scopul cercetării ştiinţifice. În cazul în care drepturile de neparticipare au fost rezervate în mod expres într-un mod adecvat, furnizorii de modele de IA de uz general trebuie să obţină o autorizaţie din partea titularilor de drepturi dacă doresc să efectueze extragere de text şi de date din astfel de opere.
(106)Furnizorii care introduc modele de IA de uz general pe piaţa Uniunii ar trebui să asigure respectarea obligaţiilor relevante prevăzute în prezentul regulament. În acest scop, furnizorii de modele de IA de uz general ar trebui să instituie o politică de respectare a dreptului Uniunii privind drepturile de autor şi drepturile conexe, în special pentru a identifica şi a respecta rezervarea drepturilor exprimată de titularii de drepturi în temeiul articolului 4 alineatul (3) din Directiva (UE) 2019/790. Orice furnizor care introduce un model de IA de uz general pe piaţa Uniunii ar trebui să respecte această obligaţie, indiferent de jurisdicţia în care au loc actele relevante pentru drepturile de autor care stau la baza antrenării respectivelor modele de IA de uz general. Acest lucru este necesar pentru a asigura condiţii de concurenţă echitabile între furnizorii de modele de IA de uz general, în care niciun furnizor nu ar trebui să poată obţine un avantaj competitiv pe piaţa Uniunii prin aplicarea unor standarde privind drepturile de autor mai scăzute decât cele prevăzute în Uniune.
(107)Pentru a spori transparenţa datelor utilizate în preantrenarea şi antrenarea modelelor de IA de uz general, inclusiv a textului şi a datelor protejate de dreptul privind drepturile de autor, este adecvat ca furnizorii de astfel de modele să elaboreze şi să pună la dispoziţia publicului un rezumat suficient de detaliat al conţinutului utilizat pentru antrenarea modelului de IA de uz general. Ţinând seama în mod corespunzător de necesitatea de a proteja secretele comerciale şi informaţiile comerciale confidenţiale, acest rezumat ar trebui să aibă un domeniu de aplicare în general cuprinzător, în loc să fie detaliat din punct de vedere tehnic, pentru a facilita părţilor cu interese legitime, inclusiv titularilor de drepturi de autor, să îşi exercite drepturile şi să asigure respectarea drepturilor lor în temeiul dreptului Uniunii, de exemplu prin enumerarea principalelor colecţii sau seturi de date folosite la antrenarea modelului, cum ar fi bazele de date sau arhivele de date de mari dimensiuni, private sau publice, şi prin furnizarea unei explicaţii narative cu privire la alte surse de date utilizate. Este oportun ca Oficiul pentru IA să furnizeze un model pentru rezumat, care ar trebui să fie simplu, eficace şi să permită furnizorului să furnizeze rezumatul solicitat sub formă narativă.
(108)În ceea ce priveşte obligaţiile impuse furnizorilor de modele de IA de uz general de a institui o politică de respectare a dreptul Uniunii privind drepturile de autor şi de a pune la dispoziţia publicului un rezumat al conţinutului utilizat pentru antrenare, Oficiul pentru IA ar trebui să monitorizeze dacă furnizorul şi-a îndeplinit obligaţiile respective fără a verifica sau a efectua o evaluare operă cu operă a datelor de antrenament în ceea ce priveşte respectarea drepturilor de autor. Prezentul regulament nu aduce atingere aplicării normelor în materie de drepturi de autor prevăzute în dreptul Uniunii.
(109)Respectarea obligaţiilor aplicabile furnizorilor de modele de IA de uz general ar trebui să fie corespunzătoare şi proporţională cu tipul de furnizor de model, excluzând necesitatea respectării pentru persoanele care dezvoltă sau utilizează modele în alte scopuri decât cele profesionale sau de cercetare ştiinţifică, care ar trebui totuşi să fie încurajate să respecte în mod voluntar aceste cerinţe. Fără a aduce atingere dreptului Uniunii privind drepturile de autor, respectarea obligaţiilor respective ar trebui să ţină seama în mod corespunzător de dimensiunea furnizorului şi să permită modalităţi simplificate de asigurare a respectării cerinţelor pentru IMM-uri, inclusiv pentru întreprinderile nou-înfiinţate, care nu ar trebui să reprezinte un cost excesiv şi să descurajeze utilizarea unor astfel de modele. În cazul unei modificări sau calibrări a unui model, obligaţiile furnizorilor de modele de IA de uz general ar trebui să se limiteze la modificarea sau calibrarea respectivă, de exemplu prin completarea documentaţiei tehnice deja existente cu informaţii privind modificările, inclusiv noi surse de date de antrenament, ca mijloc de respectare a obligaţiilor privind lanţul valoric prevăzute în prezentul regulament.
(110)Modelele de IA de uz general ar putea prezenta riscuri sistemice care includ, printre altele, orice efecte negative reale sau previzibile în mod rezonabil în legătură cu accidente majore, perturbări ale sectoarelor critice şi consecinţe grave pentru sănătatea şi siguranţa publică, orice efecte negative reale sau previzibile în mod rezonabil asupra proceselor democratice, asupra securităţii publice şi economice, diseminarea de conţinut ilegal, fals sau discriminatoriu. Riscurile sistemice ar trebui să fie înţelese ca crescând odată cu capabilităţile modelului şi cu amploarea modelului, pot apărea de-a lungul întregului ciclu de viaţă al modelului şi sunt influenţate de condiţiile de utilizare necorespunzătoare, de fiabilitatea modelului, de echitatea modelului şi de securitatea modelului, de nivelul de autonomie a modelului, de accesul său la instrumente, de modalităţile noi sau combinate, de strategiile de lansare şi distribuţie, de potenţialul de eliminare a mecanismelor de protecţie şi de alţi factori. În special, abordările internaţionale au identificat până în prezent necesitatea de a acorda atenţie riscurilor generate de potenţialele utilizări necorespunzătoare intenţionate sau de problemele neintenţionate de control legate de alinierea la intenţia umană; riscurilor chimice, biologice, radiologice şi nucleare, cum ar fi modalităţile de reducere a barierelor la intrare, inclusiv pentru dezvoltarea, proiectarea, achiziţionarea sau utilizarea de arme; capabilităţilor cibernetice ofensive, cum ar fi modalităţile care permit descoperirea, exploatarea sau utilizarea operaţională a vulnerabilităţilor; efectelor interacţiunii şi ale utilizării instrumentelor, inclusiv, de exemplu, capacitatea de a controla sistemele fizice şi de a interfera cu infrastructura critică; riscurilor legate de posibilitatea ca modelele să facă copii după ele însele sau să se "autoreproducă" ori să antreneze alte modele; modurilor în care modelele pot da naştere unor prejudecăţi dăunătoare şi discriminării cu riscuri pentru indivizi, comunităţi sau societăţi; facilitării dezinformării sau prejudicierii vieţii private cu ameninţări la adresa valorilor democratice şi a drepturilor omului; riscului ca un anumit eveniment să conducă la o reacţie în lanţ cu efecte negative considerabile care ar putea afecta până la un întreg oraş, o întreagă activitate de domeniu sau o întreagă comunitate.
(111)Este oportun să se stabilească o metodologie pentru clasificarea modelelor de IA de uz general ca modele de IA de uz general cu riscuri sistemice. Întrucât riscurile sistemice rezultă din capabilităţi deosebit de ridicate, ar trebui să se considere că un model de IA de uz general prezintă riscuri sistemice dacă are capabilităţi cu impact ridicat, evaluate pe baza unor instrumente şi metodologii tehnice adecvate sau dacă are un impact semnificativ asupra pieţei interne din cauza amplorii sale. Capabilităţi cu impact ridicat în modelele de IA de uz general înseamnă capabilităţi care corespund capabilităţilor înregistrate în cele mai avansate modele de IA de uz general sau depăşesc capabilităţile respective. Întreaga gamă de capabilităţi ale unui model ar putea fi mai bine înţeleasă după introducerea sa pe piaţă sau atunci când implementatorii interacţionează cu modelul. În conformitate cu stadiul actual al tehnologiei la momentul intrării în vigoare a prezentului regulament, volumul cumulat de calcul utilizat pentru antrenarea modelului de IA de uz general măsurat în operaţii în virgulă mobilă este una dintre aproximările relevante pentru capabilităţile modelului. Volumul cumulat de calcul utilizat pentru antrenare include calculul utilizat pentru toate activităţile şi metodele menite să consolideze capabilităţile modelului înainte de implementare, cum ar fi preantrenarea, generarea de date sintetice şi calibrarea. Prin urmare, ar trebui să fie stabilit un prag iniţial de operaţii în virgulă mobilă, care, dacă este atins de un model de IA de uz general, conduce la prezumţia că modelul este un model de IA de uz general cu riscuri sistemice. Acest prag ar trebui să fie ajustat în timp pentru a reflecta schimbările tehnologice şi industriale, cum ar fi îmbunătăţirile algoritmice sau eficienţa hardware sporită, şi ar trebui să fie completat cu valori de referinţă şi indicatori pentru capabilitatea modelului. În acest scop, Oficiul pentru IA ar trebui să colaboreze cu comunitatea ştiinţifică, cu industria, cu societatea civilă şi cu alţi experţi. Pragurile, precum şi instrumentele şi valorile de referinţă pentru evaluarea capabilităţilor cu impact ridicat ar trebui să fie indicatori puternici ai generalităţii, ai capabilităţilor modelului şi ai riscului sistemic asociat modelelor de IA de uz general şi ar putea lua în considerare modul în care modelul va fi introdus pe piaţă sau numărul de utilizatori pe care îi poate afecta. Pentru a completa acest sistem, Comisia ar trebui să aibă posibilitatea de a lua decizii individuale de desemnare a unui model de IA de uz general ca model de IA de uz general cu risc sistemic dacă se constată că un astfel de model are capabilităţi sau un impact echivalent cu cele acoperite de pragul stabilit. Decizia respectivă ar trebui luată pe baza unei evaluări globale a criteriilor pentru desemnarea unui model de IA de uz general cu risc sistemic prevăzute într-o anexă la prezentul regulament, cum ar fi calitatea sau dimensiunea setului de date de antrenament, numărul de utilizatori comerciali şi finali, modalităţile referitoare la datele de intrare şi de ieşire ale modelului, nivelul său de autonomie şi de scalabilitate sau instrumentele la care are acces. La cererea motivată a unui furnizor al cărui model a fost desemnat drept model de IA de uz general cu risc sistemic, Comisia ar trebui să ţină seama de cerere şi poate decide să reevalueze dacă modelul de IA de uz general poate fi considerat în continuare ca prezentând riscuri sistemice.
(112)De asemenea, este necesar să se clarifice o procedură pentru clasificarea unui model de IA de uz general cu riscuri sistemice. Un model de IA de uz general care respectă pragul aplicabil pentru capabilităţile cu impact ridicat ar trebui să fie prezumat ca fiind un model de IA de uz general cu risc sistemic. Furnizorul ar trebui să notifice Oficiul pentru IA în termen de cel mult două săptămâni de la îndeplinirea cerinţelor sau de la data la care devine cunoscut faptul că un model de IA de uz general va îndeplini cerinţele care conduc la prezumţia respectivă. Acest lucru este deosebit de relevant în legătură cu pragul de operaţii în virgulă mobilă, deoarece antrenarea modelelor de IA de uz general necesită o planificare considerabilă, care include alocarea în avans a resurselor de calcul şi, prin urmare, furnizorii de modele de IA de uz general sunt în măsură să ştie dacă modelul lor ar atinge pragul înainte de finalizarea antrenării. În contextul notificării respective, furnizorul ar trebui să poată demonstra că, având în vedere caracteristicile sale specifice, un model de IA de uz general nu prezintă, în mod excepţional, riscuri sistemice şi că, prin urmare, nu ar trebui să fie clasificat drept model de IA de uz general cu riscuri sistemice. Aceste informaţii sunt valoroase deoarece Oficiul pentru IA poate să anticipeze introducerea pe piaţă a modelelor de IA de uz general cu riscuri sistemice, iar furnizorii pot începe să colaboreze cu Oficiul pentru IA din timp. Aceste informaţii sunt deosebit de importante în ceea ce priveşte modelele de IA de uz general care sunt planificate să fie lansate ca sursă deschisă, având în vedere că, după lansarea modelului cu sursă deschisă, măsurile necesare pentru a asigura respectarea obligaţiilor prevăzute în prezentul regulament pot fi mai dificil de pus în aplicare.
(113)În cazul în care Comisia constată că un model de IA de uz general îndeplineşte cerinţele de clasificare ca model de IA de uz general cu risc sistemic, lucru care anterior fie nu fusese cunoscut, fie nu fusese notificat Comisiei de furnizorul relevant, Comisia ar trebui să fie împuternicită să îl desemneze ca atare. Un sistem de alerte calificate ar trebui să asigure faptul că Oficiul pentru IA este informat de către grupul ştiinţific cu privire la modele de IA de uz general care ar putea fi clasificate drept modele de IA de uz general cu risc sistemic, pe lângă activităţile de monitorizare ale Oficiului pentru IA.
(114)Furnizorii de modele de IA de uz general care prezintă riscuri sistemice ar trebui să facă obiectul, pe lângă obligaţiile prevăzute pentru furnizorii de modele de IA de uz general, unor obligaţii menite să identifice şi să atenueze riscurile respective şi să asigure un nivel adecvat de protecţie în materie de securitate cibernetică, indiferent dacă este furnizat ca model de sine stătător sau încorporat într-un sistem sau într-un produs de IA. Pentru a atinge obiectivele respective, prezentul regulament ar trebui să impună furnizorilor să efectueze evaluările necesare ale modelelor, în special înainte de prima lor introducere pe piaţă, inclusiv efectuarea şi documentarea testării contradictorii a modelelor, inclusiv, după caz, prin testări interne sau externe independente. În plus, furnizorii de modele de IA de uz general cu riscuri sistemice ar trebui să evalueze şi să atenueze în permanenţă riscurile sistemice, inclusiv, de exemplu, prin instituirea unor politici de gestionare a riscurilor, cum ar fi procesele de asigurare a răspunderii şi de guvernanţă, prin punerea în aplicare a monitorizării ulterioare introducerii pe piaţă, prin luarea de măsuri adecvate de-a lungul întregului ciclu de viaţă al modelului şi prin cooperarea cu actorii relevanţi de-a lungul lanţului valoric al IA.
(115)Furnizorii de modele de IA de uz general cu riscuri sistemice ar trebui să evalueze şi să atenueze posibilele riscuri sistemice. Dacă, în pofida eforturilor de identificare şi prevenire a riscurilor legate de un model de IA de uz general care poate prezenta riscuri sistemice, dezvoltarea sau utilizarea modelului cauzează un incident grav, furnizorul modelului de IA de uz general ar trebui să urmărească fără întârzieri nejustificate incidentul şi să raporteze Comisiei şi autorităţilor naţionale competente orice informaţii relevante şi posibile măsuri corective. În plus, furnizorii ar trebui să asigure un nivel adecvat de protecţie în materie de securitate cibernetică pentru model şi infrastructura fizică a acestuia, dacă este cazul, de-a lungul întregului ciclu de viaţă al modelului. Protecţia în materie de securitate cibernetică legată de riscurile sistemice asociate utilizării răuvoitoare sau atacurilor ar trebui să ia în considerare în mod corespunzător scurgerile accidentale de modele, lansările neautorizate, eludarea măsurilor de siguranţă şi apărarea împotriva atacurilor cibernetice, a accesului neautorizat sau a furtului de modele. Această protecţie ar putea fi facilitată prin securizarea ponderilor modelelor, a algoritmilor, a serverelor şi a seturilor de date, de exemplu prin măsuri de securitate operaţională pentru securitatea informaţiilor, politici specifice în materie de securitate cibernetică, soluţii tehnice şi consacrate adecvate şi controale ale accesului cibernetic şi fizic, adecvate circumstanţelor relevante şi riscurilor implicate.
(116)Oficiul pentru IA ar trebui să încurajeze şi să faciliteze elaborarea, revizuirea şi adaptarea unor coduri de bune practici, ţinând seama de abordările internaţionale. Toţi furnizorii de modele de IA de uz general ar putea fi invitaţi să participe. Pentru a se asigura că codurile de bune practici reflectă stadiul actual al tehnologiei şi ţin seama în mod corespunzător de un set divers de perspective, Oficiul pentru IA ar trebui să colaboreze cu autorităţile naţionale competente relevante şi ar putea, după caz, să se consulte cu organizaţiile societăţii civile şi cu alte părţi interesate şi experţi relevanţi, inclusiv cu grupul ştiinţific, pentru elaborarea unor astfel de coduri. Codurile de bune practici ar trebui să se refere la obligaţiile furnizorilor de modele de IA de uz general şi de modele de IA de uz general care prezintă riscuri sistemice. În plus, în ceea ce priveşte riscurile sistemice, codurile de bune practici ar trebui să contribuie la stabilirea unei taxonomii a tipurilor şi naturii riscurilor sistemice la nivelul Uniunii, inclusiv a surselor acestora. Codurile de bune practici ar trebui să se axeze, de asemenea, pe măsuri specifice de evaluare şi de atenuare a riscurilor.
(117)Codurile de bune practici ar trebui să reprezinte un instrument central pentru respectarea corespunzătoare a obligaţiilor prevăzute în prezentul regulament pentru furnizorii de modele de IA de uz general. Furnizorii ar trebui să se poată baza pe coduri de bune practici pentru a demonstra respectarea obligaţiilor. Prin intermediul unor acte de punere în aplicare, Comisia poate decide să aprobe un cod de bune practici şi să îi acorde o valabilitate generală în Uniune sau, alternativ, să prevadă norme comune pentru punerea în aplicare a obligaţiilor relevante, în cazul în care, până la momentul în care prezentul regulament devine aplicabil, un cod de bune practici nu poate fi finalizat sau nu este considerat adecvat de către Oficiul pentru IA. Odată ce un standard armonizat este publicat şi evaluat ca fiind adecvat pentru a acoperi obligaţiile relevante de către Oficiul pentru IA, furnizorii ar trebui să beneficieze de prezumţia de conformitate în cazul în care respectă un standard european armonizat. În plus, furnizorii de modele de IA de uz general ar trebui să poată demonstra conformitatea utilizând mijloace alternative adecvate, dacă nu sunt disponibile coduri de bune practici sau standarde armonizate sau dacă aleg să nu se bazeze pe acestea.
(118)Prezentul regulament reglementează sistemele de IA şi modelele de IA prin impunerea anumitor cerinţe şi obligaţii pentru actorii relevanţi de pe piaţă care le introduc pe piaţă, le pun în funcţiune sau le utilizează în Uniune, completând astfel obligaţiile pentru furnizorii de servicii intermediare care încorporează astfel de sisteme sau modele în serviciile lor reglementate de Regulamentul (UE) 2022/2065. În măsura în care astfel de sisteme sau modele sunt încorporate în platforme online foarte mari sau în motoare de căutare online foarte mari desemnate, acestea fac obiectul cadrului de gestionare a riscurilor prevăzut în Regulamentul (UE) 2022/2065. În consecinţă, ar trebui să se presupună că obligaţiile corespunzătoare din prezentul regulament sunt îndeplinite, cu excepţia cazului în care apar riscuri sistemice semnificative care nu intră sub incidenţa Regulamentului (UE) 2022/2065 şi sunt identificate în astfel de modele. În acest cadru, furnizorii de platforme online foarte mari şi de motoare de căutare online foarte mari sunt obligaţi să evalueze potenţialele riscuri sistemice care decurg din proiectarea, funcţionarea şi utilizarea serviciilor lor, inclusiv modul în care proiectarea sistemelor algoritmice utilizate în cadrul serviciului poate contribui la astfel de riscuri, precum şi riscurile sistemice care decurg din potenţialele utilizări necorespunzătoare. Aceşti furnizori sunt, de asemenea, obligaţi să ia măsuri adecvate de atenuare, cu respectarea drepturilor fundamentale.
(119)Având în vedere ritmul rapid al inovării şi al evoluţiei tehnologice a serviciilor digitale care intră în domeniul de aplicare al diferitelor instrumente din dreptul Uniunii, în special având în vedere utilizarea şi percepţia destinatarilor lor, sistemele de IA care fac obiectul prezentului regulament pot fi furnizate ca servicii intermediare sau ca părţi ale acestora în sensul Regulamentului (UE) 2022/2065, care ar trebui să fie interpretat într-un mod neutru din punct de vedere tehnologic. De exemplu, sistemele de IA pot fi utilizate pentru a furniza motoare de căutare online, în special în măsura în care un sistem de IA, cum ar fi un chatbot online, efectuează căutări, în principiu, pe toate site-urile web, apoi încorporează rezultatele în cunoştinţele sale existente şi utilizează cunoştinţele actualizate pentru a genera un singur rezultat care combină diferite surse de informaţii.
(120)În plus, obligaţiile impuse prin prezentul regulament furnizorilor şi implementatorilor anumitor sisteme de IA pentru a permite detectarea şi divulgarea faptului că rezultatele sistemelor respective sunt generate sau manipulate artificial sunt deosebit de relevante pentru a facilita punerea în aplicare efectivă a Regulamentului (UE) 2022/2065. Acest lucru este valabil în special în ceea ce priveşte obligaţiile furnizorilor de platforme online foarte mari sau de motoare de căutare online foarte mari de a identifica şi a atenua riscurile sistemice care pot apărea în urma diseminării conţinutului care a fost generat sau manipulat artificial, în special riscul privind efectele negative reale sau previzibile asupra proceselor democratice, asupra discursului civic şi asupra proceselor electorale, inclusiv prin dezinformare.
(121)Standardizarea ar trebui să joace un rol esenţial în furnizarea de soluţii tehnice furnizorilor pentru a asigura conformitatea cu prezentul regulament, în conformitate cu stadiul actual al tehnologiei, pentru a promova inovarea, precum şi competitivitatea şi creşterea pe piaţa unică. Conformitatea cu standardele armonizate, astfel cum sunt definite la articolul 2 punctul 1 litera (c) din Regulamentul (UE) nr. 1025/2012 al Parlamentului European şi al Consiliului (41), care ar trebui, în mod normal, să reflecte stadiul actual al tehnologiei, ar trebui să fie un mijloc prin care furnizorii să demonstreze conformitatea cu cerinţele prezentului regulament. Prin urmare, ar trebui să fie încurajată o reprezentare echilibrată a intereselor, care să implice toate părţile interesate relevante în elaborarea standardelor, în special IMM-urile, organizaţiile consumatorilor şi părţile interesate din domeniul mediului şi din domeniul social, în conformitate cu articolele 5 şi 6 din Regulamentul (UE) nr. 1025/2012. Pentru a facilita conformitatea, solicitările de standardizare ar trebui să fie emise de Comisie fără întârzieri nejustificate. Atunci când elaborează solicitarea de standardizare, Comisia ar trebui să consulte forumul consultativ şi Consiliul IA pentru a colecta cunoştinţele de specialitate relevante. Cu toate acestea, în absenţa unor trimiteri relevante la standardele armonizate, Comisia ar trebui să poată stabili, prin intermediul unor acte de punere în aplicare şi după consultarea forumului consultativ, specificaţii comune pentru anumite cerinţe în temeiul prezentului regulament. Specificaţia comună ar trebui să constituie o soluţie excepţională de rezervă, pentru a facilita obligaţia furnizorului de a respecta cerinţele prezentului regulament, atunci când solicitarea de standardizare nu a fost acceptată de niciuna dintre organizaţiile de standardizare europene sau când standardele armonizate relevante abordează insuficient preocupările în materie de drepturi fundamentale ori când standardele armonizate nu corespund solicitării sau atunci când există întârzieri în adoptarea unui standard armonizat adecvat. În cazul în care o astfel de întârziere în adoptarea unui standard armonizat se datorează complexităţii tehnice a standardului respectiv, acest lucru ar trebui să fie luat în considerare de Comisie înainte de a avea în vedere stabilirea unor specificaţii comune. Atunci când elaborează specificaţii comune, Comisia este încurajată să coopereze cu partenerii internaţionali şi cu organismele de standardizare internaţionale.
(41)Regulamentul (UE) nr. 1025/2012 al Parlamentului European şi al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE şi 93/15/CEE ale Consiliului şi a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE şi 2009/105/CE ale Parlamentului European şi ale Consiliului şi de abrogare a Deciziei 87/95/CEE a Consiliului şi a Deciziei nr. 1673/2006/CE a Parlamentului European şi a Consiliului (JO L 316, 14.11.2012, p. 12).
(122)Este oportun ca, fără a aduce atingere utilizării standardelor armonizate şi a specificaţiilor comune, să se prezume că furnizorii unui sistem de IA cu grad ridicat de risc care a fost antrenat şi testat pe baza unor date care reflectă cadrul geografic, comportamental, contextual sau funcţional specific în care se intenţionează utilizarea sistemului de IA respectă măsura relevantă prevăzută în temeiul cerinţei privind guvernanţa datelor stabilită în prezentul regulament. Fără a aduce atingere cerinţelor legate de robusteţe şi acurateţe prevăzute în prezentul regulament, în conformitate cu articolul 54 alineatul (3) din Regulamentul (UE) 2019/881, ar trebui să se prezume că sistemele de IA cu grad ridicat de risc care au fost certificate sau pentru care a fost emisă o declaraţie de conformitate în cadrul unui sistem de securitate cibernetică în temeiul regulamentului respectiv, iar referinţele aferente au fost publicate în Jurnalul Oficial al Uniunii Europene, respectă cerinţa de securitate cibernetică menţionată în prezentul regulament, în măsura în care certificatul de securitate cibernetică sau declaraţia de conformitate sau părţi ale acestora acoperă cerinţa de securitate cibernetică din prezentul regulament. Acest lucru nu aduce atingere caracterului voluntar al respectivului sistem de securitate cibernetică.
(123)Pentru a asigura un nivel ridicat de fiabilitate a sistemelor de IA cu grad ridicat de risc, aceste sisteme ar trebui să facă obiectul unei evaluări a conformităţii înainte de introducerea lor pe piaţă sau de punerea lor în funcţiune.
(124)Este oportun ca, pentru a reduce la minimum sarcina impusă operatorilor şi pentru a evita eventualele suprapuneri, pentru sistemele de IA cu grad ridicat de risc legate de produse care fac obiectul legislaţiei de armonizare existente a Uniunii bazate pe noul cadru legislativ, conformitatea acestor sisteme de IA cu cerinţele prezentului regulament să fie evaluată ca parte a evaluării conformităţii prevăzute deja în legislaţia respectivă. Aplicabilitatea cerinţelor prezentului regulament nu ar trebui, prin urmare, să afecteze logica specifică, metodologia sau structura generală a evaluării conformităţii în temeiul legislaţiei de armonizare relevante a Uniunii.
(125)Având în vedere complexitatea sistemelor de IA cu grad ridicat de risc şi riscurile asociate acestora, este important să se dezvolte o procedură adecvată de evaluare a conformităţii pentru sistemele de IA cu grad ridicat de risc care implică organisme notificate, aşa-numita evaluare a conformităţii de către terţi. Cu toate acestea, având în vedere experienţa actuală a organismelor profesionale de certificare înainte de introducerea pe piaţă în domeniul siguranţei produselor şi natura diferită a riscurilor implicate, este oportun să se limiteze, cel puţin într-o fază iniţială de aplicare a prezentului regulament, domeniul de aplicare al evaluării conformităţii de către terţi pentru sistemele de IA cu grad ridicat de risc, altele decât cele legate de produse. Prin urmare, evaluarea conformităţii unor astfel de sisteme ar trebui să fie efectuată, ca regulă generală, de către furnizor pe propria răspundere, cu singura excepţie a sistemelor de IA destinate a fi utilizate pentru biometrie.
(126)În vederea efectuării de evaluări ale conformităţii de către terţi atunci când este necesar, autorităţile naţionale competente ar trebui să comunice lista organismelor notificate în temeiul prezentului regulament, cu condiţia ca acestea să îndeplinească un set de cerinţe, în special în ceea ce priveşte independenţa, competenţa, absenţa conflictelor de interese şi cerinţele minime de securitate cibernetică. Lista acestor organisme notificate ar trebui să fie trimisă de autorităţile naţionale competente Comisiei şi celorlalte state membre prin intermediul instrumentului de notificare electronică dezvoltat şi gestionat de Comisie în temeiul articolului R23 din anexa I la Decizia nr. 768/2008/CE.
(127)În conformitate cu angajamentele asumate de Uniune în temeiul Acordului Organizaţiei Mondiale a Comerţului privind barierele tehnice în calea comerţului, este adecvat să se faciliteze recunoaşterea reciprocă a rezultatelor evaluării conformităţii obţinute de organismele competente de evaluare a conformităţii, indiferent de teritoriul pe care sunt stabilite acestea, cu condiţia ca respectivele organisme de evaluare a conformităţii instituite în temeiul dreptului unei ţări terţe să îndeplinească cerinţele aplicabile ale prezentului regulament, iar Uniunea să fi încheiat un acord în acest sens. În acest context, Comisia ar trebui să analizeze în mod activ posibile instrumente internaţionale adecvate acestui scop şi, în special, să urmărească încheierea de acorduri de recunoaştere reciprocă cu ţări terţe.
(128)În conformitate cu noţiunea stabilită de comun acord de modificare substanţială pentru produsele reglementate de legislaţia de armonizare a Uniunii, este oportun ca, ori de câte ori se produce o modificare care poate afecta respectarea prezentului regulament de către un sistem de IA cu grad ridicat de risc (de exemplu, modificarea sistemului de operare sau a arhitecturii software) sau atunci când scopul preconizat al sistemului se modifică, respectivul sistem de IA să fie considerat a fi un sistem de IA nou care ar trebui să facă obiectul unei noi evaluări a conformităţii. Cu toate acestea, modificările care afectează algoritmul şi performanţa sistemelor de IA care continuă să "înveţe" după ce au fost introduse pe piaţă sau puse în funcţiune şi anume, adaptarea automată a modului în care sunt îndeplinite funcţiile nu ar trebui să constituie o modificare substanţială, cu condiţia ca modificările respective să fi fost prestabilite de furnizor şi evaluate în momentul evaluării conformităţii.
(129)Sistemele de IA cu grad ridicat de risc ar trebui să poarte marcajul CE pentru a indica conformitatea lor cu prezentul regulament, astfel încât să poată circula liber în cadrul pieţei interne. Pentru sistemele de IA cu grad ridicat de risc încorporate într-un produs ar trebui să fie aplicat un marcaj CE fizic care poate fi completat de un marcaj CE digital. Pentru sistemele de IA cu grad ridicat de risc furnizate exclusiv digital, ar trebui să fie utilizat un marcaj CE digital. Statele membre ar trebui să nu genereze obstacole nejustificate în calea introducerii pe piaţă sau a punerii în funcţiune a sistemelor de IA cu grad ridicat de risc care sunt conforme cu cerinţele prevăzute în prezentul regulament şi care poartă marcajul CE.
(130)În anumite condiţii, disponibilitatea rapidă a tehnologiilor inovatoare poate fi esenţială pentru sănătatea şi siguranţa persoanelor, pentru protecţia mediului şi combaterea schimbărilor climatice şi pentru societate în ansamblu. Prin urmare, este oportun ca, din motive excepţionale de siguranţă publică sau de protecţie a vieţii şi a sănătăţii persoanelor fizice, de protecţie a mediului şi de protecţie a activelor industriale şi de infrastructură esenţiale, autorităţile de supraveghere a pieţei să poată autoriza introducerea pe piaţă sau punerea în funcţiune a unor sisteme de IA care nu au fost supuse unei evaluări a conformităţii. În situaţii justificate în mod corespunzător, astfel cum se prevede în prezentul regulament, autorităţile de aplicare a legii sau autorităţile de protecţie civilă pot pune în funcţiune un anumit sistem de IA cu grad ridicat de risc fără autorizarea autorităţii de supraveghere a pieţei, cu condiţia ca o astfel de autorizare să fie solicitată în timpul utilizării sau după utilizare, fără întârzieri nejustificate.
(131)Pentru a facilita activitatea Comisiei şi a statelor membre în domeniul IA, precum şi pentru a spori transparenţa faţă de public, furnizorii de sisteme de IA cu grad ridicat de risc, altele decât cele legate de produse care intră în domeniul de aplicare al actelor legislative de armonizare relevante existente ale Uniunii, precum şi furnizorii care consideră că un sistem de IA care figurează între situaţiile cu grad ridicat de risc dintr-o anexă la prezentul regulament nu este, pe baza unei derogări, un sistem de IA cu grad ridicat de risc, ar trebui să aibă obligaţia de a se înregistra, precum şi de a înregistra informaţii despre propriul sistem de IA într-o bază de date a UE, care urmează să fie creată şi gestionată de Comisie. Înainte de a utiliza un sistem de IA care figurează între situaţiile cu grad ridicat de risc dintr-o anexă la prezentul regulament, implementatorii sistemelor de IA cu grad ridicat de risc care sunt autorităţi, agenţii sau organisme publice ar trebui să se înregistreze în baza de date respectivă şi să selecteze sistemul pe care intenţionează să îl utilizeze. Ceilalţi implementatori ar trebui să aibă dreptul de a face acest lucru în mod voluntar. Această secţiune a bazei de date a UE ar trebui să fie accesibilă publicului, în mod gratuit, informaţiile ar trebui să fie uşor de parcurs, uşor de înţeles şi prelucrabile automat. Baza de date a UE ar trebui, de asemenea, să fie uşor de utilizat, de exemplu prin furnizarea de funcţionalităţi de căutare, inclusiv prin intermediul cuvintelor-cheie, care să permită publicului larg să găsească informaţiile relevante care trebuie să fie transmise la înregistrarea sistemelor de IA cu grad ridicat de risc şi cu privire la cazul de utilizare a sistemelor de IA cu grad ridicat de risc, prevăzute într-o anexă la prezentul regulament, cărora le corespund sistemele de IA cu grad ridicat de risc. Orice modificare substanţială a sistemelor de IA cu grad ridicat de risc ar trebui să se înregistreze, de asemenea, în baza de date a UE. Pentru sistemele de IA cu grad ridicat de risc din domeniul aplicării legii, al migraţiei, al azilului şi al gestionării controlului la frontiere, obligaţiile de înregistrare ar trebui să fie îndeplinite în cadrul unei secţiuni securizate, care nu este accesibilă publicului, a bazei de date a UE. Accesul la secţiunea securizată care nu este accesibilă publicului ar trebui să fie strict limitat la Comisie, precum şi la autorităţile de supraveghere a pieţei în ceea ce priveşte secţiunea lor naţională din baza de date respectivă. Sistemele de IA cu grad ridicat de risc din domeniul infrastructurii critice ar trebui să fie înregistrate exclusiv la nivel naţional. Comisia ar trebui să fie operatorul bazei de date a UE, în conformitate cu Regulamentul (UE) 2018/1725. Pentru a asigura funcţionalitatea deplină a bazei de date a UE, atunci când aceasta este implementată, procedura de stabilire a bazei de date ar trebui să includă dezvoltarea de specificaţii funcţionale de către Comisie şi un raport de audit independent. Comisia ar trebui să ţină seama de riscurile în materie de securitate cibernetică atunci când îşi îndeplineşte sarcinile de operator de date în baza de date a UE. Pentru a maximiza disponibilitatea şi utilizarea bazei de date a UE de către public, baza de date a UE, inclusiv informaţiile puse la dispoziţie prin intermediul acesteia, ar trebui să îndeplinească cerinţele prevăzute în Directiva (UE) 2019/882.
(132)Anumite sisteme de IA destinate să interacţioneze cu persoane fizice sau să genereze conţinut pot prezenta riscuri specifice de uzurpare a identităţii sau de înşelăciune, indiferent dacă acestea se califică drept sisteme cu grad ridicat de risc sau nu. Prin urmare, în anumite circumstanţe, utilizarea acestor sisteme ar trebui să facă obiectul unor obligaţii specifice în materie de transparenţă, fără a aduce atingere cerinţelor şi obligaţiilor pentru sistemele de IA cu grad ridicat de risc şi sub rezerva unor excepţii specifice pentru a ţine seama de nevoia specială de a aplica legea. În special, persoanele fizice ar trebui să fie informate că interacţionează cu un sistem de IA, cu excepţia cazului în care acest lucru este evident din punctul de vedere al unei persoane fizice rezonabil de bine informată, de atentă şi de avizată, ţinând seama de circumstanţele şi contextul de utilizare. La punerea în aplicare a obligaţiei respective, caracteristicile persoanelor fizice care aparţin grupurilor vulnerabile din motive de vârstă sau dizabilitate ar trebui să fie luate în considerare în măsura în care sistemul de IA este destinat să interacţioneze şi cu aceste grupuri. În plus, persoanele fizice ar trebui să fie informate atunci când sunt expuse la sisteme de IA care, prin prelucrarea datelor lor biometrice, pot identifica sau deduce emoţiile sau intenţiile persoanelor respective sau le pot include în categorii specifice. Astfel de categorii specifice se pot referi la aspecte precum sexul, vârsta, culoarea părului, culoarea ochilor, tatuajele, trăsăturile personale, originea etnică, preferinţele şi interesele personale. Astfel de informaţii şi notificări ar trebui să fie furnizate în formate accesibile pentru persoanele cu dizabilităţi.
(133)O varietate de sisteme de IA poate genera cantităţi mari de conţinut sintetic, pe care oamenii ajung să îl distingă din ce în ce mai greu de conţinutul autentic, generat de om. Disponibilitatea pe scară largă şi capabilităţile din ce în ce mai mari ale acestor sisteme au un impact semnificativ asupra integrităţii ecosistemului informaţional şi a încrederii în acesta, generând noi riscuri de dezinformare şi manipulare la scară largă, de fraudă, de uzurpare a identităţii şi de inducere în eroare a consumatorilor. Având în vedere impactul respectiv, ritmul tehnologic rapid şi necesitatea unor noi metode şi tehnici de urmărire a originii informaţiilor, este oportun să se solicite furnizorilor acestor sisteme să încorporeze soluţii tehnice care să permită marcarea într-un format prelucrabil automat şi detectarea faptului că rezultatul a fost generat sau manipulat de un sistem de IA, şi nu de un om. Aceste tehnici şi metode ar trebui să fie suficient de fiabile, interoperabile, eficace şi robuste, în măsura în care acest lucru este fezabil din punct de vedere tehnic, ţinând seama de tehnicile disponibile sau de o combinaţie de astfel de tehnici, cum ar fi filigrane, identificări prin intermediul metadatelor, metode criptografice pentru a dovedi provenienţa şi autenticitatea conţinutului, metode de înregistrare, amprente digitale sau alte tehnici, după caz. Atunci când pun în aplicare această obligaţie, furnizorii ar trebui, de asemenea, să ţină seama de particularităţile şi limitările diferitelor tipuri de conţinut şi de evoluţiile tehnologice şi ale pieţei relevante în domeniu, astfel cum se reflectă în stadiul de avansare general recunoscut al tehnologiei. Astfel de tehnici şi metode pot fi puse în aplicare la nivelul sistemului de IA sau la nivelul modelului de IA, inclusiv al modelelor de IA de uz general care generează conţinut, facilitând astfel îndeplinirea acestei obligaţii de către furnizorul din aval al sistemului de IA. Este oportun să se aibă în vedere că, pentru a rămâne proporţională, această obligaţie de marcare nu ar trebui să vizeze sistemele de IA care îndeplinesc în principal o funcţie de asistare pentru editarea standard sau sistemele de IA care nu modifică în mod substanţial datele de intrare furnizate de implementator sau semantica acestora.
(134)Pe lângă soluţiile tehnice utilizate de furnizorii sistemului de IA, implementatorii care utilizează un sistem de IA pentru a genera sau a manipula conţinuturi de imagine, audio sau video care se aseamănă în mod apreciabil cu persoane, obiecte, locuri, entităţi sau evenimente existente şi care ar crea unei persoane impresia falsă că sunt autentice sau adevărate (deepfake-uri), ar trebui, de asemenea, să dezvăluie în mod clar şi distinct faptul că respectivul conţinut a fost creat sau manipulat în mod artificial prin etichetarea în consecinţă a rezultatului generat de IA şi divulgarea originii sale artificiale. Respectarea acestei obligaţii de transparenţă nu ar trebui să fie interpretată în sensul de a indica că utilizarea sistemului de IA sau a rezultatelor sale împiedică dreptul la libertatea de exprimare şi dreptul la libertatea artelor şi ştiinţelor garantate de cartă, în special atunci când conţinutul face parte dintr-o lucrare sau dintr-un program în mod evident creativ, satiric, artistic, fictiv sau analog, sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile terţilor. În cazurile respective, obligaţia de transparenţă pentru deepfake-uri prevăzută în prezentul regulament se limitează la divulgarea existenţei unui astfel de conţinut generat sau manipulat într-un mod adecvat, care să nu împiedice expunerea lucrării sau posibilitatea de a beneficia de aceasta, inclusiv exploatarea şi utilizarea normală a acesteia, menţinând în acelaşi timp utilitatea şi calitatea lucrării. În plus, este, de asemenea, oportun să se aibă în vedere o obligaţie similară de divulgare în ceea ce priveşte textul generat sau manipulat de IA, în măsura în care acesta este publicat cu scopul de a informa publicul cu privire la chestiuni de interes public, cu excepţia cazului în care conţinutul generat de IA a fost supus unui proces de verificare editorială sau revizuire umană şi responsabilitatea editorială pentru publicarea conţinutului este deţinută de o persoană fizică sau juridică.
(135)Fără a aduce atingere caracterului obligatoriu şi aplicabilităţii depline a obligaţiilor privind transparenţa, Comisia poate, de asemenea, să încurajeze şi să faciliteze elaborarea de coduri de bune practici la nivelul Uniunii cu scopul de a facilita punerea în aplicare efectivă a obligaţiilor privind detectarea şi etichetarea conţinutului generat sau manipulat artificial, inclusiv de a sprijini modalităţile practice pentru a oferi accesul, după caz, la mecanisme de detectare şi pentru a facilita cooperarea cu alţi actori de-a lungul lanţului valoric, pentru a disemina conţinutul sau a verifica autenticitatea şi provenienţa acestuia, astfel încât publicul să poată distinge efectiv conţinutul generat de IA.
(136)Obligaţiile impuse prin prezentul regulament furnizorilor şi implementatorilor anumitor sisteme de IA pentru a permite detectarea şi divulgarea faptului că rezultatele sistemelor respective sunt generate sau manipulate artificial sunt deosebit de relevante pentru a facilita punerea în aplicare efectivă a Regulamentului (UE) 2022/2065. Acest lucru este valabil în special în ceea ce priveşte obligaţiile furnizorilor de platforme online foarte mari sau de motoare de căutare online foarte mari de a identifica şi a atenua riscurile sistemice care pot apărea în urma diseminării conţinutului care a fost generat sau manipulat artificial, în special riscul privind efectele negative reale sau previzibile asupra proceselor democratice, asupra discursului civic şi asupra proceselor electorale, inclusiv prin dezinformare. Cerinţa de etichetare a conţinutului generat de sistemele de IA în temeiul prezentului regulament nu aduce atingere obligaţiei prevăzute la articolul 16 alineatul (6) din Regulamentul (UE) 2022/2065 pentru furnizorii de servicii de găzduire de a prelucra notificările privind conţinutul ilegal primite în temeiul articolului 16 alineatul (1) din regulamentul respectiv şi nu ar trebui să influenţeze evaluarea şi decizia privind ilegalitatea conţinutului specific. Evaluarea respectivă ar trebui să fie efectuată exclusiv în raport cu normele care reglementează legalitatea conţinutului.
(137)Respectarea obligaţiilor privind transparenţa pentru sistemele de IA vizate de prezentul regulament nu ar trebui să fie interpretată ca indicând faptul că utilizarea sistemului de IA sau a rezultatelor sale este legală în temeiul prezentului regulament sau al altor dispoziţii din dreptul Uniunii şi al statelor membre şi nu ar trebui să aducă atingere altor obligaţii de transparenţă pentru implementatorii sistemelor de IA prevăzute în dreptul Uniunii sau în cel intern.
(138)IA este o familie de tehnologii care se dezvoltă rapid şi care necesită supraveghere reglementară şi un spaţiu sigur şi controlat pentru experimentare, asigurând, în acelaşi timp, inovarea responsabilă şi integrarea unor garanţii adecvate şi a unor măsuri de atenuare a riscurilor. Pentru a asigura un cadru juridic care promovează inovarea, adaptat exigenţelor viitorului şi rezistent la inovări disruptive, statele membre ar trebui să se asigure că autorităţile lor naţionale competente instituie cel puţin un spaţiu de testare la nivel naţional în materie de reglementare în domeniul IA pentru a facilita dezvoltarea şi testarea sistemelor de IA inovatoare aflate sub supraveghere reglementară strictă înainte ca aceste sisteme să fie introduse pe piaţă sau puse în funcţiune în alt mod. Statele membre ar putea, de asemenea, să îndeplinească această obligaţie prin participarea la spaţiile de testare în materie de reglementare deja existente sau prin instituirea unui spaţiu de testare în comun cu una sau mai multe autorităţi competente ale statelor membre, în măsura în care această participare asigură un nivel echivalent de acoperire naţională pentru statele membre participante. Spaţiile de testare în materie de reglementare în domeniul IA ar putea fi instituite în formă fizică, digitală sau hibridă şi pot găzdui atât produse fizice, cât şi produse digitale. Autorităţile de instituire ar trebui, de asemenea, să se asigure că spaţiile de testare în materie de reglementare în domeniul IA dispun de resursele adecvate pentru funcţionarea lor, inclusiv de resurse financiare şi umane.
(139)Obiectivele spaţiilor de testare în materie de reglementare în domeniul IA ar trebui să fie promovarea inovării în domeniul IA prin instituirea unui mediu de experimentare şi testare controlat în faza de dezvoltare şi în faza anterioară introducerii pe piaţă, cu scopul de a asigura conformitatea sistemelor de IA inovatoare cu prezentul regulament şi cu alte dispoziţii relevante din dreptul Uniunii şi dreptul intern. În plus, spaţiile de testare în materie de reglementare în domeniul IA ar trebui să urmărească sporirea securităţii juridice pentru inovatori şi supravegherea şi înţelegerea de către autorităţile competente a oportunităţilor, a riscurilor emergente şi a impactului utilizării IA, facilitarea învăţării în materie de reglementare pentru autorităţi şi întreprinderi, inclusiv în vederea viitoarelor adaptări ale cadrului juridic, sprijinirea cooperării şi a schimbului de bune practici cu autorităţile implicate în spaţiul de testare în materie de reglementare în domeniul IA, precum şi accelerarea accesului la pieţe, inclusiv prin eliminarea barierelor din calea IMM-urilor, inclusiv a întreprinderilor nou-înfiinţate. Spaţiile de testare în materie de reglementare în domeniul IA ar trebui să fie disponibile pe scară largă în întreaga Uniune şi ar trebui să se acorde o atenţie deosebită accesibilităţii acestora pentru IMM-uri, inclusiv pentru întreprinderile nou-înfiinţate. Participarea la spaţiul de testare în materie de reglementare în domeniul IA ar trebui să se concentreze pe aspecte care fac ca furnizorii şi potenţialii furnizori să se confrunte cu o lipsă de securitate juridică atunci când încearcă să inoveze, să experimenteze cu IA în Uniune şi să contribuie la învăţarea bazată pe dovezi în materie de reglementare. Supravegherea sistemelor de IA în spaţiul de testare în materie de reglementare în domeniul IA ar trebui, prin urmare, să vizeze dezvoltarea, antrenarea, testarea şi validarea acestora înainte ca sistemele să fie introduse pe piaţă sau puse în funcţiune, precum şi noţiunea de modificare substanţială care ar putea necesita o nouă procedură de evaluare a conformităţii şi ocurenţa unei astfel de modificări. Orice riscuri semnificative identificate în cursul dezvoltării şi testării unor astfel de sisteme de IA ar trebui să conducă la o atenuare adecvată şi, în cazul în care atenuarea nu este posibilă, la suspendarea procesului de dezvoltare şi testare. După caz, autorităţile naţionale competente care instituie spaţii de testare în materie de reglementare în domeniul IA ar trebui să coopereze cu alte autorităţi relevante, inclusiv cu cele care supraveghează protecţia drepturilor fundamentale, şi ar putea permite implicarea altor actori din ecosistemul de IA, cum ar fi organizaţiile de standardizare naţionale sau europene, organismele notificate, unităţile de testare şi experimentare, laboratoarele de cercetare şi experimentare, centrele europene de inovare digitală şi organizaţiile relevante ale părţilor interesate şi ale societăţii civile. Pentru a asigura o punere în aplicare uniformă în întreaga Uniune şi economii de scară, este oportun să se stabilească norme comune pentru punerea în aplicare a spaţiilor de testare în materie de reglementare în domeniul IA şi un cadru de cooperare între autorităţile relevante implicate în supravegherea spaţiilor de testare. Spaţiile de testare în materie de reglementare în domeniul IA instituite în temeiul prezentului regulament nu ar trebui să aducă atingere altor dispoziţii de drept care permit instituirea altor spaţii de testare cu scopul de a asigura conformitatea cu alte dispoziţii de drept decât prezentul regulament. După caz, autorităţile competente relevante responsabile de aceste alte spaţii de testare în materie de reglementare ar trebui să ia în considerare beneficiile utilizării acestor spaţii de testare şi în scopul asigurării conformităţii sistemelor de IA cu prezentul regulament. Pe baza unui acord între autorităţile naţionale competente şi participanţii la spaţiul de testare în materie de reglementare în domeniul IA, testarea în condiţii reale poate fi, de asemenea, efectuată şi supravegheată în cadrul spaţiului de testare în materie de reglementare în domeniul IA.
(140)Prezentul regulament ar trebui să ofere furnizorilor şi potenţialilor furnizori din cadrul spaţiului de testare în materie de reglementare în domeniul IA temeiul juridic pentru utilizarea datelor cu caracter personal colectate în alte scopuri pentru a dezvolta anumite sisteme de IA de interes public în cadrul spaţiului de testare în materie de reglementare în domeniul IA numai în condiţii specificate, în conformitate cu articolul 6 alineatul (4) şi cu articolul 9 alineatul (2) litera (g) din Regulamentul (UE) 2016/679, precum şi cu articolele 5, 6 şi 10 din Regulamentul (UE) 2018/1725 şi fără a aduce atingere articolului 4 alineatul (2) şi articolului 10 din Directiva (UE) 2016/680. Toate celelalte obligaţii ale operatorilor de date şi drepturi ale persoanelor vizate în temeiul Regulamentelor (UE) 2016/679 şi (UE) 2018/1725 şi al Directivei (UE) 2016/680 rămân aplicabile. În special, prezentul regulament nu ar trebui să ofere un temei juridic în sensul articolului 22 alineatul (2) litera (b) din Regulamentul (UE) 2016/679 şi al articolului 24 alineatul (2) litera (b) din Regulamentul (UE) 2018/1725. Furnizorii şi potenţialii furnizori din cadrul spaţiului de testare în materie de reglementare în domeniul IA ar trebui să asigure garanţii adecvate şi să coopereze cu autorităţile competente, inclusiv urmând orientările acestora şi acţionând cu promptitudine şi cu bună-credinţă, în ceea ce priveşte atenuarea în mod adecvat a oricăror riscuri semnificative identificate la adresa siguranţei, sănătăţii şi a drepturilor fundamentale care ar putea apărea în timpul dezvoltării, testării şi experimentării în spaţiul de testare respectiv.
(141)Pentru a accelera procesul de dezvoltare şi introducere pe piaţă a sistemelor de IA cu grad ridicat de risc enumerate într-o anexă la prezentul regulament, este important ca furnizorii sau potenţialii furnizori ai acestor sisteme să poată beneficia, la rândul lor, de un regim specific pentru testarea acestor sisteme în condiţii reale, fără a participa la un spaţiu de testare în materie de reglementare în domeniul IA. Cu toate acestea, în astfel de cazuri, ţinând seama de posibilele consecinţe ale unor astfel de teste asupra persoanelor fizice, ar trebui să se garanteze faptul că prezentul regulament introduce garanţii şi condiţii adecvate şi suficiente pentru furnizori sau potenţiali furnizori. Astfel de garanţii ar trebui să includă, printre altele, solicitarea consimţământului în cunoştinţă de cauză al persoanelor fizice de a participa la teste în condiţii reale, cu excepţia cazurilor legate de aplicarea legii dacă solicitarea consimţământului în cunoştinţă de cauză ar împiedica testarea sistemului de IA. Consimţământul subiecţilor de a participa la astfel de teste în temeiul prezentului regulament este distinct de consimţământului persoanelor vizate pentru prelucrarea datelor lor cu caracter personal în temeiul dreptului relevant privind protecţia datelor şi nu îi aduce atingere acestuia. De asemenea, este important să se reducă la minimum riscurile şi să se permită supravegherea de către autorităţile competente şi, prin urmare, să se impună potenţialilor furnizori să facă demersurile necesare pentru prezentarea unui plan de testare în condiţii reale autorităţii competente de supraveghere a pieţei, să se înregistreze testările în secţiuni specifice din baza de date a UE, sub rezerva unor excepţii limitate, să se instituie limite privind perioada pentru care se poate efectua testarea şi să se impună garanţii suplimentare pentru persoanele care aparţin anumitor grupuri vulnerabile, precum şi un acord scris care să definească rolurile şi responsabilităţile potenţialilor furnizori şi implementatori şi supravegherea eficace de către personalul competent implicat în testarea în condiţii reale. În plus, este oportun să se prevadă garanţii suplimentare pentru a se asigura că previziunile, recomandările sau deciziile sistemului de IA pot fi efectiv inversate şi ignorate şi că datele cu caracter personal sunt protejate şi sunt şterse atunci când subiecţii îşi retrag consimţământul de a participa la testare, fără a aduce atingere drepturilor lor în calitate de persoane vizate în temeiul dreptului Uniunii privind protecţia datelor. În ceea ce priveşte transferul de date, este, de asemenea, oportun să se prevadă că datele colectate şi prelucrate în scopul testării în condiţii reale ar trebui să fie transferate către ţări terţe numai cu condiţia punerii în aplicare a unor garanţii adecvate şi aplicabile în temeiul dreptului Uniunii, în special în conformitate cu bazele pentru transferul de date cu caracter personal în temeiul dreptului Uniunii privind protecţia datelor, în timp ce pentru datele fără caracter personal sunt instituite garanţii adecvate în conformitate cu dreptul Uniunii, cum ar fi Regulamentele (UE) 2022/868 (42) şi (UE) 2023/2854 (43) ale Parlamentului European şi ale Consiliului.
(42)Regulamentul (UE) 2022/868 al Parlamentului European şi al Consiliului din 30 mai 2022 privind guvernanţa datelor la nivel european şi de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanţa datelor) (JO L 152, 3.6.2022, p. 1).
(43)Regulamentul (UE) 2023/2854 al Parlamentului European şi al Consiliului din 13 decembrie 2023 privind norme armonizate pentru un acces echitabil la date şi o utilizare corectă a acestora şi de modificare a Regulamentului (UE) 2017/2394 şi a Directivei (UE) 2020/1828 (Regulamentul privind datele) (JO L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).
(142)Pentru a se asigura că IA conduce la rezultate benefice din punct de vedere social şi ecologic, statele membre sunt încurajate să sprijine şi să promoveze cercetarea şi dezvoltarea de soluţii de IA în sprijinul rezultatelor benefice din punct de vedere social şi ecologic, cum ar fi soluţiile bazate pe IA pentru a spori accesibilitatea pentru persoanele cu dizabilităţi, pentru a combate inegalităţile socioeconomice sau pentru a îndeplini obiectivele de mediu, alocând resurse suficiente, inclusiv finanţare publică şi din partea Uniunii, şi, după caz şi cu condiţia îndeplinirii criteriilor de eligibilitate şi de selecţie, luând în considerare în special proiectele care urmăresc astfel de obiective. Aceste proiecte ar trebui să se bazeze pe principiul cooperării interdisciplinare dintre dezvoltatorii de IA, experţii în materie de inegalitate şi nediscriminare, accesibilitate, drepturile consumatorilor, de mediu şi digitale, precum şi cadrele universitare.
(143)Pentru a promova şi proteja inovarea, este important să fie luate în considerare în mod deosebit interesele IMM-urilor, inclusiv ale întreprinderilor nou-înfiinţate care sunt furnizori şi implementatori de sisteme de IA. În acest scop, statele membre ar trebui să elaboreze iniţiative care să vizeze operatorii respectivi, inclusiv în ceea ce priveşte sensibilizarea şi comunicarea informaţiilor. Statele membre ar trebui să ofere IMM-urilor, inclusiv întreprinderilor nou-înfiinţate, care au un sediu social sau o sucursală în Uniune, acces prioritar la spaţiile de testare în materie de reglementare în domeniul IA, cu condiţia ca acestea să îndeplinească condiţiile de eligibilitate şi criteriile de selecţie şi fără a împiedica alţi furnizori şi potenţiali furnizori să acceseze spaţiile de testare, cu condiţia să fie îndeplinite aceleaşi condiţii şi criterii. Statele membre ar trebui să utilizeze canalele existente şi, după caz, să stabilească noi canale specifice de comunicare cu IMM-urile, inclusiv întreprinderile nou-înfiinţate, implementatorii şi alţi inovatori şi, după caz, cu autorităţile publice locale, pentru a sprijini IMM-urile pe tot parcursul dezvoltării lor, oferind orientări şi răspunzând la întrebări cu privire la punerea în aplicare a prezentului regulament. După caz, aceste canale ar trebui să colaboreze pentru a crea sinergii şi pentru a asigura omogenitatea orientărilor pe care le furnizează IMM-urilor, inclusiv întreprinderilor nou-înfiinţate, şi implementatorilor. În plus, statele membre ar trebui să faciliteze participarea IMM-urilor şi a altor părţi interesate relevante la procesele de elaborare a standardelor. De asemenea, ar trebui să fie luate în considerare interesele şi nevoile specifice ale furnizorilor care sunt IMM-uri, inclusiv întreprinderi nou-înfiinţate, atunci când organismele notificate stabilesc taxe de evaluare a conformităţii. Comisia ar trebui să evalueze periodic costurile de certificare şi de conformitate suportate de IMM-uri, inclusiv de întreprinderile nou-înfiinţate, prin consultări transparente şi ar trebui să colaboreze cu statele membre pentru a reduce aceste costuri. De exemplu, costurile de traducere legate de documentaţia obligatorie şi de comunicarea cu autorităţile pot constitui un cost semnificativ pentru furnizori şi alţi operatori, în special pentru cei de dimensiuni mai mici. Statele membre ar trebui, eventual, să se asigure că una dintre limbile stabilite şi acceptate pentru documentaţia relevantă din partea furnizorilor şi pentru comunicarea cu operatorii este o limbă înţeleasă pe larg de un număr cât mai mare de implementatori transfrontalieri. Pentru a răspunde nevoilor specifice ale IMM-urilor, inclusiv ale întreprinderilor nou-înfiinţate, Comisia ar trebui să furnizeze modele standardizate pentru domeniile vizate de prezentul regulament, la solicitarea Consiliului IA. În plus, Comisia ar trebui să completeze eforturile statelor membre prin furnizarea unei platforme unice de informare cu informaţii uşor de utilizat în ceea ce priveşte prezentul regulament destinate tuturor furnizorilor şi implementatorilor, prin organizarea unor campanii de comunicare adecvate pentru sensibilizarea cu privire la obligaţiile care decurg din prezentul regulament şi prin evaluarea şi promovarea convergenţei bunelor practici în cadrul procedurilor de achiziţii publice în ceea ce priveşte sistemele de IA. Întreprinderile mijlocii care până recent se încadrau în categoria de întreprinderi mici în sensul anexei la Recomandarea 2003/361/CE a Comisiei (44) ar trebui să aibă acces la măsurile de sprijin respective, deoarece este posibil ca aceste noi întreprinderi mijlocii să nu dispună uneori de resursele juridice şi formarea necesare pentru a asigura respectarea şi înţelegerea adecvată a prezentului regulament.
(44)Recomandarea Comisiei din 6 mai 2003 privind definirea microîntreprinderilor şi a întreprinderilor mici şi mijlocii (JO L 124, 20.5.2003, p. 36).
(144)Pentru a promova şi a proteja inovarea, platforma de IA la cerere şi toate programele şi proiectele de finanţare relevante ale Uniunii, cum ar fi programele Europa digitală şi Orizont Europa, puse în aplicare de Comisie şi de statele membre la nivelul Uniunii sau la nivel naţional, ar trebui, după caz, să contribuie la îndeplinirea obiectivelor prezentului regulament.
