Sorin Chirița

La 1 august 2024 a întrat în vigoare Regulamentul UE privind inteligența artificială (IA), primul cadru legal care abordează riscurile asociate cu utilizarea IA și reglementează activitatea dezvoltatorilor și utilizatorilor acesteia. Inițial propus în 2021 și adoptat de Parlamentul European în martie 2024, noul cadru normativ marchează un pas semnificativ în direcția creării unui mediu digital care reglementează utilizarea și gestionarea tehnologiilor IA în UE.

Ab initio, este consacrată noțiunea de „sistem de IA” drept un sistem bazat pe tehnologie care este conceput pentru a funcționa autonom la diverse niveluri, în scopul de a interpreta datele primite și de a produce rezultate, precum predicții, generarea de conținut, recomandări sau decizii care pot influența medii fizice sau virtuale.

Regulamentul include în sfera sa de reglementare mai multe categorii de subiecți, principalii fiind:

– Furnizori (dezvoltatori): persoane fizice/juridice care dezvoltă un sistem/model de IA și îl oferă spre utilizare;
– Importatori (distribuitori) persoane fizice/juridice care plasează propriu-zis sisteme IA pe piața digitală;
– Utilizatori (implementatori), cei care utilizează sistemele IA în scopuri profesionale;
– Persoanele afectate – utilizatorii finali, i.e. neprofesioniști, ai căror date sunt prelucrate de IA;

Regulamentul adoptă o metodă bazată pe evaluarea riscurilor, stabilind cerințe și obligații proporționale în funcție de gradul de risc pe care sistemele IA îl reprezintă pentru sănătate, siguranță și drepturile fundamentale ale persoanelor.

În funcție de riscul determinat, Regulamentul clasifică un sistem IA în una din următoarele categorii:

Risc inacceptabil (de exemplu, sistemele de scor social, IA manipulativă). Astfel de sisteme evaluează și clasifică comportamentul indivizilor pe baza diferitelor criterii, cum ar fi comportamentul online, preferințele consumatorilor, relațiile sociale etc. cu scopul de determina pattern-urile sociale. Un exemplu relevant este sistemul de credit social din China, deseori comparat cu coșmarul Orwellian. În esență, aceste sisteme creează o societate bazată pe un sistem de recompense și pedepse cu scopul promovării și sancționării automatizată a cetățenilor. Potrivit sistemului, scorul social al unei persoane poate scădea sau crește în funcție de comportamentul său în societate. Acest punctaj influențează eligibilitatea persoanei în cauză, într-o varietate de scenarii: la angajare, în momentul în care solicită un credit ipotecar, chiar și atunci când un părinte depune o cerere de înscriere la o anumită școală pentru copilul său. Sistemele de acest gen prin prezentul Regulament sunt strict interzise pe teritoriul UE.

Risc ridicat, reprezintă principalul obiectiv al Regulamentului, având în vedere proporția acestora pe piața digitală. Exemple includ sistemele de identificare și clasificare biometrică, recunoașterea emoțiilor, vehiculele autonome, dispozitivele medicale etc. Aceste sisteme sunt considerate deosebit de sensibile deoarece pot avea un impact semnificativ asupra drepturilor și libertăților fundamentale, cum ar fi viața privată și protecția împotriva discriminării. Prin urmare, ele trebuie să îndeplinească cerințe riguroase de transparență, conformitate și supraveghere pentru a minimiza riscurile, dar nu sunt interzise prin natura lor.

Risc limitat, care includ sisteme IA care sunt supuse unor obligații de transparență mai ușoare. În acest sens, dezvoltatorii și utilizatorii trebuie să se asigure că persoanele afectate sunt conștiente că interacționează cu IA (chatboturi și deepfake-uri).

Risc minim, în acest caz Regulamentul nu creează limitări sau cerințe privitor la sistemele. Din categoria acestora fac parte majoritatea aplicațiilor AI disponibile în prezent pe piața UE, cum ar fi jocurile video asistate de AI și filtrele de spam – cel puțin în 2021, la momentul proiectării Regulamentului; urmează să vedem dacă sistemele de AI generative vor schimba paradigma nou creată în timpul apropiat).

Deoarece sistemele clasificate inițial ca având risc inacceptabil sunt interzise fără excepție, ne vom concentra pe acele sisteme de IA care sunt sau vor putea fi plasate pe piața UE. În funcție de nivelul de risc asociat, aceste sisteme vor fi supuse unor cerințe specifice de conformitate.

Case: identificarea biometrică la distanță

Identificarea biometrică implică recunoașterea automată prin comparație cu datele stocate în sistem cu cele identificate în timp real. Datele procesate pot fi cele care țin de trăsăturile fizice, fiziologice și comportamentale ale unei persoane (e.g. trăsăturile faciale, vocea, amprentele digitale sau mersul).