(145)Pentru a reduce la minimum riscurile la adresa punerii în aplicare care decurg din lipsa de cunoaştere şi de cunoştinţe de specialitate de pe piaţă, precum şi pentru a facilita respectarea de către furnizori, cu precădere de către IMM-uri, inclusiv întreprinderile nou-înfiinţate, precum şi de către organismele notificate a obligaţiilor care le revin în temeiul prezentului regulament, platforma de IA la cerere, centrele europene de inovare digitală şi instalaţiile de testare şi experimentare instituite de Comisie şi de statele membre la nivelul Uniunii sau la nivel naţional ar trebui să contribuie la punerea în aplicare a prezentului regulament. În cadrul misiunii şi domeniilor lor de competenţă respective, platforma de IA la cerere, centrele europene de inovare digitală şi instalaţiile de testare şi experimentare sunt în măsură să ofere, în special, sprijin tehnic şi ştiinţific furnizorilor şi organismelor notificate.
(146)În plus, având în vedere dimensiunea foarte mică a unor operatori şi pentru a asigura proporţionalitatea în ceea ce priveşte costurile inovării, este oportun să se permită microîntreprinderilor să îndeplinească într-o manieră simplificată una dintre obligaţiile cele mai costisitoare, şi anume aceea de a institui un sistem de management al calităţii, fapt care ar reduce sarcina administrativă şi costurile pentru întreprinderile respective, fără a afecta nivelul de protecţie şi necesitatea de a respecta cerinţele pentru sistemele de IA cu grad ridicat de risc. Comisia ar trebui să elaboreze orientări pentru a specifica elementele sistemului de management al calităţii care trebuie îndeplinite în această manieră simplificată de către microîntreprinderi.
(147)Este oportun ca, în măsura posibilului, Comisia să faciliteze accesul la instalaţiile de testare şi experimentare pentru organismele, grupurile sau laboratoarele înfiinţate sau acreditate în temeiul oricăror acte legislative de armonizare relevante ale Uniunii şi care îndeplinesc sarcini în contextul evaluării conformităţii produselor sau dispozitivelor reglementate de respectivele acte legislative de armonizare ale Uniunii. Acest lucru este valabil în special în ceea ce priveşte grupurile de experţi, laboratoarele de expertiză şi laboratoarele de referinţă în domeniul dispozitivelor medicale în temeiul Regulamentelor (UE) 2017/745 şi (UE) 2017/746.
(148)Prezentul regulament ar trebui să instituie un cadru de guvernanţă care să permită, pe de o parte, coordonarea şi sprijinirea aplicării prezentului regulament la nivel naţional şi, pe de altă parte, consolidarea capabilităţilor la nivelul Uniunii şi integrarea părţilor interesate în domeniul IA. Punerea în aplicare şi respectarea efectivă a prezentului regulament necesită un cadru de guvernanţă care să permită coordonarea şi consolidarea cunoştinţelor de specialitate centrale la nivelul Uniunii. Oficiul pentru IA a fost instituit printr-o decizie a Comisiei (45) şi are ca misiune să dezvolte cunoştinţele de specialitate şi capabilităţile Uniunii în domeniul IA şi să contribuie la punerea în aplicare a dreptului Uniunii privind IA. Statele membre ar trebui să faciliteze sarcinile Oficiului pentru IA cu scopul de a sprijini dezvoltarea, la nivelul Uniunii, a cunoştinţelor de specialitate şi a capabilităţilor Uniunii şi de a consolida funcţionarea pieţei unice digitale. În plus, ar trebui să fie instituit un Consiliu IA compus din reprezentanţi ai statelor membre, un grup ştiinţific care să integreze comunitatea ştiinţifică şi un forum consultativ pentru a furniza contribuţii ale părţilor interesate pentru punerea în aplicare a prezentului regulament, la nivelul Uniunii şi la nivel naţional. Dezvoltarea cunoştinţelor de specialitate şi a capabilităţilor Uniunii ar trebui să includă şi valorificarea resurselor şi cunoştinţelor de specialitate existente, în special prin sinergii cu structurile create în contextul aplicării la nivelul Uniunii a altor acte legislative şi al sinergiilor cu iniţiativele conexe de la nivelul Uniunii, cum ar fi Întreprinderea comună EuroHPC şi unităţile de testare şi experimentare în domeniul IA din cadrul programului "Europa digitală".
(45)Decizia Comisiei din 24 ianuarie 2024 de instituire a Oficiului european pentru inteligenţa artificială [C(2024) 390].
(149)Pentru a facilita o punere în aplicare armonioasă, efectivă şi armonizată a prezentului regulament, ar trebui să fie instituit un Consiliu IA. Consiliul IA ar trebui să reflecte diferitele interese ale ecosistemului de IA şi să fie alcătuit din reprezentanţi ai statelor membre. Consiliul IA ar trebui să fie responsabil pentru o serie de sarcini consultative, inclusiv emiterea de avize, recomandări, consiliere sau furnizarea unor contribuţii sub formă de orientări cu privire la aspecte legate de punerea în aplicare a prezentului regulament, inclusiv cu privire la aspecte de aplicare a legii, la specificaţii tehnice sau la standarde existente în ceea ce priveşte cerinţele stabilite în prezentul regulament, precum şi furnizarea de consiliere Comisiei şi statelor lor membre şi autorităţilor naţionale competente ale acestora cu privire la chestiuni specifice legate de IA. Pentru a oferi o anumită flexibilitate statelor membre în ceea ce priveşte desemnarea reprezentanţilor lor în cadrul Consiliului IA, astfel de reprezentanţi pot fi persoane care aparţin unor entităţi publice care ar trebui să aibă competenţele şi prerogativele relevante pentru a facilita coordonarea la nivel naţional şi pentru a contribui la îndeplinirea sarcinilor Consiliului IA. Consiliul IA ar trebui să instituie două subgrupuri permanente pentru a oferi o platformă de cooperare şi de schimb între autorităţile de supraveghere a pieţei şi autorităţile de notificare cu privire la aspecte legate de supravegherea pieţei şi, respectiv, de organismele notificate. Subgrupul permanent pentru supravegherea pieţei ar trebui să acţioneze în calitate de grup de cooperare administrativă (ADCO) pentru prezentul regulament în sensul articolului 30 din Regulamentul (UE) 2019/1020. În conformitate cu articolul 33 din regulamentul respectiv, Comisia ar trebui să sprijine activităţile subgrupului permanent pentru supravegherea pieţei prin efectuarea de evaluări sau studii de piaţă, în special în vederea identificării aspectelor prezentului regulament care necesită o coordonare specifică şi urgentă între autorităţile de supraveghere a pieţei. Consiliul IA poate înfiinţa alte subgrupuri permanente sau temporare, după caz, în scopul examinării unor chestiuni specifice. Consiliul IA ar trebui, de asemenea, să coopereze, după caz, cu organismele, grupurile de experţi şi reţelele relevante ale Uniunii care îşi desfăşoară activitatea în contextul reglementărilor relevante ale dreptului Uniunii, inclusiv, în special, cu cele care îşi desfăşoară activitatea în temeiul reglementărilor relevante ale dreptului Uniunii privind datele, produsele şi serviciile digitale.
(150)Pentru a asigura implicarea părţilor interesate în punerea în aplicare şi aplicarea prezentului regulament, ar trebui să fie instituit un forum consultativ care să furnizeze Consiliului IA şi Comisiei consiliere şi cunoştinţe de specialitate tehnice. Pentru a asigura o reprezentare a părţilor interesate variată şi echilibrată între interesele comerciale şi cele necomerciale şi, în cadrul categoriei intereselor comerciale, în ceea ce priveşte IMM-urile şi alte întreprinderi, forumul consultativ ar trebui să cuprindă, printre altele, industria, întreprinderile nou-înfiinţate, IMM-urile, mediul academic, societatea civilă, inclusiv partenerii sociali, precum şi Agenţia pentru Drepturi Fundamentale, ENISA, Comitetul European de Standardizare (CEN), Comitetul European de Standardizare în Electrotehnică (CENELEC) şi Institutul European de Standardizare în Telecomunicaţii (ETSI).
(151)Pentru a sprijini punerea în aplicare şi respectarea prezentului regulament, în special activităţile de monitorizare ale Oficiului pentru IA în ceea ce priveşte modelele de IA de uz general, ar trebui să fie instituit un grup ştiinţific de experţi independenţi. Experţii independenţi din alcătuirea grupului ştiinţific ar trebui să fie selectaţi pe baza cunoştinţelor de specialitate ştiinţifice sau tehnice actualizate în domeniul IA şi ar trebui să îşi îndeplinească sarcinile cu imparţialitate şi obiectivitate şi să asigure confidenţialitatea informaţiilor şi a datelor obţinute în îndeplinirea sarcinilor şi activităţilor lor. Pentru a permite consolidarea capacităţilor naţionale necesare pentru aplicarea efectivă a prezentului regulament, statele membre ar trebui să poată solicita sprijin echipei de experţi care formează grupul ştiinţific pentru activităţile lor de aplicare a legii.
(152)Pentru a sprijini o aplicare adecvată a normelor în ceea ce priveşte sistemele de IA şi pentru a consolida capacităţile statelor membre, ar trebui să fie instituite şi puse la dispoziţia statelor membre structuri ale Uniunii de sprijin pentru testarea IA.
(153)Statele membre joacă un rol esenţial în aplicarea şi respectarea prezentului regulament. În acest sens, fiecare stat membru ar trebui să desemneze cel puţin o autoritate de notificare şi cel puţin o autoritate de supraveghere a pieţei în calitatea de autorităţi naţionale competente în scopul supravegherii aplicării şi punerii în aplicare a prezentului regulament. Statele membre pot decide să numească orice tip de entitate publică pentru a îndeplini sarcinile autorităţilor naţionale competente în sensul prezentului regulament, în conformitate cu caracteristicile şi nevoile organizaţionale naţionale specifice ale acestora. Pentru a spori eficienţa organizaţională din partea statelor membre şi pentru a stabili un punct unic de contact cu publicul şi cu alţi omologi la nivelul statelor membre şi al Uniunii, fiecare stat membru ar trebui să desemneze o autoritate de supraveghere a pieţei care să acţioneze ca punct unic de contact.
(154)Autorităţile naţionale competente ar trebui să îşi exercite competenţele în mod independent, imparţial şi fără prejudecăţi, garantând principiile obiectivităţii activităţilor şi sarcinilor lor şi asigurând aplicarea şi punerea în aplicare a prezentului regulament. Membrii acestor autorităţi ar trebui să se abţină de la orice act incompatibil cu natura funcţiilor lor şi ar trebui să facă obiectul normelor de confidenţialitate în temeiul prezentului regulament.
(155)Pentru a se asigura că furnizorii de sisteme de IA cu grad ridicat de risc pot ţine seama de experienţa privind utilizarea sistemelor de IA cu grad ridicat de risc pentru îmbunătăţirea sistemelor lor şi a procesului de proiectare şi dezvoltare sau că pot lua orice măsură corectivă posibilă în timp util, toţi furnizorii ar trebui să dispună de un sistem de monitorizare ulterioară introducerii pe piaţă. După caz, monitorizarea ulterioară introducerii pe piaţă ar trebui să includă o analiză a interacţiunii cu alte sisteme de IA, inclusiv cu alte dispozitive şi alt software. Monitorizarea ulterioară introducerii pe piaţă nu ar trebui să vizeze datele operaţionale sensibile ale implementatorilor care sunt autorităţi de aplicare a legii. Acest sistem este, de asemenea, esenţial pentru a se asigura că posibilele riscuri care decurg din sistemele de IA care continuă să "înveţe" după ce au fost introduse pe piaţă sau puse în funcţiune pot fi abordate într-un mod mai eficient şi în timp util. În acest context, furnizorii ar trebui, de asemenea, să aibă obligaţia de a dispune de un sistem pentru a raporta autorităţilor relevante orice incident grav care decurge din utilizarea sistemelor lor de IA, şi anume un incident sau o funcţionare defectuoasă care duce la deces sau la daune grave pentru sănătate, la perturbări grave şi ireversibile ale gestionării şi funcţionării infrastructurii critice, la încălcări ale obligaţiilor în temeiul dreptului Uniunii menite să protejeze drepturile fundamentale sau la daune grave aduse bunurilor materiale sau mediului.
(156)Pentru a se asigura respectarea adecvată şi efectivă a cerinţelor şi a obligaţiilor prevăzute în prezentul regulament, şi anume în legislaţia de armonizare a Uniunii, ar trebui să se aplice sistemul de supraveghere a pieţei şi de conformitate a produselor în ansamblul său, astfel cum a fost instituit prin Regulamentul (UE) 2019/1020. Autorităţile de supraveghere a pieţei desemnate în temeiul prezentului regulament ar trebui să dispună de toate competenţele de aplicare a dispoziţiilor stabilite în prezentul regulament şi în Regulamentul (UE) 2019/1020 şi ar trebui să îşi exercite competenţele şi să îşi îndeplinească atribuţiile în mod independent, imparţial şi fără prejudecăţi. Deşi majoritatea sistemelor de IA nu fac obiectul unor cerinţe şi obligaţii specifice în temeiul prezentului regulament, autorităţile de supraveghere a pieţei pot lua măsuri în legătură cu toate sistemele de IA atunci când acestea prezintă un risc în conformitate cu prezentul regulament. Având în vedere natura specifică a instituţiilor, agenţiilor şi organelor Uniunii care intră în domeniul de aplicare al prezentului regulament, este oportun ca Autoritatea Europeană pentru Protecţia Datelor să fie desemnată drept autoritate competentă de supraveghere a pieţei pentru acestea. Acest lucru nu ar trebui să aducă atingere desemnării autorităţilor naţionale competente de către statele membre. Activităţile de supraveghere a pieţei nu ar trebui să afecteze capacitatea entităţilor supravegheate de a-şi îndeplini sarcinile în mod independent, atunci când independenţa lor este impusă de dreptul Uniunii.
(157)Prezentul regulament nu aduce atingere competenţelor, sarcinilor, prerogativelor şi independenţei autorităţilor sau organismelor publice naţionale relevante care supraveghează aplicarea dreptului Uniunii care protejează drepturile fundamentale, inclusiv ale organismelor de promovare a egalităţii şi ale autorităţilor de protecţie a datelor. În cazul în care acest lucru este necesar pentru îndeplinirea mandatului lor, autorităţile sau organismele publice naţionale respective ar trebui să aibă, de asemenea, acces la orice documentaţie creată în temeiul prezentului regulament. Ar trebui să fie stabilită o procedură de salvgardare specifică pentru a se asigura respectarea dispoziţiilor în domeniul IA, în mod adecvat şi în timp util, în privinţa sistemelor de IA care prezintă un risc pentru sănătate, siguranţă şi drepturile fundamentale. Procedura pentru astfel de sisteme de IA care prezintă un risc ar trebui să se aplice sistemelor de IA cu grad ridicat de risc care prezintă un risc, sistemelor interzise care au fost introduse pe piaţă, puse în funcţiune sau utilizate cu încălcarea interdicţiei anumitor practici prevăzută în prezentul regulament, precum şi sistemelor de IA care au fost puse la dispoziţie cu încălcarea cerinţelor de transparenţă prevăzute în prezentul regulament şi care prezintă un risc.
(158)Dreptul Uniunii privind serviciile financiare include norme şi cerinţe privind guvernanţa internă şi gestionarea riscurilor care sunt aplicabile instituţiilor financiare reglementate în cursul furnizării acestor servicii, inclusiv atunci când acestea utilizează sisteme de IA. Pentru a asigura, în mod coerent, aplicarea şi respectarea obligaţiilor prevăzute în prezentul regulament şi a normelor şi cerinţelor relevante ale actelor juridice ale Uniunii în domeniul serviciilor financiare, autorităţile competente responsabile cu supravegherea şi aplicarea actelor juridice respective, în special autorităţile competente, astfel cum sunt definite în Regulamentul (UE) nr. 575/2013 al Parlamentului European şi al Consiliului (46) şi în Directivele 2008/48/CE (47), 2009/138/CE (48), 2013/36/UE (49), 2014/17/UE (50) şi (UE) 2016/97 (51) ale Parlamentului European şi ale Consiliului, ar trebui să fie desemnate, în limitele competenţelor lor respective, drept autorităţi competente în scopul supravegherii punerii în aplicare a prezentului regulament, inclusiv pentru activităţile de supraveghere a pieţei, în ceea ce priveşte sistemele de IA furnizate sau utilizate de instituţiile financiare reglementate şi supravegheate, cu excepţia cazului în care statele membre decid să desemneze o altă autoritate pentru a îndeplini aceste sarcini de supraveghere a pieţei. Autorităţile competente respective ar trebui să deţină toate competenţele în temeiul prezentului regulament şi al Regulamentului (UE) 2019/1020 pentru a asigura respectarea cerinţelor şi a obligaţiilor prevăzute în prezentul regulament, inclusiv competenţele de a desfăşura activităţi ex post de supraveghere a pieţei care pot fi integrate, după caz, în mecanismele şi procedurile lor de supraveghere existente în temeiul dispoziţiilor relevante ale dreptului Uniunii din domeniul serviciilor financiare. Este oportun să se considere că, atunci când acţionează în calitate de autorităţi de supraveghere a pieţei în temeiul prezentului regulament, autorităţile naţionale responsabile de supravegherea instituţiilor de credit reglementate în temeiul Directivei 2013/36/UE, care participă la mecanismul unic de supraveghere instituit prin Regulamentul (UE) nr. 1024/2013 al Consiliului (52), ar trebui să raporteze fără întârziere Băncii Centrale Europene orice informaţii identificate în cursul activităţilor lor de supraveghere a pieţei care ar putea prezenta un interes pentru sarcinile de supraveghere prudenţială ale Băncii Centrale Europene, astfel cum se specifică în regulamentul respectiv. Pentru a spori şi mai mult coerenţa dintre prezentul regulament şi normele aplicabile instituţiilor de credit reglementate în temeiul Directivei 2013/36/UE, este, de asemenea, oportun să se integreze unele dintre obligaţiile procedurale ale furnizorilor în ceea ce priveşte gestionarea riscurilor, monitorizarea ulterioară introducerii pe piaţă şi documentaţia în obligaţiile şi procedurile existente în temeiul Directivei 2013/36/UE. Pentru a evita suprapunerile, ar trebui să fie avute în vedere derogări limitate şi în ceea ce priveşte sistemul de management al calităţii al furnizorilor şi obligaţia de monitorizare impusă implementatorilor de sisteme de IA cu grad ridicat de risc, în măsura în care acestea se aplică instituţiilor de credit reglementate de Directiva 2013/36/UE. Acelaşi regim ar trebui să se aplice întreprinderilor de asigurare şi reasigurare şi holdingurilor de asigurare în temeiul Directivei 2009/138/CE, intermediarilor de asigurări în temeiul Directivei (UE) 2016/97, precum şi altor tipuri de instituţii financiare care fac obiectul cerinţelor privind guvernanţa internă, măsurile sau procesele interne instituite în temeiul dispoziţiilor relevante ale dreptului Uniunii din domeniul serviciilor financiare pentru a asigura coerenţa şi egalitatea de tratament în sectorul financiar.
(46)Regulamentul (UE) nr. 575/2013 al Parlamentului European şi al Consiliului din 26 iunie 2013 privind cerinţele prudenţiale pentru instituţiile de credit şi societăţile de investiţii şi de modificare a Regulamentului (UE) nr. 648/2012 (JO L 176, 27.6.2013, p. 1).
(47)Directiva 2008/48/CE a Parlamentului European şi a Consiliului din 23 aprilie 2008 privind contractele de credit pentru consumatori şi de abrogare a Directivei 87/102/CEE a Consiliului (JO L 133, 22.5.2008, p. 66).
(48)Directiva 2009/138/CE a Parlamentului European şi a Consiliului din 25 noiembrie 2009 privind accesul la activitate şi desfăşurarea activităţii de asigurare şi de reasigurare (Solvabilitate II) (JO L 335, 17.12.2009, p. 1).
(49)Directiva 2013/36/UE a Parlamentului European şi a Consiliului din 26 iunie 2013 cu privire la accesul la activitatea instituţiilor de credit şi supravegherea prudenţială a instituţiilor de credit şi a firmelor de investiţii, de modificare a Directivei 2002/87/CE şi de abrogare a Directivelor 2006/48/CE şi 2006/49/CE (JO L 176, 27.6.2013, p. 338).
(50)Directiva 2014/17/UE a Parlamentului European şi a Consiliului din 4 februarie 2014 privind contractele de credit oferite consumatorilor pentru bunuri imobile rezidenţiale şi de modificare a Directivelor 2008/48/CE şi 2013/36/UE şi a Regulamentului (UE) nr. 1093/2010 (JO L 60, 28.2.2014, p. 34).
(51)Directiva (UE) 2016/97 a Parlamentului European şi a Consiliului din 20 ianuarie 2016 privind distribuţia de asigurări (JO L 26, 2.2.2016, p. 19).
(52)Regulamentul (UE) nr. 1024/2013 al Consiliului din 15 octombrie 2013 de conferire a unor atribuţii specifice Băncii Centrale Europene în ceea ce priveşte politicile legate de supravegherea prudenţială a instituţiilor de credit (JO L 287, 29.10.2013, p. 63).
(159)Fiecare autoritate de supraveghere a pieţei pentru sistemele de IA cu grad ridicat de risc din domeniul biometriei, astfel cum sunt enumerate într-o anexă la prezentul regulament, în măsura în care sistemele respective sunt utilizate în scopul aplicării legii, al migraţiei, al azilului şi al gestionării controlului la frontiere sau al administrării justiţiei şi al proceselor democratice, ar trebui să aibă competenţe de investigare şi corective efective, inclusiv cel puţin competenţa de a obţine acces la toate datele cu caracter personal care sunt prelucrate şi la toate informaţiile necesare pentru îndeplinirea sarcinilor sale. Autorităţile de supraveghere a pieţei ar trebui să îşi poată exercita competenţele acţionând cu deplină independenţă. Nicio limitare a accesului acestora la date operaţionale sensibile în temeiul prezentului regulament nu ar trebui să aducă atingere competenţelor care le sunt conferite prin Directiva (UE) 2016/680. Nicio excludere în ceea ce priveşte divulgarea de date către autorităţile naţionale de protecţie a datelor în temeiul prezentului regulament nu ar trebui să afecteze competenţele actuale sau viitoare ale autorităţilor respective în afara domeniului de aplicare al prezentului regulament.
(160)Autorităţile de supraveghere a pieţei şi Comisia ar trebui să poată propune activităţi comune, inclusiv investigaţii comune, care să fie efectuate de autorităţile de supraveghere a pieţei sau de autorităţile de supraveghere a pieţei în colaborare cu Comisia şi care au scopul de a promova conformitatea, de a identifica cazurile de neconformitate, de a sensibiliza şi de a oferi orientări în legătură cu prezentul regulament în ceea ce priveşte anumite categorii de sisteme de IA cu grad ridicat de risc despre care se constată că prezintă un risc grav în două sau mai multe state membre. Activităţile comune de promovare a conformităţii ar trebui desfăşurate în conformitate cu articolul 9 din Regulamentul (UE) 2019/1020. Oficiul pentru IA ar trebui să ofere sprijin sub formă de coordonare pentru investigaţiile comune.
(161)Este necesar să se clarifice responsabilităţile şi competenţele la nivelul Uniunii şi la nivel naţional în ceea ce priveşte sistemele de IA care au la bază modele de IA de uz general. Pentru a evita suprapunerea competenţelor, în cazul în care un sistem de IA se bazează pe un model de IA de uz general, iar modelul şi sistemul sunt furnizate de acelaşi furnizor, supravegherea ar trebui să aibă loc la nivelul Uniunii prin intermediul Oficiului pentru IA, care, în acest scop, ar trebui să deţină competenţele unei autorităţi de supraveghere a pieţei în sensul Regulamentului (UE) 2019/1020. În toate celelalte cazuri, responsabilitatea privind supravegherea sistemelor de IA rămâne în sarcina autorităţilor naţionale de supraveghere a pieţei. Cu toate acestea, pentru sistemele de IA de uz general care pot fi utilizate direct de către implementatori pentru cel puţin un scop clasificat ca prezentând un grad ridicat de risc, autorităţile de supraveghere a pieţei ar trebui să coopereze cu Oficiul pentru IA pentru a efectua evaluări ale conformităţii şi să informeze în consecinţă Consiliul IA şi alte autorităţi de supraveghere a pieţei. În plus, autorităţile de supraveghere a pieţei ar trebui să poată solicita asistenţă din partea Oficiului pentru IA în cazul în care autoritatea de supraveghere a pieţei nu este în măsură să finalizeze o investigaţie cu privire la un sistem de IA cu grad ridicat de risc din cauza incapacităţii sale de a accesa anumite informaţii legate de modelul de IA de uz general care stă la baza sistemului de IA cu grad ridicat de risc. În astfel de cazuri, ar trebui să se aplice mutatis mutandis procedura privind asistenţa reciprocă transfrontalieră din capitolul VI din Regulamentul (UE) 2019/1020.
(162)Pentru a utiliza în mod optim cunoştinţele de specialitate centralizate ale Uniunii şi sinergiile de la nivelul Uniunii, competenţele de supraveghere şi de executare a obligaţiilor care le revin furnizorilor de modele de IA de uz general ar trebui să fie deţinute de Comisie. Oficiul pentru IA ar trebui să fie în măsură să întreprindă toate acţiunile necesare pentru a monitoriza punerea în aplicare efectivă a prezentului regulament în ceea ce priveşte modelele de IA de uz general. Acesta ar trebui să fie în măsură să investigheze posibilele încălcări ale normelor privind furnizorii de modele de IA de uz general, atât din proprie iniţiativă, dând curs rezultatelor activităţilor sale de monitorizare, cât şi la cererea autorităţilor de supraveghere a pieţei, în conformitate cu condiţiile stabilite în prezentul regulament. Pentru a sprijini desfăşurarea în mod eficace de către Oficiul pentru IA a monitorizării, acesta ar trebui să prevadă posibilitatea ca furnizorii din aval să depună plângeri cu privire la posibile încălcări ale normelor privind furnizorii de sisteme şi modele de IA de uz general.
(163)În vederea completării sistemelor de guvernanţă pentru modelele de IA de uz general, grupul ştiinţific ar trebui să sprijine activităţile de monitorizare ale Oficiului pentru IA şi poate, în anumite cazuri, să furnizeze Oficiului pentru IA alerte calificate care declanşează acţiuni subsecvente, de exemplu investigaţii. Acest lucru ar trebui să fie valabil atunci când grupul ştiinţific are motive să suspecteze că un model de IA de uz general prezintă un risc concret şi identificabil la nivelul Uniunii. În plus, acest lucru ar trebui să fie valabil atunci când grupul ştiinţific are motive să suspecteze că un model de IA de uz general îndeplineşte criteriile care ar conduce la o clasificare ca model de IA de uz general cu risc sistemic. Pentru ca grupul ştiinţific să dispună de informaţiile necesare în îndeplinirea sarcinilor respective, ar trebui să existe un mecanism prin care acesta să poată solicita Comisiei să impună furnizorilor să ofere documente sau informaţii.
(164)Oficiul pentru IA ar trebui să poată lua măsurile necesare pentru a monitoriza punerea în aplicare efectivă şi respectarea obligaţiilor furnizorilor de modele de IA de uz general prevăzute în prezentul regulament. Oficiul pentru IA ar trebui să fie în măsură să investigheze posibilele încălcări în conformitate cu competenţele prevăzute în prezentul regulament, inclusiv prin solicitarea unor documente şi informaţii, prin desfăşurarea de evaluări, precum şi prin solicitarea luării de măsuri de către furnizorii de modele de IA de uz general. În desfăşurarea evaluărilor, pentru a utiliza cunoştinţe de specialitate cu caracter independent, Oficiul pentru IA ar trebui să poată implica experţi independenţi pentru a desfăşura evaluările în numele său. Respectarea obligaţiilor ar trebui să fie asigurată, printre altele, prin cereri de a lua măsuri adecvate, inclusiv măsuri de atenuare a riscurilor în cazul unor riscuri sistemice identificate, precum şi prin restricţionarea punerii la dispoziţie pe piaţă, retragerea sau rechemarea modelului. Ca o garanţie, în cazul în care aceasta este necesară dincolo de drepturile procedurale prevăzute în prezentul regulament, furnizorii de modele de IA de uz general ar trebui să beneficieze de drepturile procedurale prevăzute la articolul 18 din Regulamentul (UE) 2019/1020, care ar trebui să se aplice mutatis mutandis, fără a aduce atingere drepturilor procedurale mai specifice prevăzute în prezentul regulament.
(165)Dezvoltarea altor sisteme de IA decât cele cu grad ridicat de risc în conformitate cu cerinţele prezentului regulament poate duce la o utilizare pe scară mai largă a IA conform unor principii etice şi fiabile în Uniune. Furnizorii de sisteme de IA care nu prezintă un grad ridicat de risc ar trebui să fie încurajaţi să creeze coduri de conduită, inclusiv mecanisme de guvernanţă conexe, menite să promoveze aplicarea parţială sau integrală, în mod voluntar, a cerinţelor obligatorii aplicabile sistemelor de IA cu grad ridicat de risc, adaptate în funcţie de scopul preconizat al sistemelor şi de riscul mai scăzut implicat şi ţinând seama de soluţiile tehnice disponibile şi de bunele practici din industrie, cum ar fi modelele şi cardurile de date. Furnizorii şi, după caz, implementatorii tuturor modelelor de IA şi sistemelor de IA cu sau fără grad ridicat de risc ar trebui, de asemenea, să fie încurajaţi să aplice în mod voluntar cerinţe suplimentare legate, de exemplu, de elementele Orientărilor Uniunii în materie de etică pentru o IA fiabilă, de durabilitatea mediului, de măsuri de alfabetizare în domeniul IA, de proiectarea şi dezvoltarea sistemelor de IA ţinând seama de incluziune şi diversitate, inclusiv acordând atenţie persoanelor vulnerabile şi accesibilităţii pentru persoanele cu dizabilităţi, de participarea părţilor interesate în proiectarea şi dezvoltarea sistemelor de IA, cu implicarea, după caz, a părţilor interesate relevante, cum ar fi întreprinderi şi organizaţii ale societăţii civile, mediul academic, organizaţii de cercetare, sindicate şi organizaţii de protecţie a consumatorilor, precum şi de diversitatea în cadrul echipelor de dezvoltare, inclusiv echilibrul de gen. Pentru a se asigura eficacitatea lor, codurile de conduită voluntare ar trebui să se bazeze pe obiective clare şi pe indicatori-cheie de performanţă pentru a măsura îndeplinirea obiectivelor respective. Acestea ar trebui, de asemenea, să fie dezvoltate într-un mod incluziv, după caz, cu implicarea părţilor interesate relevante, cum ar fi întreprinderi şi organizaţii ale societăţii civile, mediul academic, organizaţii de cercetare, sindicate şi organizaţii de protecţie a consumatorilor. Comisia poate elabora iniţiative, inclusiv de natură sectorială, pentru a facilita reducerea barierelor tehnice care împiedică schimbul transfrontalier de date pentru dezvoltarea IA, inclusiv în ceea ce priveşte infrastructura de acces la date şi interoperabilitatea semantică şi tehnică a diferitelor tipuri de date.
(166)Este important ca sistemele de IA legate de produse care nu prezintă un risc ridicat în conformitate cu prezentul regulament şi care, prin urmare, nu sunt obligate să respecte cerinţele prevăzute pentru sistemele de IA cu grad ridicat de risc să fie totuşi sigure atunci când sunt introduse pe piaţă sau puse în funcţiune. Pentru a contribui la acest obiectiv, Regulamentul (UE) 2023/988 al Parlamentului European şi a Consiliului (53) ar fi aplicat ca o "plasă de siguranţă".
(53)Regulamentul (UE) 2023/988 al Parlamentului European şi al Consiliului din 10 mai 2023 privind siguranţa generală a produselor, de modificare a Regulamentului (UE) nr. 1025/2012 al Parlamentului European şi al Consiliului şi a Directivei (UE) 2020/1828 a Parlamentului European şi a Consiliului şi de abrogare a Directivei 2001/95/CE a Parlamentului European şi a Consiliului şi a Directivei 87/357/CEE a Consiliului (JO L 135, 23.5.2023, p. 1).
(167)Pentru a asigura o cooperare de încredere şi constructivă a autorităţilor competente la nivelul Uniunii şi la nivel naţional, toate părţile implicate în aplicarea prezentului regulament ar trebui să respecte confidenţialitatea informaţiilor şi a datelor obţinute în cursul îndeplinirii sarcinilor lor, în conformitate cu dreptul Uniunii sau cu dreptul intern. Acestea ar trebui să îşi îndeplinească sarcinile şi activităţile astfel încât să protejeze, în special, drepturile de proprietate intelectuală, informaţiile comerciale confidenţiale şi secretele comerciale, punerea în aplicare efectivă a prezentului regulament, interesele de securitate publică şi naţională, integritatea procedurilor penale şi administrative şi integritatea informaţiilor clasificate.
(168)Respectarea prezentului regulament ar trebui să fie asigurată prin impunerea de sancţiuni şi alte măsuri de executare. Statele membre ar trebui să ia toate măsurile necesare pentru a se asigura că sunt puse în aplicare dispoziţiile prezentului regulament, inclusiv prin stabilirea unor sancţiuni efective, proporţionale şi cu efect de descurajare în cazul încălcării acestora, şi pentru a respecta principiul ne bis in idem. În scopul de a consolida şi armoniza sancţiunile administrative pentru încălcarea prezentului regulament, ar trebui să fie definite limitele superioare pentru stabilirea amenzilor administrative pentru anumite încălcări specifice. Atunci când evaluează cuantumul amenzilor, statele membre ar trebui, în fiecare caz în parte, să ţină seama de toate circumstanţele relevante ale situaţiei specifice, acordând atenţia cuvenită, în special, naturii, gravităţii şi duratei încălcării şi consecinţelor acesteia, precum şi dimensiunii furnizorului, în special în cazul în care furnizorul este un IMM, inclusiv o întreprindere nou-înfiinţată. Autoritatea Europeană pentru Protecţia Datelor ar trebui să aibă competenţa de a impune amenzi instituţiilor, agenţiilor şi organelor Uniunii care intră în domeniul de aplicare al prezentului regulament.
(169)Respectarea obligaţiilor impuse furnizorilor de modele de IA de uz general în temeiul prezentului regulament ar trebui să fie asigurată, printre altele, prin amenzi. În acest scop, ar trebui să fie stabilite, de asemenea, niveluri adecvate ale amenzilor pentru încălcarea obligaţiilor respective, inclusiv pentru nerespectarea măsurilor impuse de Comisie în conformitate cu prezentul regulament, sub rezerva unor termene de prescripţie adecvate, în conformitate cu principiul proporţionalităţii. Toate deciziile luate de Comisie în temeiul prezentului regulament fac obiectul controlului jurisdicţional al Curţii de Justiţie a Uniunii Europene în conformitate cu TFUE, incluzând competenţa nelimitată a Curţii de Justiţie cu privire la sancţiuni în temeiul articolului 261 din TFUE.
(170)Dreptul Uniunii şi dreptul intern prevăd deja căi de atac efective pentru persoanele fizice şi juridice ale căror drepturi şi libertăţi sunt afectate în mod negativ de utilizarea sistemelor de IA. Fără a aduce atingere căilor de atac respective, orice persoană fizică sau juridică care are motive să considere că a avut loc o încălcare a prezentului regulament ar trebui să aibă dreptul de a depune o plângere la autoritatea relevantă de supraveghere a pieţei.
(171)Persoanele afectate ar trebui să aibă dreptul de a obţine o explicaţie atunci când decizia implementatorului este bazată în principal pe rezultatele anumitor sisteme de IA cu grad ridicat de risc care intră în domeniul de aplicare al prezentului regulament şi în cazul în care decizia respectivă produce efecte juridice sau afectează în mod similar în mod semnificativ persoanele respective într-o manieră pe care acestea o consideră ca având un impact negativ asupra sănătăţii, siguranţei sau drepturilor fundamentale ale acestora. Explicaţia respectivă ar trebui să fie clară şi semnificativă şi să ofere un temei pentru exercitarea drepturilor de către persoanele afectate. Dreptul de a obţine o explicaţie nu ar trebui să se aplice în cazul utilizării unor sisteme de IA care fac obiectul unor excepţii sau restricţii care decurg din dreptul Uniunii sau din dreptul intern şi ar trebui să se aplice numai în măsura în care acest drept nu este deja prevăzut în dreptul Uniunii.
(172)Persoanele care acţionează în calitate de avertizori de integritate cu privire la încălcările prezentului regulament ar trebui să fie protejate în temeiul dreptului Uniunii. În ceea ce priveşte raportarea încălcărilor prezentului regulament şi protecţia persoanelor care raportează astfel de încălcări ar trebui, prin urmare, să se aplice Directiva (UE) 2019/1937 a Parlamentului European şi a Consiliului (54).
(54)Directiva (UE) 2019/1937 a Parlamentului European şi a Consiliului din 23 octombrie 2019 privind protecţia persoanelor care raportează încălcări ale dreptului Uniunii (JO L 305, 26.11.2019, p. 17).
(173)Pentru a se asigura posibilitatea de adaptare a cadrului de reglementare atunci când este necesar, competenţa de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui să fie delegată Comisiei pentru a modifica condiţiile în care un sistem de IA nu este considerat ca având un grad ridicat de risc, lista sistemelor de IA cu grad ridicat de risc, dispoziţiile privind documentaţia tehnică, conţinutul declaraţiei de conformitate UE, dispoziţiile privind procedurile de evaluare a conformităţii, dispoziţiile de stabilire a sistemelor de IA cu grad ridicat de risc cărora ar trebui să li se aplice procedura de evaluare a conformităţii bazată pe evaluarea sistemului de management al calităţii şi pe evaluarea documentaţiei tehnice, pragul, valorile de referinţă şi indicatorii din cadrul normelor pentru clasificarea modelelor de IA de uz general cu risc sistemic, inclusiv prin completarea valorilor de referinţă şi indicatorilor respectivi, criteriile pentru desemnarea modelelor de IA de uz general cu risc sistemic, documentaţia tehnică pentru furnizorii de modele de IA de uz general şi informaţiile privind transparenţa pentru furnizorii de modele de IA de uz general. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experţi, şi ca respectivele consultări să se desfăşoare în conformitate cu principiile stabilite în Acordul interinstituţional din 13 aprilie 2016 privind o mai bună legiferare (55). În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European şi Consiliul primesc toate documentele în acelaşi timp cu experţii din statele membre, iar experţii acestor instituţii au acces sistematic la reuniunile grupurilor de experţi ale Comisiei însărcinate cu pregătirea actelor delegate.
(55)JO L 123, 12.5.2016, p. 1.
(174)Având în vedere evoluţiile tehnologice rapide şi cunoştinţele de specialitate tehnice necesare pentru aplicarea eficientă a prezentului regulament, Comisia ar trebui să evalueze şi să revizuiască prezentul regulament până la 2 august 2029 şi, ulterior, o dată la patru ani şi să raporteze Parlamentului European şi Consiliului în acest sens. În plus, ţinând seama de implicaţiile pentru domeniul de aplicare al prezentului regulament, Comisia ar trebui să efectueze o evaluare a necesităţii de a modifica, o dată pe an, lista sistemelor de IA cu grad ridicat de risc şi lista practicilor interzise. În plus, până la 2 august 2028 şi, ulterior, o dată la patru ani, Comisia ar trebui să evalueze necesitatea de a modifica lista rubricilor de domeniu cu grad ridicat de risc din anexa la prezentul regulament, sistemele de IA care intră în domeniul de aplicare al obligaţiilor de transparenţă, eficacitatea sistemului de supraveghere şi de guvernanţă şi progresele înregistrate în ceea ce priveşte elaborarea de documente de standardizare privind dezvoltarea eficientă din punct de vedere energetic a modelelor de IA de uz general, inclusiv necesitatea unor măsuri sau acţiuni suplimentare şi să raporteze Parlamentului European şi Consiliului în acest sens. În cele din urmă, până la 2 august 2028 şi, ulterior, o dată la trei ani, Comisia ar trebui să evalueze impactul şi eficacitatea codurilor de conduită voluntare în ceea ce priveşte încurajarea aplicării cerinţelor prevăzute pentru sistemele de IA cu grad ridicat de risc în cazul altor sisteme de IA decât cele cu grad ridicat de risc şi, eventual, a altor cerinţe suplimentare pentru sistemele de IA respective.
(175)În vederea asigurării unor condiţii uniforme pentru punerea în aplicare a prezentului regulament, ar trebui să fie conferite competenţe de executare Comisiei. Respectivele competenţe ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului (56).
(56)Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului din 16 februarie 2011 de stabilire a normelor şi principiilor generale privind mecanismele de control de către statele membre al exercitării competenţelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).
(176)Întrucât obiectivul prezentului regulament, şi anume de a îmbunătăţi funcţionarea pieţei interne şi de a promova adoptarea IA centrate pe factorul uman şi fiabile, asigurând în acelaşi timp un nivel ridicat de protecţie a sănătăţii, a siguranţei şi a drepturilor fundamentale consacrate în cartă, inclusiv a democraţiei, a statului de drept şi a mediului împotriva efectelor dăunătoare ale sistemelor de IA din Uniune, şi sprijinind inovarea, nu poate fi realizat în mod satisfăcător de către statele membre şi, având în vedere amploarea sau efectele acţiunii sale, poate fi realizat mai bine la nivelul Uniunii, aceasta din urmă poate adopta măsuri, în conformitate cu principiul subsidiarităţii, astfel cum se prevede la articolul 5 din TUE. În conformitate cu principiul proporţionalităţii, astfel cum este definit la articolul respectiv, prezentul regulament nu depăşeşte ceea ce este necesar pentru realizarea obiectivului menţionat.
(177)Pentru a asigura securitatea juridică, a asigura o perioadă de adaptare adecvată pentru operatori şi a evita perturbarea pieţei, inclusiv prin asigurarea continuităţii utilizării sistemelor de IA, este oportun ca prezentul regulament să se aplice sistemelor de IA cu grad ridicat de risc care au fost introduse pe piaţă sau puse în funcţiune înainte de data generală de aplicare a acestuia, numai dacă, de la data respectivă, sistemele respective fac obiectul unor modificări semnificative în ceea ce priveşte proiectarea sau scopul lor preconizat. Este oportun să se clarifice că, în acest sens, conceptul de modificare semnificativă ar trebui să fie înţeles ca fiind echivalent în esenţă cu noţiunea de modificare substanţială, care este utilizată numai în ceea ce priveşte sistemele de IA cu grad ridicat de risc, în temeiul prezentului regulament. În mod excepţional şi având în vedere răspunderea publică, operatorii de sisteme de IA care fac parte din sistemele informatice la scară largă instituite prin actele juridice care sunt enumerate într-o anexă la prezentul regulament şi operatorii de sisteme de IA cu grad ridicat de risc care sunt destinate a fi utilizate de autorităţile publice ar trebui să ia măsurile necesare pentru a se conforma cerinţelor prezentului regulament până la sfârşitul anului 2030 şi, respectiv, până la 2 august 2030.
(178)Furnizorii de sisteme de IA cu grad ridicat de risc sunt încurajaţi să înceapă să se conformeze, în mod voluntar, obligaţiilor relevante aferente prezentului regulament încă din perioada de tranziţie.
(179)Prezentul regulament ar trebui să se aplice de la 2 august 2026. Cu toate acestea, ţinând seama de riscul inacceptabil asociat utilizării IA în anumite moduri, interdicţiile şi dispoziţiile cu caracter general din prezentul regulament ar trebui să se aplice deja de la 2 februarie 2025. Deşi efectul deplin al interdicţiilor respective este corelat cu instituirea guvernanţei şi cu aplicarea prezentului regulament, aplicarea anticipată a interdicţiilor este importantă pentru a se ţine seama de riscurile inacceptabile şi pentru a produce efecte asupra altor proceduri, cum ar fi în dreptul civil. În plus, infrastructura legată de guvernanţă şi de sistemul de evaluare a conformităţii ar trebui să fie operaţională înainte de 2 august 2026; prin urmare, dispoziţiile privind organismele notificate şi structura de guvernanţă ar trebui să se aplice de la 2 august 2025. Având în vedere ritmul rapid al progreselor tehnologice şi al adoptării modelelor de IA de uz general, ar trebui ca obligaţiile furnizorilor de modele de IA de uz general să se aplice de la 2 august 2025. Codurile de bune practici ar trebui să fie gata până la 2 mai 2025, pentru a permite furnizorilor să demonstreze conformitatea în timp util. Oficiul pentru IA ar trebui să se asigure că normele şi procedurile de clasificare sunt actualizate în funcţie de evoluţiile tehnologice. În plus, statele membre ar trebui să stabilească şi să notifice Comisiei normele privind sancţiunile, inclusiv amenzile administrative, şi să se asigure că acestea sunt puse în aplicare în mod corespunzător şi efectiv până la data aplicării prezentului regulament. Prin urmare, dispoziţiile privind sancţiunile ar trebui să se aplice de la 2 august 2025.
(180)Autoritatea Europeană pentru Protecţia Datelor şi Comitetul european pentru protecţia datelor au fost consultate în conformitate cu articolul 42 alineatele (1) şi (2) din Regulamentul (UE) 2018/1725 şi au emis avizul lor comun la 18 iunie 2021,
ADOPTĂ PREZENTUL REGULAMENT:
-****-
Art. 1: Obiectul
(1)Scopul prezentului regulament este de a îmbunătăţi funcţionarea pieţei interne, de a promova adoptarea inteligenţei artificiale (IA) centrate pe factorul uman şi fiabile, asigurând în acelaşi timp un nivel ridicat de protecţie a sănătăţii, a siguranţei şi a drepturilor fundamentale consacrate în cartă, inclusiv a democraţiei, a statului de drept şi a mediului împotriva efectelor dăunătoare ale sistemelor de IA din Uniune, şi sprijinind inovarea.
(2)Prezentul regulament stabileşte:
a)norme armonizate pentru introducerea pe piaţă, punerea în funcţiune şi utilizarea sistemelor de IA în Uniune;
b)interdicţii privind anumite practici în domeniul IA;
c)cerinţe specifice pentru sistemele de IA cu grad ridicat de risc şi obligaţii pentru operatorii unor astfel de sisteme;
d)norme armonizate de transparenţă pentru anumite sisteme de IA;
e)norme armonizate privind introducerea pe piaţă a modelelor de IA de uz general;
f)norme privind monitorizarea pieţei, supravegherea pieţei, guvernanţa şi aplicarea prezentului regulament;
g)măsuri de susţinere a inovării, cu un accent deosebit pe IMM-uri, inclusiv pe întreprinderile nou-înfiinţate.
Art. 2: Domeniul de aplicare
(1)Prezentul regulament se aplică pentru:
a)furnizorii care introduc pe piaţă sau pun în funcţiune sisteme de IA sau introduc pe piaţă modele de IA de uz general în Uniune, indiferent dacă furnizorii respectivi sunt stabiliţi sau se află în Uniune sau într-o ţară terţă;
b)implementatorii de sisteme de IA care îşi au sediul sau se află pe teritoriul Uniunii;
c)furnizorii şi implementatorii de sisteme de IA care îşi au sediul sau se află într-o ţară terţă, în cazul în care rezultatele produse de sistemele de IA sunt utilizate în Uniune;
d)importatorii şi distribuitorii de sisteme de IA;
e)fabricanţii de produse care introduc pe piaţă sau pun în funcţiune un sistem de IA împreună cu produsul lor şi sub numele sau marca lor comercială;
f)reprezentanţii autorizaţi ai furnizorilor, care nu sunt stabiliţi în Uniune;
g)persoanele afectate care se află în Uniune.
(2)În cazul sistemelor de IA clasificate ca sisteme de IA prezentând un grad ridicat de risc în conformitate cu articolul 6 alineatul (1), legate de produse care fac obiectul actelor legislative de armonizare ale Uniunii care figurează în anexa I secţiunea B, se aplică numai articolul 6 alineatul (1), articolele 102-109 şi articolul 112. Articolul 57 se aplică numai în măsura în care cerinţele pentru sistemele de IA cu grad ridicat de risc prevăzute în temeiul prezentului regulament au fost integrate în respectivele acte legislative de armonizare ale Uniunii.
(3)Prezentul regulament nu se aplică domeniilor care nu intră în sfera de cuprindere a dreptului Uniunii şi, în orice caz, nu afectează competenţele statelor membre în materie de securitate naţională, indiferent de tipul de entitate însărcinată de statele membre să îndeplinească sarcinile legate de competenţele respective.
Prezentul regulament nu se aplică sistemelor de IA în cazul şi în măsura în care sunt introduse pe piaţă, puse în funcţiune sau utilizate cu sau fără modificări exclusiv în scopuri militare, de apărare sau de securitate naţională, indiferent de tipul de entitate care desfăşoară activităţile respective.
Prezentul regulament nu se aplică sistemelor de IA care nu sunt introduse pe piaţă sau puse în funcţiune în Uniune, în cazul în care rezultatul este utilizat în Uniune exclusiv în scopuri militare, de apărare sau de securitate naţională, indiferent de tipul de entitate care desfăşoară activităţile respective.
(4)Prezentul regulament nu se aplică autorităţilor publice dintr-o ţară terţă şi nici organizaţiilor internaţionale care intră în sfera de cuprindere a prezentului regulament în temeiul alineatului (1), în cazul în care respectivele autorităţi sau organizaţii utilizează sisteme de IA în cadrul cooperării sau acordurilor internaţionale pentru aplicarea legii şi pentru cooperarea judiciară cu Uniunea sau cu unul sau mai multe state membre, cu condiţia ca o astfel de ţară terţă sau organizaţie internaţională să ofere garanţii adecvate în ceea ce priveşte protecţia drepturilor şi libertăţilor fundamentale ale persoanelor.
(5)Prezentul regulament nu aduce atingere aplicării dispoziţiilor privind răspunderea furnizorilor de servicii intermediare cuprinse în capitolul II din Regulamentul (UE) 2022/2065.
(6)Prezentul regulament nu se aplică sistemelor de IA sau modelelor de IA, inclusiv rezultatelor acestora, dezvoltate şi puse în funcţiune special şi exclusiv pentru cercetare şi dezvoltare ştiinţifică.
(7)Dreptul Uniunii privind protecţia datelor cu caracter personal, a vieţii private şi a confidenţialităţii comunicaţiilor se aplică datelor cu caracter personal prelucrate în legătură cu drepturile şi obligaţiile prevăzute în prezentul regulament. Prezentul regulament nu afectează Regulamentul (UE) 2016/679 sau (UE) 2018/1725 ori Directiva 2002/58/CE sau (UE) 2016/680, fără a aduce atingere articolului 10 alineatul (5) şi articolului 59 din prezentul regulament.
(8)Prezentul regulament nu se aplică niciunei activităţi de cercetare, testare sau dezvoltare privind sisteme de IA sau modele de IA, înainte ca acestea să fie introduse pe piaţă sau puse în funcţiune. Astfel de activităţi se desfăşoară în conformitate cu dreptul aplicabil al Uniunii. Testarea în condiţii reale nu face obiectul excluderii menţionate.
(9)Prezentul regulament nu aduce atingere normelor prevăzute de alte acte juridice ale Uniunii referitoare la protecţia consumatorilor şi la siguranţa produselor.
(10)Prezentul regulament nu se aplică obligaţiilor implementatorilor persoane fizice care utilizează sisteme de IA în cursul unei activităţi strict personale, fără caracter profesional.
(11)Prezentul regulament nu împiedică Uniunea sau statele membre să menţină sau să introducă acte cu putere de lege şi acte administrative care sunt mai favorabile lucrătorilor privind protejarea drepturilor acestora în ceea ce priveşte utilizarea sistemelor de IA de către angajatori sau să încurajeze ori să permită aplicarea unor contracte colective de muncă care sunt mai favorabile lucrătorilor.
(12)Prezentul regulament nu se aplică sistemelor de IA lansate sub licenţe libere şi cu sursă deschisă, cu excepţia cazului în care acestea sunt introduse pe piaţă sau puse în funcţiune ca sisteme de IA cu grad ridicat de risc sau ca sisteme de IA care intră sub incidenţa articolului 5 sau a articolului 50.
Art. 3: Definiţii
În sensul prezentului regulament, se aplică următoarele definiţii:
1."sistem de IA" înseamnă un sistem bazat pe o maşină care este conceput să funcţioneze cu diferite niveluri de autonomie şi care poate prezenta adaptabilitate după implementare, şi care, urmărind obiective explicite sau implicite, deduce, din datele de intrare pe care le primeşte, modul de generare a unor rezultate precum previziuni, conţinut, recomandări sau decizii care pot influenţa mediile fizice sau virtuale;
2."risc" înseamnă combinaţia dintre probabilitatea producerii unui prejudiciu şi gravitatea acestuia;
3."furnizor" înseamnă o persoană fizică sau juridică, o autoritate publică, o agenţie sau un alt organism care dezvoltă un sistem de IA sau un model de IA de uz general sau care comandă dezvoltarea unui sistem de IA sau a unui model de IA de uz general şi îl introduce pe piaţă sau pune în funcţiune sistemul de IA sub propriul nume sau propria marcă comercială, contra cost sau gratuit;
4."implementator" înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau alt organism care utilizează un sistem de IA aflat sub autoritatea sa, cu excepţia cazului în care sistemul de IA este utilizat în cursul unei activităţi personale, fără caracter profesional;
5."reprezentant autorizat" înseamnă o persoană fizică sau juridică aflată sau stabilită în Uniune care a primit şi a acceptat un mandat scris din partea unui furnizor al unui sistem de IA sau al unui model de IA de uz general pentru a exercita şi, respectiv, a îndeplini, în numele său, obligaţiile şi procedurile stabilite prin prezentul regulament;
6."importator" înseamnă o persoană fizică sau juridică aflată sau stabilită în Uniune care introduce pe piaţă un sistem de IA care poartă numele sau marca unei persoane fizice sau juridice stabilite într-o ţară terţă;
7."distribuitor" înseamnă o persoană fizică sau juridică din lanţul de aprovizionare, alta decât furnizorul sau importatorul, care pune la dispoziţie un sistem de IA pe piaţa Uniunii;
8."operator" înseamnă furnizor, fabricant de produse, implementator, reprezentant autorizat, importator sau distribuitor;
9."introducere pe piaţă" înseamnă prima punere la dispoziţie a unui sistem de IA sau a unui model de IA de uz general pe piaţa Uniunii;
10."punere la dispoziţie pe piaţă" înseamnă furnizarea unui sistem de IA sau a unui model de IA de uz general pentru distribuţie sau uz pe piaţa Uniunii în cursul unei activităţi comerciale, contra cost sau gratuit;
11."punere în funcţiune" înseamnă furnizarea unui sistem de IA pentru prima utilizare direct implementatorului sau pentru uz propriu în Uniune, în scopul său preconizat;
12."scop preconizat" înseamnă utilizarea preconizată de către furnizor a unui sistem de IA, inclusiv contextul specific şi condiţiile de utilizare, astfel cum se specifică în informaţiile oferite de furnizor în instrucţiunile de utilizare, în materialele promoţionale sau de vânzare şi în declaraţii, precum şi în documentaţia tehnică;
13."utilizare necorespunzătoare previzibilă în mod rezonabil" înseamnă utilizarea unui sistem de IA într-un mod care nu este în conformitate cu scopul său preconizat, dar care poate rezulta din comportamentul uman sau din interacţiunea previzibilă în mod rezonabil cu alte sisteme, inclusiv cu alte sisteme de IA;
14."componentă de siguranţă" înseamnă o componentă a unui produs sau a unui sistem de IA care îndeplineşte o funcţie de siguranţă pentru produsul sau sistemul de IA respectiv sau a cărei defectare sau funcţionare defectuoasă pune în pericol sănătatea şi siguranţa persoanelor sau a bunurilor;
15."instrucţiuni de utilizare" înseamnă informaţiile oferite de furnizor pentru a informa implementatorul, în special cu privire la scopul preconizat şi utilizarea corespunzătoare a unui sistem de IA;
16."rechemare a unui sistem de IA" înseamnă orice măsură care are drept scop returnarea către furnizor, scoaterea din funcţiune sau dezactivarea utilizării unui sistem de IA deja pus la dispoziţia implementatorilor;
17."retragere a unui sistem de IA" înseamnă orice măsură care are drept scop împiedicarea punerii la dispoziţie pe piaţă a unui sistem de IA din lanţul de aprovizionare;
18."performanţă a unui sistem de IA" înseamnă capacitatea unui sistem de IA de a-şi îndeplini scopul preconizat;
19."autoritate de notificare" înseamnă autoritatea naţională responsabilă cu instituirea şi îndeplinirea procedurilor necesare pentru evaluarea, desemnarea şi notificarea organismelor de evaluare a conformităţii şi pentru monitorizarea acestora;
20."evaluare a conformităţii" înseamnă procesul prin care se demonstrează dacă au fost îndeplinite sau nu cerinţele prevăzute în capitolul III secţiunea 2 referitoare la un sistem de IA cu grad ridicat de risc;
21."organism de evaluare a conformităţii" înseamnă un organism care efectuează activităţi de evaluare a conformităţii ca parte terţă, incluzând testarea, certificarea şi inspecţia;
22."organism notificat" înseamnă un organism de evaluare a conformităţii notificat în conformitate cu prezentul regulament şi cu alte acte legislative relevante de armonizare ale Uniunii;
23."modificare substanţială" înseamnă o modificare a unui sistem de IA după introducerea sa pe piaţă sau punerea sa în funcţiune, care nu este prevăzută sau planificată în evaluarea iniţială a conformităţii realizată de furnizor şi în urma căreia este afectată conformitatea sistemului de IA cu cerinţele prevăzute în capitolul III secţiunea 2 sau care conduce la o modificare a scopului preconizat pentru care a fost evaluat sistemul de IA;
24."marcaj CE" înseamnă un marcaj prin care un furnizor indică faptul că un sistem de IA este în conformitate cu cerinţele prevăzute în capitolul III secţiunea 2 şi în alte acte legislative de armonizare aplicabile ale Uniunii care prevăd aplicarea acestui marcaj;
25."sistem de monitorizare ulterioară introducerii pe piaţă" înseamnă toate activităţile desfăşurate de furnizorii de sisteme de IA pentru a colecta şi a revizui experienţa dobândită în urma utilizării sistemelor de IA pe care le introduc pe piaţă sau le pun în funcţiune, în scopul identificării oricărei nevoi de a aplica imediat orice măsură corectivă sau preventivă necesară;
26."autoritate de supraveghere a pieţei" înseamnă autoritatea naţională care desfăşoară activităţi şi ia măsuri în temeiul Regulamentului (UE) 2019/1020;
27."standard armonizat" înseamnă un standard armonizat, în sensul definiţiei de la articolul 2 punctul 1 litera (c) din Regulamentul (UE) nr. 1025/2012;
28."specificaţie comună" înseamnă un set de specificaţii tehnice, astfel cum sunt definite la articolul 2 punctul 4 din Regulamentul (UE) nr. 1025/2012, care oferă mijloacele de a respecta anumite cerinţe stabilite în temeiul prezentului regulament;
29."date de antrenament" înseamnă datele utilizate pentru antrenarea unui sistem de IA prin adaptarea parametrilor săi care pot fi învăţaţi;
30."date de validare" înseamnă datele utilizate pentru a furniza o evaluare a sistemului de IA antrenat şi pentru a-i ajusta parametrii care nu pot fi învăţaţi şi procesul său de învăţare, printre altele, pentru a preveni subadaptarea sau supraadaptarea;
31."set de date de validare" înseamnă un set de date separat sau o parte a setului de date de antrenament, sub forma unei divizări fixe sau variabile;
32."date de testare" înseamnă datele utilizate pentru a furniza o evaluare independentă a sistemului de IA, în scopul de a confirma performanţa preconizată a sistemului respectiv înainte de introducerea sa pe piaţă sau de punerea sa în funcţiune;
33."date de intrare" înseamnă datele furnizate unui sistem de IA sau dobândite direct de acesta, pe baza cărora sistemul produce un rezultat;
34."date biometrice" înseamnă datele cu caracter personal rezultate dintr-o prelucrare tehnică specifică, referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice, cum ar fi imaginile faciale sau datele dactiloscopice;
35."identificare biometrică" înseamnă recunoaşterea automată a caracteristicilor fizice, fiziologice, comportamentale sau psihologice ale omului în scopul stabilirii identităţii unei persoane fizice prin compararea datelor biometrice ale persoanei respective cu datele biometrice ale persoanelor stocate într-o bază de date;
36."verificare biometrică" înseamnă verificarea automată, pe baza unei comparaţii între două seturi de date, inclusiv autentificarea, a identităţii persoanelor fizice prin compararea datelor biometrice ale acestora cu datele biometrice furnizate anterior;
37."categorii speciale de date cu caracter personal" înseamnă categoriile de date cu caracter personal menţionate la articolul 9 alineatul (1) din Regulamentul (UE) 2016/679, la articolul 10 din Directiva (UE) 2016/680 şi la articolul 10 alineatul (1) din Regulamentul (UE) 2018/1725;
38."date operaţionale sensibile" înseamnă date operaţionale legate de activităţi de prevenire, depistare, investigare sau urmărire penală a infracţiunilor a căror divulgare ar putea pune în pericol integritatea unor proceduri penale;
39."sistem de recunoaştere a emoţiilor" înseamnă un sistem de IA al cărui scop este de a identifica sau a deduce emoţiile sau intenţiile persoanelor fizice pe baza datelor lor biometrice;
40."sistem de clasificare biometrică" înseamnă un sistem de IA al cărui scop este de a încadra persoanele fizice în categorii specifice pe baza datelor lor biometrice, cu excepţia cazului în care acesta este auxiliar unui alt serviciu comercial şi strict necesar din motive tehnice obiective;
41."sistem de identificare biometrică la distanţă" înseamnă un sistem de IA al cărui scop este de a identifica persoanele fizice, fără implicarea activă a acestora, de obicei la distanţă, prin compararea datelor biometrice ale unei persoane cu datele biometrice conţinute într-o bază de date de referinţă;
42."sistem de identificare biometrică la distanţă în timp real" înseamnă un sistem de identificare biometrică la distanţă în care atât capturarea datelor biometrice, cât şi compararea şi identificarea au loc fără întârzieri semnificative, incluzând nu numai identificarea instantanee, ci şi întârzieri scurte limitate pentru a se evita eludarea;
43."sistem de identificare biometrică la distanţă ulterioară" înseamnă un alt sistem de identificare biometrică la distanţă decât sistemul de identificare biometrică la distanţă în timp real;
44."spaţiu accesibil publicului" înseamnă orice loc fizic aflat în proprietate publică sau privată, accesibil unui număr nedeterminat de persoane fizice, indiferent dacă se pot aplica anumite condiţii de acces şi indiferent de potenţiale restricţii de capacitate;
45."autoritate de aplicare a legii" înseamnă:
(a)orice autoritate publică competentă în materie de prevenire, investigare, depistare sau urmărire penală a infracţiunilor sau de executare a sancţiunilor penale, inclusiv în materie de protejare împotriva ameninţărilor la adresa securităţii publice şi de prevenire a acestora; sau
(b)orice alt organism sau entitate împuternicit(ă) de dreptul statului membru să exercite autoritate publică şi competenţe publice în scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor sau al executării sancţiunilor penale, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora;
46."aplicarea legii" înseamnă activităţile desfăşurate de autorităţile de aplicare a legii sau în numele acestora pentru prevenirea, investigarea, depistarea sau urmărirea penală a infracţiunilor sau pentru executarea sancţiunilor penale, inclusiv pentru protejarea împotriva ameninţărilor la adresa securităţii publice şi prevenirea acestora;
47."Oficiul pentru IA" înseamnă funcţia Comisiei de a contribui la punerea în aplicare, monitorizarea şi supravegherea sistemelor de IA şi a modelelor de IA de uz general şi la guvernanţa IA, prevăzută în Decizia din 24 ianuarie 2024 a Comisiei; trimiterile din prezentul regulament la Oficiul pentru IA se interpretează ca trimiteri la Comisie;
48."autoritate naţională competentă" înseamnă o autoritate de notificare sau o autoritate de supraveghere a pieţei; în ceea ce priveşte sistemele de IA puse în funcţiune sau utilizate de instituţiile, agenţiile, oficiile şi organele Uniunii, menţiunile referitoare la autorităţile naţionale competente sau la autorităţile de supraveghere a pieţei din prezentul regulament se interpretează ca menţiuni referitoare la Autoritatea Europeană pentru Protecţia Datelor;
49."incident grav" înseamnă un incident sau funcţionarea necorespunzătoare a unui sistem de IA care, direct sau indirect, conduce la oricare dintre următoarele:
(a)decesul unei persoane sau vătămarea gravă a sănătăţii unei persoane;
(b)o perturbare gravă şi ireversibilă a gestionării sau a funcţionării infrastructurii critice;
(c)încălcarea obligaţiilor care decurg din dreptul Uniunii menit să protejeze drepturile fundamentale;
(d)daune grave aduse bunurilor sau mediului;
50."date cu caracter personal" înseamnă datele cu caracter personal astfel cum sunt definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;
51."date fără caracter personal" înseamnă date, altele decât datele cu caracter personal definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;
52."creare de profiluri" înseamnă creare de profiluri în sensul definiţiei de la articolul 4 punctul 4 din Regulamentul (UE) 2016/679;
53."plan de testare în condiţii reale" înseamnă un document care descrie obiectivele, metodologia, domeniul de aplicare geografic, demografic şi temporal, monitorizarea, organizarea şi efectuarea testelor în condiţii reale;
54."plan privind spaţiul de testare" înseamnă un document convenit între furnizorul participant şi autoritatea competentă care descrie obiectivele, condiţiile, calendarul, metodologia şi cerinţele pentru activităţile desfăşurate în spaţiul de testare;
55."spaţiu de testare în materie de reglementare în domeniul IA" înseamnă un cadru controlat instituit de o autoritate competentă care oferă furnizorilor sau potenţialilor furnizori de sisteme de IA posibilitatea de a dezvolta, de a antrena, de a valida şi de a testa, după caz în condiţii reale, un sistem de IA inovator, pe baza unui plan privind spaţiul de testare, pentru o perioadă limitată de timp, sub supraveghere reglementară;
56."alfabetizare în domeniul IA" înseamnă competenţele, cunoştinţele şi înţelegerea care le permit furnizorilor, implementatorilor şi persoanelor afectate, ţinând seama de drepturile şi obligaţiile lor respective în contextul prezentului regulament, să implementeze sistemele de IA în cunoştinţă de cauză şi să conştientizeze oportunităţile şi riscurile pe care le implică IA, precum şi prejudiciile pe care le pot aduce;
57."testare în condiţii reale" înseamnă testarea temporară a unui sistem de IA în scopul său preconizat, în condiţii reale, în afara unui laborator sau a unui mediu simulat în alt mod, în vederea colectării de date fiabile şi solide şi a evaluării şi verificării conformităţii sistemului de IA cu cerinţele prezentului regulament şi nu se consideră introducere pe piaţă sau punere în funcţiune a sistemului de IA în sensul prezentului regulament, dacă sunt îndeplinite toate condiţiile prevăzute la articolul 57 sau 60;
58."subiect" în scopul testării în condiţii reale înseamnă o persoană fizică care participă la testarea în condiţii reale;
59."consimţământ în cunoştinţă de cauză" înseamnă exprimarea liberă, specifică, neechivocă şi voluntară de către un subiect a dorinţei sale de a participa la o anumită testare în condiţii reale, după ce a fost informat cu privire la toate aspectele testării care sunt relevante pentru decizia sa de a participa;
60."deepfake" înseamnă o imagine ori un conţinut audio sau video generat sau manipulat de IA care prezintă o asemănare cu persoane, obiecte, locuri sau alte entităţi ori evenimente existente şi care ar crea unei persoane impresia falsă că este autentic sau adevărat;
61."încălcare pe scară largă" înseamnă orice acţiuni sau omisiuni contrare dreptului Uniunii care protejează interesele persoanelor fizice şi care:
(a)au adus sau ar putea aduce prejudicii intereselor colective ale persoanelor care îşi au reşedinţa în cel puţin două state membre diferite de statul membru în care:
(i)au fost iniţiate sau au avut loc acţiunile sau omisiunile în cauză;
(ii)se află sau este stabilit furnizorul în cauză sau, după caz, reprezentantul său autorizat; sau
(iii)este stabilit implementatorul, atunci când încălcarea este comisă de implementator;
(b)au adus, aduc sau sunt susceptibile să aducă prejudicii intereselor colective ale persoanelor şi au caracteristici comune, cum ar fi aceeaşi practică ilegală, încălcarea aceluiaşi interes, care survin în acelaşi timp, fiind comise de acelaşi operator, în cel puţin trei state membre;
62."infrastructură critică" înseamnă infrastructură critică în sensul definiţiei de la articolul 2 punctul 4 din Directiva (UE) 2022/2557;
63."model de IA de uz general" înseamnă un model de IA, inclusiv în cazul în care un astfel de model de IA este antrenat cu un volum mare de date care utilizează autosupravegherea la scară largă, care prezintă o generalitate semnificativă şi este capabil să îndeplinească în mod competent o gamă largă de sarcini distincte, indiferent de modul în care este introdus pe piaţă şi care poate fi integrat într-o varietate de sisteme sau aplicaţii din aval, cu excepţia modelelor de IA care sunt utilizate pentru activităţi de cercetare, dezvoltare sau creare de prototipuri înainte de introducerea pe piaţă;
64."capabilităţi cu impact ridicat" înseamnă capabilităţi care corespund capabilităţilor înregistrate în cele mai avansate modele de IA de uz general sau depăşesc capabilităţile respective;
65."risc sistemic" înseamnă un risc specific capabilităţilor cu impact ridicat ale modelelor de IA de uz general, având un impact semnificativ asupra pieţei Uniunii ca urmare a amplorii acestora sau a efectelor negative reale sau previzibile în mod rezonabil asupra sănătăţii publice, siguranţei, securităţii publice, drepturilor fundamentale sau asupra societăţii în ansamblu, care poate fi propagat la scară largă de-a lungul lanţului valoric;
66."sistem de IA de uz general" înseamnă un sistem de IA care se bazează pe un model de IA de uz general şi care are capabilitatea de a deservi o varietate de scopuri, atât pentru utilizare directă, cât şi pentru integrarea în alte sisteme de IA;
67."operaţie în virgulă mobilă" înseamnă orice operaţie matematică sau atribuire care implică numere în virgulă mobilă, care sunt o subcategorie a numerelor reale şi sunt reprezentate de regulă în informatică printr-un număr întreg cu precizie fixă multiplicat cu o bază fixă având un exponent număr întreg;
68."furnizor din aval" înseamnă un furnizor al unui sistem de IA, inclusiv al unui sistem de IA de uz general, care integrează un model de IA, indiferent dacă modelul de IA este furnizat de furnizorul însuşi şi integrat vertical sau dacă acesta este furnizat de o altă entitate pe baza unor relaţii contractuale.
Art. 4: Alfabetizarea în domeniul IA
Furnizorii şi implementatorii de sisteme de IA iau măsuri pentru a asigura, în cea mai mare măsură posibilă, un nivel suficient de alfabetizare în domeniul IA a personalului lor şi a altor persoane care se ocupă cu operarea şi utilizarea sistemelor de IA în numele lor, ţinând seama de cunoştinţele tehnice, experienţa, educaţia şi formarea lor şi de contextul în care urmează să fie folosite sistemele de IA şi luând în considerare persoanele sau grupurile de persoane în legătură cu care urmează să fie folosite sistemele de IA.
Art. 5: Practici interzise în domeniul IA
(1)Sunt interzise următoarele practici în domeniul IA:
a)introducerea pe piaţă, punerea în funcţiune sau utilizarea unui sistem de IA care utilizează tehnici subliminale ce nu pot fi percepute în mod conştient de o persoană sau tehnici intenţionat manipulatoare sau înşelătoare, cu scopul sau efectul de a denatura în mod semnificativ comportamentul unei persoane sau al unui grup de persoane prin împiedicarea apreciabilă a capacităţii acestora de a lua o decizie în cunoştinţă de cauză, determinându-le astfel să ia o decizie pe care altfel nu ar fi luat-o, într-un mod care aduce sau este susceptibil în mod rezonabil să aducă prejudicii semnificative persoanei respective, unei alte persoane sau unui grup de persoane;
b)introducerea pe piaţă, punerea în funcţiune sau utilizarea unui sistem de IA care exploatează oricare dintre vulnerabilităţile unei persoane fizice sau ale unui anumit grup de persoane asociate vârstei, unei dizabilităţi sau unei situaţii sociale sau economice specifice, cu scopul sau efectul de a denatura în mod semnificativ comportamentul persoanei respective sau al unei persoane care aparţine grupului respectiv într-un mod care aduce sau este susceptibil în mod rezonabil să aducă prejudicii semnificative persoanei respective sau unei alte persoane;
c)introducerea pe piaţă, punerea în funcţiune sau utilizarea unor sisteme de IA pentru evaluarea sau clasificarea persoanelor fizice sau a grupurilor de persoane pe o anumită perioadă de timp, pe baza comportamentului lor social sau a caracteristicilor personale sau de personalitate cunoscute, deduse sau preconizate, cu un punctaj social care conduce la una dintre următoarele situaţii sau la ambele:
(i)tratamentul prejudiciabil sau nefavorabil aplicat anumitor persoane fizice sau unor grupuri de persoane în contexte sociale care nu au legătură cu contextele în care datele au fost generate sau colectate iniţial;
(ii)tratamentul prejudiciabil sau nefavorabil aplicat anumitor persoane fizice sau unor grupuri de persoane, care este nejustificat sau disproporţionat în raport cu comportamentul social al acestora sau cu gravitatea acestuia;
d)introducerea pe piaţă, punerea în funcţiune în acest scop specific sau utilizarea unui sistem de IA pentru efectuarea de evaluări ale riscurilor persoanelor fizice cu scopul de a evalua sau de a prevedea riscul ca o persoană fizică să comită o infracţiune, exclusiv pe baza creării profilului unei persoane fizice sau pe baza evaluării trăsăturilor şi caracteristicilor sale de personalitate; această interdicţie nu se aplică sistemelor de IA utilizate pentru a sprijini evaluarea umană a implicării unei persoane într-o activitate infracţională, care se bazează deja pe fapte obiective şi verificabile legate direct de o activitate infracţională;
e)introducerea pe piaţă, punerea în funcţiune în acest scop specific sau utilizarea unor sisteme de IA care creează sau extind bazele de date de recunoaştere facială prin extragerea fără scop precis a imaginilor faciale de pe internet sau de pe înregistrările TVCI;
f)introducerea pe piaţă, punerea în funcţiune în acest scop specific sau utilizarea unor sisteme de IA pentru a deduce emoţiile unei persoane fizice în sfera locului de muncă şi a instituţiilor de învăţământ, cu excepţia cazurilor în care utilizarea sistemului de IA este destinată a fi instituită sau introdusă pe piaţă din motive medicale sau de siguranţă;
g)introducerea pe piaţă sau punerea în funcţiune în acest scop specific sau utilizarea de sisteme de clasificare biometrică care clasifică în mod individual persoanele fizice pe baza datelor lor biometrice pentru a deduce sau a intui rasa, opiniile politice, apartenenţa la un sindicat, convingerile religioase sau filozofice, viaţa sexuală sau orientarea sexuală ale persoanelor respective; această interdicţie nu se referă la etichetarea sau filtrarea seturilor de date biometrice obţinute înmod legal, cum ar fi imaginile, pe baza datelor biometrice sau la clasificarea datelor biometrice în domeniul aplicării legii;
(h)utilizarea sistemelor de identificare biometrică la distanţă în timp real în spaţii accesibile publicului în scopul aplicării legii, cu excepţia cazului şi în măsura în care o astfel de utilizare este strict necesară pentru unul dintre următoarele obiective:
(i)căutarea în mod specific a anumitor victime ale răpirii, traficului de persoane sau exploatării sexuale a persoanelor, precum şi căutarea persoanelor dispărute;
(ii)prevenirea unei ameninţări specifice, substanţiale şi iminente care vizează viaţa sau siguranţa fizică a persoanelor fizice sau a unei ameninţări reale şi prezente sau reale şi previzibile de atac terorist;
(iii)localizarea sau identificarea unei persoane suspectate de săvârşirea unei infracţiuni, în scopul desfăşurării unei investigaţii penale sau al urmăririi penale sau al executării unor sancţiuni penale pentru infracţiuni, menţionate în anexa II şi pasibile, în statul membru în cauză, de o pedeapsă privativă de libertate sau o măsură de siguranţă privativă de libertate pentru o perioadă maximă de cel puţin patru ani.
Litera (h) de la primul paragraf nu aduce atingere articolului 9 din Regulamentul (UE) 2016/679 privind prelucrarea datelor biometrice în alte scopuri decât aplicarea legii.
(2)Sistemele de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului în scopul aplicării legii pentru oricare dintre obiectivele menţionate la alineatul (1) primul paragraf litera (h) se utilizează în scopurile prevăzute la alineatul (1) litera (h) numai pentru a confirma identitatea persoanei vizate în mod specific, ţinându-se seama de următoarele elemente:
a)natura situaţiei care determină posibila utilizare, în special gravitatea, probabilitatea şi amploarea prejudiciului care ar fi cauzat dacă sistemul nu ar fi utilizat;
b)consecinţele utilizării sistemului asupra drepturilor şi libertăţilor tuturor persoanelor vizate, în special gravitatea, probabilitatea şi amploarea acestor consecinţe.
În plus, utilizarea sistemelor de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului în scopul aplicării legii pentru oricare dintre obiectivele menţionate la alineatul (1) primul paragraf litera (h) de la prezentul articol respectă garanţiile şi condiţiile necesare şi proporţionale în ceea ce priveşte utilizarea în conformitate cu dreptul intern care autorizează utilizarea sistemelor respective, în special în ceea ce priveşte limitările temporale, geografice şi legate de persoane. Utilizarea sistemului de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului este autorizată numai dacă autoritatea de aplicare a legii a finalizat o evaluare a impactului asupra drepturilor fundamentale, astfel cum se prevede la articolul 27, şi a înregistrat sistemul în baza de date a UE, în conformitate cu articolul 49. Cu toate acestea, în cazuri de urgenţă justificate în mod corespunzător, utilizarea sistemelor respective poate fi iniţiată fără înregistrarea în baza de date a UE, cu condiţia ca înregistrarea respectivă să fie finalizată fără întârzieri nejustificate.
(3)În sensul alineatului (1) primul paragraf litera (h) şi al alineatului (2), fiecare utilizare în scopul aplicării legii a unui sistem de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului face obiectul unei autorizaţii prealabile acordate de o autoritate judiciară sau de o autoritate administrativă independentă a cărei decizie are efect obligatoriu din statul membru în care urmează să aibă loc utilizarea; autorizaţia respectivă este emisă pe baza unei cereri motivate şi în conformitate cu normele detaliate de drept intern menţionate la alineatul (5). Cu toate acestea, într-o situaţie de urgenţă justificată în mod corespunzător, utilizarea sistemului poate începe fără autorizaţie, cu condiţia ca autorizaţia respectivă să fie solicitată fără întârzieri nejustificate, cel târziu în termen de 24 de ore. În cazul în care o astfel de autorizaţie este refuzată, utilizarea sistemului este oprită cu efect imediat şi toate datele, precum şi rezultatele şi produsele obţinute în cadrul utilizării respective sunt înlăturate şi şterse imediat.
Autoritatea judiciară competentă sau o autoritate administrativă independentă a cărei decizie are efect obligatoriu acordă autorizaţia numai dacă este convinsă, pe baza unor dovezi obiective sau a unor indicii clare care i-au fost prezentate, că utilizarea sistemului de identificare biometrică la distanţă în timp real în cauză este necesară şi proporţională pentru realizarea unuia dintre obiectivele menţionate la alineatul (1) primul paragraf litera (h), astfel cum a fost identificat în cerere şi, în special, rămâne limitată la ceea ce este strict necesar din punctul de vedere al perioadei de timp, precum şi al sferei de aplicare geografică şi personală. Atunci când ia o decizie cu privire la cerere, autoritatea respectivă ia în considerare elementele menţionate la alineatul (2). Nicio decizie care produce un efect juridic negativ asupra unei persoane nu poate fi luată exclusiv pe baza unui rezultat al sistemului de identificare biometrică la distanţă în timp real.
(4)Fără a aduce atingere alineatului (3), fiecare utilizare a unui sistem de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului în scopul aplicării legii este notificată autorităţii relevante de supraveghere a pieţei şi autorităţii naţionale pentru protecţia datelor, în conformitate cu normele naţionale menţionate la alineatul (5). Notificarea conţine cel puţin informaţiile specificate la alineatul (6) şi nu include date operaţionale sensibile.
(5)Un stat membru poate decide să prevadă posibilitatea de a autoriza, integral sau parţial, utilizarea sistemelor de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului în scopul aplicării legii, în limitele şi condiţiile enumerate la alineatul (1) primul paragraf litera (h) şi la alineatele (2) şi (3). Statul membru în cauză stabileşte în dreptul său intern normele detaliate necesare pentru solicitarea, eliberarea şi exercitarea, precum şi pentru supravegherea autorizaţiilor menţionate la alineatul (3) şi pentru raportarea cu privire la acestea. Normele respective specifică, de asemenea, pentru care dintre obiectivele enumerate la alineatul (1) primul paragraf litera (h), inclusiv pentru care dintre infracţiunile menţionate la litera (h) punctul (iii) de la alineatul respectiv, pot fi autorizate autorităţile competente să utilizeze respectivele sisteme în scopul aplicării legii. Statele membre notifică normele respective Comisiei în termen de cel mult 30 de zile de la adoptarea acestora. Statele membre pot introduce, în conformitate cu dreptul Uniunii, legi mai restrictive privind utilizarea sistemelor de identificare biometrică la distanţă.
(6)Autorităţile naţionale de supraveghere a pieţei şi autorităţile naţionale de protecţie a datelor din statele membre care au fost notificate cu privire la utilizarea sistemelor de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului în scopul aplicării legii în temeiul alineatului (4) prezintă Comisiei rapoarte anuale cu privire la utilizarea respectivă. În acest scop, Comisia furnizează statelor membre şi autorităţilor naţionale de supraveghere a pieţei şi de protecţie a datelor un model, inclusiv informaţii privind numărul deciziilor luate de autorităţile judiciare competente sau de o autoritate administrativă independentă a cărei decizie are efect obligatoriu, în ceea ce priveşte cererile de autorizare în conformitate cu alineatul (3), precum şi rezultatul cererilor respective.
(7)Comisia publică rapoarte anuale privind utilizarea sistemelor de identificare biometrică la distanţă în timp real în spaţiile accesibile publicului în scopul aplicării legii, pe baza datelor agregate din statele membre din cadrul rapoartelor anuale menţionate la alineatul (6). Rapoartele anuale respective nu includ date operaţionale sensibile ale activităţilor conexe de aplicare a legii.
(8)Prezentul articol nu afectează interdicţiile care se aplică în cazul în care o practică în materie de IA încalcă alte dispoziţii din dreptul Uniunii.
Art. 6: Norme de clasificare pentru sistemele de IA cu grad ridicat de risc
(1)Indiferent dacă un sistem de IA este introdus pe piaţă sau pus în funcţiune independent de produsele menţionate la literele (a) şi (b), respectivul sistem de IA este considerat ca prezentând un grad ridicat de risc în cazul în care sunt îndeplinite cumulativ următoarele două condiţii:
a)sistemul de IA este destinat a fi utilizat ca o componentă de siguranţă a unui produs sau sistemul de IA este el însuşi un produs care face obiectul legislaţiei de armonizare a Uniunii care figurează în anexa I;
b)produsul a cărui componentă de siguranţă în temeiul literei (a) este sistemul de IA sau sistemul de IA în sine ca produs trebuie să fie supus unei evaluări a conformităţii de către o terţă parte, în vederea introducerii pe piaţă sau a punerii în funcţiune a produsului respectiv în temeiul legislaţiei de armonizare a Uniunii care figurează în anexa I.
(2)Sistemele de IA menţionate în anexa III sunt considerate, pe lângă sistemele de IA cu grad ridicat de risc menţionate la alineatul (1), ca prezentând un grad ridicat de risc.
(3)Prin derogare de la alineatul (2), un sistem de IA menţionat în anexa III nu poate fi considerat ca prezentând un grad ridicat de risc dacă nu prezintă un risc semnificativ de a aduce prejudicii sănătăţii, siguranţei sau drepturilor fundamentale ale persoanelor fizice, inclusiv prin faptul că nu influenţează în mod semnificativ rezultatul procesului decizional.
Primul paragraf se aplică în cazul în care oricare dintre următoarele condiţii este îndeplinită:
a)sistemul de IA este destinat să îndeplinească o sarcină procedurală restrânsă;
b)sistemul de IA este destinat să îmbunătăţească rezultatul unei activităţi umane finalizate anterior;
c)sistemul de IA este destinat să depisteze modelele decizionale sau abaterile de la modelele decizionale anterioare şi nu este menit să înlocuiască sau să influenţeze evaluarea umană finalizată anterior, fără o revizuire umană adecvată; sau
d)sistemul de IA este destinat să îndeplinească o sarcină pregătitoare pentru o evaluare relevantă în scopul cazurilor de utilizare enumerate în anexa III.
În pofida primului paragraf, un sistem de IA menţionat în anexa III este întotdeauna considerat ca prezentând un grad ridicat de risc dacă creează profiluri ale persoanelor fizice.
(4)Orice furnizor care consideră că un sistem de IA menţionat în anexa III nu prezintă un grad ridicat de risc documentează evaluarea sa înainte ca sistemul respectiv să fie introdus pe piaţă sau pus în funcţiune. Furnizorul respectiv este supus obligaţiei de înregistrare prevăzute la articolul 49 alineatul (2). La cererea autorităţilor naţionale competente, furnizorul pune la dispoziţie dovezile documentare în sprijinul evaluării.
(5)După consultarea Consiliului european pentru inteligenţa artificială (denumit în continuare "Consiliul IA") şi în termen de cel mult 2 februarie 2026, Comisia furnizează orientări care precizează modalităţile privind punerea în aplicare practică a prezentului articol, în conformitate cu articolul 96, împreună cu o listă cuprinzătoare de exemple practice de cazuri de utilizare a sistemelor de IA care prezintă un grad ridicat de risc şi a celor care nu prezintă un grad ridicat de risc.
(6)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica alineatul (3) al doilea paragraf de la prezentul articol prin adăugarea de noi condiţii faţă de cele prevăzute la dispoziţia menţionată sau prin modificarea acestora, în cazul în care există dovezi concrete şi fiabile ale existenţei unor sisteme de IA care intră în domeniul de aplicare al anexei III, dar care nu prezintă un risc semnificativ de a aduce prejudicii sănătăţii, siguranţei sau drepturilor fundamentale ale persoanelor fizice.
(7)Comisia adoptă acte delegate în conformitate cu articolul 97 pentru a modifica alineatul (3) al doilea paragraf de la prezentul articol prin eliminarea oricăreia dintre condiţiile prevăzute la dispoziţia menţionată, în cazul în care există dovezi concrete şi fiabile că acest lucru este necesar în scopul menţinerii nivelului de protecţie a sănătăţii, a siguranţei şi a drepturilor fundamentale prevăzut în prezentul regulament.
(8)Orice modificare a condiţiilor prevăzute la alineatul (3) al doilea paragraf, adoptată în conformitate cu alineatele (6) şi (7) de la prezentul articol, nu reduce nivelul general de protecţie a sănătăţii, a siguranţei şi a drepturilor fundamentale prevăzut în prezentul regulament şi asigură corelarea cu actele delegate adoptate în temeiul articolului 7 alineatul (1) şi ţine seama de evoluţiile pieţei şi ale tehnologiei.
Art. 7: Modificări ale anexei III
(1)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica anexa III prin adăugarea de cazuri de utilizare a sistemelor de IA cu grad ridicat de risc sau prin modificarea unor astfel de cazuri dacă sunt îndeplinite cumulativ următoarele două condiţii:
a)sistemele de IA sunt destinate a fi utilizate în oricare dintre domeniile enumerate în anexa III;
b)sistemele de IA prezintă un risc de a aduce prejudicii sănătăţii şi siguranţei sau un risc de impact negativ asupra drepturilor fundamentale, iar riscul respectiv este echivalent sau mai mare în raport cu riscul de a aduce prejudicii sau de a provoca un impact negativ prezentat de sistemele de IA cu grad ridicat de risc deja menţionate în anexa III.
(2)Atunci când evaluează condiţia prevăzută la alineatul (1) litera (b), Comisia ia în considerare următoarele criterii:
a)scopul preconizat al sistemului de IA;
b)măsura în care a fost utilizat sau este probabil să fie utilizat un sistem de IA;
c)natura şi volumul datelor prelucrate şi utilizate de sistemul de IA, în special dacă sunt prelucrate categorii speciale de date cu caracter personal;
d)măsura în care sistemul de IA acţionează în mod autonom şi posibilitatea ca o persoană să anuleze o decizie sau recomandări care atrag un potenţial prejudiciu;
e)măsura în care utilizarea unui sistem de IA a adus deja prejudicii sănătăţii şi siguranţei, a avut un impact negativ asupra drepturilor fundamentale sau a generat motive de îngrijorare semnificative în ceea ce priveşte probabilitatea unor astfel de prejudicii sau a unui astfel de impact negativ, astfel cum o demonstrează, de exemplu, rapoartele sau acuzaţiile documentate prezentate autorităţilor naţionale competente sau alte rapoarte, după caz;
f)amploarea potenţială a unor astfel de prejudicii sau a unui astfel de impact negativ, în special în ceea ce priveşte intensitatea şi capacitatea sa de a afecta numeroase persoane sau de a afecta în mod disproporţionat un anumit grup de persoane;
g)măsura în care persoanele care sunt potenţial prejudiciate sau afectate de un impact negativ depind de rezultatul produs cu ajutorul unui sistem de IA, în special deoarece, din motive practice sau juridice, nu este posibil în mod rezonabil să se renunţe la rezultatul respectiv;
h)măsura în care există un dezechilibru de putere sau persoanele care sunt potenţial prejudiciate sau afectate de impactul negativ se află într-o poziţie vulnerabilă în raport cu implementatorul unui sistem de IA, în special din cauza statutului, a autorităţii, a cunoştinţelor, a circumstanţelor economice sau sociale sau a vârstei;
i)măsura în care rezultatul produs cu implicarea unui sistem de IA este uşor de corectat sau reversibil, avându-se în vedere soluţiile tehnice disponibile pentru corectare sau reversare şi dat fiind că rezultatele care au un impact negativ asupra sănătăţii, siguranţei sau drepturilor fundamentale nu sunt considerate ca fiind uşor de corectat sau reversibile;
j)amploarea şi probabilitatea beneficiilor implementării sistemului de IA pentru persoane fizice, grupuri sau societate în general, inclusiv îmbunătăţirile posibile ale siguranţei produselor;
k)măsura în care dreptul existent al Uniunii prevede:
(i)măsuri reparatorii eficace în legătură cu riscurile prezentate de un sistem de IA, cu excepţia cererilor de despăgubiri;
(ii)măsuri eficace de prevenire sau de reducere substanţială a acestor riscuri.
(3)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica lista din anexa III prin eliminarea de sisteme de IA cu grad ridicat de risc în cazul în care sunt îndeplinite cumulativ următoarele două condiţii:
a)sistemul de IA cu grad ridicat de risc în cauză nu mai prezintă riscuri semnificative pentru drepturile fundamentale, sănătate sau siguranţă, ţinând seama de criteriile enumerate la alineatul (2);
b)eliminarea nu reduce nivelul general de protecţie a sănătăţii, siguranţei şi drepturilor fundamentale în temeiul dreptului Uniunii.
Art. 8: Respectarea cerinţelor
(1)Sistemele de IA cu grad ridicat de risc respectă cerinţele stabilite în prezenta secţiune, ţinând seama de scopul lor preconizat, precum şi de stadiul de avansare general recunoscut al IA şi al tehnologiilor conexe IA. Sistemul de gestionare a riscurilor menţionat la articolul 9 este luat în considerare atunci când se asigură respectarea cerinţelor respective.
(2)În cazul în care un produs conţine un sistem de IA căruia i se aplică cerinţele prezentului regulament, precum şi cerinţele din legislaţia de armonizare a Uniunii care figurează în anexa I secţiunea A, furnizorii au responsabilitatea de a se asigura că produsul lor respectă pe deplin toate cerinţele aplicabile impuse de legislaţia aplicabilă de armonizare a Uniunii. Pentru a asigura conformitatea sistemelor de IA cu grad ridicat de risc menţionate la alineatul (1) cu cerinţele prevăzute în prezenta secţiune şi pentru a asigura coerenţa, a evita suprapunerile şi a reduce la minimum sarcinile suplimentare, furnizorii au posibilitatea de a integra, după caz, procesele de testare şi raportare necesare, informaţiile şi documentaţia pe care le furnizează cu privire la produsul lor în documentaţia şi procedurile deja existente şi sunt impuse în temeiul legislaţiei de armonizare a Uniunii care figurează în anexa I secţiunea A.
Art. 9: Sistemul de gestionare a riscurilor
(1)Se instituie, se pune în aplicare, se documentează şi se menţine un sistem de gestionare a riscurilor în legătură cu sistemele de IA cu grad ridicat de risc.
(2)Sistemul de gestionare a riscurilor este înţeles ca un proces iterativ continuu planificat şi derulat pe parcursul întregului ciclu de viaţă al unui sistem de IA cu grad ridicat de risc, necesitând în mod periodic actualizarea şi revizuirea sistematică. Acesta cuprinde următoarele etape:
a)identificarea şi analiza riscurilor cunoscute şi previzibile în mod rezonabil pe care sistemul de IA cu grad ridicat de risc le poate prezenta pentru sănătate, siguranţă sau drepturile fundamentale atunci când sistemul de IA cu grad ridicat de risc este utilizat în conformitate cu scopul preconizat;
b)estimarea şi evaluarea riscurilor care pot apărea atunci când sistemul de IA cu grad ridicat de risc este utilizat în conformitate cu scopul său preconizat şi în condiţii de utilizare necorespunzătoare previzibilă în mod rezonabil;
c)evaluarea altor riscuri care ar putea apărea pe baza analizei datelor colectate din sistemul de monitorizare ulterioară introducerii pe piaţă menţionat la articolul 72;
d)adoptarea unor măsuri adecvate şi specifice de gestionare a riscurilor, concepute pentru a combate riscurile identificate în temeiul literei (a).
(3)Prezentul articol se referă numai la riscurile care pot fi atenuate sau eliminate în mod rezonabil prin dezvoltarea sau proiectarea sistemului de IA cu grad ridicat de risc sau prin furnizarea de informaţii tehnice adecvate.
(4)Măsurile de gestionare a riscurilor menţionate la alineatul (2) litera (d) ţin seama în mod corespunzător de efectele şi interacţiunea posibilă care rezultă din aplicarea combinată a cerinţelor prevăzute în prezenta secţiune, în vederea reducerii la minimum a riscurilor într-un mod mai eficace, obţinându-se totodată un echilibru adecvat în punerea în aplicare a măsurilor de îndeplinire a cerinţelor respective.
(5)Măsurile de gestionare a riscurilor menţionate la alineatul (2) litera (d) sunt de aşa natură încât riscul rezidual relevant asociat fiecărui pericol, precum şi riscul rezidual global al sistemelor de IA cu grad ridicat de risc să fie considerate a fi acceptabile.
La identificarea celor mai adecvate măsuri de gestionare a riscurilor se asigură următoarele:
a)eliminarea sau reducerea riscurilor identificate şi evaluate în temeiul alineatului (2), în măsura în care acest lucru este fezabil din punct de vedere tehnic prin proiectarea şi dezvoltarea adecvată a sistemului de IA cu grad ridicat de risc;
b)după caz, punerea în aplicare a unor măsuri adecvate de atenuare şi control pentru combaterea riscurilor care nu pot fi eliminate;
c)furnizarea informaţiilor necesare în temeiul articolului 13 şi, după caz, formarea implementatorilor.
În vederea eliminării sau reducerii riscurilor legate de utilizarea sistemului de IA cu grad ridicat de risc se acordă atenţia cuvenită cunoştinţelor tehnice, experienţei, educaţiei şi formării preconizate din partea implementatorului, precum şi contextului prezumtiv în care urmează să fie utilizat sistemul.
(6)Sistemele de IA cu grad ridicat de risc sunt testate în scopul identificării celor mai adecvate măsuri specifice de gestionare a riscurilor. Testarea asigură faptul că sistemele de IA cu grad ridicat de risc funcţionează într-un mod coerent cu scopul preconizat şi că sunt conforme cu cerinţele stabilite în prezenta secţiune.
(7)Procedurile de testare pot include testarea în condiţii reale, în conformitate cu articolul 60.
(8)Testarea sistemelor de IA cu grad ridicat de risc se efectuează, după caz, în orice moment pe parcursul procesului de dezvoltare şi, în orice caz, înainte de introducerea pe piaţă sau de punerea în funcţiune a acestora. Testarea se efectuează pe baza unor indicatori şi a unor praguri probabilistice definite în prealabil, care sunt adecvate scopului preconizat al sistemului de IA cu grad ridicat de risc.
(9)La punerea în aplicare a sistemului de gestionare a riscurilor descris la alineatele (1)-(7), furnizorii analizează dacă, având în vedere scopul său preconizat, sistemul de IA cu grad ridicat de risc este susceptibil să aibă un impact negativ asupra persoanelor cu vârsta sub 18 ani şi, după caz, asupra altor grupuri vulnerabile.
(10)Pentru furnizorii de sisteme de IA cu grad ridicat de risc care fac obiectul unor cerinţe privind procesele interne de gestionare a riscurilor în temeiul altor dispoziţii relevante din dreptul Uniunii, aspectele descrise la alineatele (1)-(9) pot face parte din procedurile de gestionare a riscurilor stabilite în temeiul legislaţiei respective sau pot fi combinate cu acestea.
Art. 10: Datele şi guvernanţa datelor
(1)Sistemele de IA cu grad ridicat de risc care utilizează tehnici ce implică antrenarea de modele de IA cu date se dezvoltă pe baza unor seturi de date de antrenament, de validare şi de testare care îndeplinesc criteriile de calitate menţionate la alineatele (2)-(5) ori de câte ori sunt utilizate astfel de seturi de date.
(2)Seturile de date de antrenament, de validare şi de testare fac obiectul unor practici de guvernanţă şi gestionare a datelor adecvate scopului preconizat al sistemului de IA cu grad ridicat de risc. Practicile respective se referă în special la:
a)opţiunile de proiectare relevante;
b)procesele de colectare a datelor şi originea datelor, iar în cazul datelor cu caracter personal, scopul iniţial al colectării datelor;
c)operaţiunile relevante de prelucrare în vederea pregătirii datelor, cum ar fi adnotarea, etichetarea, curăţarea, actualizarea, îmbogăţirea şi agregarea;
d)formularea unor ipoteze, în special în ceea ce priveşte informaţiile pe care datele ar trebui să le măsoare şi să le reprezinte;
e)o evaluare a disponibilităţii, a cantităţii şi a adecvării seturilor de date necesare;
f)examinarea în vederea identificării unor posibile prejudecăţi care sunt susceptibile să afecteze sănătatea şi siguranţa persoanelor, să aibă un impact negativ asupra drepturilor fundamentale sau să conducă la o discriminare interzisă în temeiul dreptului Uniunii, în special în cazul în care datele de ieşire influenţează datele de intrare pentru operaţiunile viitoare;
g)măsuri adecvate pentru detectarea, prevenirea şi atenuarea posibilelor prejudecăţi identificate în conformitate cu litera (f);
h)identificarea lacunelor sau a deficienţelor relevante în materie de date care împiedică conformitatea cu prezentul regulament şi a modului în care acestea pot fi abordate.
(3)Seturile de date de antrenament, de validare şi de testare sunt relevante, suficient de reprezentative, şi pe cât posibil, fără erori şi complete, având în vedere scopul preconizat. Acestea au proprietăţile statistice corespunzătoare, inclusiv, după caz, în ceea ce priveşte persoanele sau grupurile de persoane în legătură cu care se intenţionează să fie utilizat sistemul de IA cu grad ridicat de risc. Caracteristicile respective ale seturilor de date pot fi îndeplinite la nivelul seturilor de date individuale sau la nivelul unei combinaţii a acestora.
(4)Seturile de date iau în considerare, în măsura impusă de scopul preconizat, caracteristicile sau elementele specifice cadrului geografic, contextual, comportamental sau funcţional specific în care este destinat să fie utilizat sistemul de IA cu grad ridicat de risc.
(5)În măsura în care acest lucru este strict necesar pentru a asigura detectarea şi corectarea prejudecăţilor în legătură cu sistemele de IA cu grad ridicat de risc în conformitate cu alineatul (2) literele (f) şi (g) de la prezentul articol, furnizorii de astfel de sisteme pot prelucra în mod excepţional categoriile speciale de date cu caracter personal, sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile fundamentale ale persoanelor fizice. În plus faţă de dispoziţiile prevăzute de Regulamentele (UE) 2016/679 şi (UE) 2018/1725 şi de Directiva (UE) 2016/680, pentru ca o astfel de prelucrare să aibă loc, trebuie să fie respectate toate condiţiile următoare:
a)depistarea şi corectarea prejudecăţilor nu poate fi realizată în mod eficace prin prelucrarea altor date, inclusiv a datelor sintetice sau anonimizate;
b)categoriile speciale de date cu caracter personal fac obiectul unor limitări tehnice privind reutilizarea datelor cu caracter personal şi al unor măsuri avansate de securitate şi de protecţie a vieţii private, inclusiv pseudonimizarea;
c)categoriile speciale de date cu caracter personal fac obiectul unor măsuri prin care să se asigure că datele cu caracter personal prelucrate sunt securizate şi protejate, sub rezerva unor garanţii adecvate, inclusiv controale stricte şi documentarea accesului, pentru a se evita utilizarea necorespunzătoare şi pentru a se asigura că numai persoanele autorizate cu obligaţii de confidenţialitate corespunzătoare au acces la aceste date cu caracter personal;
d)categoriile speciale de date cu caracter personal nu trebuie să fie transmise, transferate sau accesate în alt mod de către alte părţi;
e)categoriile speciale de date cu caracter personal sunt şterse după corectarea prejudecăţilor sau după ce datele cu caracter personal au ajuns la sfârşitul perioadei lor de păstrare, în funcţie de care dintre acestea survine mai întâi;
f)evidenţele activităţilor de prelucrare în temeiul Regulamentelor (UE) 2016/679 şi (UE) 2018/1725 şi al Directivei (UE) 2016/680 includ motivele pentru care a fost strict necesară prelucrarea unor categorii speciale de date cu caracter personal pentru a depista şi a corecta prejudecăţile şi motivele pentru care acest obiectiv nu putea fi realizat prin prelucrarea altor date.
(6)Pentru dezvoltarea sistemelor de IA cu grad ridicat de risc care nu utilizează tehnici care implică antrenarea de modele de IA, alineatele (2)-(5) se aplică numai seturilor de date de testare.
Art. 11: Documentaţia tehnică
(1)Documentaţia tehnică a unui sistem de IA cu grad ridicat de risc se întocmeşte înainte ca sistemul respectiv să fie introdus pe piaţă sau pus în funcţiune şi se actualizează.
Documentaţia tehnică se întocmeşte astfel încât să demonstreze că sistemul de IA cu grad ridicat de risc respectă cerinţele prevăzute în prezenta secţiune şi să furnizeze autorităţilor naţionale competente şi organismelor notificate informaţiile necesare într-un mod clar şi cuprinzător, pentru a evalua conformitatea sistemului de IA cu cerinţele respective. Aceasta conţine cel puţin elementele prevăzute în anexa IV. IMM-urile, inclusiv întreprinderile nou-înfiinţate, pot furniza într-o manieră simplificată elementele documentaţiei tehnice specificate în anexa IV. În acest scop, Comisia stabileşte un formular simplificat de documentaţie tehnică care vizează nevoile întreprinderilor mici şi ale microîntreprinderilor. În cazul în care IMM-urile, inclusiv întreprinderile nou-înfiinţate, optează să furnizeze informaţiile solicitate în anexa IV într-o manieră simplificată, acestea utilizează formularul menţionat la prezentul alineat. Organismele notificate acceptă formularul în scopul evaluării conformităţii.
(2)În cazul în care este introdus pe piaţă sau pus în funcţiune un sistem de IA cu grad ridicat de risc legat de un produs care face obiectul actelor legislative de armonizare ale Uniunii care figurează în anexa I secţiunea A, se întocmeşte o singură documentaţie tehnică ce conţine toate informaţiile prevăzute la alineatul (1), precum şi informaţiile necesare în temeiul respectivelor acte juridice.
(3)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica anexa IV, atunci când este necesar, pentru a se asigura că, având în vedere progresul tehnic, documentaţia tehnică furnizează toate informaţiile necesare pentru evaluarea conformităţii sistemului cu cerinţele prevăzute în prezenta secţiune.
Art. 12: Păstrarea evidenţelor
(1)Sistemele de IA cu grad ridicat de risc permit din punct de vedere tehnic înregistrarea automată a evenimentelor (fişiere de jurnalizare) de-a lungul duratei de viaţă a sistemului.
(2)Pentru a asigura un nivel de trasabilitate a funcţionării sistemului de IA cu grad ridicat de risc care să fie adecvat scopului preconizat al sistemului, capabilităţile de jurnalizare permit înregistrarea evenimentelor relevante pentru:
a)identificarea situaţiilor care pot avea ca rezultat faptul că sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1) sau care pot conduce la o modificare substanţială;
b)facilitarea monitorizării ulterioare introducerii pe piaţă menţionate la articolul 72; şi
c)monitorizarea funcţionării sistemelor de IA cu grad ridicat de risc menţionate la articolul 26 alineatul (5).
(3)În cazul sistemelor de IA cu grad ridicat de risc menţionate în anexa III punctul 1 litera (a), capabilităţile de jurnalizare furnizează cel puţin:
a)înregistrarea perioadei fiecărei utilizări a sistemului (data şi ora de începere, precum şi data şi ora de încheiere a fiecărei utilizări);
b)baza de date de referinţă în raport cu care au fost verificate de sistem datele de intrare;
c)datele de intrare pentru care căutarea a generat o concordanţă;
d)identificarea persoanelor fizice implicate în verificarea rezultatelor, astfel cum se menţionează la articolul 14 alineatul (5).
Art. 13: Transparenţa şi furnizarea de informaţii implementatorilor
(1)Sistemele de IA cu grad ridicat de risc sunt proiectate şi dezvoltate astfel încât să se asigure că funcţionarea lor este suficient de transparentă pentru a permite implementatorilor să interpreteze rezultatele sistemului şi să le utilizeze în mod corespunzător. Se asigură un tip şi un grad adecvat de transparenţă, în vederea respectării obligaţiilor relevante ale furnizorului şi ale implementatorului prevăzute în secţiunea 3.
(2)Sistemele de IA cu grad ridicat de risc sunt însoţite de instrucţiuni de utilizare într-un format digital adecvat sau în alt tip de format adecvat, care includ informaţii concise, complete, corecte şi clare care sunt relevante, accesibile şi uşor de înţeles pentru implementatori.
(3)Instrucţiunile de utilizare conţin cel puţin următoarele informaţii:
a)identitatea şi datele de contact ale furnizorului şi, după caz, ale reprezentantului său autorizat;
b)caracteristicile, capabilităţile şi limitările performanţei sistemului de IA cu grad ridicat de risc, inclusiv:
(i)scopul său preconizat;
(ii)nivelul de acurateţe, inclusiv indicatorii săi, de robusteţe şi de securitate cibernetică menţionat la articolul 15 în raport cu care sistemul de IA cu grad ridicat de risc a fost testat şi validat şi care poate fi preconizat, precum şi orice circumstanţă cunoscută şi previzibilă care ar putea avea un impact asupra nivelului preconizat de acurateţe, robusteţe şi securitate cibernetică;
(iii)orice circumstanţă cunoscută sau previzibilă legată de utilizarea sistemului de IA cu grad ridicat de risc în conformitate cu scopul său preconizat sau în condiţii de utilizare necorespunzătoare previzibilă în mod rezonabil, care poate conduce la riscurile pentru sănătate şi siguranţă sau pentru drepturile fundamentale menţionate la articolul 9 alineatul (2);
(iv)după caz, capabilităţile şi caracteristicile tehnice ale sistemului de IA cu grad ridicat de risc de a furniza informaţii relevante pentru explicarea rezultatelor sale;
(v)după caz, performanţele sale în ceea ce priveşte anumite persoane sau grupuri de persoane în legătură cu care este destinat să fie utilizat sistemul;
(vi)după caz, specificaţiile pentru datele de intrare sau orice altă informaţie relevantă în ceea ce priveşte seturile de date de antrenament, de validare şi de testare utilizate, ţinând seama de scopul preconizat al sistemului de IA cu grad ridicat de risc;
(vii)după caz, informaţii care să le permită implementatorilor să interpreteze rezultatele sistemului de IA cu grad ridicat de risc şi să le utilizeze în mod corespunzător;
c)modificările aduse sistemului de IA cu grad ridicat de risc şi performanţei acestuia care au fost predeterminate de către furnizor la momentul evaluării iniţiale a conformităţii, dacă este cazul;
d)măsurile de supraveghere umană menţionate la articolul 14, inclusiv măsurile tehnice instituite pentru a facilita interpretarea rezultatelor sistemelor de IA cu grad ridicat de risc de către implementatori;
e)resursele de calcul şi resursele hardware necesare, durata de viaţă preconizată a sistemului de IA cu grad ridicat de risc şi orice măsuri de întreţinere şi de îngrijire, inclusiv frecvenţa lor, necesare pentru a asigura funcţionarea corespunzătoare a sistemului de IA respectiv, inclusiv în ceea ce priveşte actualizările software-ului;
f)după caz, o descriere a mecanismelor incluse în sistemul de IA cu grad ridicat de risc care să permită implementatorilor să colecteze, să stocheze şi să interpreteze în mod corespunzător fişierele de jurnalizare în conformitate cu articolul 12.
Art. 14: Supravegherea umană
(1)Sistemele de IA cu grad ridicat de risc sunt proiectate şi dezvoltate astfel încât, prin includerea de instrumente adecvate de interfaţă om-maşină, să poată fi supravegheate în mod eficace de către persoane fizice în perioada în care sunt utilizate.
(2)Supravegherea umană are ca scop prevenirea sau reducerea la minimum a riscurilor pentru sănătate, siguranţă sau pentru drepturile fundamentale, care pot apărea atunci când un sistem de IA cu grad ridicat de risc este utilizat în conformitate cu scopul său preconizat sau în condiţii de utilizare necorespunzătoare previzibilă în mod rezonabil, în special în cazurile în care astfel de riscuri persistă în pofida aplicării altor cerinţe prevăzute în prezenta secţiune.
(3)Măsurile de supraveghere sunt proporţionale cu riscurile specifice, cu nivelul de autonomie şi cu contextul utilizării sistemului de IA cu grad ridicat de risc şi se asigură fie prin unul dintre următoarele tipuri de măsuri, fie prin ambele:
a)măsuri identificate şi încorporate, atunci când este fezabil din punct de vedere tehnic, în sistemul de IA cu grad ridicat de risc de către furnizor înainte ca acesta să fie introdus pe piaţă sau pus în funcţiune;
b)măsuri identificate de furnizor înainte de introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc şi care sunt adecvate pentru a fi puse în aplicare de implementator.
(4)În scopul punerii în aplicare a alineatelor (1), (2) şi (3), sistemul de IA cu grad ridicat de risc este pus la dispoziţia implementatorului astfel încât persoanelor fizice cărora li se încredinţează supravegherea umană să li se permită, în funcţie de următoarele şi proporţional cu acestea:
a)să înţeleagă în mod corespunzător capacităţile şi limitările relevante ale sistemului de IA cu grad ridicat de risc şi să fie în măsură să monitorizeze în mod corespunzător funcţionarea acestuia, inclusiv în vederea depistării şi abordării anomaliilor, disfuncţionalităţilor şi performanţelor neaşteptate;
b)să rămână conştiente de posibila tendinţă de a se baza în mod automat sau excesiv pe rezultatele obţinute de un sistem de IA cu grad ridicat de risc (prejudecăţi legate de automatizare), în special în cazul sistemelor de IA cu grad ridicat de risc utilizate pentru a furniza informaţii sau recomandări pentru deciziile care urmează să fie luate de persoanele fizice;
c)să interpreteze corect rezultatele sistemului de IA cu grad ridicat de risc, ţinând seama, de exemplu, de instrumentele şi metodele de interpretare disponibile;
d)să decidă, în orice situaţie anume, să nu utilizeze sistemul de IA cu grad ridicat de risc sau să ignore, să anuleze sau să inverseze rezultatele sistemului de IA cu grad ridicat de risc;
e)să intervină în funcţionarea sistemului de IA cu grad ridicat de risc sau să întrerupă sistemul prin intermediul unui buton "stop" sau al unei proceduri similare care să permită sistemului să se oprească în condiţii de siguranţă.
(5)În cazul sistemelor de IA cu grad ridicat de risc menţionate în anexa III punctul 1 litera (a), măsurile menţionate la alineatul (3) de la prezentul articol sunt de aşa natură încât să asigure că, în plus, implementatorul nu ia nicio măsură sau decizie pe baza identificării care rezultă din sistem, cu excepţia cazului în care identificarea respectivă a fost verificată şi confirmată separat de cel puţin două persoane fizice care au competenţa, pregătirea şi autoritatea necesare.
Cerinţa unei verificări separate de către cel puţin două persoane fizice nu se aplică sistemelor de IA cu grad ridicat de risc utilizate în scopul aplicării legii sau în domeniul imigraţiei, al controlului la frontiere ori al azilului, în cazurile în care dreptul Uniunii sau dreptul intern consideră că aplicarea acestei cerinţe este disproporţionată.
Art. 15: Acurateţe, robusteţe şi securitate cibernetică
(1)Sistemele de IA cu grad ridicat de risc sunt concepute şi dezvoltate astfel încât să atingă un nivel adecvat de acurateţe, robusteţe şi securitate cibernetică şi să funcţioneze în mod consecvent în aceste privinţe pe parcursul întregului lor ciclu de viaţă.
(2)Pentru a aborda aspectele tehnice ale modului de măsurare a nivelurilor adecvate de acurateţe şi robusteţe prevăzute la alineatul (1) şi orice alţi indicatori de performanţă relevanţi, Comisia, în cooperare cu părţi interesate şi organizaţii relevante precum autorităţile din domeniul metrologiei şi al etalonării încurajează, după caz, elaborarea de valori de referinţă şi metodologii de măsurare.
(3)Nivelurile de acurateţe şi indicatorii de acurateţe relevanţi ai sistemelor de IA cu grad ridicat de risc se declară în instrucţiunile de utilizare aferente.
(4)Sistemele de IA cu grad ridicat de risc sunt cât mai reziliente posibil în ceea ce priveşte erorile, defecţiunile sau incoerenţele care pot apărea în cadrul sistemului sau în mediul în care funcţionează sistemul, în special din cauza interacţiunii lor cu persoane fizice sau cu alte sisteme. Se iau măsuri tehnice şi organizatorice în acest sens.
Robusteţea sistemelor de IA cu grad ridicat de risc poate fi asigurată prin soluţii tehnice redundante, care pot include planuri de rezervă sau de funcţionare în caz de avarie.
Sistemele de IA cu grad ridicat de risc care continuă să înveţe după ce au fost introduse pe piaţă sau puse în funcţiune sunt dezvoltate astfel încât să elimine sau să reducă pe cât posibil riscul ca eventuale rezultate distorsionate de prejudecăţi să influenţeze datele de intrare pentru operaţiunile viitoare (bucle de feedback) şi să se asigure că orice astfel de bucle de feedback sunt abordate în mod corespunzător prin măsuri de atenuare adecvate.
(5)Sistemele de IA cu grad ridicat de risc sunt reziliente în ceea ce priveşte încercările unor părţi terţe neautorizate de a le modifica utilizarea, rezultatele sau performanţa prin exploatarea vulnerabilităţilor sistemului.
Soluţiile tehnice menite să asigure securitatea cibernetică a sistemelor de IA cu grad ridicat de risc sunt adecvate circumstanţelor relevante şi riscurilor.
Soluţiile tehnice pentru abordarea vulnerabilităţilor specifice ale IA includ, după caz, măsuri de prevenire, depistare, răspuns, soluţionare şi control în privinţa atacurilor ce vizează manipularea setului de date de antrenament (otrăvirea datelor) sau a componentelor preantrenate utilizate la antrenament (otrăvirea modelelor), a datelor de intrare concepute să determine modelul de IA să facă o greşeală (exemple contradictorii sau eludarea modelelor), a atacurilor la adresa confidenţialităţii sau a defectelor modelului.
Art. 16: Obligaţiile furnizorilor de sisteme de IA cu grad ridicat de risc
Furnizorii de sisteme de IA cu grad ridicat de risc:
(a)se asigură că sistemele lor de IA cu grad ridicat de risc respectă cerinţele prevăzute în secţiunea 2;
(b)indică pe sistemul de IA cu grad ridicat de risc sau, în cazul în care acest lucru nu este posibil, pe ambalaj sau în documentele care îl însoţesc, după caz, numele lor, denumirea lor comercială înregistrată sau marca lor înregistrată, adresa la care pot fi contactaţi;
(c)dispun de un sistem de management al calităţii în conformitate cu articolul 17;
(d)păstrează documentaţia menţionată la articolul 18;
(e)atunci când acestea se află sub controlul lor, păstrează fişierele de jurnalizare generate automat de sistemele lor de IA cu grad ridicat de risc menţionate la articolul 19;
(f)se asigură că sistemul de IA cu grad ridicat de risc este supus procedurii relevante de evaluare a conformităţii menţionată la articolul 43, înainte de introducerea sa pe piaţă sau de punerea sa în funcţiune;
(g)elaborează o declaraţie de conformitate UE în conformitate cu articolul 47;
(h)aplică marcajul CE pe sistemul de IA cu grad ridicat de risc sau, în cazul în care acest lucru nu este posibil, pe ambalajul sau în documentaţia sa însoţitoare, pentru a indica conformitatea cu prezentul regulament, în conformitate cu articolul 48;
(i)respectă obligaţiile de înregistrare menţionate la articolul 49 alineatul (1);
(j)iau măsurile corective necesare şi furnizează informaţiile prevăzute la articolul 20;
(k)la cererea motivată a unei autorităţi naţionale competente, demonstrează conformitatea sistemului de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2;
(l)se asigură că sistemul de IA cu grad ridicat de risc respectă cerinţele de accesibilitate, în conformitate cu Directivele (UE) 2016/2102 şi (UE) 2019/882.
Art. 17: Sistemul de management al calităţii
(1)Furnizorii de sisteme de IA cu grad ridicat de risc instituie un sistem de management al calităţii care asigură conformitatea cu prezentul regulament. Acest sistem este documentat în mod sistematic şi ordonat sub formă de politici, proceduri şi instrucţiuni scrise şi include cel puţin următoarele aspecte:
a)o strategie pentru conformitatea cu reglementările, inclusiv conformitatea cu procedurile de evaluare a conformităţii şi cu procedurile de gestionare a modificărilor aduse sistemului de IA cu grad ridicat de risc;
b)tehnicile, procedurile şi acţiunile sistematice care trebuie utilizate pentru proiectarea, controlul proiectării şi verificarea proiectării sistemului de IA cu grad ridicat de risc;
c)tehnicile, procedurile şi acţiunile sistematice care trebuie utilizate pentru dezvoltarea, controlul calităţii şi asigurarea calităţii sistemului de IA cu grad ridicat de risc;
d)procedurile de examinare, testare şi validare care trebuie efectuate înainte, în timpul şi după dezvoltarea sistemului de IA cu grad ridicat de risc, precum şi frecvenţa cu care acestea trebuie efectuate;
e)specificaţiile tehnice, inclusiv standardele, care trebuie aplicate şi, în cazul în care standardele armonizate relevante nu sunt aplicate integral sau nu vizează toate cerinţele relevante prevăzute în secţiunea 2, mijloacele care trebuie utilizate pentru a se asigura că sistemul de IA cu grad ridicat de risc respectă cerinţele respective;
f)sisteme şi proceduri pentru gestionarea datelor, inclusiv obţinerea datelor, colectarea datelor, analiza datelor, etichetarea datelor, stocarea datelor, filtrarea datelor, extragerea datelor, agregarea datelor, păstrarea datelor şi orice altă operaţiune privind datele care este efectuată înainte şi în scopul introducerii pe piaţă sau al punerii în funcţiune a sistemelor de IA cu grad ridicat de risc;
g)sistemul de gestionare a riscurilor menţionat la articolul 9;
h)instituirea, implementarea şi întreţinerea unui sistem de monitorizare ulterioară introducerii pe piaţă, în conformitate cu articolul 72;
i)procedurile legate de raportarea unui incident grav în conformitate cu articolul 73;
j)gestionarea comunicării cu autorităţile naţionale competente, cu alte autorităţi relevante, inclusiv cu cele care furnizează sau sprijină accesul la date, cu organismele notificate, cu alţi operatori, cu clienţi sau cu alte părţi interesate;
k)sisteme şi proceduri pentru păstrarea evidenţelor tuturor documentelor şi informaţiilor relevante;
l)gestionarea resurselor, inclusiv măsurile legate de securitatea aprovizionării;
m)un cadru de asigurare a răspunderii care stabileşte responsabilităţile cadrelor de conducere şi ale altor categorii de personal în ceea ce priveşte toate aspectele enumerate la prezentul alineat.
(2)Punerea în aplicare a aspectelor menţionate la alineatul (1) este proporţională cu dimensiunea organizaţiei furnizorului. Furnizorii respectă, indiferent de situaţie, gradul de precizie şi nivelul de protecţie necesare pentru a asigura conformitatea cu prezentul regulament a sistemelor lor de IA cu grad ridicat de risc.
(3)Furnizorii de sisteme de IA cu grad ridicat de risc care fac obiectul unor obligaţii în ceea ce priveşte sistemele de management al calităţii sau o funcţie echivalentă a acestora în temeiul dreptului sectorial relevant al Uniunii pot include aspectele descrise la alineatul (1) ca parte din sistemele de management al calităţii stabilite în temeiul dreptului respectiv.
(4)În cazul furnizorilor care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele interne în temeiul dreptului Uniunii din domeniul serviciilor financiare, se consideră că obligaţia de instituire a unui sistem de management al calităţii, cu excepţia alineatului (1) literele (g), (h) şi (i) de la prezentul articol, este îndeplinită prin respectarea normelor privind măsurile sau procesele de guvernanţă internă în temeiul dreptului relevant al Uniunii din domeniul serviciilor financiare. În acest scop, se ţine seama de toate standardele armonizate menţionate la articolul 40.
Art. 18: Păstrarea evidenţelor
(1)Pentru o perioadă de 10 ani după introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc, furnizorul păstrează la dispoziţia autorităţilor naţionale competente:
a)documentaţia tehnică menţionată la articolul 11;