În ceea ce privește utilizarea sistemelor de identificare biometrică la distanță în timp real în spațiile publice, autorităților li se permite să recurgă la aceste sisteme doar în cazuri excepționale, cum ar fi în situații care implică victimele anumitor infracțiuni, prevenirea unor amenințări reale, prezente sau previzibile, precum atacurile teroriste sau căutarea persoanelor suspectate de infracțiuni grave.

Cum este tratată IA generativă?

Merită de remarcat faptul că procesul legislativ a fost perturbat semnificativ la finele lui ´22 odată cu lansarea produsului ChatGPT de OpenAI. Acest lucru a necesitat o corecție esențială proiectului inițial, creând reglementări specifice pentru inteligența artificială generativă.

IA generativă este clasificată în cadrul Regulamentului ca un exemplu de inteligență artificială cu scop general (General Purpose AI – GPAI). Adică, ne referim la instrumente care sunt destinate să îndeplinească o gamă largă de sarcini (creare de text/imagini/muzică/video etc.) la un nivel comparabil, dacă nu chiar superior, celui uman. Cele mai cunoscute sisteme de acest gen sunt: ChatGPT al OpenAI, Gemini al Google și Claude al Anthropic.

Pentru aceste sisteme, Regulamentul impune cerințe stricte, cum ar fi respectarea legilor privind drepturile de autor din UE, transparența privind modul de antrenare a sistemului de inteligență artificială generativă, crearea și menținerea documentației tehnice, efectuarea de teste periodice, precum și garantarea unei protecții adecvate în ceea ce privește securitatea cibernetică. Totuși, nu toate modelele de IA sunt tratate la fel. Dezvoltatorii de IA spun că UE trebuie să asigure că modelele open-source (care sunt gratuite pentru public și pot fi utilizate pentru a construi aplicații IA personalizate) nu urmează să fie supuse unor reglementări stricte.

Conform noilor reglementări pentru modelele GPAI și având în vedere necesitatea evidentă a aplicării acestora la nivelul UE, a fost înființat Oficiul European pentru IA. Aceasta va avea ca sarcină monitorizarea celor mai avansate modele de IA, promovarea standardelor și procedurilor de testare și aplicarea regulilor comune în toate statele membre. La fel Oficiul va contribui la dezvoltarea metodelor de evaluare a capacităților modelelor bazelor de date primare, va emite opinii cu privire la denumirea și apariția modelelor de bază cu impact semnificativ și va monitoriza posibilele riscuri materiale de securitate legate de acestea.

Riscuri legate de neconformare la Regulament

În cazul nerespectării interdicțiilor prevăzute de Regulament, societățile pot fi sancționate cu amenzi de până la 35 de milioane de euro sau 7% din veniturile anuale globale, în funcție de care sumă este mai mare. Pentru încălcări mai grave, amenzile pot ajunge până la 7,5 milioane de euro sau 1,5% din veniturile anuale globale, aplicându-se tot suma cea mai mare.

Aceste sancțiuni sunt mai mari decât cele prevăzute de GDPR (Regulamentul general privind protecția datelor), unde amenzile pot ajunge până la 20 milioane de euro sau 4% din cifra de afaceri anuală globală.

Interacțiunea cu GDPR

Deși aceste două reglementări se concentrează pe aspecte diferite – GDPR descrie obligațiile pentru operatorii de date și procesatorii de date cu caracter personal, iar Regulamentul se concentrează pe furnizorii și utilizatorii de sisteme IA – societățile vor trebui să coreleze atent cele două concepte pentru a identifica ce părți sunt supuse cerințelor din Regulamentului și care sunt supuse regularizării de către GDPR. Regulamentul nu înlocuiește cerințele GDPR, ci le completează, stabilind condițiile necesare pentru dezvoltarea și utilizarea unor sisteme de inteligență artificială de încredere.

De menționat, că Articolul 9 din GDPR interzice operatorilor de date să prelucreze categorii speciale din date cu caracter personal, acestea fiind „datele personale care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filosofice, apartenența la sindicate și prelucrarea datelor genetice, a datelor biometrice în scopul identificării unice a unei persoane fizice, a datelor privind sănătatea sau a datelor privind viața sexuală sau orientarea sexuală a unei persoane fizice”.

Pe de altă parte, Regulamentul oferă o excepție de la interdicția menționată supra. Articolul 10(5) prevede că „în măsura în care este strict necesar pentru scopurile monitorizării, detectării și corectării prejudecăților în legătură cu sistemele de IA cu risc ridicat, furnizorii acestor sisteme pot prelucra categoriile speciale de date personale menționate în Articolul 9 al GDPR”. Articolul 10(5) impune, de asemenea, necesitatea unor măsuri de protecție „adecvate”.