b)documentaţia privind sistemul de management al calităţii menţionată la articolul 17;
c)documentaţia privind modificările aprobate de organismele notificate, după caz;
d)deciziile şi alte documente emise de organismele notificate, după caz;
e)declaraţia de conformitate UE prevăzută la articolul 47.
(2)Fiecare stat membru stabileşte condiţiile în care documentaţia menţionată la alineatul (1) rămâne la dispoziţia autorităţilor naţionale competente pentru perioada indicată la alineatul respectiv pentru cazurile în care un furnizor sau reprezentantul autorizat al acestuia stabilit pe teritoriul său intră în faliment sau îşi încetează activitatea înainte de sfârşitul perioadei respective.
(3)Furnizorii care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele lor interne în temeiul dreptului Uniunii din domeniul serviciilor financiare păstrează documentaţia tehnică ca parte a documentaţiei păstrate în temeiul dreptului relevant al Uniunii din domeniul serviciilor financiare.
Art. 19: Fişiere de jurnalizare generate automat
(1)Furnizorii de sisteme de IA cu grad ridicat de risc păstrează fişierele de jurnalizare menţionate la articolul 12 alineatul (1), generate automat de sistemele de IA cu grad ridicat de risc ale acestora, în măsura în care astfel de fişiere de jurnalizare se află sub controlul lor. Fără a aduce atingere dreptului Uniunii sau dreptului intern aplicabil, fişiere de jurnalizare se păstrează pentru o perioadă adecvată scopului preconizat al sistemului de IA cu grad ridicat de risc, de cel puţin şase luni, cu excepţia cazului în care se prevede altfel în dreptul Uniunii sau în dreptul intern aplicabil, în special în dreptul Uniunii privind protecţia datelor cu caracter personal.
(2)Furnizorii care sunt instituţii financiare supuse unor cerinţe privind guvernanţa lor internă, măsurile sau procesele lor interne în temeiul dreptului Uniunii din domeniul serviciilor financiare păstrează fişierele de jurnalizare generate automat de sistemele lor de IA cu grad ridicat de risc ca parte a documentaţiei păstrate în temeiul dreptului relevant din domeniul serviciilor financiare.
Art. 20: Măsuri corective şi obligaţia de informare
(1)Furnizorii de sisteme de IA cu grad ridicat de risc care consideră sau au motive să considere că un sistem de IA cu grad ridicat de risc pe care l-au introdus pe piaţă ori pe care l-au pus în funcţiune nu este în conformitate cu prezentul regulament întreprind imediat măsurile corective necesare pentru ca sistemul să fie adus în conformitate sau să fie retras, dezactivat sau rechemat, după caz. Aceştia informează în acest sens distribuitorii sistemului de IA cu grad ridicat de risc în cauză şi, dacă este cazul, implementatorii, reprezentantul autorizat şi importatorii.
(2)În cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), iar furnizorul ia cunoştinţă de riscul respectiv, acesta investighează imediat cauzele, în colaborare cu implementatorul care efectuează raportarea, după caz, şi informează autorităţile de supraveghere a pieţei competente pentru sistemul de IA cu grad ridicat de risc în cauză şi, după caz, organismul notificat care a eliberat un certificat pentru sistemul de IA cu grad ridicat de risc respectiv în conformitate cu articolul 44, în special cu privire la natura neconformităţii şi la orice măsură corectivă relevantă întreprinsă.
Art. 21: Cooperarea cu autorităţile competente
(1)La cererea motivată a unei autorităţi competente, furnizorii de sisteme de IA cu grad ridicat de risc furnizează autorităţii respective toate informaţiile şi documentaţia necesare pentru a demonstra conformitatea sistemului de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, într-o limbă care poate fi uşor înţeleasă de către autoritatea respectivă şi care este una dintre limbile oficiale ale instituţiilor Uniunii, astfel cum sunt indicate de statul membru în cauză.
(2)La cererea motivată a unei autorităţi competente, furnizorii acordă, de asemenea, autorităţii competente solicitante, după caz, acces la fişierele de jurnalizare generate automat ale sistemului de IA cu grad ridicat de risc menţionate la articolul 12 alineatul (1), în măsura în care respectivele fişiere de jurnalizare se află sub controlul lor.
(3)Toate informaţiile obţinute de autorităţile competente în temeiul prezentului articol sunt tratate în conformitate cu obligaţiile de confidenţialitate prevăzute la articolul 78.
Art. 22: Reprezentanţii autorizaţi ai furnizorilor de sisteme de IA cu grad ridicat de risc
(1)Înainte de a-şi pune la dispoziţie sistemele de IA cu grad ridicat de risc pe piaţa Uniunii, furnizorii stabiliţi în ţări terţe desemnează, prin mandat scris, un reprezentant autorizat care este stabilit în Uniune.
(2)Furnizorul permite reprezentantului său autorizat să îndeplinească sarcinile prevăzute în mandatul primit de la furnizor.
(3)Reprezentantul autorizat îndeplineşte sarcinile prevăzute în mandatul primit de la furnizor. Acesta furnizează autorităţilor de supraveghere a pieţei, la cerere, o copie a mandatului, într-una din limbile oficiale ale instituţiilor Uniunii, astfel cum este indicată de autoritatea competentă. În sensul prezentului regulament, mandatul îl autorizează pe reprezentantul autorizat să îndeplinească următoarele sarcini:
a)să verifice dacă au fost întocmite declaraţia de conformitate UE menţionată la articolul 47 şi documentaţia tehnică menţionată la articolul 11 şi dacă furnizorul a desfăşurat o procedură corespunzătoare de evaluare a conformităţii;
b)să păstreze la dispoziţia autorităţilor competente şi a autorităţilor sau organismelor naţionale menţionate la articolul 74 alineatul (10), pentru o perioadă de 10 ani de la introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc, datele de contact ale furnizorului care a desemnat reprezentantul autorizat, o copie a declaraţiei de conformitate UE menţionată la articolul 47, documentaţia tehnică şi, dacă este cazul, certificatul eliberat de organismul notificat;
c)să furnizeze unei autorităţi competente, pe baza unei cereri motivate, toate informaţiile şi documentaţia, inclusiv cele menţionate la litera (b) de la prezentul paragraf, necesare pentru a demonstra conformitatea unui sistem de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, inclusiv accesul la fişierele de jurnalizare, astfel cum sunt menţionate la articolul 12 alineatul (1), generate automat de sistemul de IA cu grad ridicat de risc, în măsura în care aceste fişiere de jurnalizare se află sub controlul furnizorului;
d)să coopereze cu autorităţile competente, în urma unei cereri motivate, cu privire la orice acţiune întreprinsă de acestea din urmă în legătură cu sistemul de IA cu grad ridicat de risc, în special pentru a reduce şi a atenua riscurile prezentate de sistemul de IA cu grad ridicat de risc;
e)după caz, să respecte obligaţiile de înregistrare menţionate la articolul 49 alineatul (1) sau, dacă înregistrarea este efectuată chiar de furnizor, să se asigure că informaţiile menţionate la secţiunea A punctul 3 din anexa VIII sunt corecte.
Mandatul împuterniceşte reprezentantul autorizat să fie contactat, în afara sau în locul furnizorului, de către autorităţile competente, cu referire la toate aspectele legate de asigurarea conformităţii cu prezentul regulament.
(4)Reprezentantul autorizat îşi reziliază mandatul dacă consideră sau are motive să considere că furnizorul acţionează contrar obligaţiilor care îi revin în temeiul prezentului regulament. Într-un astfel de caz, el informează imediat autoritatea relevantă de supraveghere a pieţei, precum şi, după caz, organismul notificat relevant, cu privire la rezilierea mandatului şi la motivele acesteia.
Art. 23: Obligaţiile importatorilor
(1)Înainte de introducerea pe piaţă a unui sistem de IA cu grad ridicat de risc, importatorii unui astfel de sistem se asigură că sistemul este în conformitate cu prezentul regulament, verificând dacă:
a)procedura relevantă de evaluare a conformităţii menţionată la articolul 43 a fost efectuată de furnizorul sistemului de IA cu grad ridicat de risc;
b)furnizorul a întocmit documentaţia tehnică în conformitate cu articolul 11 şi cu anexa IV;
c)sistemul poartă marcajul CE necesar şi este însoţit de declaraţia de conformitate UE menţionată la articolul 47 şi de instrucţiunile de utilizare;
d)furnizorul a desemnat un reprezentant autorizat în conformitate cu articolul 22 alineatul (1).
(2)În cazul în care un importator are suficiente motive să considere că un sistem de IA cu grad ridicat de risc nu este în conformitate cu prezentul regulament, sau este falsificat ori însoţit de o documentaţie falsificată, acesta nu introduce sistemul respectiv pe piaţă înainte de a fi adus în conformitate. În cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), importatorul informează în acest sens furnizorul sistemului, reprezentanţii autorizaţi şi autorităţile de supraveghere a pieţei.
(3)Importatorii indică numele lor, denumirea lor comercială înregistrată sau marca lor înregistrată şi adresa la care pot fi contactaţi în privinţa sistemului de IA cu grad ridicat de risc şi pe ambalajul acestuia sau în documentele care îl însoţesc, dacă este cazul.
(4)Importatorii se asigură că, pe întreaga perioadă în care un sistem de IA cu grad ridicat de risc se află în responsabilitatea lor, condiţiile de depozitare sau de transport, după caz, nu periclitează conformitatea sa cu cerinţele prevăzute în secţiunea 2.
(5)Importatorii păstrează, timp de 10 ani de la introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc, o copie a certificatului eliberat de organismul notificat, după caz, a instrucţiunilor de utilizare şi a declaraţiei de conformitate UE menţionată la articolul 47.
(6)Importatorii furnizează autorităţilor competente relevante, pe baza unei cereri motivate, toate informaţiile şi documentaţia necesare, inclusiv cele menţionate la alineatul (5), pentru a demonstra conformitatea unui sistem de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, într-o limbă care poate fi uşor înţeleasă de acestea. În acest scop, aceştia se asigură, de asemenea, că documentaţia tehnică poate fi pusă la dispoziţia autorităţilor respective.
(7)Importatorii cooperează cu autorităţile competente relevante cu privire la orice acţiune întreprinsă de autorităţile respective în legătură cu un sistem de IA cu grad ridicat de risc introdus pe piaţă de importatori, în special pentru a reduce sau a atenua riscurile prezentate de acesta.
Art. 24: Obligaţiile distribuitorilor
(1)Înainte de a pune la dispoziţie pe piaţă un sistem de IA cu grad ridicat de risc, distribuitorii verifică dacă acesta poartă marcajul CE necesar, dacă este însoţit de o copie a declaraţiei de conformitate UE menţionată la articolul 47 şi de instrucţiunile de utilizare şi dacă furnizorul şi importatorul sistemului respectiv, după caz, au respectat obligaţiile lor respective prevăzute la articolul 16 literele (b) şi (c) şi la articolul 23 alineatul (3).
(2)În cazul în care un distribuitor consideră sau are motive să considere, pe baza informaţiilor pe care le deţine, că un sistem de IA cu grad ridicat de risc nu este în conformitate cu cerinţele prevăzute în secţiunea 2, acesta nu pune la dispoziţie pe piaţă sistemul de IA cu grad ridicat de risc înainte ca sistemul să fie adus în conformitate cu cerinţele respective. În plus, în cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), distribuitorul informează furnizorul sau importatorul sistemului, după caz, în acest sens.
(3)Distribuitorii se asigură că, atât timp cât un sistem de IA cu grad ridicat de risc se află în responsabilitatea lor, condiţiile de depozitare sau de transport, după caz, nu periclitează conformitatea sistemului cu cerinţele prevăzute în secţiunea 2.
(4)Un distribuitor care consideră sau are motive să considere, pe baza informaţiilor pe care le deţine, că un sistem de IA cu grad ridicat de risc pe care l-a pus la dispoziţie pe piaţă nu este în conformitate cu cerinţele prevăzute în secţiunea 2 ia măsurile corective necesare pentru a aduce sistemul în conformitate cu cerinţele respective, pentru a-l retrage sau pentru a-l rechema sau se asigură că furnizorul, importatorul sau orice operator relevant, după caz, ia măsurile corective respective. În cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), distribuitorul informează imediat în acest sens furnizorul sau importatorul sistemului şi autorităţile competente pentru sistemul de IA cu grad ridicat de risc în cauză, oferind informaţii detaliate, în special despre neconformitate şi orice măsură corectivă întreprinsă.
(5)Pe baza unei cereri motivate a unei autorităţi competente relevante, distribuitorii unor sisteme de IA cu grad ridicat de risc furnizează autorităţii respective toate informaţiile şi documentaţia referitoare la acţiunile lor în temeiul alineatelor (1)-(4), necesare pentru a demonstra conformitatea respectivelor sisteme cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2.
(6)Distribuitorii cooperează cu autorităţile competente relevante cu privire la orice acţiune întreprinsă de autorităţile respective în legătură cu un sistem de IA cu grad ridicat de risc pus la dispoziţie pe piaţă de distribuitori, în special pentru a reduce sau a atenua riscul prezentat de acesta.
Art. 25: Responsabilităţile de-a lungul lanţului valoric al IA
(1)Se consideră că orice distribuitor, importator, implementator sau altă parte terţă este furnizor al unui sistem de IA cu grad ridicat de risc în sensul prezentului regulament şi este supus obligaţiilor care îi revin furnizorului în temeiul articolului 16, în oricare dintre următoarele situaţii:
a)îşi aplică numele sau marca comercială pe un sistem de IA cu grad ridicat de risc deja introdus pe piaţă sau pus în funcţiune, fără a aduce atingere dispoziţiilor contractuale care prevăd o repartizare diferită a obligaţiilor;
b)modifică substanţial un sistem de IA cu grad ridicat de risc care a fost deja introdus pe piaţă sau a fost deja pus în funcţiune, astfel încât acesta rămâne un sistem de IA cu grad ridicat de risc în temeiul articolului 6;
c)modifică scopul preconizat al un sistem de IA, inclusiv al unui sistem IA de uz general, care nu a fost clasificat ca prezentând un grad ridicat de risc şi a fost deja introdus pe piaţă sau pus în funcţiune, astfel încât sistemul de IA în cauză devine un sistem IA cu grad ridicat de risc în conformitate cu articolul 6.
(2)În cazul în care se produc circumstanţele menţionate la alineatul (1), furnizorul care a introdus iniţial pe piaţă sau a pus în funcţiune sistemul de IA nu mai este considerat furnizorul respectivului sistem de IA în sensul prezentului regulament. Acest furnizor iniţial cooperează îndeaproape cu noii furnizori şi pune la dispoziţie informaţiile necesare şi oferă accesul tehnic şi alte tipuri de asistenţă preconizate în mod rezonabil care sunt necesare pentru îndeplinirea obligaţiilor prevăzute în prezentul regulament, în special în ceea ce priveşte respectarea cerinţelor privind evaluarea conformităţii sistemelor de IA cu grad ridicat de risc. Prezentul alineat nu se aplică în cazurile în care furnizorul iniţial a specificat în mod clar că sistemul său de IA nu trebuie transformat într-un sistem de IA cu grad ridicat de risc şi, prin urmare, nu intră sub incidenţa obligaţiei de a preda documentaţia.
(3)În cazul sistemelor de IA cu grad ridicat de risc care sunt componente de siguranţă ale unor produse cărora li se aplică actele legislative de armonizare ale Uniunii care figurează în anexa I secţiunea A, fabricantul produselor respective este considerat furnizorul sistemului de IA cu grad ridicat de risc şi este supus obligaţiilor menţionate la articolul 16 în oricare dintre următoarele situaţii:
a)sistemul de IA cu grad ridicat de risc este introdus pe piaţă împreună cu produsul sub numele sau marca comercială a fabricantului produsului;
b)sistemul de IA cu grad ridicat de risc este pus în funcţiune sub numele sau marca comercială a fabricantului produsului după ce produsul a fost introdus pe piaţă.
(4)Furnizorul unui sistem de IA cu grad ridicat de risc şi partea terţă care furnizează un sistem de IA, instrumente, servicii, componente sau procese care sunt utilizate sau integrate într-un sistem de IA cu grad ridicat de risc specifică, printr-un acord scris, pe baza stadiului de avansare general recunoscut al tehnologiei, informaţiile, capabilităţile, accesul tehnic şi alte tipuri de asistenţă necesare pentru a permite furnizorului sistemului de IA cu grad ridicat de risc să respecte întru totul obligaţiile prevăzute în prezentul regulament. Prezentul alineat nu se aplică terţilor care pun la dispoziţia publicului instrumente, servicii, procese sau componente, în afara modelelor de IA de uz general, sub licenţă liberă şi deschisă.
Oficiul pentru IA poate elabora şi recomanda un model voluntar de clauze pentru contractele dintre furnizorii de sisteme de IA cu grad ridicat de risc şi părţile terţe care furnizează instrumente, servicii, componente sau procese care sunt utilizate sau integrate în sistemele de IA cu grad ridicat de risc. Atunci când elaborează modelul voluntar de clauze, Oficiul pentru IA ia în considerare eventualele cerinţe contractuale aplicabile în anumite sectoare sau situaţii economice. Modelul voluntar de clauze se publică şi este disponibil gratuit într-un format electronic uşor de utilizat.
(5)Alineatele (2) şi (3) nu aduc atingere necesităţii de a respecta şi de a proteja drepturile de proprietate intelectuală şi informaţiile comerciale confidenţiale sau secretele comerciale în conformitate cu dreptul Uniunii şi cu dreptul intern.
Art. 26: Obligaţiile implementatorilor de sisteme de IA cu grad ridicat de risc
(1)Implementatorii sistemelor de IA cu grad ridicat de risc iau măsuri tehnice şi organizatorice corespunzătoare pentru a oferi siguranţa că utilizează astfel de sisteme în conformitate cu instrucţiunile de utilizare care însoţesc sistemele, în temeiul alineatelor (3) şi (6).
(2)Implementatorii încredinţează supravegherea umană unor persoane fizice care au competenţa, formarea şi autoritatea necesare, precum şi sprijinul necesar.
(3)Obligaţiile de la alineatele (1) şi (2) nu aduc atingere altor obligaţii ale implementatorilor în temeiul dreptului Uniunii sau al dreptului intern şi nici libertăţii implementatorilor de a-şi organiza propriile resurse şi activităţi în scopul punerii în aplicare a măsurilor de supraveghere umană indicate de furnizor.
(4)Fără a aduce atingere alineatelor (1) şi (2), în măsura în care exercită controlul asupra datelor de intrare, implementatorul se asigură că datele de intrare sunt relevante şi suficient de reprezentative în raport cu scopul preconizat al sistemului de IA cu grad ridicat de risc.
(5)Implementatorii monitorizează funcţionarea sistemului de IA cu grad ridicat de risc pe baza instrucţiunilor de utilizare şi, atunci când este cazul, informează furnizorii în conformitate cu articolul 72. În cazul în care au motive să considere că utilizarea sistemului de IA cu grad ridicat de risc în conformitate cu instrucţiunile poate conduce la situaţia în care sistemul de IA respectiv prezintă un risc în sensul articolului 79 alineatul (1), implementatorii informează fără întârzieri nejustificate furnizorul sau distribuitorul şi autoritatea relevantă de supraveghere a pieţei şi suspendă utilizarea sistemului respectiv. De asemenea, în cazul în care au identificat un incident grav, implementatorii informează imediat mai întâi furnizorul, şi apoi importatorul sau distribuitorul şi autorităţile relevante de supraveghere a pieţei cu privire la incidentul respectiv. În cazul în care implementatorul nu poate comunica cu furnizorul, articolul 73 se aplică mutatis mutandis. Această obligaţie nu vizează datele operaţionale sensibile ale implementatorilor sistemelor de IA care sunt autorităţi de aplicare a legii.
În cazul implementatorilor care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele interne în temeiul dreptului Uniunii din domeniul serviciilor financiare, se consideră că obligaţia de monitorizare prevăzută la primul paragraf este îndeplinită prin respectarea normelor privind mecanismele, procesele şi măsurile de guvernanţă internă în temeiul dreptului relevant din domeniul serviciilor financiare.
(6)Implementatorii sistemelor de IA cu grad ridicat de risc păstrează fişierele de jurnalizare generate automat de respectivele sisteme de IA cu grad ridicat de risc, în măsura în care aceste fişiere de jurnalizare se află sub controlul lor pentru o perioadă adecvată scopului preconizat al sistemului de IA cu grad ridicat de risc, de cel puţin şase luni, cu excepţia cazului în care se prevede altfel în dreptul Uniunii sau în dreptul intern aplicabil, în special în dreptul Uniunii privind protecţia datelor cu caracter personal.
Implementatorii care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele interne în temeiul dreptului Uniunii din domeniul serviciilor financiare păstrează fişierele de jurnalizare ca parte a documentaţiei păstrate în temeiul dreptului relevant al Uniunii din domeniul serviciilor financiare.
(7)Înainte de a pune în funcţiune sau de a utiliza un sistem de IA cu grad ridicat de risc la locul de muncă, implementatorii care sunt angajatori informează reprezentanţii lucrătorilor şi lucrătorii afectaţi că vor fi implicaţi în utilizarea sistemului de IA cu grad ridicat de risc. Informaţiile respective sunt furnizate, după caz, în conformitate cu normele şi procedurile prevăzute în dreptul şi practicile de la nivelul Uniunii şi de la nivel naţional privind informarea lucrătorilor şi a reprezentanţilor acestora.
(8)Implementatorii sistemelor de IA cu grad ridicat de risc care sunt autorităţi publice sau instituţii, organe, oficii sau agenţii ale Uniunii respectă obligaţiile de înregistrare menţionate la articolul 49. În cazul în care constată că sistemul de IA cu grad ridicat de risc pe care intenţionează să îl utilizeze nu a fost înregistrat în baza de date a UE menţionată la articolul 71, implementatorii respectivi nu utilizează sistemul respectiv şi informează furnizorul sau distribuitorul.
(9)După caz, implementatorii de sisteme de IA cu grad ridicat de risc utilizează informaţiile furnizate în temeiul articolului 13 din prezentul regulament pentru a-şi respecta obligaţia de a efectua o evaluare a impactului asupra protecţiei datelor în temeiul articolului 35 din Regulamentul (UE) 2016/679 sau al articolului 27 din Directiva (UE) 2016/680.
(10)Fără a aduce atingere Directivei (UE) 2016/680, în cadrul unei investigaţii pentru căutarea în mod specific a unei persoane suspectate sau condamnate de a fi comis o infracţiune, implementatorul unui sistem de IA cu grad ridicat de risc pentru identificarea biometrică la distanţă ulterioară solicită o autorizaţie, ex ante sau fără întârzieri nejustificate şi în termen de cel mult 48 de ore, din partea unei autorităţi judiciare sau a unei autorităţi administrative a cărei decizie are efect obligatoriu şi face obiectul controlului jurisdicţional, pentru utilizarea sistemului respectiv, cu excepţia cazului în care este utilizat pentru identificarea iniţială a unui potenţial suspect pe baza unor fapte obiective şi verificabile legate direct de infracţiune. Fiecare utilizare se limitează la ceea ce este strict necesar pentru investigarea unei anumite infracţiuni.
În cazul în care autorizaţia solicitată în temeiul primului paragraf este respinsă, utilizarea sistemului de identificare biometrică la distanţă ulterioară legat de autorizaţia solicitată respectivă se opreşte cu efect imediat, iar datele cu caracter personal legate de utilizarea sistemului de IA cu grad ridicat de risc pentru care a fost solicitată autorizaţia se şterg.
În niciun caz, un astfel de sistem de IA cu grad ridicat de risc pentru identificarea biometrică la distanţă ulterioară nu se utilizează într-un mod nedirecţionat în scopul aplicării legii, dacă nu implică nicio legătură cu o infracţiune, cu o procedură penală, cu o ameninţare reală şi prezentă sau reală şi previzibilă vizând o infracţiune sau căutarea unei anumite persoane dispărute. Se asigură faptul că autorităţile de aplicare a legii nu pot lua nicio decizie care produce un efect juridic negativ asupra unei persoane exclusiv pe baza rezultatelor unor astfel de sisteme de identificare biometrică la distanţă ulterioară.
Prezentul alineat nu aduce atingere dispoziţiilor de la articolul 9 din Regulamentul (UE) 2016/679 şi de la articolul 10 din Directiva (UE) 2016/680 privind prelucrarea datelor biometrice.
Indiferent de scop sau de implementator, fiecare utilizare a acestor sisteme de IA cu grad ridicat de risc este documentată în dosarul relevant al poliţiei şi este pusă la dispoziţia autorităţii relevante de supraveghere a pieţei şi a autorităţii naţionale pentru protecţia datelor, la cerere, exceptând divulgarea datelor operaţionale sensibile legate de aplicarea legii. Prezentul paragraf nu aduce atingere competenţelor conferite autorităţilor de supraveghere de Directiva (UE) 2016/680.
Implementatorii prezintă autorităţilor relevante de supraveghere a pieţei şi autorităţilor naţionale pentru protecţia datelor rapoarte anuale cu privire la utilizarea sistemelor de identificare biometrică la distanţă ulterioară, exceptând divulgarea datelor operaţionale sensibile legate de aplicarea legii. Rapoartele pot fi agregate pentru a cuprinde mai multe implementări.
Statele membre pot introduce, în conformitate cu dreptul Uniunii, legi mai restrictive privind utilizarea sistemelor de identificare biometrică la distanţă ulterioară.
(11)Fără a afecta dispoziţiile de la articolul 50 din prezentul regulament, implementatorii de sisteme de IA cu grad ridicat de risc menţionate în anexa III, care iau decizii sau contribuie la luarea deciziilor referitoare la persoane fizice, informează persoanele fizice că fac obiectul utilizării sistemului de IA cu grad ridicat de risc. În cazul sistemelor de IA cu grad ridicat de risc utilizate în scopul aplicării legii, se aplică articolul 13 din Directiva (UE) 2016/680.
(12)Implementatorii cooperează cu autorităţile competente relevante pentru orice acţiune întreprinsă de respectivele autorităţi în legătură cu sistemul de IA cu grad ridicat de risc pentru a pune în aplicare prezentul regulament.
Art. 27: Evaluarea impactului sistemelor de IA cu grad ridicat de risc asupra drepturilor fundamentale
(1)Înainte de a implementa un sistem de IA cu grad ridicat de risc, astfel cum este menţionat la articolul 6 alineatul (2), cu excepţia sistemelor de IA cu grad ridicat de risc destinate a fi utilizate în domeniul menţionat la punctul 2 din anexa III, implementatorii care sunt organisme de drept public sau entităţi private care furnizează servicii publice şi implementatorii de sisteme de IA cu grad ridicat de risc menţionate la punctul 5 literele (b) şi (c) din anexa III efectuează o evaluare a impactului asupra drepturilor fundamentale pe care îl poate produce utilizarea unor astfel de sisteme. În acest scop, implementatorii efectuează o evaluare care constă în:
a)o descriere a proceselor implementatorului în care sistemele de IA cu grad ridicat de risc urmează a fi utilizate în conformitate cu scopul lor preconizat;
b)o descriere a perioadei de timp pentru care se intenţionează utilizarea fiecărui sistem de IA cu grad ridicat de risc, precum şi a frecvenţei utilizării respective;
c)categoriile de persoane fizice şi grupurile susceptibile a fi afectate de utilizarea sa în contextul specific;
d)riscurile specifice de prejudicii susceptibile a avea un impact asupra categoriilor de persoane fizice sau a grupurilor de persoane identificate în temeiul literei (c) de la prezentul alineat, ţinând seama de informaţiile comunicate de furnizor în temeiul articolului 13;
e)o descriere a punerii în aplicare a măsurilor de supraveghere umană, în conformitate cu instrucţiunile de utilizare;
f)măsurile care trebuie să fie luate în cazul în care riscurile respective se materializează, inclusiv mecanismele de guvernanţă internă şi mecanismele de tratare a plângerilor.
(2)Obligaţia prevăzută la alineatul (1) se aplică primei utilizări a sistemului de IA cu grad ridicat de risc. În cazuri similare, implementatorul poate să se bazeze pe evaluări ale impactului asupra drepturilor fundamentale efectuate anterior sau pe evaluări existente efectuate de furnizor. În cazul în care consideră că, în timpul utilizării sistemului de IA cu grad ridicat de risc, oricare dintre elementele enumerate la alineatul (1) s-a schimbat sau nu mai este actualizat, implementatorul ia măsurile necesare pentru a actualiza informaţiile.
(3)După efectuarea evaluării menţionate la alineatul (1) de la prezentul articol, implementatorul notifică autorităţii de supraveghere a pieţei rezultatele sale, transmiţând modelul completat menţionat la alineatul (5) de la prezentul articol ca parte a notificării. În cazul menţionat la articolul 46 alineatul (1), implementatorii pot fi scutiţi de această obligaţie de notificare.
(4)În cazul în care oricare dintre obligaţiile prevăzute la prezentul articol este deja respectată ca urmare a evaluării impactului asupra protecţiei datelor efectuate în temeiul articolului 35 din Regulamentul (UE) 2016/679 sau al articolului 27 din Directiva (UE) 2016/680, evaluarea impactului asupra drepturilor fundamentale menţionată la alineatul (1) de la prezentul articol completează respectiva evaluare a impactului asupra protecţiei datelor.
(5)Oficiul pentru IA elaborează un model de chestionar, inclusiv prin intermediul unui instrument automatizat, pentru a-i ajuta pe implementatori să îşi respecte obligaţiile care le revin în temeiul prezentului articol într-un mod simplificat.
Art. 28: Autorităţile de notificare
(1)Fiecare stat membru desemnează sau instituie cel puţin o autoritate de notificare responsabilă cu instituirea şi efectuarea procedurilor necesare pentru evaluarea, desemnarea şi notificarea organismelor de evaluare a conformităţii şi pentru monitorizarea acestora. Procedurile respective se elaborează în cooperare între autorităţile de notificare ale tuturor statelor membre.
(2)Statele membre pot decide ca evaluarea şi monitorizarea menţionate la alineatul (1) să fie efectuate de un organism naţional de acreditare în sensul Regulamentului (CE) nr. 765/2008 şi în conformitate cu acesta.
(3)Autorităţile de notificare sunt instituite şi organizate şi funcţionează astfel încât să nu apară niciun conflict de interese cu organismele de evaluare a conformităţii şi să se protejeze obiectivitatea şi imparţialitatea activităţilor lor.
(4)Autorităţile de notificare sunt organizate astfel încât deciziile cu privire la notificarea organismelor de evaluare a conformităţii să fie luate de persoane competente, altele decât cele care au efectuat evaluarea organismelor respective.
(5)Autorităţile de notificare nu oferă şi nu prestează nici activităţi pe care le prestează organismele de evaluare a conformităţii şi nici servicii de consultanţă în condiţii comerciale sau concurenţiale.
(6)Autorităţile de notificare garantează confidenţialitatea informaţiilor pe care le obţin, în conformitate cu articolul 78.
(7)Autorităţile de notificare au la dispoziţie un număr adecvat de membri competenţi ai personalului în vederea îndeplinirii corespunzătoare a sarcinilor lor. Membrii competenţi ai personalului deţin cunoştinţele de specialitate necesare, după caz, pentru funcţia pe care o îndeplinesc, în domenii precum tehnologiile informaţiei, IA şi drept, inclusiv supravegherea drepturilor fundamentale.
Art. 29: Cererea de notificare a unui organism de evaluare a conformităţii
(1)Organismele de evaluare a conformităţii depun o cerere de notificare la autoritatea de notificare a statului membru în care sunt stabilite.
(2)Cererea de notificare este însoţită de o descriere a activităţilor de evaluare a conformităţii, a modulului sau modulelor de evaluare a conformităţii şi a tipurilor de sisteme de IA pentru care organismul de evaluare a conformităţii se consideră a fi competent, precum şi de un certificat de acreditare, în cazul în care există, eliberat de un organism naţional de acreditare care să ateste că organismul de evaluare a conformităţii satisface cerinţele prevăzute la articolul 31.
Se adaugă orice document valabil referitor la desemnările existente ale organismului notificat solicitant în temeiul oricăror alte acte legislative de armonizare ale Uniunii.
(3)În cazul în care un organism de evaluare a conformităţii nu poate prezenta un certificat de acreditare, acesta prezintă autorităţii de notificare toate documentele justificative necesare pentru verificarea, recunoaşterea şi monitorizarea periodică a conformităţii acestuia cu cerinţele prevăzute la articolul 31.
(4)În cazul organismelor notificate care sunt desemnate în temeiul oricăror alte acte legislative de armonizare ale Uniunii, toate documentele şi certificatele legate de aceste desemnări pot fi utilizate pentru a sprijini procedura de desemnare a acestora în temeiul prezentului regulament, după caz. Organismul notificat actualizează documentaţia menţionată la alineatele (2) şi (3) de la prezentul articol ori de câte ori au loc modificări relevante, pentru a oferi autorităţii naţionale responsabile de organismele notificate posibilitatea de a monitoriza şi de a verifica respectarea continuă a tuturor cerinţelor prevăzute la articolul 31.
Art. 30: Procedura de notificare
(1)Autorităţile de notificare pot notifica numai organismele de evaluare a conformităţii care îndeplinesc cerinţele prevăzute la articolul 31.
(2)Autorităţile de notificare înştiinţează Comisia şi celelalte state membre prin intermediul instrumentului de notificare electronică dezvoltat şi administrat de Comisie cu privire la fiecare organism de evaluare a conformităţii menţionat la alineatul (1).
(3)Notificarea menţionată la alineatul (2) de la prezentul articol include detalii complete privind activităţile de evaluare a conformităţii, modulul sau modulele de evaluare a conformităţii şi tipurile de sisteme de IA în cauză, precum şi atestarea relevantă a competenţei. În cazul în care notificarea nu se bazează pe un certificat de acreditare menţionat la articolul 29 alineatul (2), autoritatea de notificare prezintă Comisiei şi celorlalte state membre documentele justificative care atestă competenţa organismului de evaluare a conformităţii şi măsurile adoptate pentru a se asigura că organismul respectiv va fi monitorizat periodic şi că va îndeplini în continuare cerinţele prevăzute la articolul 31.
(4)Organismul de evaluare a conformităţii în cauză poate exercita activităţile unui organism notificat numai în cazul în care nu există obiecţii din partea Comisiei sau a celorlalte state membre, transmise în termen de două săptămâni de la o notificare din partea unei autorităţi de notificare, în cazul în care se include un certificat de acreditare menţionat la articolul 29 alineatul (2), sau în termen de două luni de la o notificare din partea unei autorităţi de notificare, în cazul în care se includ documentele justificative menţionate la articolul 29 alineatul (3).
(5)În cazul în care se ridică obiecţii, Comisia iniţiază fără întârziere consultaţii cu statele membre relevante şi cu organismul de evaluare a conformităţii. În lumina acestora, Comisia decide dacă autorizaţia este justificată. Comisia comunică decizia luată statului membru în cauză şi organismului relevant de evaluare a conformităţii.
Art. 31: Cerinţe cu privire la organismele notificate
(1)Un organism notificat este instituit în temeiul dreptului intern al unui stat membru şi are personalitate juridică.
(2)Organismele notificate îndeplinesc cerinţele organizatorice, de management al calităţii, de resurse şi în materie de procese care sunt necesare pentru îndeplinirea sarcinilor lor, precum şi cerinţele adecvate în materie de securitate cibernetică.
(3)Structura organizaţională, alocarea responsabilităţilor, liniile de raportare şi funcţionarea organismelor notificate asigură încrederea în performanţa acestora şi în rezultatele activităţilor de evaluare a conformităţii pe care le desfăşoară organismele notificate.
(4)Organismele notificate sunt independente de furnizorul unui sistem de IA cu grad ridicat de risc în legătură cu care efectuează activităţi de evaluare a conformităţii. Organismele notificate sunt, de asemenea, independente de orice alt operator care are un interes economic în legătură cu sistemele de IA cu grad ridicat de risc evaluate, precum şi de orice concurent al furnizorului. Acest lucru nu împiedică utilizarea sistemelor de IA cu grad ridicat de risc evaluate care sunt necesare pentru operaţiunile organismului de evaluare a conformităţii sau utilizarea sistemelor respective de IA cu grad ridicat de risc în scopuri personale.
(5)Nici organismul de evaluare a conformităţii, personalul său de conducere de nivel superior, nici personalul responsabil cu îndeplinirea sarcinilor acestuia de evaluare a conformităţii nu sunt direct implicaţi în proiectarea, dezvoltarea, comercializarea sau utilizarea sistemelor de IA cu grad ridicat de risc şi nici nu reprezintă părţile implicate în respectivele activităţi. Aceştia nu se implică în nicio activitate susceptibilă de a le afecta imparţialitatea sau integritatea în ceea ce priveşte activităţile de evaluare a conformităţii pentru care sunt notificaţi. Această dispoziţie se aplică în special serviciilor de consultanţă.
(6)Organismele notificate sunt organizate şi funcţionează astfel încât să garanteze independenţa, obiectivitatea şi imparţialitatea activităţilor lor. Organismele notificate documentează şi pun în aplicare o structură şi proceduri pentru garantarea imparţialităţii şi pentru promovarea şi punerea în practică a principiilor imparţialităţii în întreaga organizaţie, pentru tot personalul lor şi pentru toate activităţile lor de evaluare.
(7)Organismele notificate dispun de proceduri documentate care să asigure că personalul, comitetele, filialele, subcontractanţii lor, precum şi orice organism asociat sau membru al personalului organismelor externe respectă, în conformitate cu articolul 78, confidenţialitatea informaţiilor care le parvin în timpul derulării activităţilor de evaluare a conformităţii, cu excepţia cazurilor în care divulgarea acestora este impusă prin lege. Personalul organismelor notificate este obligat să păstreze secretul profesional referitor la toate informaţiile obţinute în cursul îndeplinirii sarcinilor sale în temeiul prezentului regulament, excepţie făcând relaţia cu autorităţile de notificare ale statului membru în care se desfăşoară activităţile sale.
(8)Organismele notificate dispun de proceduri pentru desfăşurarea activităţilor, care să ţină seama în mod corespunzător de dimensiunile unui furnizor, de sectorul în care acesta îşi desfăşoară activitatea, de structura sa şi de gradul de complexitate al sistemului de IA în cauză.
(9)Organismele notificate încheie o asigurare de răspundere civilă adecvată pentru activităţile lor de evaluare a conformităţii, cu excepţia cazului în care răspunderea este asumată de statul membru pe teritoriul căruia sunt stabilite, în conformitate cu dreptul intern, sau în care însuşi statul membru respectiv este direct responsabil pentru evaluarea conformităţii.
(10)Organismele notificate sunt capabile să îşi îndeplinească toate sarcinile în temeiul prezentului regulament cu cel mai înalt grad de integritate profesională şi cu competenţa necesară în domeniul specific, indiferent dacă sarcinile respective sunt realizate de organismele notificate înseşi sau în numele şi pe răspunderea acestora.
(11)Organismele notificate dispun de suficiente competenţe interne pentru a putea evalua în mod efectiv sarcinile îndeplinite de părţi externe în numele lor. Organismul notificat dispune în permanenţă de suficient personal administrativ, tehnic, juridic şi ştiinţific care deţine experienţă şi cunoştinţe în ceea ce priveşte tipurile relevante de sisteme de IA, de date şi de calculul datelor, precum şi în ceea ce priveşte cerinţele prevăzute în secţiunea 2.
(12)Organismele notificate participă la activităţile de coordonare menţionate la articolul 38. De asemenea, acestea participă direct sau sunt reprezentate în cadrul organizaţiilor de standardizare europene sau se asigură că sunt la curent cu situaţia referitoare la standardele relevante.
Art. 32: Prezumţia de conformitate cu cerinţele referitoare la organismele notificate
În cazul în care un organism de evaluare a conformităţii îşi demonstrează conformitatea cu criteriile prevăzute în standardele armonizate relevante sau în părţi din acestea, ale căror referinţe au fost publicate în Jurnalul Oficial al Uniunii Europene, se consideră că acesta este în conformitate cu cerinţele prevăzute la articolul 31, în măsura în care standardele armonizate aplicabile vizează aceste cerinţe.
Art. 33: Filiale ale organismelor notificate şi subcontractare
(1)În cazul în care un organism notificat subcontractează anumite sarcini legate de evaluarea conformităţii sau recurge la o filială, acesta se asigură că subcontractantul sau filiala îndeplineşte cerinţele stabilite la articolul 31 şi informează autoritatea de notificare în acest sens.
(2)Organismele notificate preiau întreaga responsabilitate pentru sarcinile îndeplinite de orice subcontractant sau filială.
(3)Activităţile pot fi subcontractate sau îndeplinite de o filială doar cu acordul furnizorului. Organismele notificate pun la dispoziţia publicului o listă a filialelor acestora.
(4)Documentele relevante privind evaluarea calificărilor subcontractantului sau ale filialei şi activitatea desfăşurată de aceştia în temeiul prezentului regulament sunt puse la dispoziţia autorităţii de notificare pentru o perioadă de cinci ani de la data încetării subcontractării.
Art. 34: Obligaţii operaţionale ale organismelor notificate
(1)Organismele notificate verifică conformitatea sistemelor de IA cu grad ridicat de risc în conformitate cu procedurile de evaluare a conformităţii prevăzute la articolul 43.
(2)Organismele notificate evită sarcinile inutile pentru furnizori atunci când aceştia îşi desfăşoară activităţile şi ţin seama în mod corespunzător de dimensiunile furnizorilor, de sectorul în care aceştia îşi desfăşoară activitatea, de structura acestora şi de gradul de complexitate al sistemului de IA cu grad ridicat de risc în cauză, în special în vederea reducerii la minimum a sarcinilor administrative şi a costurilor de asigurare a conformităţii pentru microîntreprinderi şi întreprinderile mici în sensul Recomandării 2003/361/CE. Organismul notificat respectă totuşi gradul de precizie şi nivelul de protecţie impuse pentru conformitatea sistemului de IA cu grad ridicat de risc cu cerinţele prezentului regulament.
(3)Organismele notificate pun la dispoziţia autorităţii de notificare menţionate la articolul 28 şi transmit la cerere toată documentaţia relevantă, inclusiv documentaţia furnizorilor, pentru a îi permite acestei autorităţi să îşi desfăşoare activităţile de evaluare, desemnare, notificare şi monitorizare şi pentru a facilita evaluarea descrisă în prezenta secţiune.
Art. 35: Numerele de identificare şi listele organismelor notificate
(1)Comisia atribuie un număr unic de identificare fiecărui organism notificat, chiar şi în cazul în care un organism este notificat în temeiul mai multor acte ale Uniunii.
(2)Comisia pune la dispoziţia publicului lista organismelor notificate în temeiul prezentului regulament, incluzând numerele de identificare ale acestora şi activităţile pentru care au fost notificate. Comisia se asigură că lista este actualizată.
Art. 36: Modificări ale notificărilor
(1)Autoritatea de notificare înştiinţează Comisia şi celelalte state membre cu privire la orice modificare relevantă adusă notificării unui organism notificat prin intermediul instrumentului de notificare electronică menţionat la articolul 30 alineatul (2).
(2)Procedurile prevăzute la articolele 29 şi 30 se aplică extinderilor domeniului de aplicare al notificării.
În ceea ce priveşte modificările aduse notificării, altele decât extinderile domeniului său de aplicare, se aplică procedurile prevăzute la alineatele (3)-(9).
(3)În cazul în care un organism notificat decide să îşi înceteze activităţile de evaluare a conformităţii, acesta informează autoritatea de notificare şi furnizorii vizaţi cât mai curând posibil şi, în cazul unei încetări planificate, cu cel puţin un an înainte de încetarea activităţilor. Certificatele organismului notificat pot rămâne valabile pentru o perioadă de nouă luni de la încetarea activităţii organismului notificat, cu condiţia ca un alt organism notificat să fi confirmat în scris că îşi va asuma responsabilităţile pentru sistemele de IA cu grad ridicat de risc care fac obiectul respectivelor certificate. Acest din urmă organism notificat efectuează o evaluare completă a sistemelor de IA cu grad ridicat de risc în cauză până la finalul respectivei perioade de nouă luni, înainte de emiterea de noi certificate pentru aceste sisteme. În cazul în care organismul notificat şi-a încetat activitatea, autoritatea de notificare retrage desemnarea.
(4)În cazul în care o autoritate de notificare are motive suficiente să considere că un organism notificat nu mai îndeplineşte cerinţele prevăzute la articolul 31 sau că acesta nu îşi îndeplineşte obligaţiile, autoritatea de notificare respectivă investighează fără întârziere chestiunea, cu cea mai mare diligenţă. În acest context, aceasta informează organismul notificat în cauză cu privire la obiecţiile ridicate şi îi oferă posibilitatea de a-şi face cunoscute punctele de vedere. În cazul în care ajunge la concluzia că organismul notificat nu mai îndeplineşte cerinţele prevăzute la articolul 31 sau că nu îşi îndeplineşte obligaţiile, autoritatea de notificare restricţionează, suspendă sau retrage desemnarea, după caz, în funcţie de gravitatea încălcării cerinţelor sau a neîndeplinirii obligaţiilor. Autoritatea de notificare informează de îndată Comisia şi celelalte state membre în consecinţă.
(5)În cazul în care desemnarea sa a fost suspendată, restricţionată sau retrasă integral sau parţial, organismul notificat informează furnizorii în cauză în termen de 10 zile.
(6)În caz de restricţionare, suspendare sau retragere a unei desemnări, autoritatea de notificare ia măsurile necesare pentru a se asigura că dosarele organismului notificat în cauză sunt păstrate şi le pun la dispoziţia autorităţilor de notificare din alte state membre şi a autorităţilor de supravegherea pieţei, la cererea acestora.
(7)În caz de restricţionare, suspendare sau retragere a unei desemnări, autoritatea de notificare:
a)evaluează impactul asupra certificatelor eliberate de organismul notificat;
b)prezintă Comisiei şi celorlalte state membre un raport conţinând constatările sale în termen de trei luni de la data la care a notificat modificările aduse desemnării;
c)solicită organismului notificat să suspende sau să retragă, într-un interval rezonabil de timp stabilit de către autoritate, orice certificat care a fost eliberat în mod necorespunzător, pentru a asigura menţinerea conformităţii sistemelor de IA cu grad ridicat de risc de pe piaţă;
d)informează Comisia şi statele membre cu privire la certificatele pentru care a solicitat suspendarea sau retragerea;
e)furnizează autorităţilor naţionale competente din statul membru în care furnizorul îşi are sediul social toate informaţiile relevante cu privire la certificatele pentru care a solicitat suspendarea sau retragerea; autorităţile respective iau măsurile corespunzătoare, acolo unde este necesar, pentru evitarea unui risc potenţial pentru sănătate, siguranţă sau drepturile fundamentale.
(8)Cu excepţia certificatelor eliberate în mod necorespunzător şi în cazul în care o desemnare a fost suspendată sau restricţionată, certificatele rămân valabile în una dintre următoarele circumstanţe:
a)autoritatea de notificare a confirmat, în termen de o lună de la suspendare sau restricţionare, că nu există niciun risc pentru sănătate, siguranţă sau drepturile fundamentale în legătură cu certificatele afectate de suspendare sau de restricţionare şi a prezentat un calendar pentru acţiunile de remediere a suspendării sau a restricţionării; sau
b)autoritatea de notificare a confirmat că, pe durata suspendării sau restricţionării nu se va emite, modifica sau emite din nou niciun certificat relevant pentru suspendare şi declară dacă organismul notificat are capabilitatea de a continua să monitorizeze şi să rămână responsabil de certificatele existente pe care le-a emis pe perioada suspendării sau a restricţionării; în cazul în care autoritatea de notificare stabileşte că organismul notificat nu are capabilitatea de a gestiona certificatele existente pe care le-a emis, furnizorul sistemului care face obiectul certificatului confirmă în scris autorităţilor naţionale competente ale statului membru în care îşi are sediul social, în termen de trei luni de la suspendare sau restricţionare, că un alt organism notificat calificat îşi asumă temporar funcţiile organismului notificat de a monitoriza şi de a rămâne responsabil de certificate pe perioada suspendării sau a restricţionării.
(9)Cu excepţia certificatelor eliberate în mod necorespunzător şi, în cazul în care desemnarea a fost retrasă, certificatele rămân valabile pe o perioadă de nouă luni în următoarele circumstanţe:
a)autoritatea naţională competentă din statul membru în care furnizorul sistemului de IA cu grad ridicat de risc care face obiectul certificatului îşi are sediul social a confirmat că nu există niciun risc pentru sănătate, siguranţă sau drepturile fundamentale asociat sistemelor de IA cu grad ridicat de risc în cauză; şi
b)un alt organism notificat a confirmat în scris că îşi va asuma responsabilitatea imediat pentru respectivele sisteme de IA şi îşi încheie evaluarea în termen de 12 luni de la retragerea desemnării.
În situaţia menţionată la primul paragraf, autoritatea naţională competentă din statul membru în care îşi are sediul social furnizorul sistemului care face obiectul certificatului poate prelungi valabilitatea provizorie a certificatelor cu perioade suplimentare de trei luni, care nu depăşesc 12 luni în total.
Autoritatea naţională competentă sau organismul notificat care îşi asumă funcţiile organismului notificat afectat de modificarea desemnării informează imediat în acest sens Comisia, celelalte state membre şi celelalte organisme notificate.
Art. 37: Contestarea competenţei organismelor notificate
(1)Dacă este necesar, Comisia investighează toate cazurile în care există motive de îndoială cu privire la competenţa unui organism notificat sau la îndeplinirea în continuare de către un organism notificat a cerinţelor prevăzute la articolul 31 şi a responsabilităţilor sale aplicabile.
(2)Autoritatea de notificare furnizează Comisiei, la cerere, toate informaţiile relevante referitoare la notificarea sau menţinerea competenţei organismului notificat în cauză.
(3)Comisia se asigură că toate informaţiile sensibile obţinute în cursul investigaţiilor sale în temeiul prezentului articol sunt tratate în mod confidenţial în conformitate cu articolul 78.
(4)În cazul în care constată că un organism notificat nu îndeplineşte sau nu mai îndeplineşte cerinţele pentru a fi notificat, Comisia informează statul membru notificator în consecinţă şi îi solicită acestuia să ia măsurile corective necesare, inclusiv suspendarea sau retragerea notificării, dacă este necesar. În cazul în care statul membru nu ia măsurile corective necesare, Comisia poate, prin intermediul unui act de punere în aplicare, să suspende, să restricţioneze sau să retragă desemnarea. Actul de punere în aplicare respectiv se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
Art. 38: Coordonarea organismelor notificate
(1)Comisia se asigură că, în ceea ce priveşte sistemele de IA cu grad ridicat de risc, se instituie şi se realizează în mod adecvat o coordonare şi o cooperare corespunzătoare între organismele notificate care desfăşoară activităţi în ceea ce priveşte procedurile de evaluare a conformităţii în temeiul prezentului regulament, sub forma unui grup sectorial al organismelor notificate.
(2)Fiecare autoritate de notificare se asigură că organismele notificate de aceasta participă la activitatea unui grup menţionat la alineatul (1), în mod direct sau prin intermediul unor reprezentanţi desemnaţi.
(3)Comisia se ocupă de organizarea unor schimburi de cunoştinţe şi bune practici între autorităţile de notificare.
Art. 39: Organisme de evaluare a conformităţii din ţări terţe
Organismele de evaluare a conformităţii instituite în temeiul legislaţiei unei ţări terţe cu care Uniunea a încheiat un acord pot fi autorizate să desfăşoare activităţile organismelor notificate în temeiul prezentului regulament, cu condiţia ca aceste organisme să îndeplinească cerinţele prevăzute la articolul 31 sau să asigure un nivel de conformitate echivalent.
Art. 40: Standarde armonizate şi documente de standardizare
(1)Sistemele de IA cu grad ridicat de risc sau modelele de IA de uz general care sunt în conformitate cu standardele armonizate sau cu o parte a acestora, ale căror referinţe au fost publicate în Jurnalul Oficial al Uniunii Europene în conformitate cu Regulamentul (UE) nr. 1025/2012, sunt considerate a fi în conformitate cu cerinţele stabilite în secţiunea 2 din prezentul capitol sau, după caz, cu obligaţiile prevăzute în capitolul V secţiunile 2 şi 3 din prezentul regulament, în măsura în care standardele respective vizează cerinţele sau obligaţiile respective.
(2)În conformitate cu articolul 10 din Regulamentul (UE) nr. 1025/2012, Comisia emite, fără întârzieri nejustificate, solicitări de standardizare care vizează toate cerinţele prevăzute în secţiunea 2 din prezentul capitol şi, după caz, solicitări de standardizare care vizează obligaţiile prevăzute în capitolul V secţiunile 2 şi 3 din prezentul regulament. De asemenea, în cadrul solicitărilor de standardizare se cere furnizarea de documente privind procesele de raportare şi documentare pentru a îmbunătăţi performanţa în materie de resurse a sistemelor de IA, cum ar fi reducerea consumului de energie şi de alte resurse pentru sistemul de IA cu grad ridicat de risc pe parcursul ciclului său de viaţă, precum şi privind dezvoltarea eficientă din punct de vedere energetic a modelelor de IA de uz general. Atunci când elaborează o solicitare de standardizare, Comisia consultă Consiliul IA şi părţile interesate relevante, inclusiv forumul consultativ.
Atunci când adresează o solicitare de standardizare organizaţiilor de standardizare europene, Comisia precizează că standardele trebuie să fie clare şi coerente inclusiv cu standardele elaborate în diferitele sectoare pentru produsele care fac obiectul legislaţiei existente de armonizare a Uniunii care figurează în anexa I, având drept scop să asigure faptul că sistemele de IA cu grad ridicat de risc sau modelele de IA de uz general introduse pe piaţă sau puse în funcţiune în Uniune îndeplinesc cerinţele sau obligaţiile relevante prevăzute în prezentul regulament.
Comisia solicită organizaţiilor de standardizare europene să furnizeze dovezi ale tuturor eforturilor depuse pentru a îndeplini obiectivele menţionate la primul şi al doilea paragraf de la prezentul alineat, în conformitate cu articolul 24 din Regulamentul (UE) nr. 1025/2012.
(3)Participanţii la procesul de standardizare urmăresc să promoveze investiţiile şi inovarea în IA, inclusiv prin sporirea securităţii juridice, precum şi competitivitatea şi creşterea pieţei Uniunii, să contribuie la consolidarea cooperării la nivel mondial în materie de standardizare, ţinând seama de standardele internaţionale existente în domeniul IA care sunt în concordanţă cu valorile, drepturile fundamentale şi interesele Uniunii, şi să consolideze guvernanţa multipartită, asigurând o reprezentare echilibrată a intereselor şi participarea efectivă a tuturor părţilor interesate relevante, în conformitate cu articolele 5, 6 şi 7 din Regulamentul (UE) nr. 1025/2012.
Art. 41: Specificaţii comune
(1)Comisia poate să adopte acte de punere în aplicare de stabilire a specificaţiilor comune pentru cerinţele prevăzute în secţiunea 2 din prezentul capitol sau, după caz, pentru obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V, în cazul în care sunt îndeplinite următoarele condiţii:
a)Comisia a solicitat, în temeiul articolului 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012, uneia sau mai multor organizaţii de standardizare europene să elaboreze un standard armonizat pentru cerinţele prevăzute în secţiunea 2 din prezentul capitol sau, după caz, pentru obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V, şi:
(i)solicitarea nu a fost acceptată de niciuna dintre organizaţiile de standardizare europene; sau
(ii)nu sunt prezentate standarde armonizate care să răspundă solicitării respective în termenul stabilit în conformitate cu articolul 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012; sau
(iii)standardele armonizate relevante nu abordează suficient preocupările legate de drepturile fundamentale; sau
(iv)standardele armonizate nu sunt conforme cu solicitarea; şi
b)nicio referinţă la standardele armonizate care vizează cerinţele prevăzute în secţiunea 2 din prezentul capitol sau, după caz, obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V, nu a fost publicată în Jurnalul Oficial al Uniunii Europene în conformitate cu Regulamentul (UE) nr. 1025/2012, şi nu se preconizează publicarea niciunei astfel de referinţe într-un termen rezonabil.
La redactarea specificaţiilor comune, Comisia consultă forumul consultativ menţionat la articolul 67.
Actele de punere în aplicare menţionate la primul paragraf de la prezentul alineat se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
(2)Înainte de a pregăti un proiect de act de punere în aplicare, Comisia informează comitetul menţionat la articolul 22 din Regulamentul (UE) nr. 1025/2012 că, în opinia sa, sunt îndeplinite condiţiile de la alineatul (1).
(3)Sistemele de IA cu grad ridicat de risc sau modelele de IA de uz general care sunt în conformitate cu specificaţiile comune menţionate la alineatul (1) sau cu părţi ale acestora sunt considerate a fi în conformitate cu cerinţele prevăzute în secţiunea 2 din prezentul capitol sau, după caz, a respecta obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V, în măsura în care respectivele specificaţii comune vizează cerinţele sau obligaţiile respective.
(4)În cazul în care un standard armonizat este adoptat de o organizaţie de standardizare europeană şi este propus Comisiei pentru ca referinţa sa să fie publicată în Jurnalul Oficial al Uniunii Europene, Comisia evaluează standardul armonizat în conformitate cu Regulamentul (UE) nr. 1025/2012. Atunci când referinţa unui standard armonizat este publicată în Jurnalul Oficial al Uniunii Europene, Comisia abrogă actele de punere în aplicare menţionate la alineatul (1) sau acele părţi ale lor care vizează aceleaşi cerinţe menţionate la secţiunea 2 din prezentul capitol sau, după caz, aceleaşi obligaţii prevăzute în secţiunile 2 şi 3 din capitolul V.
(5)În cazul în care furnizorii de sisteme de IA cu grad ridicat de risc sau de modele de IA de uz general nu respectă specificaţiile comune menţionate la alineatul (1), aceştia trebuie să dovedească în mod corespunzător faptul că au adoptat soluţii tehnice care îndeplinesc cerinţele menţionate în secţiunea 2 din prezentul capitol sau, după caz, care respectă obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V la un nivel cel puţin echivalent cu acestea.
(6)În cazul în care un stat membru consideră că o specificaţie comună nu îndeplineşte în totalitate cerinţele prevăzute în secţiunea 2 sau, după caz, nu respectă în totalitate obligaţiile prevăzute în secţiunile 2 şi 3 din capitolul V, acesta informează Comisia în acest sens, furnizând o explicaţie detaliată. Comisia evaluează informaţiile respective şi, dacă este cazul, modifică actul de punere în aplicare prin care se stabileşte specificaţia comună în cauză.
Art. 42: Prezumţia de conformitate cu anumite cerinţe
(1)Sistemele de IA cu grad ridicat de risc care au fost antrenate şi testate pe baza datelor care reflectă mediul geografic, comportamental, contextual sau funcţional specific în care sunt destinate să fie utilizate sunt considerate a respecta cerinţele relevante prevăzute la articolul 10 alineatul (4).
(2)Sistemele de IA cu grad ridicat de risc care au fost certificate sau pentru care a fost emisă o declaraţie de conformitate în cadrul unui sistem de securitate cibernetică în temeiul Regulamentului (UE) 2019/881, iar referinţele aferente au fost publicate în Jurnalul Oficial al Uniunii Europene, sunt considerate a respecta cerinţele de securitate cibernetică prevăzute la articolul 15 din prezentul regulament în măsura în care certificatul de securitate cibernetică sau declaraţia de conformitate sau părţi ale acestora vizează cerinţele respective.
Art. 43: Evaluarea conformităţii
(1)Pentru sistemele de IA cu grad ridicat de risc enumerate la punctul 1 din anexa III, în cazul în care, pentru a demonstra conformitatea unui sistem de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, furnizorul a aplicat standardele armonizate menţionate la articolul 40 sau, după caz, specificaţiile comune menţionate la articolul 41, furnizorul optează pentru una dintre următoarele proceduri de evaluare a conformităţii:
a)controlul intern, menţionat în anexa VI; sau
b)evaluarea sistemului de management al calităţii şi examinarea documentaţiei tehnice, cu implicarea unui organism notificat, menţionată în anexa VII.
Pentru a demonstra conformitatea unui sistem de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, furnizorul urmează procedura de evaluare a conformităţii prevăzută în anexa VII în următoarele cazuri:
(a)standardele armonizate menţionate la articolul 40 nu există, iar specificaţiile comune menţionate la articolul 41 nu sunt disponibile;
(b)furnizorul nu a aplicat sau a aplicat doar o parte din standardul armonizat;
(c)specificaţiile comune menţionate la litera (a) există, dar furnizorul nu le-a aplicat;
(d)unul sau mai multe dintre standardele armonizate menţionate la litera (a) au fost publicate cu o restricţie şi numai în partea standardului care a fost restricţionată.
În sensul procedurii de evaluare a conformităţii menţionate în anexa VII, furnizorul poate alege oricare dintre organismele notificate. Cu toate acestea, în cazul în care sistemul de IA cu grad ridicat de risc este destinat să fie pus în funcţiune de către autorităţile de aplicare a legii, de imigraţie sau de azil, sau de către instituţiile, organele, oficiile sau agenţiile Uniunii, autoritatea de supraveghere a pieţei menţionată la articolul 74 alineatul (8) sau (9), după caz, acţionează ca organism notificat.
(2)În cazul sistemelor de IA cu grad ridicat de risc menţionate la punctele 2-8 din anexa III, furnizorii urmează procedura de evaluare a conformităţii bazată pe controlul intern, astfel cum se menţionează în anexa VI, care nu prevede implicarea unui organism notificat.
(3)În cazul sistemelor de IA cu grad ridicat de risc cărora li se aplică actele juridice de armonizare ale Uniunii care figurează în anexa I secţiunea A, furnizorul urmează procedura de evaluare a conformităţii relevantă, astfel cum se prevede în actele juridice respective. Cerinţele prevăzute în secţiunea 2 din prezentul capitol se aplică acestor sisteme de IA cu grad ridicat de risc şi fac parte din evaluarea respectivă. Se aplică, de asemenea, punctele 4.3, 4.4, 4.5 şi punctul 4.6 al cincilea paragraf din anexa VII.
În scopul evaluării respective, organismele notificate care au fost notificate în temeiul respectivelor acte juridice au dreptul de a controla conformitatea sistemelor de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, cu condiţia ca respectarea de către organismele notificate respective a cerinţelor prevăzute la articolul 31 alineatele (4), (10) şi (11) să fi fost evaluată în contextul procedurii de notificare în temeiul respectivelor acte juridice.
În cazul în care actele juridice care figurează în anexa I secţiunea A permit fabricantului produsului să renunţe la evaluarea conformităţii efectuată de o parte terţă, cu condiţia ca fabricantul respectiv să fi aplicat toate standardele armonizate care vizează toate cerinţele relevante, fabricantul respectiv poate recurge la această opţiune numai dacă a aplicat, de asemenea, standardele armonizate sau, după caz, specificaţiile comune menţionate la articolul 41, care vizează toate cerinţele prevăzute în secţiunea 2 din prezentul capitol.
(4)Sistemele de IA cu grad ridicat de risc care au făcut deja obiectul unei proceduri de evaluare a conformităţii sunt supuse la o nouă procedură de evaluare a conformităţii în cazul unei modificări substanţiale, indiferent dacă sistemul modificat este destinat să fie distribuit mai departe sau dacă implementatorul actual continuă să utilizeze sistemul modificat.
În cazul sistemelor de IA cu grad ridicat de risc care continuă să înveţe după ce au fost introduse pe piaţă sau puse în funcţiune, modificările aduse sistemului de IA cu grad ridicat de risc şi performanţei acestuia care au fost predeterminate de către furnizor la momentul evaluării iniţiale a conformităţii şi care fac parte din informaţiile conţinute în documentaţia tehnică menţionată la punctul 2 litera (f) din anexa IV nu constituie o modificare substanţială.
(5)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 în scopul modificării anexelor VI şi VII prin actualizarea acestora având în vedere progresele tehnice.
(6)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica alineatele (1) şi (2) de la prezentul articol cu scopul de a supune sistemele de IA cu grad ridicat de risc menţionate la punctele 2-8 din anexa III procedurii de evaluare a conformităţii menţionate în anexa VII sau unor părţi ale acesteia. Comisia adoptă astfel de acte delegate ţinând seama de eficacitatea procedurii de evaluare a conformităţii bazate pe controlul intern menţionate în anexa VI în ceea ce priveşte prevenirea sau reducerea la minimum a riscurilor pentru sănătate, siguranţă şi protecţia drepturilor fundamentale pe care le prezintă astfel de sisteme, precum şi de disponibilitatea capacităţilor şi a resurselor adecvate în cadrul organismelor notificate.
Art. 44: Certificate
(1)Certificatele eliberate de organismele notificate în conformitate cu anexa VII sunt redactate într-o limbă care poate fi uşor înţeleasă de autorităţile relevante din statul membru în care este stabilit organismul notificat.
(2)Certificatele sunt valabile pe perioada pe care o indică, care nu depăşeşte cinci ani pentru sistemele de IA vizate de anexa I şi patru ani pentru sistemele de IA vizate de anexa III. La solicitarea furnizorului, valabilitatea unui certificat poate fi prelungită pentru perioade suplimentare, fiecare dintre acestea nedepăşind cinci ani pentru sistemele de IA vizate de anexa I şi patru ani pentru sistemele de IA vizate de anexa III, pe baza unei reevaluări în conformitate cu procedurile aplicabile de evaluare a conformităţii. Orice supliment la un certificat rămâne valabil, cu condiţia ca certificatul pe care îl completează să fie valabil.
(3)În cazul în care un organism notificat constată că un sistem de IA nu mai îndeplineşte cerinţele prevăzute în secţiunea 2, acesta, ţinând seama de principiul proporţionalităţii, suspendă sau retrage certificatul eliberat sau impune restricţii asupra acestuia, cu excepţia cazului în care îndeplinirea cerinţelor respective este asigurată prin măsuri corective adecvate întreprinse de furnizorul sistemului într-un termen adecvat stabilit de organismul notificat. Organismul notificat comunică motivele deciziei sale.
Se pune la dispoziţie o cale de atac împotriva deciziilor organismelor notificate, inclusiv privind certificatele de conformitate eliberate.
Art. 45: Obligaţii de informare care revin organismelor notificate
(1)Organismele notificate informează autoritatea de notificare în legătură cu:
a)orice certificate de evaluare a documentaţiei tehnice ale Uniunii, orice suplimente la certificatele respective şi orice aprobări ale sistemului de management al calităţii eliberate în conformitate cu cerinţele din anexa VII;
b)orice refuz, restricţie, suspendare sau retragere a unui certificat de evaluare a documentaţiei tehnice al Uniunii sau a unei aprobări a unui sistem de management al calităţii eliberată în conformitate cu cerinţele din anexa VII;
c)orice circumstanţă care afectează domeniul de aplicare sau condiţiile notificării;
d)orice cerere de informaţii pe care au primit-o de la autorităţile de supraveghere a pieţei cu privire la activităţile de evaluare a conformităţii;
e)la cerere, activităţile de evaluare a conformităţii realizate în limita domeniului de aplicare al notificării lor şi orice altă activitate realizată, inclusiv activităţi transfrontaliere şi subcontractare.
(2)Fiecare organism notificat informează celelalte organisme notificate cu privire la:
a)aprobări ale sistemelor de management al calităţii pe care le-a refuzat, suspendat sau retras şi, la cerere, aprobări ale sistemelor de management al calităţii pe care le-a eliberat;
b)certificatele de evaluare a documentaţiei tehnice ale Uniunii sau orice suplimente la acestea, pe care le-a refuzat, retras, suspendat sau restricţionat în alt mod şi, la cerere, certificatele şi/sau suplimentele la acestea pe care le-a eliberat.
(3)Fiecare organism notificat furnizează celorlalte organisme notificate care îndeplinesc activităţi similare de evaluare a conformităţii, care vizează aceleaşi tipuri de sisteme de IA, informaţii relevante privind aspecte legate de rezultatele negative ale evaluărilor conformităţii şi, la cerere, de rezultatele pozitive ale evaluărilor conformităţii.
(4)Organismele notificate păstrează confidenţialitatea informaţiilor pe care le obţin, în conformitate cu articolul 78.
Art. 46: Derogare de la procedura de evaluare a conformităţii
(1)Prin derogare de la articolul 43 şi pe baza unei cereri justificate în mod corespunzător, orice autoritate de supraveghere a pieţei poate autoriza introducerea pe piaţă sau punerea în funcţiune a anumitor sisteme de IA cu grad ridicat de risc pe teritoriul statului membru în cauză, din motive excepţionale de siguranţă publică sau de protecţie a vieţii şi sănătăţii persoanelor, de protecţie a mediului sau de protecţie a activelor industriale şi de infrastructură esenţiale. Autorizaţia respectivă se acordă pentru o perioadă limitată, cât timp procedurile necesare de evaluare a conformităţii sunt în desfăşurare, ţinând seama de motivele excepţionale care justifică derogarea. Finalizarea procedurilor respective se efectuează fără întârzieri nejustificate.
(2)Într-o situaţie de urgenţă justificată în mod corespunzător din motive excepţionale de securitate publică sau în cazul unei ameninţări specifice, substanţiale şi iminente la adresa vieţii sau a siguranţei fizice a persoanelor fizice, autorităţile de aplicare a legii sau autorităţile de protecţie civilă pot pune în funcţiune un anumit sistem de IA cu grad ridicat de risc fără autorizaţia menţionată la alineatul (1), cu condiţia ca o astfel de autorizaţie să fie solicitată în timpul utilizării sau după aceasta, fără întârzieri nejustificate. În cazul în care autorizaţia menţionată la alineatul (1) este refuzată, utilizarea sistemului de IA cu grad ridicat de risc este oprită cu efect imediat şi toate rezultatele şi produsele obţinute în cadrul unei astfel de utilizări sunt înlăturate imediat.
(3)Autorizaţia menţionată la alineatul (1) se eliberează numai în cazul în care autoritatea de supraveghere a pieţei concluzionează că sistemul de IA cu grad ridicat de risc respectă cerinţele din secţiunea 2. Autoritatea de supraveghere a pieţei informează Comisia şi celelalte state membre cu privire la orice autorizaţie eliberată în temeiul alineatelor (1) şi (2). Această obligaţie nu vizează datele operaţionale sensibile legate de activităţile autorităţilor de aplicare a legii.
(4)În cazul în care, în termen de 15 zile calendaristice de la primirea informaţiilor menţionate la alineatul (3), niciun stat membru şi nici Comisia nu ridică obiecţii cu privire la o autorizaţie eliberată de o autoritate de supraveghere a pieţei dintr-un stat membru în conformitate cu alineatul (1), autorizaţia respectivă este considerată justificată.
(5)În cazul în care, în termen de 15 zile calendaristice de la primirea notificării menţionate la alineatul (3), sunt ridicate obiecţii de către un stat membru împotriva unei autorizaţii eliberate de o autoritate de supraveghere a pieţei dintr-un alt stat membru sau în cazul în care Comisia consideră că autorizaţia este contrară dreptului Uniunii sau că concluzia statelor membre cu privire la conformitatea sistemului, astfel cum se menţionează la alineatul (3), este nefondată, Comisia iniţiază fără întârziere consultări cu statul membru relevant. Operatorii în cauză sunt consultaţi şi au posibilitatea de a-şi prezenta punctele de vedere. În considerarea acestora, Comisia decide dacă autorizaţia este justificată. Comisia comunică decizia sa statelor membre în cauză şi operatorilor relevanţi.
(6)În cazul în care Comisia consideră că autorizaţia este nejustificată, aceasta este retrasă de către autoritatea de supraveghere a pieţei din statul membru în cauză.
(7)Pentru sistemele de IA cu grad ridicat de risc legate de produsele care fac obiectul actelor legislative de armonizare ale Uniunii menţionate în anexa I secţiunea A, se aplică numai derogări de la procedurile de evaluare a conformităţii stabilite în respectivele acte legislative de armonizare ale Uniunii.
Art. 47: Declaraţia de conformitate UE
(1)Furnizorul întocmeşte o declaraţie de conformitate UE elaborată într-un format prelucrabil automat, cu semnătură fizică sau electronică pentru fiecare sistem de IA cu grad ridicat de risc şi o pune la dispoziţia autorităţilor naţionale competente pe o perioadă de 10 ani după introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc. Declaraţia de conformitate UE identifică sistemul de IA cu grad ridicat de risc pentru care a fost întocmită. O copie a declaraţiei de conformitate UE este transmisă autorităţilor naţionale competente relevante, la cerere.
(2)Declaraţia de conformitate UE precizează că sistemul de IA cu grad ridicat de risc în cauză îndeplineşte cerinţele prevăzute în secţiunea 2. Declaraţia de conformitate UE conţine informaţiile prevăzute în anexa V şi se traduce într-o limbă care poate fi uşor înţeleasă de autorităţile naţionale competente din statele membre în care se introduce pe piaţă sau se pune la dispoziţie sistemul de IA cu grad ridicat de risc.
(3)În cazul în care sistemele de IA cu grad ridicat de risc fac obiectul altor acte legislative de armonizare ale Uniunii care necesită, de asemenea, o declaraţie de conformitate UE, se redactează o singură declaraţie de conformitate UE în legătură cu toate actele legislative ale Uniunii aplicabile sistemului de IA cu grad ridicat de risc. Declaraţia conţine toate informaţiile necesare pentru identificarea actelor legislative de armonizare ale Uniunii cu care are legătură declaraţia.
(4)Prin redactarea declaraţiei de conformitate UE, furnizorul îşi asumă responsabilitatea pentru conformitatea cu cerinţele prevăzute în secţiunea 2. Furnizorul actualizează în permanenţă declaraţia de conformitate UE, după caz.
(5)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica anexa V prin actualizarea conţinutului declaraţiei de conformitate UE prevăzute în anexa menţionată, pentru a introduce elemente care devin necesare având în vedere progresele tehnice.
Art. 48: Marcajul CE
(1)Marcajul CE face obiectul principiilor generale prevăzute la articolul 30 din Regulamentul (CE) nr. 765/2008.
(2)În cazul sistemelor de IA cu grad ridicat de risc furnizate digital se utilizează un marcaj CE digital numai dacă poate fi accesat cu uşurinţă prin intermediul interfeţei de la care este accesat sistemul respectiv sau printr-un cod uşor accesibil, prelucrabil automat, sau prin alte mijloace electronice.
(3)Marcajul CE se aplică în mod vizibil, lizibil şi indelebil pe sistemele de IA cu grad ridicat de risc. În cazul în care acest lucru nu este posibil sau justificat din considerente ţinând de natura sistemului de IA cu grad ridicat de risc, marcajul se aplică pe ambalaj sau pe documentele de însoţire, după caz.
(4)Dacă este cazul, marcajul CE este urmat de numărul de identificare al organismului notificat responsabil de procedurile de evaluare a conformităţii menţionate la articolul 43. Numărul de identificare al organismului notificat se aplică chiar de către organism sau, la instrucţiunile acestuia, de către furnizor sau reprezentantul autorizat al furnizorului. De asemenea, numărul de identificare se indică în orice material promoţional care menţionează că sistemul de IA cu grad ridicat de risc îndeplineşte cerinţele aferente marcajului CE.
(5)În cazul în care sistemele de IA cu grad ridicat de risc fac obiectul altor acte legislative ale Uniunii care prevăd de asemenea aplicarea marcajului CE, acesta indică faptul că sistemele de IA cu grad ridicat de risc îndeplinesc şi cerinţele celorlalte acte legislative.
Art. 49: Înregistrare
(1)Înainte de a introduce pe piaţă sau de a pune în funcţiune un sistem de IA cu grad ridicat de risc care figurează în anexa III, cu excepţia sistemelor de IA cu grad ridicat de risc menţionate în anexa III punctul 2, furnizorul şi, după caz, reprezentantul autorizat se înregistrează pe sine, alături de sistemul lor în baza de date a UE menţionată la articolul 71.
(2)Înainte de a introduce pe piaţă sau de a pune în funcţiune un sistem de IA pentru care furnizorul a concluzionat că nu prezintă un grad ridicat de risc în conformitate cu articolul 6 alineatul (3), furnizorul respectiv sau, după caz, reprezentantul autorizat se înregistrează pe sine, alături de sistemul respectiv în baza de date a UE menţionată la articolul 71.
(3)Înainte de a pune în funcţiune sau de a utiliza un sistem de IA cu grad ridicat de risc care figurează în anexa III, cu excepţia sistemelor de IA cu grad ridicat de risc care figurează în anexa III punctul 2, implementatorii care sunt autorităţi publice, instituţii, organe, oficii sau agenţii ale Uniunii ori persoane care acţionează în numele acestora se înregistrează, selectează sistemul şi înregistrează utilizarea acestuia în baza de date a UE menţionată la articolul 71.
(4)Pentru sistemele de IA cu grad ridicat de risc menţionate la punctele 1, 6 şi 7 din anexa III, în domeniul aplicării legii, al migraţiei, al azilului şi al gestionării controlului la frontiere, înregistrarea menţionată la alineatele (1), (2) şi (3) de la prezentul articol se realizează în cadrul unei secţiuni securizate, care nu este accesibilă publicului, a bazei de date a UE menţionate la articolul 71 şi include numai următoarele informaţii, după caz, menţionate la:
a)secţiunea A punctele 1-10 din anexa VIII, cu excepţia punctelor 6, 8 şi 9;
b)secţiunea B punctele 1-5, 8 şi 9 din anexa VIII;
c)secţiunea C punctele 1-3 din anexa VIII;
d)punctele 1, 2, 3 şi 5 din anexa IX.
Numai Comisia şi autorităţile naţionale menţionate la articolul 74 alineatul (8) au acces la secţiunile restricţionate respective ale bazei de date a UE care figurează la primul paragraf de la prezentul alineat.
(5)Sistemele de IA cu grad ridicat de risc menţionate la punctul 2 din anexa III se înregistrează la nivel naţional.
Art. 50: Obligaţii de transparenţă pentru furnizorii şi implementatorii anumitor sisteme de IA
(1)Furnizorii se asigură că sistemele de IA destinate să interacţioneze direct cu persoane fizice sunt proiectate şi dezvoltate astfel încât persoanele fizice în cauză să fie informate că interacţionează cu un sistem de IA, cu excepţia cazului în care acest lucru este evident din punctul de vedere al unei persoane fizice rezonabil de bine informată, de atentă şi de avizată, ţinând seama de circumstanţele şi contextul de utilizare. Această obligaţie nu se aplică sistemelor de IA autorizate prin lege pentru a depista, a preveni, a investiga sau a urmări penal infracţiunile, sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile terţilor, cu excepţia cazului în care aceste sisteme sunt disponibile publicului pentru a denunţa o infracţiune.
(2)Furnizorii de sisteme de IA, inclusiv de sisteme de IA de uz general, care generează conţinut sintetic în format audio, imagine, video sau text, se asigură că rezultatele sistemului de IA sunt marcate într-un format prelucrabil automat şi detectabile ca fiind generate sau manipulate artificial. Furnizorii se asigură că soluţiile lor tehnice sunt eficace, interoperabile, solide şi fiabile, în măsura în care acest lucru este fezabil din punct de vedere tehnic, ţinând seama de particularităţile şi limitările diferitelor tipuri de conţinut, de costurile de punere în aplicare şi de stadiul de avansare general recunoscut al tehnologiei, astfel cum poate fi reflectat în standardele tehnice relevante. Această obligaţie nu se aplică în măsura în care sistemele de IA îndeplinesc o funcţie de asistare pentru editarea standard sau nu modifică în mod substanţial datele de intrare furnizate de implementator sau semantica acestora sau în cazul în care sunt autorizate prin lege să depisteze, să prevină, să investigheze sau să urmărească penal infracţiunile.
(3)Implementatorii unui sistem de recunoaştere a emoţiilor sau ai unui sistem de clasificare biometrică informează persoanele fizice expuse sistemului respectiv cu privire la funcţionarea acestuia şi prelucrează datele cu caracter personal în conformitate cu Regulamentele (UE) 2016/679 şi (UE) 2018/1725 şi cu Directiva (UE) 2016/680, după caz. Această obligaţie nu se aplică sistemelor de IA utilizate pentru clasificarea biometrică şi recunoaşterea emoţiilor, care sunt autorizate prin lege să depisteze, să prevină sau să investigheze infracţiunile, sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile terţilor şi în conformitate cu dreptul Uniunii.
(4)Implementatorii unui sistem de IA care generează sau manipulează imagini, conţinuturi audio sau video care constituie deepfake-uri dezvăluie faptul că respectivul conţinut a fost generat sau manipulat artificial. Această obligaţie nu se aplică în cazul în care utilizarea este autorizată prin lege pentru depistarea, prevenirea, investigarea sau urmărirea penală a infracţiunilor. În cazul în care conţinutul face parte dintr-o operă sau dintr-un program de o vădită natură artistică, creativă, satirică, fictivă sau analogă, obligaţiile de transparenţă prevăzute la prezentul alineat se limitează la divulgarea existenţei unui astfel de conţinut generat sau manipulat într-un mod adecvat, care să nu împiedice afişarea sau receptarea operei.
Implementatorii unui sistem de IA care generează sau manipulează texte publicate cu scopul de a informa publicul cu privire la chestiuni de interes public dezvăluie faptul că textul a fost generat sau manipulat artificial. Această obligaţie nu se aplică în cazul în care utilizarea este autorizată prin lege pentru a depista, a preveni, a investiga sau a urmări penal infracţiunile sau în cazul în care conţinutul generat de IA a fost supus unui proces de verificare editorială sau revizuire umană şi responsabilitatea editorială pentru publicarea conţinutului este deţinută de o persoană fizică sau juridică.
(5)Informaţiile menţionate la alineatele (1)-(4) sunt furnizate persoanelor fizice în cauză într-un mod clar şi distinct, cel târziu în momentul primei interacţiuni sau al primei expuneri. Informaţiile trebuie să respecte cerinţele de accesibilitate aplicabile.
(6)Alineatele (1)-(4) nu aduc atingere cerinţelor şi obligaţiilor prevăzute în capitolul III şi nici altor obligaţii de transparenţă pentru implementatorii de sisteme de IA prevăzute în dreptul Uniunii sau în dreptul intern.
(7)Oficiul pentru IA încurajează şi facilitează elaborarea de coduri de bune practici la nivelul Uniunii pentru a facilita punerea în aplicare efectivă a obligaţiilor privind depistarea şi etichetarea conţinutului generat sau manipulat artificial. Comisia poate să adopte acte de punere în aplicare pentru a aproba respectivele coduri de bune practici în conformitate cu procedura prevăzută la articolul 56 alineatul (6). În cazul în care consideră că codul nu este adecvat, Comisia poate să adopte un act de punere în aplicare care să precizeze normele comune pentru punerea în aplicare a obligaţiilor respective, în conformitate cu procedura de examinare prevăzută la articolul 98 alineatul (2).
Art. 51: Clasificarea modelelor de IA de uz general ca modele de IA de uz general cu risc sistemic
(1)Un model de IA de uz general este clasificat drept model de IA de uz general cu risc sistemic dacă îndeplineşte oricare dintre următoarele condiţii:
a)are capabilităţi cu impact ridicat evaluate pe baza unor instrumente şi metodologii tehnice adecvate, inclusiv a unor indicatori şi valori de referinţă;
b)pe baza unei decizii a Comisiei, ex officio sau în urma unei alerte calificate din partea grupului ştiinţific, are capabilităţi sau un impact echivalente cu cele prevăzute la litera (a), având în vedere criteriile stabilite în anexa XIII.
(2)Se consideră că un model de IA de uz general are capabilităţi cu impact ridicat în temeiul alineatului (1) litera (a) atunci când volumul cumulat de calcul utilizat pentru antrenarea sa măsurat în operaţii în virgulă mobilă este mai mare de 1025.
(3)Comisia adoptă acte delegate în conformitate cu articolul 97 pentru a modifica pragurile care figurează la alineatele (1) şi (2) de la prezentul articol, precum şi pentru a completa valorile de referinţă şi indicatorii având în vedere evoluţiile tehnologice constante, cum ar fi îmbunătăţirile algoritmice sau eficienţa sporită a hardware-ului, atunci când este necesar, astfel încât pragurile respective să reflecte stadiul cel mai avansat al tehnologiei.
Art. 52: Procedură
(1)În cazul în care un model de IA de uz general îndeplineşte condiţia menţionată la articolul 51 alineatul (1) litera (a), furnizorul relevant informează Comisia fără întârziere şi, în orice caz, în termen de două săptămâni de la îndeplinirea cerinţei respective sau de la data la care se constată faptul că va fi îndeplinită. Notificarea respectivă include informaţiile necesare pentru a demonstra că a fost îndeplinită cerinţa relevantă. În cazul în care ia cunoştinţă de un model de IA de uz general care prezintă riscuri sistemice cu privire la care nu a fost notificată, Comisia poate decide să îl desemneze drept model prezentând risc sistemic.
(2)Furnizorul unui model de IA de uz general care îndeplineşte condiţia menţionată la articolul 51 alineatul (1) litera (a) poate prezenta, odată cu notificarea sa, argumente suficient de întemeiate pentru a demonstra că, în mod excepţional, deşi îndeplineşte cerinţa respectivă, modelul de IA de uz general nu prezintă riscuri sistemice, având în vedere caracteristicile sale specifice şi, prin urmare, nu ar trebui să fie clasificat drept model de IA de uz general cu risc sistemic.
(3)În cazul în care concluzionează că argumentele prezentate în temeiul alineatului (2) nu sunt suficient de întemeiate, iar furnizorul relevant nu a fost în măsură să demonstreze că modelul de IA de uz general nu prezintă riscuri sistemice, având în vedere caracteristicile sale specifice, Comisia respinge argumentele respective, iar modelul de IA de uz general este considerat un model de IA de uz general cu risc sistemic.
(4)Comisia poate desemna un model de IA de uz general ca prezentând riscuri sistemice, ex officio sau în urma unei alerte calificate din partea grupului ştiinţific în temeiul articolului 90 alineatul (1) litera (a), pe baza criteriilor stabilite în anexa XIII.
Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica anexa XIII prin precizarea şi actualizarea criteriilor prevăzute în anexa menţionată.
(5)La cererea motivată a unui furnizor al cărui model a fost desemnat drept model de IA de uz general cu risc sistemic în temeiul alineatului (4), Comisia ia în considerare cererea şi poate decide să reevalueze dacă modelul de IA de uz general poate fi considerat în continuare ca prezentând riscuri sistemice pe baza criteriilor prevăzute în anexa XIII. O astfel de cerere conţine motive obiective, detaliate şi noi care au survenit după decizia de desemnare. Furnizorii pot solicita reevaluarea cel mai devreme la şase luni de la decizia de desemnare. În cazul în care, în urma reevaluării sale, Comisia decide să menţină desemnarea drept model de IA de uz general cu risc sistemic, furnizorii pot solicita reevaluarea cel mai devreme la şase luni de la decizia respectivă.
(6)Comisia se asigură că se publică o listă a modelelor de IA de uz general cu risc sistemic şi actualizează lista respectivă, fără a aduce atingere necesităţii de a respecta şi de a proteja drepturile de proprietate intelectuală şi informaţiile comerciale confidenţiale sau secretele comerciale în conformitate cu dreptul Uniunii şi cu dreptul intern.
Art. 53: Obligaţiile furnizorilor de modele de IA de uz general
(1)Furnizorii de sisteme de IA de uz general:
a)realizează şi actualizează documentaţia tehnică a modelului, inclusiv procesul vizând antrenarea şi testarea sa, precum şi rezultatele evaluării sale, care conţin cel puţin informaţiile prevăzute în anexa XI în scopul de a le furniza, la cerere, Oficiului pentru IA şi autorităţilor naţionale competente;
b)elaborează, actualizează şi pun la dispoziţie informaţii şi documentaţie destinate furnizorilor de sisteme de IA care intenţionează să integreze modelul de IA de uz general în sistemele lor de IA. Fără a aduce atingere necesităţii de a respecta şi de a proteja drepturile de proprietate intelectuală şi informaţiile comerciale confidenţiale sau secretele comerciale în conformitate cu dreptul Uniunii şi cu dreptul intern, informaţiile şi documentaţia:
(i)le permit furnizorilor de sisteme de IA să înţeleagă bine capabilităţile şi limitările modelului de IA de uz general şi să respecte obligaţiile care le revin în temeiul prezentului regulament; şi
(ii)conţin cel puţin elementele prevăzute în anexa XII;
c)pun în aplicare o politică vizând respectarea dreptului Uniunii privind drepturile de autor şi drepturile conexe şi, în special, identificarea şi respectarea, inclusiv pe baza stadiului cel mai avansat al tehnologiei, a unei rezervări a drepturilor exprimate în temeiul articolului 4 alineatul (3) din Directiva (UE) 2019/790;
d)elaborează şi pun la dispoziţia publicului un rezumat suficient de detaliat cu privire la conţinutul utilizat pentru antrenarea modelului de IA de uz general, în conformitate cu un model furnizat de Oficiul pentru IA.
(2)Obligaţiile prevăzute la alineatul (1) literele (a) şi (b) nu se aplică furnizorilor de modele de IA care sunt lansate sub licenţă liberă şi deschisă permiţând accesul, utilizarea, modificarea şi distribuţia modelelor respective şi ai căror parametri, inclusiv ponderile şi informaţiile privind arhitectura modelelor şi utilizarea acestora, sunt puşi la dispoziţia publicului. Această excepţie nu se aplică modelelor de IA de uz general cu risc sistemic.
(3)Furnizorii de modele de IA de uz general cooperează, după caz, cu Comisia şi cu autorităţile naţionale competente în exercitarea competenţelor şi a prerogativelor lor în temeiul prezentului regulament.
(4)Furnizorii de modele de IA de uz general se pot baza pe coduri de bune practici în sensul articolului 56 pentru a demonstra respectarea obligaţiilor prevăzute la alineatul (1) de la prezentul articol, până la publicarea unui standard armonizat. Respectarea standardelor europene armonizate oferă furnizorilor prezumţia de conformitate, în măsura în care standardele respective vizează obligaţiile respective. Furnizorii de modele de IA de uz general care nu aderă la un cod de bune practici aprobat sau nu respectă un standard european armonizat demonstrează existenţa unor mijloace alternative adecvate de conformitate spre a fi evaluate de Comisie.
(5)În scopul facilitării respectării anexei XI, în special a punctului 2 literele (d) şi (e), Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a detalia metodologiile de măsurare şi de calculare, astfel încât documentaţiile să poată fi comparabile şi verificabile.
(6)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 alineatul (2) pentru a modifica anexele XI şi XII având în vedere evoluţiile tehnologice constante.
(7)Orice informaţii sau documentaţie obţinute în temeiul prezentului articol, inclusiv secretele comerciale, sunt tratate în conformitate cu obligaţiile de confidenţialitate prevăzute la articolul 78.
Art. 54: Reprezentanţii autorizaţi ai furnizorilor de modele de IA de uz general
(1)Înainte de a pune la dispoziţie un model de IA de uz general pe piaţa Uniunii, furnizorii stabiliţi în ţări terţe desemnează, prin mandat scris, un reprezentant autorizat stabilit în Uniune.
(2)Furnizorul permite reprezentantului său autorizat să îndeplinească sarcinile prevăzute în mandatul primit de la furnizor.
(3)Reprezentantul autorizat îndeplineşte sarcinile prevăzute în mandatul primit de la furnizor. Acesta furnizează Oficiului pentru IA, la cerere, o copie a mandatului, într-una din limbile oficiale ale instituţiilor Uniunii. În sensul prezentului regulament, mandatul îl împuterniceşte pe reprezentantul autorizat să îndeplinească următoarele sarcini:
a)să verifice dacă a fost întocmită documentaţia tehnică specificată în anexa XI şi dacă au fost îndeplinite de către furnizor toate obligaţiile menţionate la articolul 53 şi, după caz, la articolul 55;
b)să păstreze la dispoziţia Oficiului pentru IA şi a autorităţilor naţionale competente o copie a documentaţiei tehnice specificate în anexa XI pentru o perioadă de 10 ani după introducerea pe piaţă a modelului de IA de uz general, precum şi datele de contact ale furnizorului care a desemnat reprezentantul autorizat;
c)să furnizeze Oficiului pentru IA, în urma unei cereri motivate, toate informaţiile şi documentaţia, inclusiv cele menţionate la litera (b), necesare pentru a demonstra respectarea de către furnizor a obligaţiilor prevăzute în prezentul capitol;
d)să coopereze cu Oficiul pentru IA şi cu autorităţile competente, în urma unei cereri motivate, cu privire la orice acţiune întreprinsă de acestea în legătură cu un model de IA de uz general, inclusiv atunci când modelul este integrat în sistemele de IA introduse pe piaţă sau puse în funcţiune în Uniune.
(4)Mandatul împuterniceşte reprezentantul autorizat să fie contactat, pe lângă furnizor sau în locul acestuia, de către Oficiul pentru IA sau autorităţile competente, cu referire la toate aspectele legate de asigurarea conformităţii cu prezentul regulament.
(5)Reprezentantul autorizat îşi reziliază mandatul dacă consideră sau are motive să considere că furnizorul acţionează contrar obligaţiilor care îi revin în temeiul prezentului regulament. Într-un astfel de caz, el informează imediat Oficiul pentru IA cu privire la rezilierea mandatului şi la motivele acesteia.
(6)Obligaţia prevăzută la prezentul articol nu se aplică furnizorilor de modele de IA de uz general care sunt lansate sub licenţă liberă şi cu sursă deschisă permiţând accesul, utilizarea, modificarea şi distribuţia modelelor respective şi ai căror parametri, inclusiv ponderile şi informaţiile privind arhitectura modelelor şi utilizarea acestora, sunt puşi la dispoziţia publicului, cu excepţia cazului în care modelele de IA de uz general prezintă riscuri sistemice.
Art. 55: Obligaţiile furnizorilor de modele de IA de uz general cu risc sistemic
(1)Pe lângă obligaţiile enumerate la articolele 53 şi 54, furnizorii de modele de IA de uz general cu risc sistemic:
a)efectuează evaluarea modelelor în conformitate cu protocoale şi instrumente standardizate care reflectă stadiul de avansare al tehnologiei, inclusiv prin efectuarea de testări contradictorii ale modelelor şi documentarea acestora, în vederea identificării şi atenuării riscurilor sistemice;
b)evaluează şi atenuează posibilele riscuri sistemice la nivelul Uniunii, inclusiv sursele acestora, care pot decurge din dezvoltarea, introducerea pe piaţă sau utilizarea unor modele de IA de uz general cu risc sistemic;
c)urmăresc, documentează şi raportează fără întârzieri nejustificate Oficiului pentru IA şi, după caz, autorităţilor naţionale competente, informaţii relevante cu privire la incidentele grave şi la posibilele măsuri corective pentru a le aborda;
d)asigură un nivel adecvat de protecţie a securităţii cibernetice pentru modelele de IA de uz general cu risc sistemic şi pentru infrastructura fizică a modelelor.
(2)Furnizorii de modele de IA de uz general cu risc sistemic se pot baza pe coduri de bune practici în sensul articolului 56 pentru a demonstra respectarea obligaţiilor prevăzute la alineatul (1) de la prezentul articol, până la publicarea unui standard armonizat. Respectarea standardelor europene armonizate oferă furnizorilor prezumţia de conformitate, în măsura în care standardele respective vizează obligaţiile respective. Furnizorii de modele de IA de uz general cu risc sistemic care nu aderă la un cod de bune practici aprobat sau nu respectă un standard european armonizat demonstrează existenţa unor mijloace alternative adecvate de conformitate, spre a fi evaluate de Comisie.
(3)Orice informaţii sau documentaţie obţinute în temeiul prezentului articol, inclusiv secretele comerciale, sunt tratate în conformitate cu obligaţiile de confidenţialitate prevăzute la articolul 78.
Art. 56: Coduri de bune practici
(1)Oficiul pentru IA încurajează şi facilitează elaborarea de coduri de bune practici la nivelul Uniunii pentru a contribui la aplicarea corespunzătoare a prezentului regulament, ţinând seama de abordările internaţionale.
(2)Oficiul pentru IA şi Consiliul IA urmăresc să se asigure că codurile de bune practici vizează cel puţin obligaţiile prevăzute la articolele 53 şi 55, inclusiv următoarele aspecte:
a)mijloacele de asigurare a faptului că informaţiile menţionate la articolul 53 alineatul (1) literele (a) şi (b) sunt actualizate având în vedere evoluţiile tehnologice şi ale pieţei;
b)nivelul adecvat de detaliere a rezumatului cu privire la conţinutul utilizat pentru antrenare;
c)identificarea tipului şi naturii riscurilor sistemice la nivelul Uniunii, inclusiv a surselor acestora, după caz;
d)măsurile, procedurile şi modalităţile pentru evaluarea şi gestionarea riscurilor sistemice la nivelul Uniunii, inclusiv documentaţia aferentă, care sunt proporţionale cu riscurile, iau în considerare gravitatea şi probabilitatea acestora, precum şi provocările specifice legate de abordarea acestor riscuri, având în vedere modurile posibile în care astfel de riscuri pot apărea şi se pot materializa de-a lungul lanţului valoric al IA.
(3)Oficiul pentru IA poate invita toţi furnizorii de modele de IA de uz general, precum şi autorităţile naţionale competente relevante, să participe la elaborarea de coduri de bune practici. Organizaţiile societăţii civile, industria, mediul academic şi alte părţi interesate relevante, cum ar fi furnizorii din aval şi experţii independenţi, pot sprijini procesul.
(4)Oficiul pentru IA şi Consiliul IA urmăresc să se asigure că codurile de bune practici stabilesc în mod clar obiectivele lor specifice, conţin angajamente sau măsuri, inclusiv indicatori-cheie de performanţă, după caz, pentru a asigura realizarea obiectivelor respective şi că acestea ţin seama în mod corespunzător de nevoile şi interesele tuturor părţilor interesate, inclusiv ale persoanelor afectate, la nivelul Uniunii.
(5)Oficiul pentru IA urmăreşte să se asigure că participanţii la codurile de bune practici raportează periodic Oficiului pentru IA cu privire la punerea în aplicare a angajamentelor şi a măsurilor luate şi a rezultatelor acestora, inclusiv astfel cum sunt măsurate în raport cu indicatorii-cheie de performanţă, după caz. Indicatorii-cheie de performanţă şi obligaţiile de raportare reflectă diferenţele de dimensiune şi de capacitate dintre diferiţii participanţi.
(6)Oficiul pentru IA şi Consiliul IA monitorizează şi evaluează periodic îndeplinirea obiectivelor codurilor de bune practici de către participanţi şi contribuţia acestora la aplicarea corespunzătoare a prezentului regulament. Oficiul pentru IA şi Consiliul IA evaluează dacă codurile de bune practici vizează obligaţiile prevăzute la articolele 53 şi 55 şi monitorizează şi evaluează periodic îndeplinirea obiectivelor lor. Acestea publică evaluarea caracterului adecvat al codurilor de bune practici.
Comisia poate, prin intermediul unui act de punere în aplicare, să aprobe un cod de bune practici şi îi poate conferi o valabilitate generală în cadrul Uniunii. Actul de punere în aplicare respectiv se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
(7)Oficiul pentru IA poate invita toţi furnizorii de modele de IA de uz general să adere la codurile de bune practici. Pentru furnizorii de modele de IA de uz general care nu prezintă riscuri sistemice, aderarea respectivă se poate limita la obligaţiile prevăzute la articolul 53, cu excepţia cazului în care aceştia îşi declară în mod explicit interesul de a adera la codul integral.
(8)De asemenea, Oficiul pentru IA încurajează şi facilitează, după caz, revizuirea şi adaptarea codurilor de bune practici, în special în lumina standardelor emergente. Oficiul pentru IA contribuie la evaluarea standardelor disponibile.
(9)Codurile de bune practici sunt pregătite cel târziu până la 2 mai 2025. Oficiul pentru IA face demersurile necesare, inclusiv prin invitarea furnizorilor în temeiul alineatului (7).
În cazul în care, până la 2 august 2025, nu poate fi finalizat un cod de bune practici sau în cazul în care Oficiul pentru IA consideră, în urma evaluării sale în temeiul alineatului (6) de la prezentul articol, că acesta nu este adecvat, Comisia poate prevedea, prin intermediul unor acte de punere în aplicare, norme comune pentru punerea în aplicare a obligaţiilor prevăzute la articolele 53 şi 55, inclusiv aspectele prevăzute la alineatul (2) de la prezentul articol. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
Art. 57: Spaţiile de testare în materie de reglementare în domeniul IA
(1)Statele membre se asigură că autorităţile lor competente instituie cel puţin un spaţiu de testare în materie de reglementare în domeniul IA la nivel naţional, care este operaţional până la 2 august 2026. Spaţiul de testare respectiv poate fi instituit, de asemenea, împreună cu autorităţile competente din alte state membre. Comisia poate oferi sprijin tehnic, consiliere şi instrumente pentru instituirea şi exploatarea spaţiilor de testare în materie de reglementare în domeniul IA.
Obligaţia prevăzută la primul paragraf poate fi îndeplinită şi prin participarea la un spaţiu de testare existent, în măsura în care această participare asigură un nivel echivalent de acoperire naţională pentru statele membre participante.
(2)De asemenea, pot fi instituite spaţii de testare suplimentare în materie de reglementare în domeniul IA la nivel regional sau local sau împreună cu autorităţile competente din alte state membre.
(3)Autoritatea Europeană pentru Protecţia Datelor poate, de asemenea, să instituie un spaţiu de testare în materie de reglementare în domeniul IA pentru instituţiile, organele, oficiile şi agenţiile Uniunii şi poate să exercite rolurile şi sarcinile autorităţilor naţionale competente în conformitate cu prezentul capitol.
(4)Statele membre se asigură că autorităţile competente menţionate la alineatele (1) şi (2) alocă resurse suficiente pentru a se conforma prezentului articol în mod eficace şi în timp util. După caz, autorităţile naţionale competente cooperează cu alte autorităţi relevante şi pot permite implicarea altor actori din ecosistemul de IA. Prezentul articol nu aduce atingere altor spaţii de testare în materie de reglementare instituite în temeiul dreptului Uniunii sau al dreptului intern. Statele membre asigură un nivel adecvat de cooperare între autorităţile care supraveghează aceste alte spaţii de testare şi autorităţile naţionale competente.
(5)Spaţiile de testare în materie de reglementare în domeniul IA instituite în temeiul alineatului (1) prevăd un mediu controlat care promovează inovarea şi facilitează dezvoltarea, antrenare, testarea şi validarea sistemelor de IA inovatoare pentru o perioadă limitată de timp înainte de introducerea lor pe piaţă sau de punerea lor în funcţiune în temeiul unui plan specific privind spaţiul de testare convenit între furnizori sau furnizorii potenţiali şi autoritatea competentă. Astfel de spaţii de testare pot include testarea în condiţii reale supravegheată în spaţiul de testare.
(6)Autorităţile competente oferă, după caz, orientări, supraveghere şi sprijin în cadrul spaţiului de testare în materie de reglementare în domeniul IA în vederea identificării riscurilor, în special în ceea ce priveşte drepturile fundamentale, sănătatea şi siguranţa, în vederea testării, precum şi în vederea unor măsuri de atenuare şi a asigurării eficacităţii acestora în ceea ce priveşte obligaţiile şi cerinţele prezentului regulament şi, după caz, ale altor dispoziţii din dreptul Uniunii şi dreptul intern care fac obiectul supravegherii în cadrul spaţiului de testare.
(7)Autorităţile competente oferă furnizorilor şi potenţialilor furnizori care participă la spaţiul de testare în materie de reglementare în domeniul IA orientări privind aşteptările în materie de reglementare şi modul de îndeplinire a cerinţelor şi a obligaţiilor prevăzute în prezentul regulament.
La cererea furnizorului sau a potenţialului furnizor al sistemului de IA, autoritatea competentă furnizează o dovadă scrisă a activităţilor desfăşurate cu succes în spaţiul de testare. Autoritatea competentă furnizează, de asemenea, un raport de ieşire care detaliază activităţile desfăşurate în spaţiul de testare, precum şi realizările şi rezultatele învăţării aferente. Furnizorii pot utiliza o astfel de documentaţie pentru a demonstra că respectă prezentul regulament prin intermediul procesului de evaluare a conformităţii sau al activităţilor relevante de supraveghere a pieţei. În acest sens, rapoartele de ieşire şi dovezile scrise furnizate de autoritatea naţională competentă sunt luate în considerare în mod pozitiv de către autorităţile de supraveghere a pieţei şi de către organismele notificate, în vederea accelerării procedurilor de evaluare a conformităţii într-o măsură rezonabilă.
(8)Sub rezerva dispoziţiilor privind confidenţialitatea de la articolul 78 şi cu acordul furnizorului sau al potenţialului furnizor, Comisia şi Consiliul IA sunt autorizate să acceseze rapoartele de ieşire şi le iau în considerare, după caz, atunci când îşi exercită atribuţiile în temeiul prezentului regulament. Dacă atât furnizorul sau potenţialul furnizor, cât şi autoritatea naţională competentă îşi dau acordul în mod explicit, raportul de ieşire poate fi pus la dispoziţia publicului prin intermediul platformei unice de informare menţionate la prezentul articol.
(9)Instituirea spaţiilor de testare în materie de reglementare în domeniul IA urmăreşte să contribuie la următoarele obiective:
a)îmbunătăţirea securităţii juridice pentru a asigura conformitatea normativă cu prezentul regulament sau, după caz, cu alte dispoziţii aplicabile din dreptul Uniunii şi din dreptul intern;
b)sprijinirea schimbului de bune practici prin cooperarea cu autorităţile implicate în spaţiul de testare în materie de reglementare în domeniul IA;
c)stimularea inovării şi a competitivităţii şi facilitarea dezvoltării unui ecosistem de IA;
d)furnizarea de contribuţii la învăţarea bazată pe dovezi în materie de reglementare;
e)facilitarea şi accelerarea accesului la piaţa Uniunii pentru sistemele de IA, în special atunci când sunt furnizate de IMM-uri, inclusiv de întreprinderi nou-înfiinţate.
(10)Autorităţile naţionale competente se asigură că, în măsura în care sistemele de IA inovatoare implică prelucrarea de date cu caracter personal sau aparţin în alt mod competenţei de supraveghere a altor autorităţi naţionale sau autorităţi competente care furnizează sau sprijină accesul la date, autorităţile naţionale de protecţie a datelor sau celelalte autorităţi naţionale sau competente respective sunt asociate exploatării spaţiului de testare în materie de reglementare în domeniul IA şi sunt implicate în supravegherea aspectelor respective pe măsura sarcinilor şi a competenţelor lor respective.
(11)Spaţiile de testare în materie de reglementare în domeniul IA nu afectează competenţele de supraveghere sau atribuţiile corective ale autorităţilor competente care supraveghează spaţiile de testare, inclusiv la nivel regional sau local. Orice riscuri semnificative pentru sănătate, siguranţă şi drepturile fundamentale identificate în timpul dezvoltării şi testării unor astfel de sisteme de IA conduc la o atenuare adecvată. Autorităţile naţionale competente au competenţa de a suspenda temporar sau permanent procesul de testare sau participarea la spaţiul de testare dacă nu este posibilă o atenuare eficace şi informează Oficiul pentru IA cu privire la o astfel de decizie. Autorităţile naţionale competente îşi exercită competenţele de supraveghere în limitele dreptului relevant, utilizându-şi competenţele discreţionare atunci când pun în aplicare dispoziţii juridice pentru un anumit proiect de spaţiu de testare în materie de reglementare în domeniul IA, cu obiectivul de a sprijini inovarea în domeniul IA în Uniune.
(12)Furnizorii şi potenţialii furnizori care participă la spaţiul de testare în materie de reglementare în domeniul IA rămân responsabili, în temeiul dreptului aplicabil al Uniunii şi al dreptului naţional aplicabil în materie de răspundere, pentru orice prejudiciu adus terţilor ca urmare a experimentării care are loc în spaţiul de testare. Cu toate acestea, cu condiţia ca potenţialii furnizori să respecte planul specific şi termenele şi condiţiile pentru participarea lor şi să urmeze cu bună-credinţă orientările oferite de autoritatea naţională competentă, autorităţile nu impun amenzi administrative pentru încălcarea prezentului regulament. În cazurile în care în supravegherea sistemului de IA în spaţiul de testare au mai fost implicate activ şi alte autorităţi competente, responsabile de alte dispoziţii ale dreptului Uniunii şi ale dreptului intern, care au furnizat orientări pentru conformitate, nu se impun amenzi administrative în ceea ce priveşte actele legislative respective.
(13)Spaţiile de testare în materie de reglementare în domeniul IA sunt concepute şi puse în aplicare astfel încât, după caz, să faciliteze cooperarea transfrontalieră între autorităţile naţionale competente.
(14)Autorităţile naţionale competente îşi coordonează activităţile şi cooperează în cadrul Consiliului IA.
(15)Autorităţile naţionale competente informează Oficiul pentru IA şi Consiliul IA cu privire la instituirea unui spaţiu de testare şi le pot solicita sprijin şi orientări. Oficiul pentru IA pune la dispoziţia publicului o listă a spaţiilor de testare planificate şi existente şi o actualizează pentru a încuraja o mai mare interacţiune în spaţiile de testare în materie de reglementare în domeniul IA, precum şi cooperarea transfrontalieră.
(16)Autorităţile naţionale competente prezintă rapoarte anuale Oficiului pentru IA şi Consiliului IA, începând cu un an de la instituirea spaţiului de testare în materie de reglementare în domeniul IA şi, ulterior, în fiecare an, până la încetarea acestuia, precum şi un raport final. Rapoartele respective furnizează informaţii cu privire la progresele şi rezultatele punerii în aplicare a spaţiilor de testare respective, inclusiv cu privire la bune practici, incidente, lecţii învăţate şi recomandări privind instituirea acestora şi, după caz, cu privire la aplicarea şi posibila revizuire a prezentului regulament, inclusiv a actelor sale delegate şi de punere în aplicare, precum şi cu privire la aplicarea altor dispoziţii de drept ale Uniunii sub supravegherea autorităţilor competente în spaţiul de testare. Autorităţile naţionale competente pun la dispoziţia publicului, online, rapoartele anuale respective sau rezumate ale acestora. Comisia ţine seama, după caz, de rapoartele anuale atunci când îşi exercită atribuţiile în temeiul prezentului regulament.
(17)Comisia dezvoltă o interfaţă unică şi specifică în cadrul căreia sunt reunite toate informaţiile relevante legate de spaţiile de testare în materie de reglementare în domeniul IA pentru a permite părţilor interesate să interacţioneze cu spaţiile de testare în materie de reglementare în domeniul IA, să adreseze întrebări autorităţilor competente şi să solicite orientări fără caracter obligatoriu cu privire la conformitatea produselor, a serviciilor şi a modelelor de afaceri inovatoare care încorporează tehnologii de IA, în conformitate cu articolul 62 alineatul (1) litera (c). Comisia se coordonează în mod proactiv cu autorităţile naţionale competente, după caz.
Art. 58: Modalităţi detaliate privind spaţiile de testare în materie de reglementare a IA şi funcţionarea acestora
(1)Pentru a evita fragmentarea în cadrul Uniunii, Comisia adoptă acte de punere în aplicare care precizează modalităţile detaliate de instituire, dezvoltare, punere în aplicare, exploatare şi supraveghere a spaţiilor de testare în materie de reglementare în domeniul IA. Actele de punere în aplicare includ principii comune cu privire la următoarele aspecte:
a)criteriile de eligibilitate şi de selecţie pentru participarea la spaţiul de testare în materie de reglementare în domeniul IA;
b)procedurile de depunere a cererii, de participare, de monitorizare, de ieşire şi de încetare în ceea ce priveşte spaţiul de testare în materie de reglementare în domeniul IA, inclusiv planul privind spaţiul de testare şi raportul de ieşire;
c)termenele şi condiţiile aplicabile participanţilor.
Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
(2)Actele de punere în aplicare menţionate la alineatul (1) garantează că:
a)spaţiile de testare în materie de reglementare în domeniul IA sunt deschise oricărui furnizor sau potenţial furnizor al unui sistem de IA care solicită accesul şi care îndeplineşte criteriile de eligibilitate şi de selecţie, care sunt transparente şi echitabile, şi că autorităţile naţionale competente informează solicitanţii cu privire la decizia lor în termen de trei luni de la depunerea cererii;
b)spaţiile de testare în materie de reglementare în domeniul IA permit un acces larg şi egal şi ţin pasul cu nivelul cererii în ceea ce priveşte participarea; furnizorii şi potenţialii furnizori pot, de asemenea, depune cereri în parteneriat cu implementatorii şi alte părţi terţe relevante;
c)modalităţile şi condiţiile detaliate privind spaţiile de testare în materie de reglementare în domeniul IA sprijină, în cea mai mare măsură posibilă, flexibilitatea pentru ca autorităţile naţionale competente să instituie şi să exploateze spaţiile lor de testare în materie de reglementare în domeniul IA;
d)accesul la spaţiile de testare în materie de reglementare în domeniul IA este gratuit pentru IMM-uri, inclusiv întreprinderile nou-înfiinţate, fără a aduce atingere costurilor excepţionale pe care autorităţile naţionale competente le pot recupera în mod echitabil şi proporţional;
e)facilitează respectarea de către furnizori şi potenţialii furnizori, prin intermediul rezultatelor învăţării din spaţiile de testare în materie de reglementare în domeniul IA, a obligaţiilor de evaluare a conformităţii în temeiul prezentului regulament şi aplicarea voluntară de către aceştia a codurilor de conduită menţionate la articolul 95;
f)spaţiile de testare în materie de reglementare în domeniul IA facilitează implicarea altor actori relevanţi din ecosistemul IA, cum ar fi organismele notificate şi organizaţiile de standardizare, IMM-urile, inclusiv întreprinderile nou-înfiinţate, întreprinderile, inovatorii, instalaţiile de testare şi experimentare, laboratoarele de cercetare şi experimentare şi centrele europene de inovare digitală, centrele de excelenţă, cercetătorii individuali, pentru a permite şi a facilita cooperarea cu sectorul public şi cu sectorul privat;
g)procedurile, procesele şi cerinţele administrative pentru depunerea cererilor, selecţie, participare şi ieşirea din spaţiul de testare în materie de reglementare în domeniul IA sunt simple, uşor de înţeles şi comunicate în mod clar pentru a facilita participarea IMM-urilor, inclusiv a întreprinderilor nou-înfiinţate, cu capacităţi juridice şi administrative limitate şi sunt raţionalizate în întreaga Uniune, pentru a evita fragmentarea şi astfel încât participarea la un spaţiu de testare în materie de reglementare în domeniul IA instituit de un stat membru sau de Autoritatea Europeană pentru Protecţia Datelor să fie recunoscută reciproc şi uniform şi să producă aceleaşi efecte juridice în întreaga Uniune;
h)participarea la spaţiul de testare în materie de reglementare în domeniul IA este limitată la o perioadă adecvată complexităţii şi amplorii proiectului, şi că poate fi prelungită de autoritatea naţională competentă;
i)spaţiile de testare în materie de reglementare în domeniul IA facilitează dezvoltarea de instrumente şi de infrastructură pentru testarea, etalonarea, evaluarea şi explicarea dimensiunilor sistemelor de IA relevante pentru învăţarea în materie de reglementare, cum ar fi acurateţea, robusteţea şi securitatea cibernetică, precum şi de măsuri vizând reducerea riscurilor pentru drepturile fundamentale şi pentru societate în general.
(3)Potenţialii furnizori din spaţiile de testare în materie de reglementare în domeniul IA, în special IMM-urile şi întreprinderile nou-înfiinţate, sunt direcţionaţi, după caz, către servicii de preimplementare, cum ar fi orientări privind punerea în aplicare a prezentului regulament, către alte servicii cu valoare adăugată, cum ar fi ajutorul acordat în privinţa documentelor de standardizare şi a certificării, instalaţiile de testare şi experimentare, centrele europene de inovare digitală şi centrele de excelenţă.
(4)Atunci când autorităţile naţionale competente iau în considerare autorizarea testării în condiţii reale supravegheate în cadrul unui spaţiu de testare în materie de reglementare în domeniul IA care urmează a fi instituit în temeiul prezentului articol, acestea convin în mod specific cu participanţii asupra clauzelor şi condiţiilor unei astfel de testări şi, în special, asupra garanţiilor adecvate în vederea protejării drepturilor fundamentale, a sănătăţii şi a siguranţei. După caz, acestea cooperează cu alte autorităţi naţionale competente în vederea asigurării unor practici coerente în întreaga Uniune.
Art. 59: Prelucrarea ulterioară a datelor cu caracter personal în vederea dezvoltării anumitor sisteme de IA în interes public în spaţiul de testare în materie de reglementare în domeniul IA
(1)În spaţiul de testare în materie de reglementare în domeniul IA, datele cu caracter personal colectate în mod legal în alte scopuri pot fi prelucrate numai în scopul dezvoltării, antrenării şi testării anumitor sisteme de IA în spaţiul de testare, dacă sunt îndeplinite toate condiţiile următoare:
a)sistemele de IA sunt dezvoltate pentru protejarea unui interes public substanţial de către o autoritate publică sau de către o altă persoană fizică sau juridică şi în unul sau mai multe dintre următoarele domenii:
(i)siguranţa şi sănătatea publică, inclusiv depistarea, diagnosticarea, prevenirea, controlul şi tratarea bolilor şi îmbunătăţirea sistemelor de sănătate;
(ii)un nivel ridicat de protejare şi de îmbunătăţire a calităţii mediului, protejarea biodiversităţii, protecţia împotriva poluării, măsuri privind tranziţia verde, măsuri privind atenuarea schimbărilor climatice şi adaptarea la acestea;
(iii)durabilitatea energetică;
(iv)siguranţa şi rezilienţa sistemelor de transport şi a mobilităţii, a infrastructurii critice şi a reţelelor;
(v)eficienţa şi calitatea administraţiei publice şi a serviciilor publice;
b)datele prelucrate sunt necesare pentru a respecta una sau mai multe dintre cerinţele menţionate în capitolul III secţiunea 2, în cazul în care cerinţele respective nu pot fi îndeplinite în mod eficace prin prelucrarea datelor anonimizate ori sintetice sau a altor date fără caracter personal;
c)există mecanisme eficace de monitorizare pentru a constata dacă în timpul experimentării în spaţiul de testare pot apărea riscuri ridicate la adresa drepturilor şi libertăţilor persoanelor vizate, astfel cum se menţionează la articolul 35 din Regulamentul (UE) 2016/679 şi la articolul 39 din Regulamentul (UE) 2018/1725, precum şi mecanisme de răspuns pentru a atenua cu promptitudine aceste riscuri şi, dacă este necesar, pentru a opri prelucrarea;
d)toate datele cu caracter personal care urmează să fie prelucrate în contextul spaţiului de testare se află într-un mediu de prelucrare a datelor separat din punct de vedere funcţional, izolat şi protejat, aflat sub controlul potenţialului furnizor şi numai persoanele autorizate au acces la datele respective;
e)furnizorii pot partaja ulterior datele colectate iniţial numai în conformitate cu dreptul Uniunii în materie de protecţie a datelor; datele cu caracter personal create în spaţiul de testare nu pot fi partajate în afara spaţiului de testare;
f)nicio prelucrare a datelor cu caracter personal în contextul spaţiului de testare nu conduce la măsuri sau la decizii care afectează persoanele vizate şi nici nu afectează aplicarea drepturilor acestora prevăzute în dreptul Uniunii privind protecţia datelor cu caracter personal;
g)toate datele cu caracter personal prelucrate în contextul spaţiului de testare sunt protejate prin măsuri tehnice şi organizatorice adecvate şi sunt şterse după ce participarea la spaţiul respectiv a încetat sau datele cu caracter personal au ajuns la sfârşitul perioadei de păstrare;
h)fişierele de jurnalizare a prelucrării datelor cu caracter personal în contextul spaţiului de testare sunt păstrate pe durata participării la spaţiul de testare, în afara cazului în care există dispoziţii diferite în dreptul Uniunii sau în dreptul intern;