În acest sens, în cazul aplicabilității simultane a prevederilor Regulamentului, pe de o parte, și GDPR, pe de altă parte, există patru scenarii posibile:

1. Se aplică doar Regulamentul: Acesta este cazul în care un sistem IA de risc ridicat nu implică procesarea datelor cu caracter personal, cum ar fi un sistem IA utilizat pentru managementul centralelor electrice.
2. Se aplică doar GDPR: Aplicabil atunci când datele cu caracter personal sunt procesate în dezvoltarea sau utilizarea unui sistem IA care nu intră sub incidența Regulamentului, cum ar fi un sistem IA utilizat pentru publicitate personalizată.
3. Se aplică ambele: În cazul unui sistem IA de risc ridicat care necesită procesarea datelor cu caracter personal în dezvoltare și/sau utilizare, de exemplu, un sistem IA utilizat pentru sortarea automată a CV-urilor.
4. Nu se aplică niciuna: Cazul unui sistem IA cu risc minim care nu implică procesarea datelor cu caracter personal, cum ar fi un sistem IA utilizat pentru simulări în jocuri video.

Obiectivele Regulamentului nu sunt doar consolidarea guvernanței și asigurarea efectivă a respectării legislației existente privind drepturile fundamentale și siguranța subiecților UE. Intenția legiuitorilor UE este, de asemenea, de a promova investițiile și inovarea în domeniul IA în cadrul UE și de a facilita dezvoltarea unei piețe unice pentru aplicațiile IA.

Majoritatea prevederilor din Regulament vor întra în vigoare începând cu 2 august 2026. Cu toate acestea, interdicțiile asupra sistemelor de IA considerate a prezenta un risc inacceptabil vor începe să se aplice deja după 6 luni, iar regulile pentru modele de IA de uz general vor începe să se aplice după 12 luni.

Sistemele generative de IA care sunt disponibile comercial în prezent — cum ar fi ChatGPT al OpenAI și Gemini al Google — primesc, de asemenea, o „perioadă de tranziție” de 36 de luni pentru a-și aduce sistemele în conformitate.

Imagine preluată din articolul Long awaited EU AI Act becomes law after publication in the EU’s Official Journal

Reglementarea IA în Moldova

Implementarea prevederilor inovative ale Regulamentului în Republica Moldova reprezintă un pas strategic esențial pentru alinierea la standardele europene și dezvoltarea unui ecosistem robust de guvernanță a datelor și inteligenței artificiale.

Un scurt istoric, la 21 aprilie 2021 a fost adoptată propunerea de regulament al Parlamentului European și al Consiliului de stabilire a unor norme armonizate privind inteligența artificială. Această propunere a dat curs angajamentului politic al președintei von der Leyen care a anunțat în orientările sale politice pentru mandatul 2019-2024 al Comisiei „O Uniune mai ambițioasă” că Comisia va prezenta acte legislative pentru o abordare europeană coordonată a implicațiilor umane și etice ale IA. Ca urmare a acestui anunț, la 19 februarie 2020, Comisia a publicat Cartea albă privind Inteligența artificială – O abordare europeană axată pe excelență și încredere. Cartea albă stabilește opțiuni de politică privind modul în care se poate atinge dublul obiectiv de promovare a utilizării IA și de abordare a riscurilor asociate anumitor utilizări ale unei astfel de tehnologii.

În această ordine de idei, în vederea creării unui ecosistem de guvernanță a datelor și a adoptării inteligenței artificiale (IA) pentru dezvoltarea Republicii Moldova la 21 februarie 2024 fost propus spre analiză Proiectul „Cartea Albă cu privire la Guvernanța Datelor și Inteligența Artificială”. În contextul propunerii de regulament de stabilire a unor norme armonizate privind IA în document se menționează că „procesul legislativ s-a confruntat cu o întrerupere în decembrie 2022 odată cu apariția ChatGPT, care a necesitat o modificare a proiectului de text, creând reglementări specifice pentru IA generativă.”

În cadrul podcastului „În esență…”, cunoscutul antreprenor IT, Vitalie Eșanu susține că o eventuală aplicare a unor reglementări privind utilizarea AI în R. Moldova ar frâna dezvoltarea tehnologiilor, totodată susținând că UE prin noua lege a recurs greșit la mai multe constrângeri și limitări, inclusiv în domeniul educațional. În opinia expertului, prin „multe cuvinte frumoase și abstracte”, legiuitorul ar putea să introducă niște practici nu tocmai cele mai eficiente.

De asemenea, la data de 21.02.2024, sub coordonarea Irine Buza, a fost creat un grup de lucru privind crearea un cadru normativ național.

În concluzie, Regulamentul reprezintă un pas esențial pentru reglementarea utilizării și dezvoltării inteligenței artificiale în Uniunea Europeană, cu scopul de a proteja drepturile fundamentale ale cetățenilor și de a asigura o piață sigură și competitivă. Cu toate acestea, multe întrebări rămân nerezolvate: în ce direcție se va dezvolta inteligența artificială, vor reuși oare legiuitorii să stipuleze fiecare detaliu al acestei tehnologii sau această lege va deveni încă un exemplu de iluzie a reglementării care nu reușește să țină pasul cu realitatea digitală în care trăim?