i)descrierea completă şi detaliată a procesului şi a motivelor care stau la baza antrenării, testării şi validării sistemului de IA este păstrată împreună cu rezultatele testelor, ca parte a documentaţiei tehnice menţionate în anexa IV;
j)pe site-ul web al autorităţilor competente sunt publicate un scurt rezumat al proiectului în materie de IA elaborat în spaţiul de testare, precum şi obiectivele şi rezultatele preconizate ale acestuia; această obligaţie nu vizează datele operaţionale sensibile legate de activităţile autorităţilor de aplicare a legii, de control la frontiere, de imigraţie sau de azil.
(2)În scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor sau al executării sancţiunilor penale, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora, sub controlul şi responsabilitatea autorităţilor de aplicare a legii, prelucrarea datelor cu caracter personal în spaţiile de testare în materie de reglementare în domeniul IA se bazează pe dispoziţii specifice ale dreptului Uniunii sau ale dreptului intern şi face obiectul aceloraşi condiţii cumulative ca cele menţionate la alineatul (1).
(3)Alineatul (1) nu aduce atingere dreptului Uniunii sau dreptului intern care exclude prelucrarea datelor cu caracter personal în alte scopuri decât cele menţionate în mod explicit în dreptul respectiv, precum şi dreptului Uniunii sau dreptului intern care stabileşte temeiul pentru prelucrarea datelor cu caracter personal care este necesară în scopul dezvoltării, testării sau antrenării sistemelor de IA inovatoare sau orice alt temei juridic, în conformitate cu dreptul Uniunii privind protecţia datelor cu caracter personal.
Art. 60: Testarea sistemelor de IA cu grad ridicat de risc în condiţii reale în afara spaţiilor de testare în materie de reglementare în domeniul IA
(1)Testarea sistemelor de IA cu grad ridicat de risc în condiţii reale în afara spaţiilor de testare în materie de reglementare în domeniul IA poate fi efectuată de către furnizorii sau potenţialii furnizori de sisteme de IA cu grad ridicat de risc enumeraţi în anexa III, în conformitate cu prezentul articol şi cu planul de testare în condiţii reale menţionat în cadrul acestuia, fără a aduce atingere interdicţiilor prevăzute la articolul 5.
Comisia precizează, prin intermediul unor acte de punere în aplicare, elementele detaliate ale planului de testare în condiţii reale. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
Prezentul alineat nu aduce atingere dreptului Uniunii sau dreptului intern privind testarea în condiţii reale a sistemelor de IA cu grad ridicat de risc legate de produsele care fac obiectul actelor legislative enumerate în anexa I.
(2)Furnizorii sau potenţialii furnizori pot efectua teste ale sistemelor de IA cu grad ridicat de risc menţionate în anexa III în condiţii reale în orice moment înainte de introducerea pe piaţă sau de punerea în funcţiune a sistemelor de IA pe cont propriu sau în parteneriat cu unul sau mai mulţi implementatori sau implementatori potenţiali.
(3)Testarea sistemelor de IA cu grad ridicat de risc în condiţii reale în temeiul prezentului articol nu aduce atingere oricărei evaluări etice care este impusă de dreptul Uniunii sau de dreptul intern.
(4)Furnizorii sau potenţialii furnizori pot efectua testarea în condiţii reale numai dacă sunt îndeplinite toate condiţiile următoare:
a)furnizorul sau potenţialul furnizor a elaborat un plan de testare în condiţii reale şi l-a prezentat autorităţii de supraveghere a pieţei din statul membru în care urmează să se efectueze testarea în condiţii reale;
b)autoritatea de supraveghere a pieţei din statul membru în care urmează să fie efectuată testarea în condiţii reale a aprobat testarea în condiţii reale şi planul de testare în condiţii reale; în cazul în care autoritatea de supraveghere a pieţei nu a furnizat un răspuns în termen de 30 de zile, se consideră că testarea în condiţii reale şi planul de testare în condiţii reale au fost aprobate; în cazul în care dreptul intern nu prevede o aprobare tacită, testarea în condiţii reale face în continuare obiectul unei autorizaţii;
c)furnizorul sau potenţialul furnizor, cu excepţia furnizorului sau a potenţialului furnizor de sisteme de IA cu grad ridicat de risc menţionate la punctele 1, 6 şi 7 din anexa III în domeniul aplicării legii, al migraţiei, al azilului şi al gestionării controlului la frontiere şi de sisteme de IA cu grad ridicat de risc menţionate la punctul 2 din anexa III, a înregistrat testarea în condiţii reale în conformitate cu articolul 71 alineatul (4) cu un număr unic de identificare la nivelul întregii Uniuni şi furnizând informaţiile specificate în anexa IX; furnizorul sau potenţialul furnizor de sisteme de IA cu grad ridicat de risc menţionate la punctele 1, 6 şi 7 din anexa III în domeniul aplicării legii, al migraţiei, al azilului şi al gestionării controlului la frontiere a înregistrat testarea în condiţii reale în secţiunea securizată care nu este accesibilă publicului a bazei de date a UE în conformitate cu articolul 49 alineatul (4) litera (d), cu un număr unic de identificare la nivelul întregii Uniuni şi furnizând informaţiile specificate în acesta; furnizorul sau potenţialul furnizor de sisteme de IA cu grad ridicat de risc menţionate la punctul 2 din anexa III a înregistrat testarea în condiţii reale în conformitate cu articolul 49 alineatul (5);
d)furnizorul sau potenţialul furnizor care efectuează testarea în condiţii reale este stabilit în Uniune sau a desemnat un reprezentant legal care este stabilit în Uniune;
e)datele colectate şi prelucrate în scopul testării în condiţii reale se transferă către ţări terţe numai cu condiţia implementării unor garanţii corespunzătoare şi aplicabile în temeiul dreptului Uniunii;
f)testarea în condiţii reale nu durează mai mult decât este necesar pentru realizarea obiectivelor sale şi, în orice caz, nu depăşeşte o perioadă de 6 luni, care poate fi prelungită cu încă 6 luni, sub rezerva notificării prealabile de către furnizor sau potenţialul furnizor a autorităţii de supraveghere a pieţei, însoţită de o explicaţie privind necesitatea unei astfel de prelungiri;
g)subiecţii testării în condiţii reale, care sunt persoane care aparţin grupurilor vulnerabile din cauza vârstei sau a dizabilităţii, sunt protejaţi în mod corespunzător;
h)în cazul în care un furnizor sau un potenţial furnizor organizează testarea în condiţii reale în cooperare cu unul sau mai mulţi implementatori sau implementatori potenţiali, aceştia din urmă au fost informaţi cu privire la toate aspectele testării care sunt relevante pentru decizia lor de a participa şi au primit instrucţiunile relevante pentru utilizarea sistemului de IA menţionate la articolul 13; furnizorul sau potenţialul furnizor şi implementatorul sau potenţialul implementator încheie un acord în care precizează rolurile şi responsabilităţile lor, în vederea asigurării conformităţii cu dispoziţiile privind testarea în condiţii reale în temeiul prezentului regulament şi al altor acte legislative aplicabile ale Uniunii, precum şi al dreptului intern;
i)subiecţii testării în condiţii reale şi-au dat consimţământul în cunoştinţă de cauză în conformitate cu articolul 61 sau, în cazul aplicării legii, în cazul în care solicitarea consimţământului în cunoştinţă de cauză ar împiedica testarea sistemului de IA, testarea în sine şi rezultatul testării în condiţii reale nu au niciun efect negativ asupra subiecţilor, iar datele cu caracter personal ale acestora se şterg după efectuarea testării;
j)testarea în condiţii reale este supravegheată efectiv de furnizor sau de potenţialul furnizor, precum şi de implementatori sau de potenţialii implementatori prin intermediul unor persoane care sunt calificate corespunzător în domeniul relevant şi care au capacitatea, formarea şi autoritatea necesare pentru a-şi îndeplini sarcinile;
k)previziunile, recomandările sau deciziile sistemului de IA pot fi efectiv inversate şi ignorate.
(5)Orice subiecţi ai testării în condiţii reale sau reprezentanţii lor desemnaţi legal, după caz, se pot retrage din testare în orice moment, fără vreun prejudiciu şi fără a trebui să prezinte vreo justificare, prin revocarea consimţământului lor în cunoştinţă de cauză şi pot solicita ştergerea imediată şi permanentă a datelor lor cu caracter personal. Retragerea consimţământului în cunoştinţă de cauză nu afectează activităţile deja desfăşurate.
(6)În conformitate cu articolul 75, statele membre conferă autorităţilor lor de supraveghere a pieţei competenţa de a solicita informaţii furnizorilor şi potenţialilor furnizori, de a efectua inspecţii neanunţate la distanţă sau la faţa locului şi de a efectua verificări privind efectuarea testării în condiţii reale şi a sistemelor de IA cu grad ridicat de risc conexe. Autorităţile de supraveghere a pieţei fac uz de aceste competenţe pentru a asigura o dezvoltare în condiţii de siguranţă a testării în condiţii reale.
(7)Orice incident grav identificat în cursul testării în condiţii reale se raportează autorităţii naţionale de supraveghere a pieţei în conformitate cu articolul 73. Furnizorul sau potenţialul furnizor adoptă măsuri imediate de atenuare sau, în caz contrar, suspendă testarea în condiţii reale până când are loc o astfel de atenuare sau îi pune capăt în alt mod. Furnizorul sau potenţialul furnizor instituie o procedură pentru rechemarea promptă a sistemului de IA în cazul unei astfel de încetări a testării în condiţii reale.
(8)Furnizorii sau potenţialii furnizori informează autoritatea naţională de supraveghere a pieţei din statul membru în care se efectuează testarea în condiţii reale cu privire la suspendarea sau încetarea testării în condiţii reale şi cu privire la rezultatele finale.
(9)Furnizorul sau potenţialul furnizor este responsabil, în temeiul dreptului aplicabil al Uniunii şi al dreptului intern în materie de răspundere, pentru orice prejudiciu cauzat în cursul testării în condiţii reale pe care o efectuează.
Art. 61: Consimţământul în cunoştinţă de cauză la participarea la testarea în condiţii reale în afara spaţiilor de testare în materie de reglementare în domeniul IA
(1)În scopul testării în condiţii reale în conformitate cu articolul 60, consimţământul în cunoştinţă de cauză acordat în mod liber se obţine de la subiecţii testării înainte de participarea lor la o astfel de testare şi după ce au fost informaţi în mod corespunzător cu informaţii concise, clare, relevante şi inteligibile cu privire la:
a)natura şi obiectivele testării în condiţii reale şi posibilele inconveniente care ar putea fi legate de participarea lor;
b)condiţiile în care se desfăşoară testarea în condiţii reale, inclusiv durata preconizată a participării subiectului sau a subiecţilor;
c)drepturile lor şi garanţiile cu privire la participarea lor, în special dreptul lor de a refuza să participe la testarea în condiţii reale şi dreptul de a se retrage din aceasta în orice moment, fără angajarea vreunui prejudiciu şi fără a fi nevoiţi să prezinte vreo justificare;
d)modalităţile de solicitare a inversării sau a ignorării previziunilor, recomandărilor sau deciziilor sistemului de IA;
e)numărul unic de identificare la nivelul întregii Uniuni al testării în condiţii reale în conformitate cu articolul 60 alineatul (4) litera (c) şi datele de contact ale furnizorului sau ale reprezentantului său legal de la care se pot obţine informaţii suplimentare.
(2)Consimţământul în cunoştinţă de cauză se datează şi se documentează, iar o copie se înmânează subiecţilor testării sau reprezentanţilor lor legali.
Art. 62: Măsuri pentru furnizori şi implementatori, în special IMM-uri, inclusiv întreprinderi nou-înfiinţate
(1)Statele membre întreprind următoarele acţiuni:
a)oferă IMM-urilor, inclusiv întreprinderilor nou-înfiinţate, care au un sediu social sau o sucursală în Uniune, acces prioritar la spaţiile de testare în materie de reglementare în domeniul IA, în măsura în care îndeplinesc condiţiile de eligibilitate şi criteriile de selecţie; accesul prioritar nu împiedică accesul altor IMM-uri, inclusiv întreprinderi nou-înfiinţate, altele decât cele menţionate la prezentul alineat, la spaţiile de testare în materie de reglementare în domeniul IA, cu condiţia ca acestea să îndeplinească de asemenea condiţiile de eligibilitate şi criteriile de selecţie;
b)organizează activităţi specifice de sensibilizare şi formare cu privire la aplicarea prezentului regulament, adaptate la nevoile IMM-urilor, inclusiv ale întreprinderilor nou-înfiinţate, ale implementatorilor şi, după caz, ale autorităţilor publice locale;
c)utilizează canalele specifice existente şi, după caz, stabilesc altele noi pentru comunicarea cu IMM-urile, inclusiv cu întreprinderile nou-înfiinţate, cu implementatorii, cu alţi inovatori şi, după caz, cu autorităţile publice locale, pentru a oferi consiliere şi a răspunde la întrebări cu privire la aplicarea prezentului regulament, inclusiv în ceea ce priveşte participarea la spaţiile de testare în materie de reglementare în domeniul IA;
d)facilitează participarea IMM-urilor şi a altor părţi interesate relevante la procesul de dezvoltare a standardizării.
(2)Interesele şi nevoile specifice ale IMM-urilor furnizoare, inclusiv ale întreprinderilor nou-înfiinţate, sunt luate în considerare la stabilirea taxelor pentru evaluarea conformităţii în temeiul articolului 43, taxele respective fiind reduse proporţional cu dimensiunile acestora, cu dimensiunea pieţei şi cu alţi indicatori relevanţi.
(3)Oficiul pentru IA întreprinde următoarele acţiuni:
a)furnizează modele standardizate pentru domeniile vizate de prezentul regulament, astfel cum specifică Consiliul IA în cererea sa;
b)dezvoltă şi menţine o platformă unică de informare care să ofere informaţii uşor de utilizat în legătură cu prezentul regulament pentru toţi operatorii din întreaga Uniune;
c)organizează campanii de comunicare adecvate pentru a sensibiliza publicul cu privire la obligaţiile care decurg din prezentul regulament;
d)evaluează şi promovează convergenţa bunelor practici în procedurile de achiziţii publice în ceea ce priveşte sistemele de IA.
Art. 63: Derogări pentru operatori specifici
(1)Microîntreprinderile în sensul Recomandării 2003/361/CE pot respecta anumite elemente ale sistemului de management al calităţii prevăzut la articolul 17 din prezentul regulament într-un mod simplificat, cu condiţia să nu aibă întreprinderi partenere sau întreprinderi afiliate în sensul recomandării respective. În acest scop, Comisia elaborează orientări privind elementele sistemului de management al calităţii care pot fi respectate într-un mod simplificat, având în vedere nevoile microîntreprinderilor, fără a afecta nivelul de protecţie sau necesitatea respectării cerinţelor în ceea ce priveşte sistemele de IA cu grad ridicat de risc.
(2)Alineatul (1) de la prezentul articol nu se interpretează ca o exceptare a operatorilor respectivi de la îndeplinirea oricăror alte cerinţe sau obligaţii prevăzute în prezentul regulament, inclusiv cele stabilite la articolele 9, 10, 11, 12, 13, 14, 15, 72 şi 73.
Art. 64: Oficiul pentru IA
(1)Comisia dezvoltă cunoştinţele de specialitate şi capabilităţile Uniunii în domeniul IA prin intermediul Oficiului pentru IA.
(2)Statele membre facilitează sarcinile încredinţate Oficiului pentru IA, astfel cum sunt reflectate în prezentul regulament.
Art. 65: Instituirea şi structura Consiliului european pentru inteligenţa artificială
(1)Se instituie un Consiliu european pentru inteligenţa artificială (denumit în continuare "Consiliul IA").
(2)Consiliul IA este alcătuit dintr-un reprezentant pentru fiecare stat membru. Autoritatea Europeană pentru Protecţia Datelor participă ca observator. Oficiul pentru IA participă, de asemenea, la reuniunile Consiliului IA fără a lua parte la vot. De la caz la caz, Consiliul IA poate invita la reuniuni şi alte autorităţi, organisme sau experţi de la nivel naţional şi de la nivelul Uniunii, în cazul în care chestiunile discutate prezintă relevanţă pentru acestea.
(3)Fiecare reprezentant este desemnat de statul său membru pentru o perioadă de trei ani, care poate fi reînnoită o singură dată.
(4)Statele membre se asigură că reprezentanţii lor în Consiliul IA:
a)deţin competenţele şi prerogativele relevante în statul lor membru, astfel încât să contribuie în mod activ la îndeplinirea sarcinilor Consiliului IA menţionate la articolul 66;
b)sunt desemnaţi ca punct unic de contact pentru Consiliul IA şi, după caz, ţinând seama de nevoile statelor membre, ca punct unic de contact pentru părţile interesate;
c)sunt împuterniciţi să faciliteze coerenţa şi coordonarea între autorităţile naţionale competente din statul lor membru în ceea ce priveşte punerea în aplicare a prezentului regulament, inclusiv prin colectarea de date şi informaţii relevante în scopul îndeplinirii sarcinilor care le revin în cadrul Consiliului IA.
(5)Reprezentanţii desemnaţi ai statelor membre adoptă regulamentul de procedură al Consiliului IA cu o majoritate de două treimi. Regulamentul de procedură stabileşte, în special, procedurile pentru procesul de selecţie, durata mandatului şi specificaţiile sarcinilor preşedintelui, modalităţile detaliate pentru votare şi organizarea activităţilor Consiliului IA şi a celor ale subgrupurilor acestuia.
(6)Consiliul IA instituie două subgrupuri permanente pentru a oferi o platformă de cooperare şi de schimb între autorităţile de supraveghere a pieţei şi autorităţile de notificare cu privire la aspecte legate de supravegherea pieţei şi, respectiv, de organismele notificate.
Subgrupul permanent pentru supravegherea pieţei ar trebui să acţioneze în calitate de grup de cooperare administrativă (ADCO) pentru prezentul regulament în sensul articolului 30 din Regulamentul (UE) 2019/1020.
Consiliul IA poate înfiinţa alte subgrupuri permanente sau temporare, după caz, în scopul examinării unor chestiuni specifice. După caz, reprezentanţii Forumului consultativ menţionat la articolul 67 pot fi invitaţi la astfel de subgrupuri sau la reuniuni specifice ale subgrupurilor respective în calitate de observatori.
(7)Consiliul IA este organizat şi funcţionează astfel încât să garanteze obiectivitatea şi imparţialitatea activităţilor sale.
(8)Consiliul IA este prezidat de către unul dintre reprezentanţii statelor membre. Oficiul pentru IA asigură secretariatul pentru Consiliul IA, convoacă reuniunile la cererea preşedintelui şi pregăteşte ordinea de zi în conformitate cu sarcinile care îi revin Consiliului IA în temeiul prezentului regulament şi al regulamentului său de procedură.
Art. 66: Sarcinile Consiliului IA
Consiliul IA oferă consiliere şi asistenţă Comisiei şi statelor membre pentru a facilita aplicarea coerentă şi eficace a prezentului regulament. În acest scop, Consiliul IA poate, în special:
(a)să contribuie la coordonarea între autorităţile naţionale competente responsabile cu aplicarea prezentului regulament şi, în cooperare cu autorităţile de supraveghere a pieţei în cauză şi sub rezerva acordului acestora, să sprijine activităţile comune ale autorităţilor de supraveghere a pieţei menţionate la articolul 74 alineatul (11);
(b)să colecteze şi să disemineze în rândul statelor membre cunoştinţe de specialitate tehnice şi în materie de reglementare şi de bune practici;
(c)să ofere consiliere privind punerea în aplicare a prezentului regulament, în special în ceea ce priveşte aplicarea normelor privind modelele de IA de uz general;
(d)să contribuie la armonizarea practicilor administrative din statele membre, inclusiv în ceea ce priveşte derogarea de la procedurile de evaluare a conformităţii menţionate la articolul 46, funcţionarea spaţiilor de testare în materie de reglementare în domeniul IA şi testarea în condiţii reale menţionate la articolele 57, 59 şi 60;
(e)la cererea Comisiei sau din proprie iniţiativă, să emită recomandări şi avize scrise cu privire la orice aspecte relevante legate de punerea în aplicare a prezentului regulament şi de aplicarea coerentă şi efectivă a acestuia, inclusiv:
(i)elaborarea şi aplicarea codurilor de conduită şi a codurilor de bune practici în temeiul prezentului regulament, precum şi al orientărilor Comisiei;
(ii)evaluarea şi revizuirea prezentului regulament în temeiul articolului 112, inclusiv în ceea ce priveşte rapoartele privind incidentele grave menţionate la articolul 73 şi funcţionarea bazei de date a UE menţionate la articolul 71, pregătirea actelor delegate sau de punere în aplicare şi în ceea ce priveşte posibilele alinieri ale prezentului regulament la legislaţia de armonizare a Uniunii enumerată în anexa I;
(iii)specificaţiile tehnice sau standardele existente referitoare la cerinţele prevăzute în capitolul III secţiunea 2;
(iv)utilizarea standardelor armonizate sau a specificaţiilor comune menţionate la articolele 40 şi 41;
(v)tendinţele în aspecte precum competitivitatea europeană la nivel mondial în domeniul IA, adoptarea IA în Uniune şi dezvoltarea competenţelor digitale;
(vi)tendinţele în ceea ce priveşte tipologia în continuă evoluţie a lanţurilor valorice ale IA, în special referitor la implicaţiile rezultate în ceea ce priveşte responsabilitatea;
(vii)eventuala necesitate de modificare a anexei III în conformitate cu articolul 7 şi privind eventuala necesitate de a revizui articolul 5 în temeiul articolului 112, ţinând seama de dovezile relevante disponibile şi de cele mai recente evoluţii tehnologice;
(f)să sprijine Comisia în promovarea alfabetizării în domeniul IA, a acţiunilor de sensibilizare şi de înţelegere în rândul publicului a beneficiilor, riscurilor, garanţiilor şi drepturilor şi obligaţiilor legate de utilizarea sistemelor de IA;
(g)să faciliteze elaborarea unor criterii comune şi a unei înţelegeri comune între operatorii de pe piaţă şi autorităţile competente a conceptelor relevante prevăzute în prezentul regulament, inclusiv prin contribuirea la elaborarea de criterii de referinţă;
(h)să coopereze, după caz, cu alte instituţii, organe, oficii şi agenţii relevante ale Uniunii, precum şi cu grupuri de experţi şi reţelele relevante ale Uniunii, în special în domeniul siguranţei produselor, al securităţii cibernetice, al concurenţei, al serviciilor digitale şi media, al serviciilor financiare, al protecţiei consumatorilor, al protecţiei datelor şi a drepturilor fundamentale;
(i)să contribuie la cooperarea eficace cu autorităţile competente din ţările terţe şi cu organizaţiile internaţionale;
(j)să sprijine autorităţile naţionale competente şi Comisia în dezvoltarea cunoştinţelor de specialitate organizaţionale şi tehnice necesare pentru punerea în aplicare a prezentului regulament, inclusiv prin contribuirea la evaluarea nevoilor de formare pentru personalul statelor membre implicat în punerea în aplicare a prezentului regulament;
(k)să sprijine Oficiul pentru IA în acordarea de asistenţă autorităţilor naţionale competente pentru crearea şi dezvoltarea de spaţii de testare în materie de reglementare în domeniul IA şi să faciliteze cooperarea şi schimbul de informaţii între spaţiile de testare în materie de reglementare în domeniul IA;
(l)să contribuie la elaborarea documentelor de orientare şi să ofere consiliere relevantă cu privire la aceasta;
(m)să consilieze Comisia în legătură cu chestiuni internaţionale privind IA;
(n)să furnizeze Comisiei avize cu privire la alertele calificate referitoare la modelele de IA de uz general;
(o)să primească opinii din partea statelor membre cu privire la alertele calificate referitoare la modelele de IA de uz general şi la experienţele şi practicile naţionale privind monitorizarea sistemelor de IA şi aplicarea normelor referitoare la acestea, îndeosebi sistemele care integrează modelele de IA de uz general.
Art. 67: Forumul consultativ
(1)Se instituie un forum consultativ pentru a furniza cunoştinţe de specialitate tehnice Consiliului IA şi Comisiei şi pentru a le consilia, precum şi pentru a contribui la sarcinile care le revin în temeiul prezentului regulament.
(2)Componenţa Forumului consultativ reprezintă o selecţie echilibrată a părţilor interesate, inclusiv a sectorului, a întreprinderilor nou-înfiinţate, a IMM-urilor, a societăţii civile şi a mediului academic. Componenţa Forumului consultativ este echilibrată între interesele comerciale şi necomerciale şi, în cadrul categoriei intereselor comerciale, în ceea ce priveşte IMM-urile şi alte întreprinderi.
(3)Comisia numeşte membrii Forumului consultativ, în conformitate cu criteriile stabilite la alineatul (2), din rândul părţilor interesate cu cunoştinţe de specialitate recunoscute în domeniul IA.
(4)Mandatul membrilor Forumului consultativ este de doi ani şi poate fi prelungit cu cel mult patru ani.
(5)Agenţia pentru Drepturi Fundamentale a Uniunii Europene, ENISA, Comitetul European de Standardizare (CEN), Comitetul European de Standardizare în Electrotehnică (Cenelec) şi Institutul European de Standardizare în Telecomunicaţii (ETSI) sunt membri permanenţi ai Forumului consultativ.
(6)Forumul consultativ îşi stabileşte regulamentul de procedură. Acesta alege doi copreşedinţi dintre membrii săi, în conformitate cu criteriile stabilite la alineatul (2). Mandatul copreşedinţilor este de doi ani, reînnoibil o singură dată.
(7)Forumul consultativ organizează reuniuni de cel puţin două ori pe an. Forumul consultativ poate invita experţi şi alte părţi interesate la reuniunile sale.
(8)Forumul consultativ poate elabora avize, recomandări şi contribuţii scrise la cererea Consiliului IA sau a Comisiei.
(9)Forumul consultativ poate institui subgrupuri permanente sau temporare, după caz, în scopul examinării unor chestiuni specifice legate de obiectivele prezentului regulament.
(10)Forumul consultativ întocmeşte un raport anual privind activităţile sale. Raportul respectiv este pus la dispoziţia publicului.
Art. 68: Grupul ştiinţific de experţi independenţi
(1)Comisia, prin intermediul unui act de punere în aplicare, adoptă dispoziţii privind instituirea unui grup ştiinţific de experţi independenţi (denumit în continuare "grupul ştiinţific") menit să sprijine activităţile de aplicare a legii în temeiul prezentului regulament. Actul de punere în aplicare respectiv se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
(2)Grupul ştiinţific este alcătuit din experţi independenţi selectaţi de Comisie pe baza cunoştinţelor de specialitate ştiinţifice sau tehnice la zi în domeniul IA, necesare pentru îndeplinirea sarcinilor prevăzute la alineatul (3), şi este în măsură să demonstreze îndeplinirea tuturor condiţiilor următoare:
a)să dispună de cunoştinţe de specialitate şi competenţe specifice şi cunoştinţe de specialitate ştiinţifice şi tehnice în domeniul IA;
b)să fie independent faţă de orice furnizor de sisteme de IA sau de modele de IA de uz general;
c)să aibă capacitatea de a desfăşura activităţi cu diligenţă, acurateţe şi obiectivitate.
Comisia, în consultare cu Consiliul IA, stabileşte numărul de experţi din grup în funcţie de necesităţi şi asigură o reprezentare geografică şi de gen echitabilă.
(3)Grupul ştiinţific consiliază şi sprijină Oficiul pentru IA, în special în ceea ce priveşte următoarele sarcini:
a)sprijinirea punerii în aplicare şi a respectării prezentului regulament, în ceea ce priveşte modelele şi sistemele de IA de uz general, îndeosebi prin:
(i)alertarea Oficiului pentru IA cu privire la posibile riscuri sistemice la nivelul Uniunii prezentate de modele de IA de uz general, în conformitate cu articolul 90;
(ii)contribuirea la dezvoltarea instrumentelor şi metodologiilor de evaluare a capabilităţilor modelelor şi sistemelor de IA de uz general, inclusiv prin valori de referinţă;
(iii)furnizarea de consiliere cu privire la clasificarea sistemelor de IA de uz general cu risc sistemic;
(iv)furnizarea de consiliere cu privire la clasificarea diverselor modele şi sisteme de IA de uz general;
(v)contribuirea la dezvoltarea de instrumente şi modele;
b)sprijinirea activităţii autorităţilor de supraveghere a pieţei, la cererea acestora;
c)sprijinirea activităţilor transfrontaliere în materie de supraveghere a pieţei menţionate la articolul 74 alineatul (11), fără a aduce atingere competenţelor autorităţilor de supraveghere a pieţei;
d)sprijinirea Oficiului pentru IA în îndeplinirea sarcinilor sale în contextul procedurii de salvgardare a Uniunii în temeiul articolului 81.
(4)Experţii din cadrul grupului ştiinţific îşi îndeplinesc sarcinile cu imparţialitate şi obiectivitate şi asigură confidenţialitatea informaţiilor şi a datelor obţinute în cursul îndeplinirii sarcinilor şi activităţilor lor. Aceştia nu solicită şi nici nu acceptă instrucţiuni de la nicio persoană atunci când îşi exercită atribuţiile în temeiul alineatului (3). Fiecare expert întocmeşte o declaraţie de interese, care este pusă la dispoziţia publicului. Oficiul pentru IA instituie sisteme şi proceduri pentru a gestiona în mod activ şi pentru a preveni potenţialele conflicte de interese.
(5)Actul de punere în aplicare menţionat la alineatul (1) include dispoziţii privind condiţiile, procedurile şi modalităţile detaliate pentru emiterea de alerte de către grupul ştiinţific şi membrii săi şi pentru solicitarea de către aceştia de asistenţă din partea Oficiului pentru IA în îndeplinirea sarcinilor grupului ştiinţific.
Art. 69: Accesul statelor membre la grupul de experţi
(1)Statele membre pot apela la experţi din cadrul grupului ştiinţific pentru sprijinirea activităţilor lor de aplicare a legii în temeiul prezentului regulament.
(2)Statele membre pot fi obligate să plătească taxe pentru consilierea şi sprijinul furnizate de experţi. Structura şi nivelul taxelor, precum şi amploarea şi structura costurilor recuperabile sunt stabilite în actul de punere în aplicare menţionat la articolul 68 alineatul (1), ţinând seama de obiectivele punerii în aplicare adecvate a prezentului regulament, de raportul cost-eficacitate şi de necesitatea de a asigura pentru toate statele membre accesul efectiv la experţi.
(3)Comisia facilitează accesul în timp util al statelor membre la experţi, după caz, şi se asigură că combinarea activităţilor de sprijin desfăşurate de structurile de sprijin pentru testarea IA ale Uniunii în temeiul articolului 84 şi de experţi în temeiul prezentului articol este organizată în mod eficient şi oferă cea mai bună valoare adăugată posibilă.
Art. 70: Desemnarea autorităţilor naţionale competente şi a punctelor unice de contact
(1)Fiecare stat membru stabileşte sau desemnează drept autorităţi naţionale competente cel puţin o autoritate de notificare şi cel puţin o autoritate de supraveghere a pieţei în sensul prezentului regulament. Respectivele autorităţi naţionale competente îşi exercită competenţele în mod independent, imparţial şi fără prejudecăţi, astfel încât să garanteze obiectivitatea activităţilor şi sarcinilor lor şi să asigure punerea în aplicare a prezentului regulament. Membrii acestor autorităţi se abţin de la orice act incompatibil cu atribuţiile lor. Cu condiţia ca aceste principii să fie respectate, astfel de activităţi şi sarcini pot fi efectuate de una sau mai multe autorităţi desemnate, în conformitate cu nevoile organizaţionale ale statului membru.
(2)Statele membre îi comunică Comisiei identitatea autorităţilor de notificare şi a autorităţilor de supraveghere a pieţei şi sarcinile acestor autorităţi, precum şi orice modificări ulterioare ale acestora. Până la 2 august 2025, statele membre pun la dispoziţia publicului informaţii cu privire la modul în care pot fi contactate autorităţile competente şi punctele unice de contact, prin mijloace de comunicare electronică. Statele membre desemnează o autoritate de supraveghere a pieţei care să acţioneze ca punct unic de contact pentru prezentul regulament şi îi notifică Comisiei identitatea punctului unic de contact. Comisia pune la dispoziţia publicului o listă a punctelor unice de contact.
(3)Statele membre se asigură că autorităţile lor naţionale competente dispun de resurse tehnice, financiare şi umane adecvate şi de infrastructură pentru a-şi îndeplini cu eficacitate sarcinile care le revin în temeiul prezentului regulament. În special, autorităţile naţionale competente dispun în permanenţă de un personal suficient ale cărui competenţe şi cunoştinţe de specialitate includ o înţelegere aprofundată a tehnologiilor din domeniul IA, a datelor şi a prelucrării de date, a protecţiei datelor cu caracter personal, a securităţii cibernetice, a drepturilor fundamentale, a riscurilor în materie de sănătate şi siguranţă, precum şi cunoaşterea standardelor şi a cerinţelor legale existente. Statele membre evaluează şi, dacă este necesar, actualizează anual competenţele şi resursele necesare menţionate la prezentul alineat.
(4)Autorităţile naţionale competente iau măsuri corespunzătoare pentru a asigura un nivel de securitate cibernetică adecvat.
(5)Atunci când îşi îndeplinesc sarcinile, autorităţile naţionale competente acţionează în conformitate cu obligaţiile de confidenţialitate prevăzute la articolul 78.
(6)Până la 2 august 2025 şi, ulterior, la fiecare doi ani, statele membre îi prezintă Comisiei un raport privind situaţia resurselor financiare şi umane ale autorităţilor naţionale competente, împreună cu o evaluare a adecvării acestora. Comisia transmite aceste informaţii Consiliului IA pentru a fi discutate şi pentru a formula eventuale recomandări.
(7)Comisia facilitează schimbul de experienţă între autorităţile naţionale competente.
(8)Autorităţile naţionale competente pot oferi orientări şi consiliere cu privire la punerea în aplicare a prezentului regulament, îndeosebi IMM-urilor, inclusiv întreprinderilor nou-înfiinţate, luând în considerare orientările şi consilierea furnizate de Consiliul IA şi de Comisie, după caz. Ori de câte ori autorităţile naţionale competente intenţionează să ofere orientări şi consiliere cu privire la un sistem de IA în domenii reglementate de alte acte legislative ale Uniunii, autorităţile naţionale competente în temeiul actelor legislative respective ale Uniunii sunt consultate, după caz.
(9)Atunci când instituţiile, organele, oficiile sau agenţiile Uniunii intră în domeniul de aplicare al prezentului regulament, Autoritatea Europeană pentru Protecţia Datelor acţionează ca autoritate competentă pentru supravegherea lor.
Art. 71: Baza de date a UE pentru sisteme de IA cu grad ridicat de risc enumerate în anexa III
(1)Comisia, în colaborare cu statele membre, creează şi întreţine o bază de date a UE care conţine informaţiile menţionate la alineatele (2) şi (3) de la prezentul articol privind sistemele de IA cu grad ridicat de risc menţionate la articolul 6 alineatul (2) care sunt înregistrate în conformitate cu articolele 49 şi 60 şi sistemele de IA care nu sunt considerate ca având un grad ridicat de risc în temeiul articolului 6 alineatul (3) şi care sunt înregistrate în conformitate cu articolul 6 alineatul (4) şi cu articolul 49. Atunci când stabileşte specificaţiile funcţionale ale respectivei baze de date, Comisia consultă experţii relevanţi, iar atunci când actualizează specificaţiile funcţionale ale respectivei baze de date, Comisia consultă Consiliul IA.
(2)Datele enumerate în secţiunile A şi B din anexa VIII se introduc în baza de date a UE de către furnizor sau, după caz, de către reprezentantul autorizat.
(3)Datele enumerate în secţiunea C din anexa VIII se introduc în baza de date a UE de către implementatorul care este o autoritate publică, o agenţie sau un organ ori care acţionează în numele acestora, în conformitate cu articolul 49 alineatele (3) şi (4).
(4)Cu excepţia secţiunii menţionate la articolul 49 alineatul (4) şi la articolul 60 alineatul (4) litera (c), informaţiile conţinute în baza de date a UE înregistrate în conformitate cu articolul 49 sunt accesibile şi puse la dispoziţia publicului într-un mod uşor de utilizat. Informaţiile ar trebui să fie uşor de navigat şi prelucrabile automat. Informaţiile înregistrate în conformitate cu articolul 60 sunt accesibile numai autorităţilor de supraveghere a pieţei şi Comisiei, cu excepţia cazului în care potenţialul furnizor sau furnizorul şi-a dat consimţământul pentru ca aceste informaţii să fie puse şi la dispoziţia publicului.
(5)Baza de date a UE conţine date cu caracter personal numai în măsura în care acest lucru este necesar pentru colectarea şi prelucrarea informaţiilor în conformitate cu prezentul regulament. Aceste informaţii includ numele şi datele de contact ale persoanelor fizice responsabile cu înregistrarea sistemului şi care au autoritatea legală de a-l reprezenta pe furnizor sau pe implementator, după caz.
(6)Comisia este operatorul bazei de date a UE. Aceasta pune la dispoziţia furnizorilor, a potenţialilor furnizori şi a implementatorilor sprijin tehnic şi administrativ adecvat. Baza de date a UE respectă cerinţele de accesibilitate aplicabile.
Art. 72: Monitorizarea ulterioară introducerii pe piaţă de către furnizori şi planul de monitorizare ulterioară introducerii pe piaţă pentru sistemele de IA cu grad ridicat de risc
(1)Furnizorii instituie şi documentează un sistem de monitorizare ulterioară introducerii pe piaţă într-un mod care să fie proporţional cu natura tehnologiilor din domeniul IA şi cu riscurile sistemului de IA cu grad ridicat de risc.
(2)Sistemul de monitorizare ulterioară introducerii pe piaţă colectează, documentează şi analizează în mod activ şi sistematic datele relevante care pot fi furnizate de implementatori sau pot fi colectate din alte surse cu privire la performanţa sistemelor de IA cu grad ridicat de risc pe toată durata lor de viaţă şi care permit furnizorului să evalueze conformitatea continuă a sistemelor de IA cu cerinţele prevăzute în capitolul III secţiunea 2. După caz, monitorizarea ulterioară introducerii pe piaţă include o analiză a interacţiunii cu alte sisteme de IA. Această obligaţie nu acoperă datele operaţionale sensibile ale implementatorilor care sunt autorităţi de aplicare a legii.
(3)Sistemul de monitorizare ulterioară introducerii pe piaţă se bazează pe un plan de monitorizare ulterioară introducerii pe piaţă. Planul de monitorizare ulterioară introducerii pe piaţă face parte din documentaţia tehnică menţionată în anexa IV. Comisia adoptă un act de punere în aplicare prin care stabileşte dispoziţii detaliate de stabilire a unui model de plan de monitorizare ulterioară introducerii pe piaţă şi a listei elementelor care trebuie incluse în plan până la 2 februarie 2026. Actul de punere în aplicare respectiv se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
(4)Pentru sistemele de IA cu grad ridicat de risc reglementate de actele legislative de armonizare ale Uniunii menţionate în secţiunea A din anexa I, în cazul în care un sistem şi un plan de monitorizare ulterioară introducerii pe piaţă sunt deja instituite în temeiul legislaţiei respective, pentru a asigura coerenţa, a evita suprapunerile şi a reduce la minimum sarcinile suplimentare, furnizorii au posibilitatea de a integra, după caz, elementele necesare descrise la alineatele (1), (2) şi (3), utilizând modelul menţionat la alineatul (3), în sistemele şi planurile deja existente în temeiul legislaţiei respective, cu condiţia ca astfel să atingă un nivel de protecţie echivalent.
Primul paragraf de la prezentul alineat se aplică, de asemenea, sistemelor de IA cu grad ridicat de risc menţionate la punctul 5 din anexa III introduse pe piaţă sau puse în funcţiune de instituţii financiare care fac obiectul unor cerinţe privind guvernanţa lor internă, măsurile sau procesele lor interne în temeiul dreptului Uniunii din domeniul serviciilor financiare.
Art. 73: Raportarea incidentelor grave
(1)Furnizorii de sisteme de IA cu grad ridicat de risc introduse pe piaţa Uniunii raportează orice incident grav autorităţilor de supraveghere a pieţei din statele membre în care s-a produs incidentul respectiv.
(2)Raportul menţionat la alineatul (1) se efectuează imediat după ce furnizorul a stabilit o legătură de cauzalitate între sistemul de IA şi incidentul grav sau probabilitatea rezonabilă a unei astfel de legături şi, în orice caz, nu mai târziu de 15 zile de la data la care furnizorul sau, după caz, implementatorul a luat cunoştinţă de incidentul grav.
Termenul pentru raportarea menţionată la primul paragraf ţine seama de gravitatea incidentului grav.
(3)În pofida alineatului (2) de la prezentul articol, în cazul unei încălcări pe scară largă sau al unui incident grav, astfel cum sunt definite la articolul 3 punctul 49 litera (b), raportul menţionat la alineatul (1) de la prezentul articol se furnizează imediat şi în termen de cel mult două zile de la data la care furnizorul sau, după caz, implementatorul a luat cunoştinţă de incidentul respectiv.
(4)În pofida alineatului (2), în caz de deces al unei persoane, raportul se pune la dispoziţie imediat după ce furnizorul sau implementatorul a stabilit sau de îndată ce suspectează o legătură de cauzalitate între sistemul de IA cu grad ridicat de risc şi incidentul grav, dar nu mai târziu de 10 zile de la data la care furnizorul sau, după caz, implementatorul a luat cunoştinţă de incidentul grav.
(5)Dacă este necesar pentru a asigura raportarea în timp util, furnizorul sau, după caz, implementatorul poate prezenta un raport iniţial care este incomplet, urmat de un raport complet.
(6)În urma raportării unui incident grav în temeiul alineatului (1), furnizorul efectuează, fără întârziere, investigaţiile necesare cu privire la incidentul grav şi la sistemul de IA în cauză. Acest lucru include o evaluare a riscurilor incidentului şi măsuri corective.
În cursul investigaţiilor menţionate la primul paragraf, furnizorul cooperează cu autorităţile competente şi, după caz, cu organismul notificat în cauză şi nu efectuează nicio investigaţie care presupune modificarea sistemului de IA în cauză într-un mod care poate afecta orice evaluare ulterioară a cauzelor incidentului, înainte de a informa autorităţile competente în legătură cu o astfel de acţiune.
(7)La primirea unei notificări referitoare la un incident grav menţionat la articolul 3 punctul 49 litera (c), autoritatea relevantă de supraveghere a pieţei informează autorităţile sau organismele publice naţionale menţionate la articolul 77 alineatul (1). Comisia elaborează orientări specifice pentru a facilita respectarea obligaţiilor prevăzute la alineatul (1) de la prezentul articol. Orientările respective se emit până la 2 august 2025 şi se evaluează periodic.
(8)Autoritatea de supraveghere a pieţei ia măsurile corespunzătoare, astfel cum se prevede la articolul 19 din Regulamentul (UE) 2019/1020, în termen de şapte de zile de la data la care a primit notificarea menţionată la alineatul (1) de la prezentul articol şi urmează procedurile de notificare prevăzute în respectivul regulament.
(9)În cazul sistemelor de IA cu grad ridicat de risc menţionate în anexa III care sunt introduse pe piaţă sau puse în funcţiune de furnizori care fac obiectul unor instrumente legislative ale Uniunii care prevăd obligaţii de raportare echivalente cu cele prevăzute în prezentul regulament, notificarea incidentelor grave se limitează la cele menţionate la articolul 3 punctul 49 litera (c).
(10)În cazul sistemelor de IA cu grad ridicat de risc care sunt componente de siguranţă ale unor dispozitive sau sunt ele însele dispozitive care fac obiectul Regulamentelor (UE) 2017/745 şi (UE) 2017/746, notificarea incidentelor grave se limitează la cele menţionate la articolul 3 punctul 49 litera (c) din prezentul regulament şi se efectuează către autoritatea naţională competentă aleasă în acest scop de statele membre în care s-a produs incidentul respectiv.
(11)Autorităţile naţionale competente îi notifică imediat Comisiei orice incident grav, indiferent dacă au luat sau nu măsuri cu privire la acesta, în conformitate cu articolul 20 din Regulamentul (UE) 2019/1020.
Art. 74: Supravegherea pieţei şi controlul sistemelor de IA pe piaţa Uniunii
(1)Regulamentul (UE) 2019/1020 se aplică sistemelor de IA care intră sub incidenţa prezentului regulament. În scopul asigurării efective a respectării prezentului regulament:
a)orice trimitere la un operator economic în temeiul Regulamentului (UE) 2019/1020 se interpretează ca incluzând toţi operatorii identificaţi la articolul 2 alineatul (1) din prezentul regulament;
b)orice trimitere la un produs în temeiul Regulamentului (UE) 2019/1020 se interpretează ca incluzând toate sistemele de IA care intră în domeniul de aplicare al prezentului regulament.
(2)Ca parte a obligaţiilor lor de raportare în temeiul articolului 34 alineatul (4) din Regulamentul (UE) 2019/1020, autorităţile de supraveghere a pieţei raportează anual Comisiei şi autorităţilor naţionale de concurenţă relevante toate informaţiile identificate în cursul activităţilor de supraveghere a pieţei care ar putea prezenta un potenţial interes pentru aplicarea dreptului Uniunii privind normele în materie de concurenţă. De asemenea, acestea raportează anual Comisiei despre utilizarea practicilor interzise care a avut loc în anul respectiv şi despre măsurile luate.
(3)În cazul sistemelor de IA cu grad ridicat de risc legate de produse reglementate de actele legislative de armonizare ale Uniunii enumerate în secţiunea A din anexa I, autoritatea de supraveghere a pieţei în sensul prezentului regulament este autoritatea responsabilă cu activităţile de supraveghere a pieţei desemnată în temeiul respectivelor acte legislative.
Prin derogare de la primul paragraf şi în circumstanţe corespunzătoare, statele membre pot desemna o altă autoritate relevantă care să acţioneze în calitate de autoritate de supraveghere a pieţei, cu condiţia ca acestea să asigure coordonarea cu autorităţile sectoriale relevante de supraveghere a pieţei responsabile cu aplicarea legislaţiei de armonizare a Uniunii enumerate în anexa I.
(4)Procedurile menţionate la articolele 79-83 din prezentul regulament nu se aplică sistemelor de IA legate de produse reglementate de actele legislative de armonizare ale Uniunii enumerate în secţiunea A din anexa I, atunci când respectivele acte juridice prevăd deja proceduri care asigură un nivel de protecţie echivalent şi care au acelaşi obiectiv. În astfel de cazuri, se aplică în schimb procedurile sectoriale relevante.
(5)Fără a aduce atingere competenţelor autorităţilor de supraveghere a pieţei în temeiul articolului 14 din Regulamentul (UE) 2019/1020, în scopul aplicării efective a prezentului regulament, autorităţile de supraveghere a pieţei pot exercita de la distanţă competenţele menţionate la articolul 14 alineatul (4) literele (d) şi (j) din respectivul regulament, după caz.
(6)Pentru sistemele de IA cu grad ridicat de risc introduse pe piaţă, puse în funcţiune sau utilizate de instituţiile financiare reglementate de dreptul Uniunii din domeniul serviciilor financiare, autoritatea de supraveghere a pieţei în sensul prezentului regulament este autoritatea naţională relevantă responsabilă cu supravegherea financiară a instituţiilor respective în temeiul legislaţiei respective, în măsura în care introducerea pe piaţă, punerea în funcţiune sau utilizarea sistemului de IA este în legătură directă cu furnizarea serviciilor financiare respective.
(7)Prin derogare de la alineatul (6), în circumstanţe justificate şi cu condiţia asigurării coordonării, o altă autoritate relevantă poate fi identificată de statul membru drept autoritate de supraveghere a pieţei în sensul prezentului regulament.
Autorităţile naţionale de supraveghere a pieţei care supraveghează instituţiile de credit reglementate în temeiul Directivei 2013/36/UE, care participă la mecanismul unic de supraveghere instituit prin Regulamentul (UE) nr. 1024/2013, ar trebui să raporteze fără întârziere Băncii Centrale Europene orice informaţie identificată în cursul activităţilor lor de supraveghere a pieţei care ar putea prezenta un interes potenţial pentru sarcinile de supraveghere prudenţială ale Băncii Centrale Europene, astfel cum se specifică în regulamentul respectiv.
(8)Pentru sistemele de IA cu grad ridicat de risc enumerate la punctul 1 din anexa III la prezentul regulament, în măsura în care sistemele sunt utilizate în scopul aplicării legii, al gestionării frontierelor şi al respectării justiţiei şi democraţiei, şi pentru sistemele de IA cu grad ridicat de risc enumerate la punctele 6, 7 şi 8 din anexa III la prezentul regulament, statele membre desemnează drept autorităţi de supraveghere a pieţei în sensul prezentului regulament fie autorităţile competente de supraveghere a protecţiei datelor în temeiul Regulamentului (UE) 2016/679 sau al Directivei (UE) 2016/680, fie orice alte autorităţi desemnate în temeiul aceloraşi condiţii prevăzute la articolele 41-44 din Directiva (UE) 2016/680. Activităţile de supraveghere a pieţei nu afectează în niciun fel independenţa autorităţilor judiciare şi nici nu interferează în alt mod cu activităţile acestora atunci când acţionează în exerciţiul funcţiei lor judiciare.
(9)În cazul în care instituţii, organe, oficii sau agenţii ale Uniunii intră în domeniul de aplicare al prezentului regulament, Autoritatea Europeană pentru Protecţia Datelor acţionează în calitate de autoritate de supraveghere a pieţei pentru acestea, cu excepţia cazurilor în care Curtea de Justiţie a Uniunii Europene acţionează în exerciţiul funcţiei sale judiciare.
(10)Statele membre facilitează coordonarea dintre autorităţile de supraveghere a pieţei desemnate în temeiul prezentului regulament şi alte autorităţi sau organisme naţionale relevante care supraveghează aplicarea actelor legislative de armonizare ale Uniunii enumerate în anexa I sau în alte acte legislative ale Uniunii care ar putea fi relevante pentru sistemele de IA cu grad ridicat de risc menţionate în anexa III.
(11)Autorităţile de supraveghere a pieţei şi Comisia sunt în măsură să propună activităţi comune, inclusiv investigaţii comune, care să fie efectuate fie de autorităţile de supraveghere a pieţei, fie de autorităţile de supraveghere a pieţei în colaborare cu Comisia şi care au scopul de a promova conformitatea, de a identifica cazurile de neconformitate, de a sensibiliza sau de a oferi orientări în legătură cu prezentul regulament în ceea ce priveşte anumite categorii de sisteme de IA cu grad ridicat de risc despre care se constată că prezintă un risc grav în două sau mai multe state membre, în conformitate cu articolul 9 din Regulamentul (UE) 2019/1020. Oficiul pentru IA oferă sprijin în materie de coordonare pentru investigaţiile comune.
(12)Fără a aduce atingere competenţelor prevăzute în Regulamentul (UE) 2019/1020 şi dacă este relevant şi limitat la ceea ce este necesar pentru a-şi îndeplini sarcinile, furnizorii acordă acces deplin autorităţilor de supraveghere a pieţei la documentaţie, precum şi la seturile de date de antrenament, de validare şi de testare utilizate pentru dezvoltarea sistemelor de IA cu grad ridicat de risc, inclusiv, după caz şi sub rezerva unor garanţii de securitate, prin interfeţe de programare a aplicaţiilor (IPA) sau prin alte mijloace şi instrumente tehnice relevante care permit accesul de la distanţă.
(13)Autorităţilor de supraveghere a pieţei li se acordă acces la codul sursă al sistemului de IA cu grad ridicat de risc pe baza unei cereri motivate şi numai atunci când sunt îndeplinite ambele condiţii următoare:
a)accesul la codul sursă este necesar pentru a evalua conformitatea unui sistem de IA cu grad ridicat de risc cu cerinţele prevăzute în capitolul III secţiunea 2; şi
b)procedurile de testare sau de audit şi verificările bazate pe datele şi documentaţia furnizate de furnizor au fost epuizate sau s-au dovedit insuficiente.
(14)Orice informaţii sau documentaţie obţinute de autorităţile de supraveghere a pieţei în temeiul prezentului articol sunt tratate în conformitate cu obligaţiile de confidenţialitate prevăzute la articolul 78.
Art. 75: Asistenţa reciprocă, supravegherea pieţei şi controlul sistemelor de IA de uz general
(1)În cazul în care un sistem de IA se bazează pe un model de IA de uz general, iar modelul şi sistemul sunt dezvoltate de acelaşi furnizor, Oficiul pentru IA are competenţa de a monitoriza şi de a supraveghea conformitatea respectivului sistem de IA cu obligaţiile impuse în temeiul prezentului regulament. Pentru a îşi îndeplini sarcinile de monitorizare şi supraveghere, Oficiul pentru IA are toate competenţele unei autorităţi de supraveghere a pieţei prevăzute în prezenta secţiune şi în Regulamentul (UE) 2019/1020.
(2)În cazul în care au motive suficiente să considere că sisteme de IA de uz general care pot fi utilizate direct de către implementatori pentru cel puţin un scop clasificat ca prezentând un grad ridicat de risc în temeiul prezentului regulament nu respectă cerinţele prevăzute în prezentul regulament, autorităţile relevante de supraveghere a pieţei cooperează cu Oficiul pentru IA pentru a efectua evaluări ale conformităţii şi informează în consecinţă Consiliul IA şi alte autorităţi de supraveghere a pieţei.
(3)Dacă o autoritate de supraveghere a pieţei nu este în măsură să îşi încheie investigaţia privind sistemul de IA cu grad ridicat de risc din cauza incapacităţii sale de a accesa anumite informaţii legate de modelul de IA de uz general, în pofida faptului că a depus toate eforturile adecvate pentru a obţine informaţiile respective, aceasta poate transmite Oficiului pentru IA o cerere motivată prin care accesul la respectivele informaţii este impus. În acest caz, Oficiul pentru IA îi furnizează autorităţii solicitante fără întârziere şi, în orice caz, în termen de 30 de zile toate informaţiile pe care Oficiul pentru IA le consideră relevante pentru a stabili dacă un sistem de IA cu grad ridicat de risc este neconform. Autorităţile de supraveghere a pieţei garantează confidenţialitatea informaţiilor pe care le obţin în conformitate cu articolul 78 din prezentul regulament. Procedura prevăzută în capitolul VI din Regulamentul (UE) 2019/1020 se aplică mutatis mutandis.
Art. 76: Supravegherea testării în condiţii reale de către autorităţile de supraveghere a pieţei
(1)Autorităţile de supraveghere a pieţei deţin competenţele şi prerogativele necesare pentru a se asigura că testarea în condiţii reale este conformă cu prezentul regulament.
(2)În cazul în care se efectuează testarea în condiţii reale pentru sisteme de IA care sunt supravegheate într-un spaţiu de testare în materie de reglementare în domeniul IA în temeiul articolului 58, autorităţile de supraveghere a pieţei verifică conformitatea cu articolul 60 ca parte a rolului lor de supraveghere pentru spaţiul de testare în materie de reglementare în domeniul IA. Autorităţile respective pot permite, după caz, ca testarea în condiţii reale să fie efectuată de furnizor sau de potenţialul furnizor, prin derogare de la condiţiile prevăzute la articolul 60 alineatul (4) literele (f) şi (g).
(3)În cazul în care o autoritate de supraveghere a pieţei a fost informată de către potenţialul furnizor, de către furnizor sau de către orice parte terţă despre un incident grav sau are alte motive pentru a considera că nu sunt îndeplinite condiţiile prevăzute la articolele 60 şi 61, aceasta poate lua oricare dintre următoarele decizii pe teritoriul său, după caz:
a)suspendarea sau încetarea testării în condiţii reale;
b)solicitarea furnizorului sau a potenţialului furnizor şi a implementatorului sau a potenţialului implementator să modifice orice aspect al testării în condiţii reale.
(4)În cazul în care o autoritate de supraveghere a pieţei a luat o decizie menţionată la alineatul (3) de la prezentul articol sau a emis o obiecţie în sensul articolului 60 alineatul (4) litera (b), decizia sau obiecţia indică motivele care stau la baza acesteia, precum şi modul în care furnizorul sau potenţialul furnizor poate contesta decizia sau obiecţia.
(5)După caz, dacă o autoritate de supraveghere a pieţei a luat o decizie menţionată la alineatul (3), aceasta comunică motivele care stau la baza deciziei respective autorităţilor de supraveghere a pieţei din celelalte state membre în care sistemul de IA a fost testat în conformitate cu planul de testare.
Art. 77: Competenţele autorităţilor care protejează drepturile fundamentale
(1)Autorităţile sau organismele publice naţionale care supraveghează sau asigură respectarea obligaţiilor în temeiul dreptului Uniunii care protejează drepturile fundamentale, inclusiv dreptul la nediscriminare, în ceea ce priveşte utilizarea sistemelor de IA cu grad ridicat de risc menţionate în anexa III au competenţa de a solicita şi de a accesa orice documentaţie creată sau păstrată în temeiul prezentului regulament într-un limbaj şi un format accesibil, atunci când accesul la documentaţia respectivă este necesar pentru îndeplinirea cu eficacitate a mandatelor lor, în limitele jurisdicţiei lor. Autoritatea sau organismul public competent informează autoritatea de supraveghere a pieţei din statul membru în cauză cu privire la orice astfel de cerere.
(2)Până la 2 noiembrie 2024, fiecare stat membru identifică autorităţile sau organismele publice menţionate la alineatul (1) şi pune o listă a acestora la dispoziţia publicului. Statele membre îi notifică lista Comisiei şi celorlalte state membre şi o menţin la zi.
(3)În cazul în care documentaţia menţionată la alineatul (1) este insuficientă pentru a stabili dacă a avut loc sau nu o încălcare a obligaţiilor în temeiul dreptului Uniunii care protejează drepturile fundamentale, autoritatea sau organismul public menţionat la alineatul (1) poate adresa autorităţii de supraveghere a pieţei o cerere motivată de organizare a testării sistemului de IA cu grad ridicat de risc prin mijloace tehnice. Autoritatea de supraveghere a pieţei organizează testarea implicând îndeaproape autoritatea sau organismul public solicitant, într-un termen rezonabil de la primirea cererii.
(4)Toate informaţiile şi documentele obţinute de autorităţile sau organismele publice naţionale menţionate la alineatul (1) de la prezentul articol în temeiul dispoziţiilor prezentului articol sunt tratate în conformitate cu obligaţiile de confidenţialitate prevăzute la articolul 78.
Art. 78: Confidenţialitate
(1)Comisia, autorităţile de supraveghere a pieţei şi organismele notificate, precum şi orice altă persoană fizică sau juridică implicată în aplicarea prezentului regulament respectă, în conformitate cu dreptul Uniunii sau cu dreptul intern, confidenţialitatea informaţiilor şi a datelor obţinute în îndeplinirea sarcinilor şi a activităţilor lor într-un mod care să protejeze, în special:
a)drepturile de proprietate intelectuală şi informaţiile comerciale confidenţiale sau secretele comerciale ale unei persoane fizice sau juridice, inclusiv codul sursă, cu excepţia cazurilor menţionate la articolul 5 din Directiva (UE) 2016/943 a Parlamentului European şi a Consiliului (57);
(57)Directiva (UE) 2016/943 a Parlamentului European şi a Consiliului din 8 iunie 2016 privind protecţia know-how-ului şi a informaţiilor de afaceri nedivulgate (secrete comerciale) împotriva dobândirii, utilizării şi divulgării ilegale (JO L 157, 15.6.2016, p. 1).
b)punerea efectivă în aplicare a prezentului regulament, în special în scopul inspecţiilor, investigaţiilor şi auditurilor;
c)interesele de securitate publică şi naţională;
d)desfăşurarea procedurilor penale sau administrative;
e)informaţiile clasificate în temeiul dreptului Uniunii sau al dreptului intern.
(2)Autorităţile implicate în aplicarea prezentului regulament în temeiul alineatului (1) solicită numai datele care sunt strict necesare pentru evaluarea riscului prezentat de sistemele de IA şi pentru exercitarea competenţelor lor în conformitate cu prezentul regulament şi cu Regulamentul (UE) 2019/1020. Acestea instituie măsuri de securitate cibernetică corespunzătoare şi eficace pentru a proteja securitatea şi confidenţialitatea informaţiilor şi a datelor obţinute şi şterg datele colectate de îndată ce acestea nu mai sunt necesare în scopul pentru care au fost obţinute, în conformitate cu dreptul Uniunii sau dreptul intern aplicabil.
(3)Fără a aduce atingere alineatelor (1) şi (2), informaţiile care au făcut obiectul unui schimb în condiţii de confidenţialitate între autorităţile naţionale competente şi între autorităţile naţionale competente şi Comisie nu se divulgă fără consultarea prealabilă a autorităţii naţionale competente emitente şi a implementatorului atunci când sistemele de IA cu grad ridicat de risc menţionate la punctul 1, 6 sau 7 din anexa III sunt utilizate de autorităţile de aplicare a legii, de control la frontiere, de imigraţie sau de azil şi atunci când o astfel de divulgare ar pune în pericol interese de siguranţă publică şi de securitate naţională. Acest schimb de informaţii nu acoperă datele operaţionale sensibile legate de activităţile autorităţilor de aplicare a legii, de control la frontiere, de imigraţie sau de azil.
În cazul în care autorităţile de aplicare a legii, de imigraţie sau de azil sunt furnizori de sisteme de IA cu grad ridicat de risc menţionate la punctul 1, 6 sau 7 din anexa III, documentaţia tehnică menţionată în anexa IV rămâne la sediul autorităţilor respective. Autorităţile respective se asigură că autorităţile de supraveghere a pieţei menţionate la articolul 74 alineatele (8) şi (9), după caz, pot, la cerere, să acceseze imediat documentaţia sau să obţină o copie a acesteia. Numai personalului autorităţii de supraveghere a pieţei care deţine nivelul corespunzător de autorizaţie de securitate i se permite accesul la documentaţia respectivă sau la orice copie a acesteia.
(4)Alineatele (1), (2) şi (3) nu aduc atingere drepturilor şi obligaţiilor care revin Comisiei, statelor membre şi autorităţilor relevante ale acestora, precum şi celor care revin organismelor notificate cu privire la schimbul de informaţii şi difuzarea avertizărilor, inclusiv în contextul cooperării transfrontaliere, şi nu aduc atingere nici obligaţiilor părţilor în cauză de a furniza informaţii în temeiul dreptului penal al statelor membre.
(5)Comisia şi statele membre pot face schimb, atunci când este necesar şi în conformitate cu dispoziţiile relevante din acordurile internaţionale şi comerciale, de informaţii confidenţiale cu autorităţile de reglementare din ţări terţe cu care au încheiat acorduri de confidenţialitate bilaterale sau multilaterale care garantează un nivel adecvat de confidenţialitate.
Art. 79: Procedura la nivel naţional aplicabilă sistemelor de IA care prezintă un risc
(1)Prin sisteme de IA care prezintă un risc se înţelege un "produs care prezintă un risc", în sensul definiţiei de la articolul 3 punctul 19 din Regulamentul (UE) 2019/1020, în măsura în care prezintă riscuri pentru sănătatea sau siguranţa ori pentru drepturile fundamentale ale persoanelor.
(2)În cazul în care autoritatea de supraveghere a pieţei dintr-un stat membru are suficiente motive să considere că un sistem de IA prezintă un risc astfel cum se menţionează la alineatul (1) de la prezentul articol, aceasta efectuează o evaluare a sistemului de IA în cauză din punctul de vedere al conformităţii sale cu toate cerinţele şi obligaţiile prevăzute în prezentul regulament. Se acordă o atenţie deosebită sistemelor de IA care prezintă un risc pentru grupurile vulnerabile. Atunci când sunt identificate riscuri pentru drepturile fundamentale, autoritatea de supraveghere a pieţei informează şi autorităţile sau organismele publice naţionale relevante menţionate la articolul 77 alineatul (1) şi cooperează pe deplin cu acestea. Operatorii relevanţi cooperează, după caz, cu autoritatea de supraveghere a pieţei şi cu celelalte autorităţi sau organisme publice naţionale menţionate la articolul 77 alineatul (1).
În cazul în care, pe parcursul evaluării respective, autoritatea de supraveghere a pieţei sau, după caz, autoritatea de supraveghere a pieţei în cooperare cu autoritatea publică naţională menţionată la articolul 77 alineatul (1) constată că sistemul de IA nu respectă cerinţele şi obligaţiile prevăzute în prezentul regulament, aceasta solicită fără întârzieri nejustificate operatorului relevant să ia toate măsurile corective adecvate pentru a asigura conformitatea sistemului de IA, pentru a retrage sistemul de IA de pe piaţă sau pentru a-l rechema într-un termen pe care autoritatea de supraveghere a pieţei îl poate indica şi, în orice caz, nu mai târziu de 15 zile lucrătoare sau astfel cum se prevede în actele legislative de armonizare relevante ale Uniunii.
Autorităţile de supraveghere a pieţei informează organismul notificat relevant în consecinţă. Articolul 18 din Regulamentul (UE) 2019/1020 se aplică măsurilor menţionate la al doilea paragraf de la prezentul alineat.
(3)În cazul în care autoritatea de supraveghere a pieţei consideră că neconformitatea nu se limitează la teritoriul său naţional, aceasta informează fără întârzieri nejustificate Comisia şi celelalte state membre cu privire la rezultatele evaluării şi la măsurile pe care i le-a impus operatorului.
(4)Operatorul se asigură că sunt luate toate măsurile corective adecvate pentru toate sistemele de IA în cauză pe care acesta le-a pus la dispoziţie pe piaţa Uniunii.
(5)În cazul în care operatorul unui sistem de IA nu ia măsurile corective adecvate în termenul menţionat la alineatul (2), autoritatea de supraveghere a pieţei ia toate măsurile provizorii corespunzătoare pentru a interzice sau a restricţiona punerea la dispoziţie a sistemului de IA pe piaţa sa naţională sau punerea acestuia în funcţiune, pentru a retrage produsul sau sistemul de IA de sine stătător de pe piaţa respectivă ori pentru a-l rechema. Autoritatea respectivă notifică fără întârzieri nejustificate Comisiei şi celorlalte state membre măsurile respective.
(6)Notificarea menţionată la alineatul (5) include toate detaliile disponibile, în special informaţiile necesare pentru a identifica sistemul de IA neconform, originea sistemului de IA şi lanţul de aprovizionare, natura neconformităţii invocate şi riscul implicat, natura şi durata măsurilor naţionale luate, precum şi argumentele prezentate de operatorul relevant. În special, autorităţile de supraveghere a pieţei indică dacă neconformitatea se datorează unuia sau mai multora dintre următoarele motive:
a)nerespectarea interdicţiei privind practicile în domeniul IA menţionate la articolul 5;
b)nerespectarea de către sistemul de IA cu grad ridicat de risc a cerinţelor prevăzute în capitolul III secţiunea 2;
c)existenţa unor deficienţe în ceea ce priveşte standardele armonizate sau specificaţiile comune menţionate la articolele 40 şi 41 care conferă o prezumţie de conformitate;
d)nerespectarea articolului 50.
(7)Autorităţile de supraveghere a pieţei, altele decât autoritatea de supraveghere a pieţei din statul membru care a iniţiat procedura, informează fără întârzieri nejustificate Comisia şi celelalte state membre cu privire la toate măsurile adoptate şi la toate informaţiile suplimentare deţinute referitoare la neconformitatea sistemului de IA în cauză şi, în cazul unui dezacord cu măsura naţională notificată, cu privire la obiecţiile lor.
(8)În cazul în care, în termen de trei luni de la primirea notificării menţionate la alineatul (5) de la prezentul articol, nicio autoritate de supraveghere a pieţei a niciunui stat membru şi nici Comisia nu ridică vreo obiecţie cu privire la o măsură provizorie luată de o autoritate de supraveghere a pieţei a unui alt stat membru, măsura respectivă este considerată justificată. Acest lucru nu aduce atingere drepturilor procedurale ale operatorului în cauză în conformitate cu articolul 18 din Regulamentul (UE) 2019/1020. Termenul de trei luni menţionat la prezentul alineat se reduce la 30 de zile în cazul nerespectării interdicţiei privind practicile în domeniul IA menţionate la articolul 5 din prezentul regulament.
(9)Autorităţile de supraveghere a pieţei se asigură că se iau măsuri restrictive adecvate în ceea ce priveşte produsul sau sistemul de IA în cauză, cum ar fi retragerea fără întârzieri nejustificate a produsului sau a sistemului de IA de pe pieţele lor.
Art. 80: Procedura aplicabilă sistemelor de IA clasificate de furnizor ca neprezentând un grad ridicat de risc în aplicarea anexei III
(1)În cazul în care o autoritate de supraveghere a pieţei are motive suficiente să considere că un sistem de IA clasificat de furnizor ca neprezentând un grad ridicat de risc în conformitate cu articolul 6 alineatul (3) prezintă, de fapt, un grad ridicat de risc, autoritatea de supraveghere a pieţei efectuează o evaluare a sistemului de IA în cauză în ceea ce priveşte clasificarea sa ca sistem de IA cu grad ridicat de risc, pe baza condiţiilor prevăzute la articolul 6 alineatul (3) şi în orientările Comisiei.
(2)În cazul în care, pe parcursul evaluării respective, autoritatea de supraveghere a pieţei constată că sistemul de IA în cauză prezintă un grad ridicat de risc, aceasta solicită fără întârzieri nejustificate furnizorului relevant să ia toate măsurile necesare pentru a asigura conformitatea sistemului de IA cu cerinţele şi obligaţiile prevăzute în prezentul regulament, precum şi să ia măsuri corective adecvate într-un termen pe care autoritatea de supraveghere a pieţei îl poate indica.
(3)În cazul în care autoritatea de supraveghere a pieţei consideră că utilizarea sistemului de IA în cauză nu se limitează la teritoriul său naţional, aceasta informează fără întârzieri nejustificate Comisia şi celelalte state membre cu privire la rezultatele evaluării şi la măsurile pe care i le-a impus furnizorului.
(4)Furnizorul se asigură că se iau toate măsurile necesare pentru a asigura conformitatea sistemului de IA cu cerinţele şi obligaţiile prevăzute în prezentul regulament. În cazul în care furnizorul unui sistem de IA în cauză nu asigură conformitatea sistemului de IA cu respectivele cerinţe şi obligaţii în termenul menţionat la alineatul (2) de la prezentul articol, furnizorului i se aplică amenzi în conformitate cu articolul 99.
(5)Furnizorul se asigură că sunt întreprinse toate măsurile corective adecvate pentru toate sistemele de IA în cauză pe care acesta le-a pus la dispoziţie pe piaţa Uniunii.
(6)Dacă furnizorul sistemului de IA în cauză nu ia măsurile corective adecvate în termenul menţionat la alineatul (2) de la prezentul articol, se aplică articolul 79 alineatele (5)-(9).
(7)Dacă, în cursul evaluării respective în temeiul alineatului (1) de la prezentul articol, autoritatea de supraveghere a pieţei stabileşte că sistemul de IA a fost clasificat greşit de furnizor ca neprezentând un grad ridicat de risc pentru a eluda aplicarea cerinţelor de la capitolul III secţiunea 2, furnizorului i se aplică amenzi în conformitate cu articolul 99.
(8)În exercitarea competenţei lor de monitorizare a aplicării prezentului articol şi în conformitate cu articolul 11 din Regulamentul (UE) 2019/1020, autorităţile de supraveghere a pieţei pot efectua verificări adecvate, ţinând seama în special de informaţiile stocate în baza de date a UE menţionată la articolul 71 din prezentul regulament.
Art. 81: Procedura de salvgardare a Uniunii
(1)Dacă, în termen de trei luni de la primirea notificării menţionate la articolul 79 alineatul (5) sau în termen de 30 de zile în cazul nerespectării interdicţiei privind practicile în domeniul IA menţionate la articolul 5, se ridică obiecţii de către autoritatea de supraveghere a pieţei a unui stat membru împotriva unei măsuri luate de altă autoritate de supraveghere a pieţei sau în cazul în care Comisia consideră că măsura este contrară dreptului Uniunii, Comisia iniţiază fără întârzieri nejustificate consultări cu autoritatea de supraveghere a pieţei a statului membru relevant şi cu operatorul sau operatorii şi evaluează măsura naţională. Pe baza rezultatelor evaluării respective, Comisia decide dacă măsura naţională este justificată sau nu în termen de şase luni ori, în cazul nerespectării interdicţiei privind practicile în domeniul IA menţionate la articolul 5, în termen de 60 de zile de la notificarea menţionată la articolul 79 alineatul (5) şi notifică această decizie autorităţii de supraveghere a pieţei a statului membru în cauză. Comisia informează, de asemenea, toate celelalte autorităţi de supraveghere a pieţei cu privire la decizia sa.
(2)În cazul în care Comisia consideră că măsura luată de statul membru în cauză este justificată, toate statele membre se asigură că iau măsuri restrictive adecvate în ceea ce priveşte sistemul de IA în cauză, cum ar fi impunerea retragerii fără întârzieri nejustificate a sistemului de IA de pe piaţa lor, şi informează Comisia în consecinţă. În cazul în care Comisia consideră că măsura naţională este nejustificată, statul membru în cauză retrage măsura şi informează Comisia în consecinţă.
(3)Atunci când măsura naţională este considerată justificată, iar neconformitatea sistemului de IA este atribuită unor deficienţe ale standardelor armonizate sau ale specificaţiilor comune menţionate la articolele 40 şi 41 din prezentul regulament, Comisia aplică procedura prevăzută la articolul 11 din Regulamentul (UE) nr. 1025/2012.
Art. 82: Sisteme de IA conforme care prezintă un risc
(1)Dacă, în urma efectuării unei evaluări în temeiul articolului 79, după consultarea autorităţii publice naţionale relevante menţionate la articolul 77 alineatul (1), autoritatea de supraveghere a pieţei dintr-un stat membru constată că, deşi un sistem de IA cu grad ridicat de risc este în conformitate cu prezentul regulament, acesta prezintă totuşi un risc pentru sănătatea sau siguranţa persoanelor, pentru drepturile fundamentale sau pentru alte aspecte legate de protecţia interesului public, autoritatea de supraveghere a pieţei respectivă impune operatorului relevant să ia toate măsurile corespunzătoare pentru a se asigura că sistemul de IA în cauză, atunci când este introdus pe piaţă sau pus în funcţiune, nu mai prezintă riscul respectiv fără întârzieri nejustificate, într-un termen pe care aceasta îl poate indica.
(2)Furnizorul sau alt operator relevant se asigură că sunt luate măsuri corective cu privire la toate sistemele de IA în cauză pe care le-a pus la dispoziţie pe piaţa Uniunii, în termenul prevăzut de autoritatea de supraveghere a pieţei din statul membru menţionat la alineatul (1).
(3)Statele membre informează imediat Comisia şi celelalte state membre cu privire la o constatare în temeiul alineatului (1). Informaţiile includ toate detaliile disponibile, în special datele necesare pentru identificarea sistemului de IA în cauză, originea şi a lanţul de aprovizionare aferent acestuia, natura riscului implicat, precum şi natura şi durata măsurilor naţionale luate.
(4)Comisia iniţiază fără întârzieri nejustificate consultări cu statele membre în cauză şi cu operatorii relevanţi şi evaluează măsurile naţionale luate. Pe baza rezultatelor evaluării respective, Comisia decide dacă măsura este justificată şi, după caz, propune alte măsuri adecvate.
(5)Comisia comunică imediat decizia sa statelor membre în cauză şi operatorilor relevanţi. Aceasta informează, de asemenea, celelalte state membre.
Art. 83: Neconformitatea formală
(1)Autoritatea de supraveghere a pieţei dintr-un stat membru solicită operatorului relevant să pună capăt neconformităţii în cauză, într-un termen pe care aceasta îl poate indica, atunci când constată una dintre situaţiile următoare:
a)marcajul CE a fost aplicat cu încălcarea articolului 48;
b)marcajul CE nu a fost aplicat;
c)declaraţia de conformitate UE menţionată la articolul 47 nu a fost întocmită;
d)declaraţia de conformitate UE menţionată la articolul 47 nu a fost întocmită corect;
e)nu a fost efectuată înregistrarea în baza de date a UE menţionată la articolul 71;
f)după caz, nu a fost numit un reprezentant autorizat;
g)documentaţia tehnică nu este disponibilă.
(2)În cazul în care neconformitatea menţionată la alineatul (1) persistă, autoritatea de supraveghere a pieţei din statul membru în cauză ia măsuri corespunzătoare şi proporţionate pentru a restricţiona sau a interzice punerea la dispoziţie pe piaţă a sistemului de IA cu grad ridicat de risc sau pentru a se asigura că acesta este rechemat sau retras de pe piaţă fără întârziere.
Art. 84: Structurile de sprijin pentru testarea IA ale Uniunii
(1)Comisia desemnează una sau mai multe structuri de sprijin pentru testarea IA ale Uniunii pentru a îndeplini sarcinile enumerate la articolul 21 alineatul (6) din Regulamentul (UE) 2019/1020 în domeniul IA.
(2)Fără a aduce atingere sarcinilor menţionate la alineatul (1), structurile de sprijin pentru testarea IA ale Uniunii furnizează, de asemenea, consiliere tehnică sau ştiinţifică independentă la cererea Consiliului IA, a Comisiei sau a autorităţilor de supraveghere a pieţei.
Art. 85: Dreptul de a depune o plângere la o autoritate de supraveghere a pieţei
Fără a aduce atingere altor căi de atac administrative sau judiciare, orice persoană fizică sau juridică care are motive să considere că a avut loc o încălcare a dispoziţiilor prezentului regulament poate depune plângeri la autoritatea de supraveghere a pieţei relevantă.
În conformitate cu Regulamentul (UE) 2019/1020, astfel de plângeri sunt luate în considerare în scopul desfăşurării activităţilor de supraveghere a pieţei şi sunt tratate în conformitate cu procedurile specifice stabilite în acest scop de autorităţile de supraveghere a pieţei.
Art. 86: Dreptul la explicarea luării deciziilor individuale
(1)Orice persoană afectată care face obiectul unei decizii care este luată de implementator pe baza rezultatelor unui sistem de IA cu grad ridicat de risc enumerat în anexa III, cu excepţia sistemelor enumerate la punctul 2 din aceasta, şi care produce efecte juridice sau o afectează pe persoana respectivă în mod similar într-un grad semnificativ de o manieră pe care o consideră a avea un impact negativ asupra sănătăţii, siguranţei sau drepturilor sale fundamentale are dreptul de a solicita implementatorului explicaţii clare şi semnificative cu privire la rolul sistemului de IA în procedura decizională şi la principalele elemente ale deciziei luate.
(2)Alineatul (1) nu se aplică utilizării sistemelor de IA pentru care excepţiile sau restricţiile de la obligaţia prevăzută la alineatul respectiv decurg din dreptul Uniunii sau din dreptul intern în conformitate cu dreptul Uniunii.
(3)Prezentul articol se aplică numai în măsura în care dreptul menţionat la alineatul (1) nu este deja prevăzut în dreptul Uniunii.
Art. 87: Raportarea încălcărilor şi protecţia persoanelor care efectuează raportarea
În ceea ce priveşte raportarea încălcărilor prezentului regulament şi protecţia persoanelor care raportează astfel de încălcări se aplică Directiva (UE) 2019/1937.
Art. 88: Executarea obligaţiilor furnizorilor de modele de IA de uz general
(1)Comisia are competenţe exclusive de a supraveghea şi de a asigura respectarea capitolului V, ţinând seama de garanţiile procedurale în temeiul articolului 94. Comisia încredinţează Oficiului pentru IA punerea în aplicare a acestor sarcini, fără a aduce atingere competenţelor de organizare ale Comisiei şi repartizării competenţelor între statele membre şi Uniune pe baza tratatelor.
(2)Fără a aduce atingere articolului 75 alineatul (3), autorităţile de supraveghere a pieţei îi pot solicita Comisiei să îşi exercite competenţele prevăzute în prezenta secţiune, în cazul în care acest lucru este necesar şi proporţional pentru a sprijini îndeplinirea sarcinilor care le revin în temeiul prezentului regulament.
Art. 89: Măsuri de monitorizare
(1)În scopul îndeplinirii sarcinilor care îi sunt atribuite în temeiul prezentei secţiuni, Oficiul pentru IA poate lua măsurile necesare pentru a monitoriza punerea în aplicare şi respectarea efectivă a prezentului regulament de către furnizorii de modele de IA de uz general, inclusiv respectarea de către aceştia a codurilor de bune practici aprobate.
(2)Furnizorii din aval au dreptul de a depune o plângere privind încălcarea prezentului regulament. O plângere trebuie să fie motivată corespunzător şi să indice cel puţin:
a)punctul de contact al furnizorului modelului de IA de uz general în cauză;
b)o descriere a faptelor relevante, a dispoziţiilor vizate ale prezentului regulament şi a motivului pentru care furnizorul din aval consideră că furnizorul modelului de IA de uz general în cauză a încălcat prezentul regulament;
c)orice alte informaţii pe care furnizorul din aval care a transmis cererea le consideră relevante, inclusiv, după caz, informaţii colectate din proprie iniţiativă.
Art. 90: Alerte privind riscurile sistemice transmise de grupul ştiinţific
(1)Grupul ştiinţific poate transmite o alertă calificată către Oficiul pentru IA în cazul în care are motive să suspecteze că:
a)un model de IA de uz general prezintă un risc identificabil concret la nivelul Uniunii; sau
b)un model de IA de uz general îndeplineşte condiţiile menţionate la articolul 51.
(2)În urma unei astfel de alerte calificate, Comisia, prin intermediul Oficiului pentru IA şi după ce a informat Consiliui IA, poate exercita competenţele prevăzute în prezenta secţiune în scopul analizării chestiunii. Oficiul pentru IA informează Consiliul IA cu privire la orice măsură în conformitate cu articolele 91-94.
(3)O alertă calificată trebuie să fie motivată corespunzător şi să indice cel puţin:
a)punctul de contact al furnizorului modelului de IA de uz general cu risc sistemic în cauză;
b)o descriere a faptelor relevante şi a motivelor care stau la baza alertei transmise de grupul ştiinţific;
c)orice alte informaţii pe care grupul ştiinţific le consideră relevante, inclusiv, după caz, informaţii colectate din proprie iniţiativă.
Art. 91: Competenţa de a solicita documente şi informaţii
(1)Comisia poate solicita furnizorului modelului de IA de uz general în cauză să furnizeze documentaţia întocmită de furnizor în conformitate cu articolele 53 şi 55 sau orice informaţii suplimentare care sunt necesare în scopul evaluării conformităţii furnizorului cu prezentul regulament.
(2)Înainte de trimiterea cererii de informaţii, Oficiul pentru IA poate iniţia un dialog structurat cu furnizorul modelului de IA de uz general.
(3)La cererea justificată în mod corespunzător a grupului ştiinţific, Comisia poate emite o cerere de informaţii adresată unui furnizor al unui model de IA de uz general, în cazul în care accesul la informaţii este necesar şi proporţional pentru îndeplinirea sarcinilor grupului ştiinţific în temeiul articolului 68 alineatul (2).
(4)Cererea de informaţii precizează temeiul juridic şi scopul cererii, specifică informaţiile solicitate, stabileşte termenul în care acestea trebuie furnizate şi indică amenzile prevăzute la articolul 101 pentru furnizarea de informaţii incorecte, incomplete sau înşelătoare.
(5)Furnizorul modelului de IA de uz general în cauză sau reprezentantul acestuia furnizează informaţiile solicitate. În cazul persoanelor juridice, al societăţilor sau firmelor ori în cazul în care furnizorul nu are personalitate juridică, persoanele autorizate să le reprezinte în temeiul legii sau al statutului lor furnizează informaţiile solicitate în numele furnizorului modelului de IA de uz general în cauză. Juriştii autorizaţi corespunzător să acţioneze în acest sens pot furniza informaţiile în numele clienţilor lor. Clienţii rămân totuşi pe deplin răspunzători în situaţia în care informaţiile furnizate sunt incomplete, incorecte sau înşelătoare.
Art. 92: Competenţa de a efectua evaluări
(1)Oficiul pentru IA, după consultarea Consiliului IA, poate efectua evaluări ale modelului de IA de uz general în cauză:
a)pentru a evalua respectarea de către furnizor a obligaţiilor care îi revin în temeiul prezentului regulament, în cazul în care informaţiile colectate în temeiul articolului 91 sunt insuficiente; sau
b)pentru a investiga riscurile sistemice la nivelul Uniunii ale modelelor de IA de uz general cu risc sistemic, în special în urma unei alerte calificate a grupului ştiinţific în conformitate cu articolul 90 alineatul (1) litera (a).
(2)Comisia poate decide să numească experţi independenţi care să efectueze evaluări în numele său, inclusiv din cadrul grupului ştiinţific instituit în temeiul articolului 68. Experţii independenţi numiţi pentru această sarcină îndeplinesc criteriile menţionate la articolul 68 alineatul (2).
(3)În sensul alineatului (1), Comisia poate solicita accesul la modelul de IA de uz general în cauză prin intermediul API sau al altor mijloace şi instrumente tehnice adecvate, inclusiv codul sursă.
(4)Cererea de acces menţionează temeiul juridic, scopul şi motivele cererii şi stabileşte termenul în care trebuie acordat accesul, precum şi amenzile prevăzute la articolul 101 pentru neacordarea accesului.
(5)Furnizorul modelului de IA de uz general în cauză sau reprezentantul acestuia furnizează informaţiile solicitate. În cazul persoanelor juridice, societăţilor sau firmelor ori în cazul în care furnizorul nu are personalitate juridică, persoanele autorizate să îl reprezinte în temeiul legii sau al statutului său furnizează accesul solicitat în numele furnizorului modelului de IA de uz general în cauză.
(6)Comisia adoptă acte de punere în aplicare care stabilesc modalităţile detaliate şi condiţiile evaluărilor, inclusiv modalităţile detaliate de implicare a experţilor independenţi, precum şi procedura de selecţie a acestora. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
(7)Înainte de a solicita accesul la modelul de IA de uz general în cauză, Oficiul pentru IA poate iniţia un dialog structurat cu furnizorul modelului de IA de uz general, pentru a colecta mai multe informaţii cu privire la testarea internă a modelului, la garanţiile interne pentru prevenirea riscurilor sistemice şi la alte proceduri şi măsuri interne pe care furnizorul le-a instituit pentru a atenua astfel de riscuri.
Art. 93: Competenţa de a solicita măsuri
(1)În cazul în care este necesar şi adecvat, Comisia le poate solicita furnizorilor:
a)să ia măsuri adecvate pentru a respecta obligaţiile prevăzute la articolele 53 şi 54;
b)să pună în aplicare măsuri de atenuare, în cazul în care evaluarea efectuată în conformitate cu articolul 92 a dat naştere unei preocupări serioase şi întemeiate cu privire la un risc sistemic la nivelul Uniunii;
c)să restricţioneze punerea la dispoziţie pe piaţă a modelului, să îl retragă sau să îl recheme.
(2)Înainte de a solicita o măsură, Oficiul pentru IA poate iniţia un dialog structurat cu furnizorul modelului de IA de uz general.
(3)În cazul în care, în cursul dialogului structurat menţionat la alineatul (2), furnizorul modelului de IA de uz general cu risc sistemic îşi asumă angajamente de a pune în aplicare măsuri de atenuare a unui risc sistemic la nivelul Uniunii, Comisia poate, prin intermediul unei decizii, să confere respectivelor angajamente caracter obligatoriu şi să declare că nu există alte motive pentru a acţiona.
Art. 94: Drepturile procedurale ale operatorilor economici ai modelului de IA de uz general
- Articolul 18 din Regulamentul (UE) 2019/1020 se aplică mutatis mutandis furnizorilor modelului de IA de uz general, fără a aduce atingere drepturilor procedurale mai specifice prevăzute în prezentul regulament.
Art. 95: Coduri de conduită pentru aplicarea voluntară a cerinţelor specifice
(1)Oficiul pentru IA şi statele membre încurajează şi facilitează elaborarea de coduri de conduită, inclusiv mecanisme de guvernanţă conexe, menite să promoveze aplicarea voluntară în cazul altor sisteme de IA decât sistemele de IA cu grad ridicat de risc a unora dintre cerinţele sau a tuturor cerinţelor prevăzute în capitolul III secţiunea 2, ţinând seama de soluţiile tehnice disponibile şi de bunele practici ale sectorului care permit aplicarea unor astfel de cerinţe.
(2)Oficiul pentru IA şi statele membre facilitează elaborarea de coduri de conduită privind aplicarea voluntară, inclusiv de către implementatori, a unor cerinţe specifice în privinţa tuturor sistemelor de IA, pe baza unor obiective clare şi a unor indicatori-cheie de performanţă pentru a măsura îndeplinirea obiectivelor respective, inclusiv a unor elemente precum următoarele, dar fără a se limita la acestea:
a)elementele aplicabile prevăzute în orientările etice ale Uniunii pentru o IA de încredere;
b)evaluarea şi reducerea la minimum a impactului sistemelor de IA asupra durabilităţii mediului, inclusiv în ceea ce priveşte programarea eficientă din punct de vedere energetic şi tehnici pentru proiectarea, antrenarea şi utilizarea eficientă a IA;
c)promovarea alfabetizării în domeniul IA, în special pe cea a persoanelor care se ocupă de dezvoltarea, operarea şi utilizarea IA;
d)facilitarea unei proiectări a sistemelor de IA care să ţină seama de incluziune şi diversitate, inclusiv prin crearea unor echipe de dezvoltare incluzive şi diverse şi promovarea participării părţilor interesate la acest proces;
e)evaluarea şi prevenirea impactului negativ al sistemelor de IA asupra persoanelor vulnerabile sau grupurilor de persoane vulnerabile, inclusiv în ceea ce priveşte accesibilitatea pentru persoanele cu dizabilităţi, precum şi asupra egalităţii de gen.
(3)Codurile de conduită pot fi elaborate de furnizori sau implementatori individuali de sisteme de IA sau de organizaţii care îi reprezintă sau de ambele, inclusiv cu implicarea oricăror părţi interesate şi a organizaţiilor lor reprezentative, inclusiv organizaţiile societăţii civile şi mediul academic. Codurile de conduită pot acoperi unul sau mai multe sisteme de IA, ţinând seama de similaritatea scopului preconizat al sistemelor relevante.
(4)Oficiul pentru IA şi statele membre ţin seama de interesele şi nevoile specifice ale IMM-urilor, inclusiv ale întreprinderilor nou-înfiinţate, atunci când încurajează şi facilitează elaborarea de coduri de conduită.
Art. 96: Orientări din partea Comisiei privind punerea în aplicare a prezentului regulament
(1)Comisia elaborează orientări privind punerea în aplicare practică a prezentului regulament, în special cu privire la:
a)aplicarea cerinţelor şi obligaţiilor menţionate la articolele 8-15 şi la articolul 25;
b)practicile interzise menţionate la articolul 5;
c)punerea în aplicare concretă a dispoziţiilor referitoare la modificarea substanţială;
d)punerea în aplicare concretă a obligaţiilor de transparenţă prevăzute la articolul 50;
e)informaţii detaliate privind relaţia dintre prezentul regulament şi actele legislative de armonizare ale Uniunii enumerate în anexa I, precum şi alte acte legislative relevante ale Uniunii, inclusiv în ceea ce priveşte coerenţa în aplicarea acestora;
f)aplicarea definiţiei unui sistem de IA astfel cum este prevăzută la articolul 3 punctul 1.
Atunci când emite astfel de orientări, Comisia acordă o atenţie deosebită nevoilor IMM-urilor, inclusiv ale întreprinderilor nou-înfiinţate, ale autorităţilor publice locale şi ale sectoarelor celor mai susceptibile de a fi afectate de prezentul regulament.
Orientările menţionate la primul paragraf de la prezentul alineat ţin seama în mod corespunzător de stadiul de avansare general recunoscut al tehnologiei în domeniul IA, precum şi de standardele armonizate şi specificaţiile comune relevante menţionate la articolele 40 şi 41 sau de acele standarde armonizate sau specificaţii tehnice care sunt stabilite în temeiul legislaţiei de armonizare a Uniunii.
(2)La cererea statelor membre sau a Oficiului pentru IA ori din proprie iniţiativă, Comisia actualizează orientările adoptate anterior atunci când consideră necesar.
Art. 97: Exercitarea delegării
(1)Competenţa de a adopta acte delegate este conferită Comisiei în condiţiile prevăzute la prezentul articol.
(2)Competenţa de a adopta acte delegate menţionată la articolul 6 alineatele (6) şi (7), la articolul 7 alineatele (1) şi (3), la articolul 11 alineatul (3), la articolul 43 alineatele (5) şi (6), la articolul 47 alineatul (5), la articolul 51 alineatul (3), la articolul 52 alineatul (4) şi la articolul 53 alineatele (5) şi (6) se conferă Comisiei pe o perioadă de cinci ani de la 1 august 2024. Comisia elaborează un raport privind delegarea de competenţe cu cel puţin nouă luni înainte de încheierea perioadei de cinci ani. Delegarea de competenţe se prelungeşte tacit cu perioade de timp identice, cu excepţia cazului în care Parlamentul European sau Consiliul se opune prelungirii respective cu cel puţin trei luni înainte de încheierea fiecărei perioade.
(3)Delegarea de competenţe menţionată la articolul 6 alineatele (6) şi (7), la articolul 7 alineatele (1) şi (3), la articolul 11 alineatul (3), la articolul 43 alineatele (5) şi (6), la articolul 47 alineatul (5), la articolul 51 alineatul (3), la articolul 52 alineatul (4) şi la articolul 53 alineatele (5) şi (6) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competenţe specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menţionată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.
(4)Înainte de adoptarea unui act delegat, Comisia consultă experţii desemnaţi de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituţional din 13 aprilie 2016 privind o mai bună legiferare.
(5)De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European şi Consiliului.
(6)Orice act delegat adoptat în temeiul articolului 6 alineatul (6) sau (7), al articolului 7 alineatul (1) sau (3), al articolului 11 alineatul (3), al articolului 43 alineatul (5) sau (6), al articolului 47 alineatul (5), al articolului 51 alineatul (3), al articolului 52 alineatul (4) sau al articolului 53 alineatul (5) sau (6) intră în vigoare numai în cazul în care nici Parlamentul European şi nici Consiliul nu au formulat obiecţii în termen de trei luni de la notificarea acestuia către Parlamentul European şi Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European şi Consiliul au informat Comisia că nu vor formula obiecţii. Respectivul termen se prelungeşte cu trei luni la iniţiativa Parlamentului European sau a Consiliului.
Art. 98: Procedura comitetului
(1)Comisia este asistată de un comitet. Respectivul comitet reprezintă un comitet în înţelesul Regulamentului (UE) nr. 182/2011.
(2)În cazul în care se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.
Art. 99: Sancţiuni
(1)În conformitate cu termenele şi condiţiile prevăzute în prezentul regulament, statele membre stabilesc normele privind sancţiunile şi alte măsuri de aplicare a legii, care pot include, de asemenea, avertismente şi măsuri nemonetare, aplicabile în cazul încălcării prezentului regulament de către operatori, şi iau toate măsurile necesare pentru a se asigura că acestea sunt puse în aplicare în mod corespunzător şi efectiv, ţinând astfel seama de orientările emise de Comisie în temeiul articolului 96. Sancţiunile prevăzute trebuie să fie efective, proporţionale şi cu efect de descurajare. Acestea ţin seama de interesele IMM-urilor, inclusiv ale întreprinderilor nou-înfiinţate, precum şi de viabilitatea lor economică.
(2)Statele membre îi notifică Comisiei, fără întârziere şi cel târziu până la data începerii aplicării, normele privind sancţiunile şi alte măsuri de aplicare a legii menţionate la alineatul (1) şi îi comunică acesteia fără întârziere orice modificare ulterioară a acestora.
(3)Nerespectarea oricăreia dintre interdicţiile privind practicile în domeniul IA menţionate la articolul 5 face obiectul unor amenzi administrative de până la 35 000 000 EUR sau, în cazul în care autorul infracţiunii este o întreprindere, de până la 7 % din cifra sa de afaceri mondială totală anuală pentru exerciţiul financiar precedent, luându-se în considerare valoarea cea mai mare dintre acestea.
(4)Neconformitatea cu oricare dintre următoarele dispoziţii referitoare la operatori sau la organismele notificate, altele decât cele prevăzute la articolul 5, face obiectul unor amenzi administrative de până la 15 000 000 EUR sau, în cazul în care autorul infracţiunii este o întreprindere, de până la 3 % din cifra sa de afaceri mondială totală anuală pentru exerciţiul financiar precedent, luându-se în considerare valoarea cea mai mare dintre acestea:
a)obligaţiile furnizorilor în temeiul articolului 16;
b)obligaţiile reprezentanţilor autorizaţi în temeiul articolului 22;
c)obligaţiile importatorilor în temeiul articolului 23;
d)obligaţiile distribuitorilor în temeiul articolului 24;
e)obligaţiile implementatorilor în temeiul articolului 26;
f)cerinţele şi obligaţiile organismelor notificate în temeiul articolului 31, al articolului 33 alineatele (1), (3) şi (4) sau al articolului 34;
g)obligaţiile de transparenţă pentru furnizori şi implementatori în temeiul articolului 50.
(5)Furnizarea de informaţii incorecte, incomplete sau înşelătoare organismelor notificate sau autorităţilor naţionale competente ca răspuns la o cerere face obiectul unor amenzi administrative de până la 7 500 000 EUR sau, în cazul în care autorul infracţiunii este o întreprindere, de până la 1 % din cifra sa de afaceri mondială totală anuală pentru exerciţiul financiar precedent, luându-se în considerare valoarea cea mai mare dintre acestea.
(6)În cazul IMM-urilor, inclusiv al întreprinderilor nou-înfiinţate, fiecare amendă menţionată la prezentul articol nu depăşeşte procentajele sau cuantumul menţionate la alineatele (3), (4) şi (5), luându-se în considerare valoarea cea mai mică dintre acestea.
(7)Atunci când se decide dacă să se impună o amendă administrativă şi când se decide cu privire la cuantumul amenzii administrative în fiecare caz în parte, se iau în considerare toate circumstanţele relevante ale situaţiei specifice şi, după caz, se acordă atenţie următoarelor aspecte:
a)natura, gravitatea şi durata încălcării şi a consecinţelor acesteia, ţinându-se seama de scopul sistemului de IA în cauză, precum şi, după caz, de numărul de persoane afectate şi de nivelul prejudiciilor suferite de acestea;
b)dacă alte autorităţi de supraveghere a pieţei au aplicat deja amenzi administrative aceluiaşi operator pentru aceeaşi încălcare;
c)dacă alte autorităţi au aplicat deja amenzi administrative aceluiaşi operator pentru încălcări ale altor acte din dreptul Uniunii sau de drept intern, în cazul în care astfel de încălcări rezultă din aceeaşi activitate sau omisiune care constituie o încălcare relevantă a prezentului regulament;
d)dimensiunile, cifra de afaceri anuală şi cota de piaţă ale operatorului care a săvârşit încălcarea;
e)orice alt factor agravant sau atenuant aplicabil circumstanţelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect ca urmare a încălcării;
f)gradul de cooperare cu autorităţile naţionale competente, pentru a remedia încălcarea şi a atenua efectele negative posibile ale încălcării;
g)gradul de responsabilitate al operatorului, ţinându-se seama de măsurile tehnice şi organizatorice puse în aplicare de acesta;
h)modul în care încălcarea a fost adusă la cunoştinţa autorităţilor naţionale competente, în special dacă şi, în caz afirmativ, în ce măsură operatorul a notificat încălcarea;
i)dacă încălcarea a fost comisă cu intenţie sau din culpă;
j)orice măsură luată de operator pentru a atenua dauna suferită de persoanele afectate.
(8)Fiecare stat membru stabileşte norme cu privire la măsura în care pot fi impuse amenzi administrative autorităţilor şi organismelor publice stabilite în statul membru respectiv.
(9)În funcţie de sistemul juridic al statelor membre, normele privind amenzile administrative pot fi aplicate astfel încât amenzile să fie impuse de instanţele naţionale competente sau de alte organisme, după cum este aplicabil în statele membre respective. Aplicarea unor astfel de norme în statele membre respective are un efect echivalent.
(10)Exercitarea competenţelor în temeiul prezentului articol are loc cu condiţia existenţei unor garanţii procedurale adecvate în conformitate cu dreptul Uniunii şi cu dreptul intern, inclusiv căi de atac judiciare eficace şi dreptul la un proces echitabil.
(11)Statele membre raportează anual Comisiei cu privire la amenzile administrative pe care le-au aplicat în cursul anului respectiv, în conformitate cu prezentul articol, precum şi cu privire la orice litigii sau proceduri judiciare conexe.
Art. 100: Amenzi administrative aplicate instituţiilor, organelor, oficiilor şi agenţiilor Uniunii
(1)Autoritatea Europeană pentru Protecţia Datelor poate impune amenzi administrative instituţiilor, organelor, oficiilor şi agenţiilor Uniunii care intră în domeniul de aplicare al prezentului regulament. Atunci când se decide dacă să se impună o amendă administrativă şi când se decide cu privire la cuantumul amenzii administrative în fiecare caz în parte, se iau în considerare toate circumstanţele relevante ale situaţiei specifice şi se acordă atenţia cuvenită următoarelor aspecte:
a)natura, gravitatea şi durata încălcării şi a consecinţelor acesteia, ţinând seama de scopul sistemului de IA în cauză, precum şi, după caz, de numărul de persoane afectate şi de nivelul prejudiciului suferit de acestea;
b)gradul de responsabilitate al instituţiei, organului, oficiului sau agenţiei Uniunii, ţinându-se seama de măsurile tehnice şi organizaţionale implementate de acestea;
c)orice măsură luată de instituţia, organul, oficiul sau agenţia Uniunii pentru a atenua prejudiciul suferit de persoanele afectate;
d)gradul de cooperare cu Autoritatea Europeană pentru Protecţia Datelor pentru a remedia încălcarea şi a atenua posibilele efecte negative ale încălcării, inclusiv respectarea oricăreia dintre măsurile dispuse anterior de Autoritatea Europeană pentru Protecţia Datelor împotriva instituţiei, organului, oficiului sau agenţiei Uniunii în cauză cu privire la acelaşi subiect;
e)eventualele încălcări anterioare similare comise de instituţia, organul, oficiul sau agenţia Uniunii;
f)modul în care încălcarea a fost adusă la cunoştinţa Autorităţii Europene pentru Protecţia Datelor, în special dacă şi în ce măsură instituţia, organul, oficiul sau agenţia Uniunii a notificat încălcarea;
g)bugetul anual al instituţiei, organului, oficiului sau agenţiei Uniunii.
(2)Nerespectarea interdicţiei privind practicile în domeniul inteligenţei artificiale menţionate la articolul 5 face obiectul unor amenzi administrative de până la 1 500 000 EUR.
(3)Neconformitatea sistemului de IA cu oricare dintre cerinţele sau obligaţiile în temeiul prezentului regulament, altele decât cele prevăzute la articolul 5, face obiectul unor amenzi administrative de până la 750 000 EUR.
(4)Înaintea adoptării unor decizii în temeiul prezentului articol, Autoritatea Europeană pentru Protecţia Datelor oferă instituţiei, organului, oficiului sau agenţiei Uniunii care face obiectul procedurilor desfăşurate de Autoritatea Europeană pentru Protecţia Datelor posibilitatea de a fi audiată cu privire la posibila încălcare. Autoritatea Europeană pentru Protecţia Datelor îşi fundamentează deciziile doar pe elementele şi circumstanţele asupra cărora părţile în cauză au putut formula observaţii. Reclamanţii, dacă există, sunt implicaţi îndeaproape în proceduri.
(5)Drepturile la apărare ale părţilor în cauză sunt pe deplin respectate în cadrul procedurilor. Părţile au drept de acces la dosarul Autorităţii Europene pentru Protecţia Datelor, sub rezerva interesului legitim al persoanelor fizice sau al întreprinderilor în ceea ce priveşte protecţia datelor cu caracter personal sau a secretelor comerciale ale acestora.
(6)Fondurile colectate prin impunerea amenzilor prevăzute la prezentul articol contribuie la bugetul general al Uniunii. Amenzile nu afectează funcţionarea eficace a instituţiei, organului, oficiului sau agenţiei Uniunii amendate.
(7)Autoritatea Europeană pentru Protecţia Datelor notifică anual Comisiei amenzile administrative pe care le-a impus în temeiul prezentului articol şi orice litigii sau orice proceduri judiciare pe care le-a iniţiat.
Art. 101: Amenzi pentru furnizorii de modele de IA de uz general
(1)Comisia poate impune furnizorilor de modele de IA de uz general amenzi care nu depăşesc 3 % din cifra lor de afaceri mondială totală anuală pentru exerciţiul financiar precedent sau 15 000 000 EUR, luându-se în considerare valoarea cea mai mare dintre acestea, atunci când Comisia constată că un furnizor, cu intenţie sau din culpă:
a)a încălcat dispoziţiile relevante din prezentul regulament;
b)nu s-a conformat unei solicitări de documente sau de informaţii în temeiul articolului 91 sau a furnizat informaţii incorecte, incomplete sau înşelătoare;
c)nu s-a conformat unei măsuri solicitate în temeiul articolului 93;
d)nu a pus la dispoziţia Comisiei accesul la modelul de IA de uz general sau la modelul de IA de uz general cu risc sistemic în vederea efectuării unei evaluări în temeiul articolului 92.
La stabilirea cuantumului amenzii sau al penalităţilor cu titlu cominatoriu, se iau în considerare natura, gravitatea şi durata încălcării, ţinându-se seama în mod corespunzător de principiile proporţionalităţii şi adecvării. De asemenea, Comisia ia în considerare angajamentele asumate în conformitate cu articolul 93 alineatul (3) sau în temeiul codurilor de bune practici relevante, în conformitate cu articolul 56.
(2)Înainte de adoptarea deciziei în temeiul alineatului (1), Comisia comunică constatările sale preliminare furnizorului modelului de IA de uz general şi îi oferă o posibilitate de a fi audiat.
(3)Amenzile impuse în conformitate cu prezentul articol trebuie să fie efective, proporţionale şi cu efect de descurajare.
(4)Informaţiile privind amenzile impuse în temeiul prezentului articol se comunică de asemenea Consiliului IA, după caz.
(5)Curtea de Justiţie a Uniunii Europene are competenţa de fond de a examina deciziile Comisiei de stabilire a unei amenzi în temeiul prezentului articol. Curtea poate să anuleze, să reducă sau să majoreze amenda impusă.
(6)Comisia adoptă acte de punere în aplicare privind modalităţile detaliate şi garanţiile procedurale ale procedurilor în vederea posibilei adoptări de decizii în temeiul alineatului (1) de la prezentul articol. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
Art. 102: Modificarea Regulamentului (CE) nr. 300/2008
La articolul 4 alineatul (3) din Regulamentul (CE) nr. 300/2008, se adaugă următorul paragraf:
"La adoptarea măsurilor detaliate referitoare la specificaţiile tehnice şi procedurile de aprobare şi utilizare a echipamentelor de securitate în ceea ce priveşte sistemele de inteligenţă artificială în sensul Regulamentului (UE) 2024/1689 al Parlamentului European şi al Consiliului (*1), se ţine seama de cerinţele prevăzute în capitolul III secţiunea 2 din regulamentul respectiv.
(*1)Regulamentul (UE) 2024/1689 al Parlamentului European şi al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială) (JO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj)."
Art. 103: Modificarea Regulamentului (UE) nr. 167/2013
La articolul 17 alineatul (5) din Regulamentul (UE) nr. 167/2013, se adaugă următorul paragraf:
"La adoptarea actelor delegate în temeiul primului paragraf în ceea ce priveşte sistemele de inteligenţă artificială care sunt componente de siguranţă în sensul Regulamentului (UE) 2024/1689 al Parlamentului European şi al Consiliului (*2), se ţine seama de cerinţele prevăzute în capitolul III secţiunea 2 din regulamentul respectiv.
(*2)Regulamentul (UE) 2024/1689 al Parlamentului European şi al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială) (JO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj)."
Art. 104: Modificarea Regulamentului (UE) nr. 168/2013
La articolul 22 alineatul (5) din Regulamentul (UE) nr. 168/2013, se adaugă următorul paragraf:
"La adoptarea actelor delegate în temeiul primului paragraf în ceea ce priveşte sistemele de inteligenţă artificială care sunt componente de siguranţă în sensul Regulamentului (UE) 2024/1689 al Parlamentului European şi al Consiliului (*3), se ţine seama de cerinţele prevăzute în capitolul III secţiunea 2 din regulamentul respectiv.
(*3)Regulamentul (UE) 2024/1689 al Parlamentului European şi al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială) (JO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj)."
Art. 105: Modificarea Directivei 2014/90/UE
La articolul 8 din Directiva 2014/90/UE, se adaugă următorul alineat:
"(5) Pentru sistemele de inteligenţă artificială care sunt componente de siguranţă în sensul Regulamentului (UE) 2024/1689 al Parlamentului European şi al Consiliului (*4), atunci când îşi desfăşoară activităţile în temeiul alineatului (1) şi atunci când adoptă specificaţii tehnice şi standarde de testare în conformitate cu alineatele (2) şi (3), Comisia ţine seama de cerinţele prevăzute în capitolul III secţiunea 2 din regulamentul respectiv.
(*4)Regulamentul (UE) 2024/1689 al Parlamentului European şi al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială) (JO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj)."
Art. 106: Modificarea Directivei (UE) 2016/797
La articolul 5 din Directiva (UE) 2016/797, se adaugă următorul alineat:
"(12) La adoptarea actelor delegate în temeiul alineatului (1) şi a actelor de punere în aplicare în temeiul alineatului (11) în ceea ce priveşte sistemele de inteligenţă artificială care sunt componente de siguranţă în sensul Regulamentului (UE) 2024/1689 al Parlamentului European şi al Consiliului (*5), se ţine seama de cerinţele prevăzute în capitolul III secţiunea 2 din regulamentul respectiv.
(*5)Regulamentul (UE) 2024/1689 al Parlamentului European şi al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială) (JO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj)."
Art. 107: Modificarea Regulamentului (UE) 2018/858
La articolul 5 din Regulamentul (UE) 2018/858, se adaugă următorul alineat:
"(4) La adoptarea actelor delegate în temeiul alineatului (3) în ceea ce priveşte sistemele de inteligenţă artificială care sunt componente de siguranţă în sensul Regulamentului (UE) 2024/1689 al Parlamentului European şi al Consiliului (*6), se ţine seama de cerinţele prevăzute în capitolul III secţiunea 2 din regulamentul respectiv.
(*6)Regulamentul (UE) 2024/1689 al Parlamentului European şi al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială) (JO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj)."
Art. 108: Modificarea Regulamentului (UE) 2018/1139
Regulamentul (UE) 2018/1139 se modifică după cum urmează:
1.La articolul 17, se adaugă următorul alineat:
"(3) Fără a aduce atingere alineatului (2), la adoptarea actelor de punere în aplicare în temeiul alineatului (1) în ceea ce priveşte sistemele de inteligenţă artificială care sunt componente de siguranţă în sensul Regulamentului (UE) 2024/1689 al Parlamentului European şi al Consiliului (*7), se ţine seama de cerinţele prevăzute în capitolul III secţiunea 2 din regulamentul respectiv.
(*7)Regulamentul (UE) 2024/1689 al Parlamentului European şi al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială) (JO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj)."
2.La articolul 19, se adaugă următorul alineat:
"(4) La adoptarea actelor delegate în temeiul alineatelor (1) şi (2) în ceea ce priveşte sistemele de inteligenţă artificială care sunt componente de siguranţă în sensul Regulamentului (UE) 2024/1689, se ţine seama de cerinţele prevăzute în capitolul III secţiunea 2 din regulamentul respectiv."
3.La articolul 43, se adaugă următorul alineat:
"(4) La adoptarea actelor de punere în aplicare în temeiul alineatului (1) în ceea ce priveşte sistemele de inteligenţă artificială care sunt componente de siguranţă în sensul Regulamentului (UE) 2024/1689, se ţine seama de cerinţele prevăzute în capitolul III secţiunea 2 din regulamentul respectiv."
4.La articolul 47, se adaugă următorul alineat:
"(3) La adoptarea actelor delegate în temeiul alineatelor (1) şi (2) în ceea ce priveşte sistemele de inteligenţă artificială care sunt componente de siguranţă în sensul Regulamentului (UE) 2024/1689 se ţine seama de cerinţele prevăzute în capitolul III secţiunea 2 din regulamentul respectiv."
5.La articolul 57, se adaugă următorul paragraf:
"La adoptarea actelor de punere în aplicare în ceea ce priveşte sistemele de inteligenţă artificială care sunt componente de siguranţă în sensul Regulamentului (UE) 2024/1689 se ţine seama de cerinţele prevăzute în capitolul III secţiunea 2 din regulamentul respectiv."
6.La articolul 58, se adaugă următorul alineat:
"(3) La adoptarea actelor delegate în temeiul alineatelor (1) şi (2) în ceea ce priveşte sistemele de inteligenţă artificială care sunt componente de siguranţă în sensul Regulamentului (UE) 2024/1689, se ţine seama de cerinţele prevăzute în capitolul III secţiunea 2 din regulamentul respectiv."
Art. 109: Modificarea Regulamentului (UE) 2019/2144
La articolul 11 din Regulamentul (UE) 2019/2144 se adaugă următorul alineat:
"(3) La adoptarea actelor de punere în aplicare în temeiul alineatului (2) în ceea ce priveşte sistemele de inteligenţă artificială care sunt componente de siguranţă în sensul Regulamentului (UE) 2024/1689 al Parlamentului European şi al Consiliului (*8), se ţine seama de cerinţele prevăzute în capitolul III secţiunea 2 din regulamentul respectiv.
(*8)Regulamentul (UE) 2024/1689 al Parlamentului European şi al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială) (JO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj)."
Art. 110: Modificarea Directivei (UE) 2020/1828
În anexa I la Directiva (UE) 2020/1828 a Parlamentului European şi a Consiliului (58) se adaugă următorul punct:
(58)Directiva (UE) 2020/1828 a Parlamentului European şi a Consiliului din 25 noiembrie 2020 privind acţiunile în reprezentare pentru protecţia intereselor colective ale consumatorilor şi de abrogare a Directivei 2009/22/CE (JO L 409, 4.12.2020, p. 1).
"(68) Regulamentul (UE) 2024/1689 al Parlamentului European şi al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială) (JO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj)."
Art. 111: Sisteme de IA deja introduse pe piaţă sau puse în funcţiune şi modele de IA de uz general deja introduse pe piaţă
(1)Fără a aduce atingere aplicării articolului 5, astfel cum se menţionează la articolul 113 alineatul (3) litera (a), până la 31 decembrie 2030 se asigură conformitatea cu prezentul regulament a sistemelor de IA care sunt componente ale sistemelor informatice la scară largă instituite prin actele juridice enumerate în anexa X şi care au fost introduse pe piaţă sau puse în funcţiune înainte de 2 august 2027.
Cerinţele prevăzute în prezentul regulament sunt luate în considerare la evaluarea fiecărui sistem informatic la scară largă instituit prin actele juridice enumerate în anexa X, care urmează să fie desfăşurată astfel cum se prevede în actele juridice respective şi în cazul în care actele juridice respective sunt înlocuite sau modificate.
(2)Fără a aduce atingere aplicării articolul 5, astfel cum se menţionează la articolul 113 alineatul (3) litera (a), prezentul regulament se aplică operatorilor de sisteme de IA cu grad ridicat de risc, altele decât sistemele menţionate la alineatul (1) de la prezentul articol, care au fost introduse pe piaţă sau puse în funcţiune înainte de 2 august 2026, numai dacă, de la data respectivă, sistemele respective fac obiectul unor modificări semnificative în ceea ce priveşte proiectarea lor. În orice caz, furnizorii şi implementatorii sistemelor de IA cu grad ridicat de risc destinate a fi utilizate de autorităţile publice iau măsurile necesare pentru a se conforma cerinţelor şi obligaţiilor din prezentul regulament până la 2 august 2030.
(3)Furnizorii de modele de IA de uz general care au fost introduse pe piaţă înainte de 2 august 2025 iau măsurile necesare pentru a se conforma obligaţiilor prevăzute în prezentul regulament până la 2 august 2027.
Art. 112: Evaluare şi revizuire
(1)Comisia evaluează necesitatea modificării listei din anexa III şi a listei practicilor interzise în domeniul IA stabilite la articolul 5 o dată pe an după intrarea în vigoare a prezentului regulament şi până la sfârşitul perioadei de delegare a competenţelor stabilite la articolul 97. Comisia transmite rezultatele acestei evaluări Parlamentului European şi Consiliului.
(2)Până la 2 august 2028 şi, ulterior, o dată la patru ani, Comisia evaluează următoarele aspecte şi prezintă Parlamentului European şi Consiliului un raport cu privire la acestea:
a)necesitatea unor modificări de extindere a rubricilor de domeniu existente sau a adăugării unor noi rubrici de domeniu în anexa III;
b)aducerea de modificări listei de sisteme de IA care necesită măsuri suplimentare de asigurare a transparenţei astfel cum se menţionează la articolul 50;
c)aducerea de modificări care să sporească eficacitatea sistemului de supraveghere şi de guvernanţă.
(3)Până la 2 august 2029 şi, ulterior, o dată la patru ani, Comisia prezintă Parlamentului European şi Consiliului un raport privind evaluarea şi revizuirea prezentului regulament. Raportul include o evaluare a structurii aplicării legii şi a eventualei necesităţi ca o agenţie a Uniunii să soluţioneze orice deficienţe identificate. Pe baza constatărilor, raportul respectiv este însoţit, după caz, de o propunere de modificare a prezentului regulament. Rapoartele sunt făcute publice.
(4)Rapoartele menţionate la alineatul (2) acordă o atenţie deosebită următoarelor aspecte:
a)situaţia resurselor financiare, tehnice şi umane ale autorităţilor naţionale competente în vederea îndeplinirii cu eficacitate a sarcinilor care le-au fost încredinţate în temeiul prezentului regulament;
b)situaţia sancţiunilor, în special a amenzilor administrative, astfel cum sunt menţionate la articolul 99 alineatul (1), aplicate de statele membre în cazuri de încălcare a prezentului regulament;
c)standardele armonizate adoptate şi specificaţiile comune elaborate pentru a sprijini prezentul regulament;
d)numărul de întreprinderi care intră pe piaţă după începerea aplicării prezentului regulament şi câte dintre acestea sunt IMM-uri.
(5)Până la 2 august 2028, Comisia evaluează funcţionarea Oficiului pentru IA, dacă Oficiul pentru IA a primit suficiente atribuţii şi competenţe pentru a-şi îndeplini sarcinile şi dacă ar fi relevant şi necesar, pentru punerea în aplicare şi respectarea în mod corespunzător a prezentului regulament, ca Oficiul pentru IA şi competenţele sale de executare să fie întărite şi resursele sale să fie sporite. Comisia transmite un raport privind evaluarea sa Parlamentului European şi Consiliului.
(6)Până la 2 august 2028 şi, ulterior, o dată la patru ani, Comisia prezintă Parlamentului European şi Consiliului un raport privind evaluarea progreselor înregistrate în elaborarea documentelor de standardizare privind dezvoltarea eficientă din punct de vedere energetic a modelelor de IA de uz general şi evaluează necesitatea unor măsuri sau acţiuni suplimentare, inclusiv a unor măsuri sau acţiuni obligatorii. Raportul se transmite Parlamentului European şi Consiliului şi se face public.
(7)Până la 2 august 2028 şi, ulterior, o dată la trei ani, Comisia evaluează impactul şi eficacitatea codurilor de conduită voluntare în ceea ce priveşte încurajarea aplicării cerinţelor prevăzute în capitolul III secţiunea 2 pentru sistemele de IA, altele decât sistemele de IA cu grad ridicat de risc şi, eventual, a altor cerinţe suplimentare pentru sistemele de IA, altele decât sistemele de IA cu grad ridicat de risc, inclusiv în privinţa durabilităţii mediului.
(8)În sensul alineatelor (1)-(7), Consiliul IA, statele membre şi autorităţile naţionale competente furnizează Comisiei informaţii la cererea acesteia şi fără întârzieri nejustificate.
(9)La efectuarea evaluărilor şi a revizuirilor menţionate la alineatele (1)-(7), Comisia ţine seama de poziţiile şi constatările Consiliului IA, ale Parlamentului European, ale Consiliului, precum şi ale altor organisme sau surse relevante.
(10)Comisia transmite, dacă este necesar, propuneri corespunzătoare de modificare a prezentului regulament, în special ţinând seama de evoluţiile din domeniul tehnologiei, de efectul sistemelor de IA asupra sănătăţii şi siguranţei, precum şi asupra drepturilor fundamentale, şi având în vedere progresele societăţii informaţionale.
(11)Pentru a ghida evaluările şi revizuirile menţionate la alineatele (1)-(7) de la prezentul articol, Oficiul pentru IA elaborează o metodologie obiectivă şi participativă pentru evaluarea nivelului de risc pe baza criteriilor stabilite la articolele relevante şi includerea unor sisteme noi în:
a)lista prevăzută în anexa III, inclusiv extinderea rubricilor de domeniu existente sau adăugarea unor noi rubrici de domeniu în anexa respectivă;
b)lista de practici interzise prevăzute la articolul 5; şi
c)în lista de sisteme de IA care necesită măsuri suplimentare de asigurare a transparenţei în temeiul articolului 50.
(12)Orice modificare a prezentului regulament în temeiul alineatului (10) sau orice act delegat ori de punere în aplicare relevant, care vizează actele legislative sectoriale de armonizare ale Uniunii enumerate în secţiunea B din anexa I, ia în considerare particularităţile de reglementare ale fiecărui sector şi mecanismele şi autorităţile existente de guvernanţă, de evaluare a conformităţii şi de aplicare a legii instituite în actele respective.
(13)Până la 2 august 2031, Comisia efectuează o evaluare aplicării prezentului regulament şi prezintă un raport referitor la aceasta Parlamentului European, Consiliului şi Comitetului Economic şi Social European, vizând primii ani de aplicare a prezentului regulament. Pe baza constatărilor, raportul este însoţit, după caz, de o propunere de modificare a prezentului regulament cu privire la structura aplicării legii şi la necesitatea ca o agenţie a Uniunii să soluţioneze deficienţele identificate.
Art. 113: Intrare în vigoare şi aplicare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Se aplică de la 2 august 2026.
Cu toate acestea:
(a)capitolele I şi II se aplică de la 2 februarie 2025;
(b)capitolul III secţiunea 4, capitolul V, capitolul VII, capitolul XII şi articolul 78 se aplică de la 2 august 2025, cu excepţia articolului 101;
(c)articolul 6 alineatul (1) şi obligaţiile corespunzătoare din prezentul regulament se aplică de la 2 august 2027.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplică direct în toate statele membre.
-****-
Adoptat la Bruxelles, 13 iunie 2024.

Pentru Parlamentul European

Preşedintele

R. METSOLA

Pentru Consiliu

Preşedintele

M. MICHEL

ANEXA I:Lista legislaţiei de armonizare a Uniunii
Secţiunea A:Lista actelor legislative de armonizare ale Uniunii pe baza noului cadru legislativ

1.

Directiva 2006/42/CE a Parlamentului European şi a Consiliului din 17 mai 2006 privind echipamentele tehnice şi de modificare a Directivei 95/16/CE (JO L 157, 9.6.2006, p. 24) (astfel cum a fost abrogată de Regulamentul privind echipamentele tehnice);

2.

Directiva 2009/48/CE a Parlamentului European şi a Consiliului din 18 iunie 2009 privind siguranţa jucăriilor (JO L 170, 30.6.2009, p. 1);

3.

Directiva 2013/53/UE a Parlamentului European şi a Consiliului din 20 noiembrie 2013 privind ambarcaţiunile de agrement şi motovehiculele nautice şi de abrogare a Directivei 94/25/CE (JO L 354, 28.12.2013, p. 90);

4.

Directiva 2014/33/UE a Parlamentului European şi a Consiliului din 26 februarie 2014 de armonizare a legislaţiilor statelor membre referitoare la ascensoare şi la componentele de siguranţă pentru ascensoare (JO L 96, 29.3.2014, p. 251);

5.

Directiva 2014/34/UE a Parlamentului European şi a Consiliului din 26 februarie 2014 privind armonizarea legislaţiilor statelor membre referitoare la echipamentele şi sistemele de protecţie destinate utilizării în atmosfere potenţial explozive (JO L 96, 29.3.2014, p. 309);

6.

Directiva 2014/53/UE a Parlamentului European şi a Consiliului din 16 aprilie 2014 privind armonizarea legislaţiei statelor membre referitoare la punerea la dispoziţie pe piaţă a echipamentelor radio şi de abrogare a Directivei 1999/5/CE (JO L 153, 22.5.2014, p. 62);

7.

Directiva 2014/68/UE a Parlamentului European şi a Consiliului din 15 mai 2014 privind armonizarea legislaţiei statelor membre referitoare la punerea la dispoziţie pe piaţă a echipamentelor sub presiune (JO L 189, 27.6.2014, p. 164);

8.

Regulamentul (UE) 2016/424 al Parlamentului European şi al Consiliului din 9 martie 2016 privind instalaţiile pe cablu şi de abrogare a Directivei 2000/9/CE (JO L 81, 31.3.2016, p. 1);

9.

Regulamentul (UE) 2016/425 al Parlamentului European şi al Consiliului din 9 martie 2016 privind echipamentele individuale de protecţie şi de abrogare a Directivei 89/686/CEE a Consiliului (JO L 81, 31.3.2016, p. 51);

10.

Regulamentul (UE) 2016/426 al Parlamentului European şi al Consiliului din 9 martie 2016 privind aparatele consumatoare de combustibili gazoşi şi de abrogare a Directivei 2009/142/CE (JO L 81, 31.3.2016, p. 99);

11.

Regulamentul (UE) 2017/745 al Parlamentului European şi al Consiliului din 5 aprilie 2017 privind dispozitivele medicale, de modificare a Directivei 2001/83/CE, a Regulamentului (CE) nr. 178/2002 şi a Regulamentului (CE) nr. 1223/2009 şi de abrogare a Directivelor 90/385/CEE şi 93/42/CEE ale Consiliului (JO L 117, 5.5.2017, p. 1);

12.

Regulamentul (UE) 2017/746 al Parlamentului European şi al Consiliului din 5 aprilie 2017 privind dispozitivele medicale pentru diagnostic in vitro şi de abrogare a Directivei 98/79/CE şi a Deciziei 2010/227/UE a Comisiei (JO L 117, 5.5.2017, p. 176).

Secţiunea B:Lista altor acte legislative de armonizare ale Uniunii

13.

Regulamentul (CE) nr. 300/2008 al Parlamentului European şi al Consiliului din 11 martie 2008 privind norme comune în domeniul securităţii aviaţiei civile şi de abrogare a Regulamentului (CE) nr. 2320/2002 (JO L 97, 9.4.2008, p. 72);

14.

Regulamentul (UE) nr. 168/2013 al Parlamentului European şi al Consiliului din 15 ianuarie 2013 privind omologarea şi supravegherea pieţei pentru vehiculele cu două sau trei roţi şi pentru cvadricicluri (JO L 60, 2.3.2013, p. 52);

15.

Regulamentul (UE) nr. 167/2013 al Parlamentului European şi al Consiliului din 5 februarie 2013 privind omologarea şi supravegherea pieţei pentru vehiculele agricole şi forestiere (JO L 60, 2.3.2013, p. 1);

16.

Directiva 2014/90/UE a Parlamentului European şi a Consiliului din 23 iulie 2014 privind echipamentele maritime şi de abrogare a Directivei 96/98/CE a Consiliului (JO L 257, 28.8.2014, p. 146);

17.

Directiva (UE) 2016/797 a Parlamentului European şi a Consiliului din 11 mai 2016 privind interoperabilitatea sistemului feroviar în Uniunea Europeană (JO L 138, 26.5.2016, p. 44);

18.

Regulamentul (UE) 2018/858 al Parlamentului European şi al Consiliului din 30 mai 2018 privind omologarea şi supravegherea pieţei autovehiculelor şi remorcilor acestora, precum şi ale sistemelor, componentelor şi unităţilor tehnice separate destinate vehiculelor respective, de modificare a Regulamentelor (CE) nr. 715/2007 şi (CE) nr. 595/2009 şi de abrogare a Directivei 2007/46/CE (JO L 151, 14.6.2018, p. 1);

19.

Regulamentul (UE) 2019/2144 al Parlamentului European şi al Consiliului din 27 noiembrie 2019 privind cerinţele pentru omologarea de tip a autovehiculelor şi remorcilor acestora, precum şi a sistemelor, componentelor şi unităţilor tehnice separate destinate unor astfel de vehicule, în ceea ce priveşte siguranţa generală a acestora şi protecţia ocupanţilor vehiculului şi a utilizatorilor vulnerabili ai drumurilor, de modificare a Regulamentului (UE) 2018/858 al Parlamentului European şi al Consiliului şi de abrogare a Regulamentelor (CE) nr. 78/2009, (CE) nr. 79/2009 şi (CE) nr. 661/2009 ale Parlamentului European şi ale Consiliului şi a Regulamentelor (CE) nr. 631/2009, (UE) nr. 406/2010, (UE) nr. 672/2010, (UE) nr. 1003/2010, (UE) nr. 1005/2010, (UE) nr. 1008/2010, (UE) nr. 1009/2010, (UE) nr. 19/2011, (UE) nr. 109/2011, (UE) nr. 458/2011, (UE) nr. 65/2012, (UE) nr. 130/2012, (UE) nr. 347/2012, (UE) nr. 351/2012, (UE) nr. 1230/2012 şi (UE) 2015/166 ale Comisie (JO L 325, 16.12.2019, p. 1);

20.

Regulamentul (UE) 2018/1139 al Parlamentului European şi al Consiliului din 4 iulie 2018 privind normele comune în domeniul aviaţiei civile şi de înfiinţare a Agenţiei Uniunii Europene pentru Siguranţa Aviaţiei, de modificare a Regulamentelor (CE) nr. 2111/2005, (CE) nr. 1008/2008, (UE) nr. 996/2010, (UE) nr. 376/2014 şi a Directivelor 2014/30/UE şi 2014/53/UE ale Parlamentului European şi ale Consiliului, precum şi de abrogare a Regulamentelor (CE) nr. 552/2004 şi (CE) nr. 216/2008 ale Parlamentului European şi ale Consiliului şi a Regulamentului (CEE) nr. 3922/91 al Consiliului (JO L 212, 22.8.2018, p. 1), în ceea ce priveşte proiectarea, producerea şi introducerea pe piaţă a aeronavelor menţionate la articolul 2 alineatul (1) literele (a) şi (b), în cazul aeronavelor fără pilot la bord şi al motoarelor, elicelor, pieselor şi echipamentelor acestora de control de la distanţă.

ANEXA II:Lista infracţiunilor menţionate la articolul 5 alineatul (1) primul paragraf litera (h) punctul (iii)
Infracţiunile menţionate la articolul 5 alineatul (1) primul paragraf litera (h) punctul (iii):
- terorism;
- trafic de fiinţe umane;
- exploatare sexuală a copiilor şi pornografie infantilă;
- trafic ilicit de stupefiante sau de substanţe psihotrope;
- trafic ilicit de arme, muniţii sau substanţe explozive;
- omor, vătămare corporală gravă;
- trafic ilicit de organe sau ţesuturi umane;
- trafic ilicit de materiale nucleare sau radioactive;
- răpire, lipsire de libertate în mod ilegal sau luare de ostatici;
- infracţiuni de competenţa Curţii Penale Internaţionale;
- sechestrare ilicită de aeronave sau de nave;
- viol;
- infracţiuni împotriva mediului;
- jaf organizat sau armat;
- sabotaj;
- participare la o organizaţie criminală implicată în una sau mai multe dintre infracţiunile enumerate mai sus.
ANEXA III:Sisteme de IA cu grad ridicat de risc menţionate la articolul 6 alineatul (2)
Sistemele de IA cu grad ridicat de risc conform articolului 6 alineatul (2) sunt sistemele de IA aparţinând oricăruia dintre următoarele domenii:
1.Biometrie, în măsura în care utilizarea acesteia este permisă în temeiul dreptului Uniunii sau intern relevant:
(a)sisteme de identificare biometrică la distanţă.
Acestea nu includ sistemele de IA destinate a fi utilizate pentru verificarea biometrică al cărei unic scop este de a confirma că o anumită persoană fizică este persoana care susţine că este;
(b)sisteme de IA destinate a fi utilizate pentru clasificarea biometrică, în funcţie de atribute sau caracteristici sensibile ori protejate, pe baza deducerii acestor atribute sau caracteristici;
(c)sisteme de IA destinate a fi utilizate pentru recunoaşterea emoţiilor.
2.Infrastructură critică: sisteme de IA destinate a fi utilizate drept componente de siguranţă în gestionarea şi exploatarea infrastructurii digitale critice, a traficului rutier sau a aprovizionării cu apă, gaz, încălzire ori energie electrică.
3.Educaţie şi formare profesională:
(a)sisteme de IA destinate a fi utilizate pentru a stabili accesul ori admisia sau pentru a repartiza persoane fizice la instituţiile de învăţământ şi formare profesională la toate nivelurile;
(b)sisteme de IA destinate a fi utilizate pentru a evalua rezultatele învăţării, inclusiv atunci când acestea sunt utilizate pentru a orienta procesul de învăţare al persoanelor fizice în instituţiile de învăţământ şi formare profesională la toate nivelurile;
(c)sisteme de IA destinate a fi utilizate în scopul evaluării nivelului adecvat de educaţie pe care o persoană îl va primi sau îl va putea accesa, în contextul sau în cadrul instituţiilor de învăţământ şi formare profesională la toate nivelurile;
(d)sisteme de IA destinate a fi utilizate pentru monitorizarea şi detectarea comportamentului interzis al elevilor şi studenţilor în timpul testelor, în contextul sau în cadrul instituţiilor de educaţie şi formare profesională la toate nivelurile.
4.Ocuparea forţei de muncă, gestionarea lucrătorilor şi accesul la activităţi independente:
(a)sisteme de IA destinate a fi utilizate pentru recrutarea sau selectarea persoanelor fizice, în special pentru a plasa anunţuri de angajare direcţionate în mod specific, pentru a analiza şi a filtra candidaturile pentru locuri de muncă şi pentru a evalua candidaţii;
(b)sisteme de IA destinate a fi utilizate pentru a lua decizii care afectează termenii relaţiilor legate de muncă, promovarea şi încetarea relaţiilor contractuale legate de muncă, pentru a aloca sarcini pe baza comportamentului individual sau a trăsăturilor ori caracteristicilor personale sau pentru a monitoriza şi evalua performanţa şi comportamentul persoanelor aflate în astfel de relaţii.
5.Accesul la servicii private esenţiale şi la servicii şi beneficii publice esenţiale, precum şi posibilitatea de a beneficia de acestea:
(a)sisteme de IA destinate a fi utilizate de autorităţile publice sau în numele autorităţilor publice pentru a evalua eligibilitatea persoanelor fizice pentru prestaţii şi servicii de asistenţă publică esenţiale, inclusiv servicii de îngrijiri de sănătate, precum şi pentru a acorda, a reduce, a revoca sau a recupera astfel de prestaţii şi servicii;
(b)sisteme de IA destinate a fi utilizate pentru a evalua bonitatea persoanelor fizice sau pentru a stabili punctajul lor de credit, cu excepţia sistemelor de IA utilizate în scopul detectării fraudelor financiare;
(c)sisteme de IA destinate a fi utilizate pentru evaluarea riscurilor şi stabilirea preţurilor în ceea ce priveşte persoanele fizice în cazul asigurărilor de viaţă şi de sănătate;
(d)sisteme de IA destinate pentru a evalua şi a clasifica apelurile de urgenţă efectuate de persoane fizice sau pentru a distribui ori pentru a stabili prioritatea în distribuirea serviciilor de primă intervenţie de urgenţă, inclusiv de către poliţie, pompieri şi asistenţa medicală, precum şi în cadrul sistemelor de triaj de urgenţă pentru pacienţi.
6.Aplicarea legii, în măsura în care utilizarea lor este permisă în temeiul dreptului Uniunii sau intern relevant:
(a)sisteme de IA destinate a fi utilizate de către sau în numele autorităţilor de aplicare a legii sau de către instituţiile, organele, oficiile ori agenţiile Uniunii în sprijinul autorităţilor de aplicare a legii sau în numele acestora pentru a evalua riscul ca o persoană fizică să devină victima unor infracţiuni;
(b)sisteme de IA destinate a fi utilizate de către sau în numele autorităţilor de aplicare a legii ca poligrafe sau instrumente similare sau de către instituţiile, organele, oficiile ori agenţiile Uniunii în sprijinul autorităţilor de aplicare a legii;
(c)sisteme de IA destinate a fi utilizate de către sau în numele autorităţilor de aplicare a legii sau de instituţiile, organele, oficiile ori agenţiile Uniunii în sprijinul autorităţilor de aplicare a legii pentru a evalua fiabilitatea probelor în cursul investigării sau al urmăririi penale a infracţiunilor;
(d)sisteme de IA destinate a fi utilizate de către autorităţile de aplicare a legii sau în numele acestora de către instituţiile, organele, oficiile sau agenţiile Uniunii în sprijinul autorităţilor de aplicare a legii pentru evaluarea riscului ca o persoană fizică să comită infracţiuni sau să recidiveze, nu doar pe baza creării de profiluri ale persoanelor fizice, astfel cum se menţionează la articolul 3 alineatul (4) din Directiva (UE) 2016/680, sau pentru a evalua trăsături şi caracteristici de personalitate ori comportamentul infracţional anterior al unor persoane fizice sau grupuri;
(e)sisteme de IA destinate a fi utilizate de către sau în numele autorităţilor de aplicare a legii sau de către instituţiile, organele, oficiile ori agenţiile Uniunii în sprijinul autorităţilor de aplicare a legii pentru crearea de profiluri ale persoanelor fizice, astfel cum se menţionează la articolul 3 alineatul (4) din Directiva (UE) 2016/680, în cursul depistării, investigării sau urmăririi penale a infracţiunilor.
7.Migraţie, azil şi gestionare a controlului la frontiere, în măsura în care utilizarea lor este permisă în temeiul dreptului Uniunii sau intern relevant:
(a)sisteme de IA destinate a fi utilizate de către sau în numele autorităţilor publice competente sau de către instituţiile, organele, oficiile ori agenţiile Uniunii drept poligrafe sau instrumente similare;
(b)sisteme de IA destinate a fi utilizate de către sau în numele autorităţilor publice competente sau de către instituţiile, organele, oficiile ori agenţiile Uniunii pentru evaluarea unui risc, inclusiv a unui risc de securitate, a unui risc de migraţie ilegală sau a unui risc pentru sănătate din partea unei persoane fizice care intenţionează să intre sau care a intrat pe teritoriul unui stat membru;
(c)sisteme de IA destinate a fi utilizate de către sau în numele autorităţilor publice competente sau de către instituţiile, organele, oficiile ori agenţiile Uniunii pentru a asista autorităţile publice competente în examinarea cererilor de azil, de viză sau de permise de şedere şi a plângerilor aferente în ceea ce priveşte eligibilitatea persoanelor fizice care solicită un statut, inclusiv în evaluările conexe ale fiabilităţii probelor;
(d)sisteme de IA destinate a fi utilizate de către sau în numele autorităţilor publice competente sau de către instituţiile, organele, oficiile sau agenţiile Uniunii, în contextul migraţiei, azilului sau gestionării controlului la frontiere, în scopul detectării, recunoaşterii sau identificării persoanelor fizice, cu excepţia verificării documentelor de călătorie.
8.Administrarea justiţiei şi procesele democratice:
(a)sisteme de IA destinate a fi utilizate de către sau în numele unei autorităţi judiciare pentru a asista o autoritate judiciară în cercetarea şi interpretarea faptelor sau a legii, precum şi în aplicarea legii la un set concret de fapte sau destinate a fi utilizate în mod similar în soluţionarea alternativă a litigiilor;
(b)sisteme de IA destinate a fi utilizate pentru a influenţa rezultatul unei alegeri sau al unui referendum ori comportamentul de vot al persoanelor fizice în exercitarea votului lor la alegeri sau referendumuri. Acestea nu includ sistemele de IA la ale căror rezultate nu sunt expuse direct persoane fizice, cum ar fi instrumentele utilizate pentru organizarea, optimizarea sau structurarea campaniilor politice din punct de vedere administrativ sau logistic.
ANEXA IV:Documentaţia tehnică menţionată la articolul 11 alineatul (1)
Documentaţia tehnică menţionată la articolul 11 alineatul (1) conţine cel puţin următoarele informaţii, aplicabile sistemului de IA relevant:
1.O descriere generală a sistemului de IA, incluzând:
(a)scopul său preconizat, numele/denumirea furnizorului şi versiunea sistemului, care reflectă relaţia sa cu versiunile anterioare;
(b)modul în care sistemul de IA interacţionează sau poate fi utilizat pentru a interacţiona cu hardware-ul sau cu software-ul, inclusiv cu alte sisteme de IA care nu fac parte din sistemul de IA în sine, după caz;
(c)versiunile software-ului sau ale firmware-ului relevant şi orice cerinţe legate de actualizările versiunilor;
(d)descrierea tuturor formelor sub care sistemul de IA este introdus pe piaţă sau este pus în funcţiune, cum ar fi pachete software integrate în hardware, sisteme care pot fi descărcate sau IPA;
(e)descrierea hardware-ului pe care urmează să funcţioneze sistemul de IA;
(f)în cazul în care sistemul de IA este o componentă a unor produse, fotografii sau ilustraţii care prezintă caracteristici externe, marcajele şi dispunerea internă a produselor respective;
(g)o descriere de bază a interfeţei cu utilizatorul furnizate implementatorului;
(h)instrucţiuni de utilizare pentru implementator şi o descriere de bază a interfeţei cu utilizatorul furnizate implementatorului, după caz.
2.O descriere detaliată a elementelor sistemului de IA şi a procesului de dezvoltare a acestuia, incluzând:
(a)metodele şi etapele parcurse pentru dezvoltarea sistemului de IA, inclusiv, dacă este cazul, recurgerea la sisteme sau instrumente preantrenate furnizate de terţi şi modul în care acestea au fost utilizate, integrate sau modificate de către furnizor;
(b)specificaţiile de proiectare ale sistemului, şi anume logica generală a sistemului de IA şi a algoritmilor; principalele opţiuni de proiectare, incluzând justificarea şi ipotezele asumate, inclusiv în ceea ce priveşte persoanele sau grupurile de persoane în legătură cu care se intenţionează să fie utilizat sistemul; principalele opţiuni de clasificare; ce anume este proiectat să optimizeze sistemul şi relevanţa diverşilor parametri; descrierea rezultatelor preconizate ale sistemului şi a calităţii preconizate a acestora; deciziile cu privire la orice posibil compromis făcut în ceea ce priveşte soluţiile tehnice adoptate în vederea respectării cerinţelor prevăzute în capitolul III secţiunea 2;
(c)descrierea arhitecturii sistemului, care explică modul în care componentele de software se bazează una pe alta sau se susţin reciproc şi se integrează în prelucrarea generală; resursele de calcul utilizate pentru dezvoltarea, antrenarea, testarea şi validarea sistemului de IA;
(d)după caz, cerinţele în materie de date în ceea ce priveşte fişele tehnice care descriu metodologiile şi tehnicile de antrenare şi seturile de date de antrenament utilizate, inclusiv o descriere generală a acestor seturi de date, informaţii privind provenienţa, domeniul de aplicare şi principalele caracteristici ale acestora; modul în care au fost obţinute şi selectate datele; proceduri de etichetare (de exemplu, pentru învăţarea supervizată), metodologii de curăţare a datelor (de exemplu, detectarea valorilor aberante);
(e)evaluarea măsurilor de supraveghere umană necesare în conformitate cu articolul 14, inclusiv o evaluare a măsurilor tehnice necesare pentru a facilita interpretarea rezultatelor sistemelor de IA de către implementatori, în conformitate cu articolul 13 alineatul (3) litera (d);
(f)după caz, o descriere detaliată a modificărilor prestabilite ale sistemului de IA şi ale performanţei acestuia, împreună cu toate informaţiile relevante referitoare la soluţiile tehnice adoptate pentru a asigura conformitatea continuă a sistemului de IA cu cerinţele relevante prevăzute în capitolul III secţiunea 2;
(g)procedurile de validare şi testare utilizate, inclusiv informaţii cu privire la datele de validare şi testare utilizate şi la principalele caracteristici ale acestora; indicatorii utilizaţi pentru a măsura acurateţea, robusteţea şi conformitatea cu alte cerinţe relevante prevăzute în capitolul III secţiunea 2, precum şi impactul potenţial discriminatoriu; jurnalele de testare şi toate rapoartele de testare datate şi semnate de persoanele responsabile, inclusiv în ceea ce priveşte modificările prestabilite menţionate la litera (f);
(h)măsurile de securitate cibernetică instituite.
3.Informaţii detaliate privind monitorizarea, funcţionarea şi controlul sistemului de IA, în special în ceea ce priveşte: capabilităţile şi limitările sale legate de performanţă, inclusiv gradele de acurateţe pentru anumite persoane sau grupuri de persoane pentru care se intenţionează să se utilizeze sistemul respectiv, precum şi nivelul general preconizat de acurateţe în raport cu scopul preconizat; rezultatele neintenţionate previzibile şi sursele de riscuri pentru sănătate, siguranţă, drepturile fundamentale şi în materie de discriminare, având în vedere scopul preconizat al sistemului de IA; măsurile de supraveghere umană necesare în conformitate cu articolul 14, inclusiv măsurile tehnice instituite pentru a facilita interpretarea rezultatelor sistemelor de IA de către implementatori; specificaţii privind datele de intrare, după caz.
4.O descriere a gradului de adecvare a indicatorilor de performanţă pentru sistemul de IA specific.
5.O descriere detaliată a sistemului de gestionare a riscurilor în conformitate cu articolul 9.
6.O descriere a modificărilor relevante aduse de furnizor sistemului de-a lungul ciclului său de viaţă.
7.O listă a standardelor armonizate aplicate integral sau parţial, ale căror referinţe au fost publicate în Jurnalul Oficial al Uniunii Europene, iar în cazul în care nu au fost aplicate astfel de standarde armonizate, o descriere detaliată a soluţiilor adoptate pentru a se îndeplini cerinţele prevăzute în capitolul III secţiunea 2, inclusiv o listă a altor standarde şi specificaţii tehnice relevante aplicate.
8.O copie a declaraţiei de conformitate UE menţionată la articolul 47.
9.O descriere detaliată a sistemului instituit pentru evaluarea performanţei sistemului de IA în etapa ulterioară introducerii pe piaţă în conformitate cu articolul 72, inclusiv planul de monitorizare ulterioară introducerii pe piaţă menţionat la articolul 72 alineatul (3).
ANEXA V:Declaraţia de conformitate UE
Declaraţia de conformitate UE menţionată la articolul 47 conţine toate informaţiile următoare:
1.Denumirea şi tipul sistemului de IA şi orice referinţă suplimentară lipsită de ambiguitate care permite identificarea şi trasabilitatea sistemului de IA.
2.Numele/denumirea şi adresa furnizorului sau, după caz, ale reprezentantului autorizat al acestuia.
3.O declaraţie potrivit căreia declaraţia de conformitate UE menţionată la articolul 47 este emisă pe răspunderea exclusivă a furnizorului.
4.O declaraţie potrivit căreia sistemul de IA este conform cu prezentul regulament şi, după caz, cu orice alt act legislativ relevant al Uniunii care prevede emiterea declaraţiei de conformitate UE menţionată la articolul 47.
5.Dacă un sistem de IA implică prelucrarea de date cu caracter personal, o declaraţie că sistemul de IA respectiv este conform cu Regulamentele (UE) 2016/679 şi (UE) 2018/1725 şi Directiva (UE) 2016/680.
6.Trimiteri la toate standardele armonizate relevante utilizate sau la orice altă specificaţie comună în legătură cu care se declară conformitatea.
7.După caz, denumirea şi numărul de identificare ale organismului notificat, o descriere a procedurii de evaluare a conformităţii efectuate şi identificarea certificatului eliberat.
8.Locul şi data emiterii declaraţiei, numele şi funcţia persoanei care a semnat-o, precum şi o indicaţie pentru cine sau în numele cui a semnat, semnătura.
ANEXA VI:Procedura de evaluare a conformităţii bazată pe control intern
1.Procedura de evaluare a conformităţii bazată pe control intern este procedura de evaluare a conformităţii realizată pe baza punctelor 2, 3 şi 4.
2.Furnizorul verifică dacă sistemul de management al calităţii instituit respectă cerinţele de la articolul 17.
3.Furnizorul examinează informaţiile conţinute în documentaţia tehnică pentru a evalua conformitatea sistemului de IA cu cerinţele esenţiale relevante prevăzute în capitolul III secţiunea 2.
4.Furnizorul verifică, de asemenea, dacă procesul de proiectare şi dezvoltare a sistemului de IA şi monitorizarea ulterioară introducerii pe piaţă a acestuia, astfel cum se menţionează la articolul 72, sunt în concordanţă cu documentaţia tehnică.
ANEXA VII:Evaluarea conformităţii pe baza unui sistem de management al calităţii şi a examinării documentaţiei tehnice
1.Introducere
Evaluarea conformităţii pe baza unui sistem de management al calităţii şi a examinării documentaţiei tehnice este procedura de evaluare a conformităţii realizată pe baza punctelor 2-5.
2.Prezentare generală
Sistemul de management al calităţii aprobat pentru proiectarea, dezvoltarea şi testarea sistemelor de IA în temeiul articolului 17 este examinat în conformitate cu punctul 3 şi face obiectul supravegherii menţionate la punctul 5. Documentaţia tehnică a sistemului de IA se examinează în conformitate cu punctul 4.
3.Sistemul de management al calităţii

3.1.

Cererea furnizorului include:

(a) numele/denumirea şi adresa furnizorului, iar, dacă cererea este depusă de către un reprezentant autorizat, şi numele şi adresa acestuia;

(b) lista sistemelor de IA care fac obiectul aceluiaşi sistem de management al calităţii;

(c) documentaţia tehnică a fiecărui sistem de IA pentru care se aplică acelaşi sistem de management al calităţii;

(d) documentaţia privind sistemul de management al calităţii, care acoperă toate aspectele enumerate la articolul 17;

(e) o descriere a procedurilor instituite pentru a se asigura că sistemul de management al calităţii continuă să fie adecvat şi eficace;

(f) o declaraţie scrisă care să specifice că nu a fost depusă o cerere identică la un alt organism notificat.

3.2.

Sistemul de management al calităţii este evaluat de organismul notificat, care stabileşte dacă acesta satisface cerinţele menţionate la articolul 17.

Decizia se notifică furnizorului sau reprezentantului autorizat al acestuia.
Notificarea respectivă trebuie să cuprindă concluziile evaluării sistemului de management al calităţii şi decizia de evaluare motivată.

3.3.

Sistemul de management al calităţii, astfel cum a fost aprobat, continuă să fie pus în aplicare şi menţinut de către furnizor astfel încât să rămână adecvat şi eficient.

3.4.

Orice modificare preconizată a sistemului aprobat de management al calităţii sau a listei sistemelor de IA cărora li se aplică acesta este adusă la cunoştinţa organismului notificat, de către furnizor.

Modificările propuse sunt examinate de organismul notificat, care decide dacă sistemul de management al calităţii modificat îndeplineşte în continuare cerinţele menţionate la punctul 3.2 sau dacă este necesară o reevaluare.
Organismul notificat înştiinţează furnizorul cu privire la decizia pe care a luat-o. Notificarea respectivă trebuie să cuprindă concluziile examinării modificărilor şi decizia de evaluare motivată.
4.Controlul documentaţiei tehnice

4.1.

În plus faţă de cererea menţionată la punctul 3, furnizorul depune o cerere la un organism notificat ales de acesta pentru evaluarea documentaţiei tehnice referitoare la sistemul de IA pe care furnizorul intenţionează să îl introducă pe piaţă sau să îl pună în funcţiune şi căruia i se aplică sistemul de management al calităţii menţionat la punctul 3.

4.2.

Cererea include:

(a) numele/denumirea şi adresa furnizorului;

(b) o declaraţie scrisă care să precizeze că nu a fost depusă o cerere identică la un alt organism notificat;

(c) documentaţia tehnică menţionată în anexa IV.

4.3.

Documentaţia tehnică este examinată de organismul notificat. Atunci când acest lucru este relevant, şi limitându-se la ceea ce este necesar pentru a-şi îndeplini sarcinile, organismului notificat i se acordă acces deplin la seturile de date de antrenament, de validare şi de testare utilizate, inclusiv, după caz şi sub rezerva unor garanţii de securitate, prin IPA sau prin alte mijloace şi instrumente tehnice relevante care permit accesul de la distanţă.

4.4.

La examinarea documentaţiei tehnice, organismul notificat poate solicita furnizorului să prezinte dovezi suplimentare sau să efectueze teste suplimentare pentru a permite o evaluare adecvată a conformităţii sistemului de IA cu cerinţele prevăzute în capitolul III secţiunea 2. Ori de câte ori organismul notificat nu este satisfăcut de testele efectuate de furnizor, organismul notificat efectuează el însuşi direct teste adecvate, după caz.

4.5.

În cazul în care este necesar pentru a evalua conformitatea sistemului de IA cu grad ridicat de risc cu cerinţele prevăzute în capitolul III secţiunea 2, după ce toate celelalte modalităţi rezonabile de verificare a conformităţii au fost epuizate ori s-au dovedit a fi insuficiente şi în urma unei cereri motivate, organismului notificat i se acordă, de asemenea, acces la modelele de antrenament sau modelele antrenate ale sistemului de IA, inclusiv la parametrii săi relevanţi. Acest acces face obiectul dreptului existent al Uniunii privind protecţia proprietăţii intelectuale şi al secretelor comerciale.

4.6.

Decizia organismului notificat se notifică furnizorului sau reprezentantului autorizat al acestuia. Notificarea respectivă trebuie să cuprindă concluziile examinării documentaţiei tehnice şi decizia de evaluare motivată.

În cazul în care sistemul de IA este în conformitate cu cerinţele prevăzute în capitolul III secţiunea 2, organismul notificat eliberează un certificat de evaluare a documentaţiei tehnice al Uniunii. Certificatul indică numele/denumirea şi adresa furnizorului, concluziile examinării, condiţiile (dacă există) de valabilitate şi datele necesare de identificare a sistemului de IA.
Certificatul şi anexele sale conţin toate informaţiile relevante care să permită evaluarea conformităţii sistemului de IA şi controlul sistemului de IA în timpul utilizării acestuia, după caz.
În cazul în care sistemul de IA nu este conform cu cerinţele prevăzute în capitolul III secţiunea 2, organismul notificat refuză eliberarea unui certificat de evaluare a documentaţiei tehnice al Uniunii şi informează solicitantul în consecinţă, indicând motivele detaliate ale refuzului său.
În cazul în care sistemul de IA nu îndeplineşte cerinţa referitoare la datele utilizate pentru antrenarea sa, va fi necesară reantrenarea sistemului de IA înaintea depunerii cererii pentru o nouă evaluare a conformităţii. În acest caz, decizia de evaluare motivată a organismului notificat prin care se refuză eliberarea certificatului de evaluare a documentaţiei tehnice al Uniunii conţine consideraţii specifice privind calitatea datelor utilizate pentru antrenarea sistemului de IA, în special cu privire la motivele neconformităţii.

4.7.

Orice modificare a sistemului de IA care ar putea afecta conformitatea sistemului de IA cu cerinţele sau cu scopul preconizat al acestuia este evaluată de organismul notificat care a eliberat certificatul de evaluare a documentaţiei tehnice al Uniunii. Furnizorul informează organismul notificat în cauză cu privire la intenţia sa de a introduce oricare dintre modificările menţionate anterior sau în cazul în care ia cunoştinţă în alt mod de apariţia unor astfel de modificări. Organismul notificat evaluează modificările planificate şi decide pentru care din acestea este necesară o nouă evaluare a conformităţii în concordanţă cu articolul 43 alineatul (4) sau dacă acestea ar putea fi abordate prin intermediul unui supliment la certificatul de evaluare a documentaţiei tehnice al Uniunii. În acest din urmă caz, organismul notificat evaluează modificările, îi notifică furnizorului decizia sa şi, în cazul în care modificările sunt aprobate, îi eliberează un supliment la certificatul de evaluare a documentaţiei tehnice al Uniunii.

5.Supravegherea sistemului de management al calităţii aprobat.

5.1.

Scopul supravegherii efectuate de organismul notificat menţionat la punctul 3 este de a asigura faptul că furnizorul respectă în mod corespunzător termenele şi condiţiile sistemului de management al calităţii aprobat.

5.2.

În scopul evaluării, furnizorul permite organismului notificat să aibă acces la sediul în care are loc proiectarea, dezvoltarea sau testarea sistemelor de IA. În plus, furnizorul comunică organismului notificat toate informaţiile necesare.

5.3.

Organismul notificat efectuează misiuni de audit periodice, pentru a se asigura că furnizorul menţine şi aplică sistemul de management al calităţii, şi prezintă furnizorului un raport de audit. În contextul acestor audituri, organismul notificat poate efectua teste suplimentare ale sistemelor de IA pentru care a fost emis un certificat de evaluare a documentaţiei tehnice al Uniunii.

ANEXA VIII:Informaţiile care trebuie să fie prezentate la înregistrarea sistemelor de IA cu grad ridicat de risc în conformitate cu articolul 49
Secţiunea A:Informaţiile care trebuie să fie prezentate de furnizorii de sisteme de IA cu grad ridicat de risc în conformitate cu articolul 49 alineatul (1)
Se furnizează şi, ulterior, se actualizează următoarele informaţii referitoare la sistemele de IA cu grad ridicat de risc care se înregistrează în conformitate cu articolul 49 alineatul (1):
1.Numele/denumirea, adresa şi datele de contact ale furnizorului.
2.În cazul în care transmiterea informaţiilor este efectuată de o altă persoană în numele furnizorului, numele, adresa şi datele de contact ale persoanei respective.
3.Numele, adresa şi datele de contact ale reprezentantului autorizat, după caz.
4.Denumirea comercială a sistemului de IA şi orice referinţă suplimentară lipsită de ambiguitate care permite identificarea şi trasabilitatea sistemului de IA.
5.O descriere a scopului preconizat al sistemului de IA şi a componentelor şi funcţiilor sprijinite prin acest sistem de IA.
6.O descriere de bază şi concisă a informaţiilor utilizate de sistem (date, date de intrare) şi a logicii sale de funcţionare.
7.Statutul sistemului de IA (pe piaţă sau în funcţiune; nu mai este pe piaţă/în funcţiune, rechemat).
8.Tipul, numărul şi data expirării certificatului eliberat de organismul notificat şi denumirea sau numărul de identificare al organismului notificat respectiv, după caz.
9.O copie scanată a certificatului menţionat la punctul 8, după caz.
10.Orice stat membru în care sistemul de IA a fost introdus pe piaţă, pus în funcţiune sau pus la dispoziţie în Uniune.
11.O copie a declaraţiei de conformitate UE prevăzută la articolul 47.
12.Instrucţiuni de utilizare electronice; aceste informaţii nu se furnizează pentru sistemele de IA cu grad ridicat de risc în domeniul aplicării legii şi al migraţiei, al azilului şi al gestionării controlului la frontiere menţionate în anexa III punctele 1, 6 şi 7.
13.Un URL pentru informaţii suplimentare (opţional).
Secţiunea B:Informaţiile care trebuie să fie prezentate de furnizorii de sisteme de IA cu grad ridicat de risc în conformitate cu articolul 49 alineatul (2)
Se furnizează şi, ulterior, se actualizează următoarele informaţii referitoare la sistemele de IA care se înregistrează în conformitate cu articolul 49 alineatul (2):
1.Numele/denumirea, adresa şi datele de contact ale furnizorului.
2.În cazul în care transmiterea informaţiilor este efectuată de o altă persoană în numele furnizorului, numele, adresa şi datele de contact ale persoanei respective.
3.Numele, adresa şi datele de contact ale reprezentantului autorizat, după caz.
4.Denumirea comercială a sistemului de IA şi orice referinţă suplimentară lipsită de ambiguitate care permite identificarea şi trasabilitatea sistemului de IA.
5.Descrierea scopului preconizat al sistemului de IA.
6.Condiţia sau condiţiile prevăzute la articolul 6 alineatul (3) pe baza cărora sistemul de IA este considerat ca neprezentând un grad ridicat de risc.
7.Un scurt rezumat al motivelor pentru care sistemul de IA este considerat ca neprezentând un grad ridicat de risc în aplicarea procedurii prevăzute la articolul 6 alineatul (3).
8.Statutul sistemului de IA (pe piaţă sau în funcţiune; nu mai este pe piaţă/în funcţiune, rechemat).
9.Toate statele membre în care sistemul de IA a fost introdus pe piaţă, pus în funcţiune sau pus la dispoziţie în Uniune.
Secţiunea C:Informaţiile care trebuie să fie prezentate de implementatorii de sistemele de IA cu grad ridicat de risc în conformitate cu articolul 49 alineatul (3)
Se furnizează şi, ulterior, se actualizează următoarele informaţii referitoare la sistemele de IA cu grad ridicat de risc care se înregistrează în conformitate cu articolul 49:
1.Numele/denumirea, adresa şi datele de contact ale implementatorului.
2.Numele, adresa şi datele de contact ale oricărei persoane care transmite informaţii în numele implementatorului.
3.URL-ul introducerii sistemului de IA în baza de date a UE de către furnizorul său.
4.Un rezumat al constatărilor evaluării impactului asupra drepturilor fundamentale, efectuată în conformitate cu articolul 27.
5.Un rezumat al evaluării impactului asupra protecţiei datelor care a fost efectuată în conformitate cu articolul 35 din Regulamentul (UE) 2016/679 sau cu articolul 27 din Directiva (UE) 2016/680, astfel cum se specifică la articolul 26 alineatul (8) din prezentul regulament, după caz.
ANEXA IX:Informaţiile care trebuie să fie prezentate la înregistrarea sistemelor de IA cu grad ridicat de risc enumerate în anexa III în legătură cu testarea în condiţii reale, în conformitate cu articolul 60
Se furnizează şi, ulterior, se actualizează următoarele informaţii referitoare la testarea în condiţii reale care trebuie înregistrate în conformitate cu articolul 60:
1.Un număr unic de identificare la nivelul întregii Uniuni al testării în condiţii reale.
2.Numele/denumirea şi datele de contact ale furnizorului sau ale potenţialului furnizor şi ale implementatorilor implicaţi în testarea în condiţii reale.
3.O scurtă descriere a sistemului de IA, a scopului său preconizat şi alte informaţii necesare pentru identificarea sistemului.
4.Un rezumat al principalelor caracteristici ale planului de testare în condiţii reale.
5.Informaţii privind suspendarea sau încetarea testării în condiţii reale.
ANEXA X:Actele legislative ale Uniunii privind sistemele informatice la scară largă în spaţiul de libertate, securitate şi justiţie
1.Sistemul de informaţii Schengen
(a)Regulamentul (UE) 2018/1860 al Parlamentului European şi al Consiliului din 28 noiembrie 2018 privind utilizarea Sistemului de informaţii Schengen pentru returnarea resortisanţilor ţărilor terţe aflaţi în situaţie de şedere ilegală (JO L 312, 7.12.2018, p. 1);
(b)Regulamentul (UE) 2018/1861 al Parlamentului European şi al Consiliului din 28 noiembrie 2018 privind instituirea, funcţionarea şi utilizarea Sistemului de informaţii Schengen (SIS) în domeniul verificărilor la frontiere, de modificare a Convenţiei de punere în aplicare a Acordului Schengen şi de modificare şi abrogare a Regulamentului (CE) nr. 1987/2006 (JO L 312, 7.12.2018, p. 14);
(c)Regulamentul (UE) 2018/1862 al Parlamentului European şi al Consiliului din 28 noiembrie 2018 privind instituirea, funcţionarea şi utilizarea Sistemului de informaţii Schengen (SIS) în domeniul cooperării poliţieneşti şi al cooperării judiciare în materie penală, de modificare şi de abrogare a Deciziei 2007/533/JAI a Consiliului şi de abrogare a Regulamentului (CE) nr. 1986/2006 al Parlamentului European şi al Consiliului şi a Deciziei 2010/261/UE a Comisiei (JO L 312, 7.12.2018, p. 56).
2.Sistemul de informaţii privind vizele
(a)Regulamentul (UE) 2021/1133 al Parlamentului European şi al Consiliului din 7 iulie 2021 de modificare a Regulamentelor (UE) nr. 603/2013, (UE) 2016/794, (UE) 2018/1862, (UE) 2019/816 şi (UE) 2019/818 în ceea ce priveşte stabilirea condiţiilor de acces la celelalte sisteme de informaţii ale UE în scopuri legate de Sistemul de informaţii privind vizele (JO L 248, 13.7.2021, p. 1);
(b)Regulamentul (UE) 2021/1134 al Parlamentului European şi al Consiliului din 7 iulie 2021 de modificare a Regulamentelor (CE) nr. 767/2008, (CE) nr. 810/2009, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1860, (UE) 2018/1861, (UE) 2019/817 şi (UE) 2019/1896 ale Parlamentului European şi ale Consiliului şi de abrogare a Deciziilor 2004/512/CE şi 2008/633/JAI ale Consiliului, în scopul reformării Sistemului de informaţii privind vizele (JO L 248, 13.7.2021, p. 11).
3.Eurodac
Regulamentul (UE) 2024/1358 al Parlamentului European şi al Consiliului din 14 mai 2024 privind instituirea sistemului "Eurodac" pentru compararea datelor biometrice în scopul aplicării eficace a Regulamentelor (UE) 2024/1351 şi (UE) 2024/1350 ale Parlamentului European şi ale Consiliului şi a Directivei 2001/55/CE a Consiliului şi al identificării resortisanţilor din ţări terţe şi a apatrizilor în situaţie de şedere ilegală şi privind cererile de comparare cu datele Eurodac prezentate de autorităţile de aplicare a legii din statele membre şi de Europol cu scopul de a asigura respectarea legii, de modificare a Regulamentelor (UE) 2018/1240 şi (UE) 2019/818 ale Parlamentului European şi ale Consiliului şi de abrogare a Regulamentului (UE) nr. 603/2013 al Parlamentului European şi al Consiliului (JO L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/204/1358/oj).
4.Sistemul de intrare/ieşire
Regulamentul (UE) 2017/2226 al Parlamentului European şi al Consiliului din 30 noiembrie 2017 de instituire a Sistemului de intrare/ieşire (EES) pentru înregistrarea datelor de intrare şi de ieşire şi a datelor referitoare la refuzul intrării ale resortisanţilor ţărilor terţe care trec frontierele externe ale statelor membre, de stabilire a condiţiilor de acces la EES în scopul aplicării legii şi de modificare a Convenţiei de punere în aplicare a Acordului Schengen şi a Regulamentelor (CE) nr. 767/2008 şi (UE) nr. 1077/2011 (JO L 327, 9.12.2017, p. 20).
5.Sistemul european de informaţii şi de autorizare privind călătoriile
(a)Regulamentul (UE) 2018/1240 al Parlamentului European şi al Consiliului din 12 septembrie 2018 de instituire a Sistemului european de informaţii şi de autorizare privind călătoriile (ETIAS) şi de modificare a Regulamentelor (UE) nr. 1077/2011, (UE) nr. 515/2014, (UE) 2016/399, (UE) 2016/1624 şi (UE) 2017/2226 (JO L 236, 19.9.2018, p. 1);
(b)Regulamentul (UE) 2018/1241 al Parlamentului European şi al Consiliului din 12 septembrie 2018 de modificare a Regulamentului (UE) 2016/794 în scopul instituirii Sistemului european de informaţii şi de autorizare privind călătoriile (ETIAS) (JO L 236, 19.9.2018, p. 72).
6.Sistemul european de informaţii cu privire la cazierele judiciare ale resortisanţilor ţărilor terţe şi apatrizilor
Regulamentul (UE) 2019/816 al Parlamentului European şi al Consiliului din 17 aprilie 2019 de stabilire a unui sistem centralizat pentru determinarea statelor membre care deţin informaţii privind condamnările resortisanţilor ţărilor terţe şi ale apatrizilor (ECRIS-TCN), destinat să completeze sistemul european de informaţii cu privire la cazierele judiciare, şi de modificare a Regulamentului (UE) 2018/1726 (JO L 135, 22.5.2019, p. 1).
7.Interoperabilitate
(a)Regulamentul (UE) 2019/817 al Parlamentului European şi al Consiliului din 20 mai 2019 privind instituirea unui cadru pentru interoperabilitatea dintre sistemele de informaţii ale UE în domeniul frontierelor şi al vizelor şi de modificare a Regulamentelor (CE) nr. 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 şi (UE) 2018/1861 ale Parlamentului European şi ale Consiliului şi a Deciziilor 2004/512/CE şi 2008/633/JAI ale Consiliului (JO L 135, 22.5.2019, p. 27);
(b)Regulamentul (UE) 2019/818 al Parlamentului European şi al Consiliului din 20 mai 2019 privind instituirea unui cadru pentru interoperabilitatea dintre sistemele de informaţii ale UE în domeniul cooperării poliţieneşti şi judiciare, al azilului şi al migraţiei şi de modificare a Regulamentelor (UE) 2018/1726, (UE) 2018/1862 şi (UE) 2019/816 (JO L 135, 22.5.2019, p. 85).
ANEXA XI:Documentaţia tehnică menţionată la articolul 53 alineatul (1) litera (a) - documentaţia tehnică pentru furnizorii de modele de IA de uz general
Secţiunea 1:Informaţii care trebuie furnizate de toţi furnizorii de modele de IA de uz general
Documentaţia tehnică menţionată la articolul 53 alineatul (1) litera (a) conţine cel puţin următoarele informaţii, în funcţie de dimensiunea şi profilul de risc al modelului:
1.O descriere generală a modelului de IA de uz general, incluzând:
(a)sarcinile pe care modelul este destinat să le îndeplinească, precum şi tipul şi natura sistemelor de IA în care acesta poate fi integrat;
(b)politicile de utilizare acceptabile aplicabile;
(c)data eliberării şi metodele de distribuţie;
(d)arhitectura şi numărul de parametri;
(e)modalitatea (de exemplu, text, imagine) şi formatul datelor de intrare şi de ieşire;
(f)licenţa.
2.O descriere detaliată a elementelor modelului menţionate la punctul 1 şi informaţii relevante privind procesul de dezvoltare, incluzând următoarele elemente:
(a)mijloacele tehnice (de exemplu, instrucţiuni de utilizare, infrastructură, instrumente) necesare pentru integrarea modelului de IA de uz general în sistemele de IA;
(b)specificaţiile de proiectare ale modelului şi ale procesului de antrenare, inclusiv metodologiile şi tehnicile de antrenare, principalele opţiuni de proiectare, inclusiv justificarea şi ipotezele formulate; ce anume este proiectat să optimizeze modelul şi relevanţa diverşilor parametri, după caz;
(c)informaţii privind datele utilizate pentru antrenare, testare şi validare, după caz, inclusiv tipul şi provenienţa datelor şi metodologiile de organizare (de exemplu, curăţare, filtrare etc.), numărul de puncte de date, domeniul de aplicare şi principalele caracteristici ale acestora; modul în care au fost obţinute şi selectate datele, precum şi toate celelalte măsuri de detectare a caracterului inadecvat al surselor de date şi metode de detectare a prejudecăţilor identificabile, după caz;
(d)resursele de calcul utilizate pentru antrenarea modelului (de exemplu, numărul de operaţii în virgulă mobilă), timpul de antrenare şi alte detalii relevante legate de antrenare;
(e)consumul de energie cunoscut sau estimat al modelului.
În ceea ce priveşte litera (e), în cazul în care consumul de energie al modelului este necunoscut, consumul de energie se poate baza pe informaţii privind resursele de calcul utilizate.
Secţiunea 2:Informaţii suplimentare care trebuie furnizate de furnizorii de modele de IA de uz general cu risc sistemic

1.

O descriere detaliată a strategiilor de evaluare, inclusiv a rezultatelor evaluării, pe baza protocoalelor şi instrumentelor de evaluare publice disponibile sau a altor metodologii de evaluare. Strategiile de evaluare includ criterii de evaluare, indicatori şi metodologia de identificare a limitărilor.

2.

După caz, o descriere detaliată a măsurilor puse în aplicare în scopul efectuării de testări contradictorii interne şi/sau externe (de exemplu, testare de tipul "echipa roşie") şi de adaptări ale modelelor, inclusiv aliniere şi calibrare.

3.

După caz, o descrierea detaliată a arhitecturii sistemului, care explică modul în care componentele de software se bazează una pe alta sau se susţin reciproc şi se integrează în prelucrarea generală.

ANEXA XII:Informaţiile privind transparenţa menţionate la articolul 53 alineatul (1) litera (b) - documentaţia tehnică pentru furnizorii de modele de IA de uz general către furnizorii din aval care integrează modelul în sistemul lor de IA
Informaţiile menţionate la articolul 53 alineatul (1) litera (b) conţin cel puţin următoarele:
1.O descriere generală a modelului de IA de uz general, incluzând:
(a)sarcinile pe care modelul este destinat să le îndeplinească, precum şi tipul şi natura sistemelor de IA în care acesta poate fi integrat;
(b)politicile de utilizare acceptabile aplicabile;
(c)data eliberării şi metodele de distribuţie;
(d)modul în care modelul interacţionează sau poate fi utilizat pentru a interacţiona cu hardware-ul sau cu software-ul care nu face parte din model în sine, după caz;
(e)versiunile software-ului relevant legat de utilizarea modelului de IA de uz general, după caz;
(f)arhitectura şi numărul de parametri;
(g)modalitatea (de exemplu, text, imagine) şi formatul datelor de intrare şi de ieşire;
(h)licenţa modelului.
2.O descriere a elementelor modelului şi a procesului de dezvoltare a acestuia, incluzând:
(a)mijloacele tehnice (de exemplu, instrucţiuni de utilizare, infrastructură, instrumente) necesare pentru integrarea modelului de IA de uz general în sistemele de IA;
(b)modalitatea (de exemplu, text, imagine) şi formatul datelor de intrare şi de ieşire şi dimensiunea maximă a acestora (de exemplu, lungimea ferestrei de context etc.);
(c)informaţii privind datele utilizate pentru antrenare, testare şi validare, după caz, inclusiv tipul şi provenienţa datelor şi metodologiile de organizare.
ANEXA XIII:Criterii pentru desemnarea modelelor de IA de uz general cu risc sistemic menţionate la articolul 51
Pentru a stabili dacă un model de IA de uz general are capabilităţile prevăzute la articolul 51 alineatul (1) litera (a) sau un impact echivalent acestora, Comisia ia în considerare următoarele criterii:
(a)numărul de parametri ai modelului;
(b)calitatea sau dimensiunea setului de date, de exemplu, măsurate în tokenuri;
(c)volumul de calcul utilizat pentru antrenarea modelului, măsurat în operaţii în virgulă mobilă sau indicat printr-o combinaţie de alte variabile, cum ar fi costul estimat al antrenării, timpul estimat necesar pentru antrenare sau consumul estimat de energie pentru antrenare;
(d)modalităţile de intrare şi de ieşire ale modelului, cum ar fi text către text (modele lingvistice de mari dimensiuni), text către imagine şi multimodalitatea, şi pragurile conform celui mai avansat stadiu al tehnologiei pentru determinarea capabilităţilor cu impact ridicat pentru fiecare modalitate, precum şi tipul specific de date de intrare şi de ieşire (de exemplu, secvenţe biologice);
(e)valorile de referinţă şi evaluările capabilităţilor modelului, inclusiv luând în considerare numărul de sarcini posibile fără antrenare suplimentară, adaptabilitatea la învăţarea de sarcini noi şi distincte, nivelul său de autonomie şi scalabilitate, instrumentele la care are acces;
(f)dacă are un impact ridicat asupra pieţei interne din cauza amplorii utilizării sale, care este prezumat atunci când a fost pus la dispoziţia a cel puţin 10 000 de utilizatori comerciali înregistraţi stabiliţi în Uniune;
(g)numărul de utilizatori finali înregistraţi.
Publicat în Jurnalul Oficial seria L din data de 12 iulie 2024