Cum pot beneficia firmele românești de prevederile noului AI

Trăim niște vremuri extraordinare, în care lucrurile se întâmplă foarte rapid, se iau multe decizii și devine tot mai dificil pentru specialiști (nu mai vorbim de oamenii din companiile afectate de decizii) să urmărească toate legile, modificările, propunerile, dezbaterile din Comisia Europeană sau din Parlamentul European. Și totuși, noile pachete de legi de date – AI Act, Data Act, Data Governance Act, Digital Services Act, Digital Markets Act – sunt absolut esențiale pentru modul în care Uniunea Europeană privește transformarea digitală a economiei europene. 

Reglementarea utilizării datelor, atât personale cât și non-personale, este destul de dificilă și adoptarea noilor regulamente pune provocări serioase atât firmelor cât și instituțiilor de control și supraveghere. În România, Guvernul a aprobat la sfârșitul lunii aprilie un Memorandum privind stabilirea unui comitet de coordonare la nivelul României în domeniul datelor, serviciilor digitale și inteligenței artificiale, constituit din reprezentanți ai Autorității de Reglementare în Comunicații, ai Ministerului Cercetării, Inovării și Digitalizării, ai Autorității pentru Digitalizarea României, ai Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, ai Directoratului Național de Securitate Cibernetică, ai Institutului Național de Statistică, ai Consiliului Național al Audiovizualului și ai Consiliului Concurenței. Este un pas important în definirea unei strategii naționale de date care va acoperi și strategia adopției tehnologiilor cu inteligență artificială atât în mediul public cât și în cel privat. 

Obiectivul general al acestei legislații este de a asigura funcționarea pieței unice prin crearea condițiilor pentru dezvoltarea, utilizarea și introducerea pe piața Uniunii a unor sisteme de AI fiabile, un obiectiv simplu, clar și în general ușor de urmărit. Regulamentul aduce norme armonizate pentru introducerea pe piață, punerea în funcțiune și utilizarea sistemelor de AI în Uniune, interzicerea anumitor practici de inteligență artificială, cerințe specifice pentru sistemele de AI cu grad ridicat de risc și obligații pentru operatorii unor astfel de sisteme, norme armonizate în materie de transparență pentru anumite sisteme de AI, norme privind monitorizarea și supravegherea pieței, guvernanța și punerea în aplicare a legislației și norme pentru înființarea și funcționarea Oficiului pentru AI la nivelul Uniunii. 

Este un regulament complex, vorbim de 113 articole și 180 de considerente (un fel de explicații ale articolelor), articole ce conțin multe subpuncte la rândul lor. Complexitatea este dată și de faptul că regulamentul a avut contribuții multiple din partea specialiștilor, a societății civile, a forțelor de securitate și a politicienilor, bineînțeles. La GDPR, procesul de „creare” a fost mult mai „închis”, însă aici procesul de facere a fost unul transparent iar contribuțiile au tot continuat să vină. Politic vorbind, acest regulament a trecut foarte repede, neașteptat de repede. Există alte regulamente – de exemplu Regulamentul e-Privacy, care așteaptă de peste șapte ani să fie adoptat, iar țările nu reușesc să se pună de acord asupra unor articole. 

Am să scriu definiția în engleză, din versiunea ce este aprobată de către Comisia Europeană: 

‘AI system’ means a machine-based system that is designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment, and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments.

De ce am păstrat-o în engleză? Fiindcă parte a procesului de adopție, acest regulament va fi tradus în fiecare limbă a Uniunii. Și chestia asta o să doară. În versiunea pre-corectare a AI Act, găsisem diferențe periculoase între versiunea în engleză și cea în română a definiției. 

Însă această definiție este foarte importantă, fiindcă clarifică exact la ce se vor uita reglementatorii, avocații și judecătorii în cazul în care diverse spețe legate de AI vor ajunge în investigații sau în instanță. De exemplu, „machine-based system” presupune faptul că în spatele sistemului AI există o mașină de calcul, nu un microchip pre-programat să facă niște rutine fixe. Varying levels of autonomy înseamnă niveluri multiple de autonomie (nu variate, și aici era una dintre problemele traducerii), adică nu mai vorbim de algoritmi clasici care fac operațiuni fixe, pre-programate. Acel „adaptiveness” înseamnă o capacitate a sistemului de a crea noi soluții pentru probleme. 

În diversele viziuni ale diverselor țări, găsim alte definiții, însă mă aștept ca cea europeană să prevaleze și să influențeze modul în care AI este definit la nivel global. De ce? Fiindcă piața europeană are un potențial uriaș de adopție iar sistemele AI ce nu se conformează acestor cerințe riscă să fie scoase cu totul de pe piață. Am văzut acest trend și la GDPR unde multe țări s-au „inspirat” din prevederile regulamentului în momentul în care și-au adus la zi legile locale de protecție a datelor personale. 

De ce această definiție este foarte importantă pentru firmele românești? Păi foarte multe firme și-au dezvoltat soluții despre care au zis că au AI dar care de fapt nu au niciun AI. Această definiție clarifică ce este și ce nu este un AI, lucru benefic pentru firmele ce probabil nu doresc să intre sub vizorul autorităților de reglementare. Alte firme și-au implementat astfel de soluții ce teoretic au AI dar de fapt nu au niciun AI – scapă și ele de reglementare. Acum este momentul ca toată lumea să se uite la softurile pe care le au prin ogradă ca să înțeleagă exact în ce măsură vor fi sau nu reglementați. 

Există patru roluri cheie în AI Act: furnizor (provider), importator (importer), distributor (distribuitor) – toți trei sunt considerați „operatori” – și implementator (deployer):

În România avem deja toate tipurile de operatori – furnizor, importator, distribuitor. Avem, desigur, și implementator căci aceștia sunt de fapt clienții finali, companiile care utilizează AI. Ei bine, sub AI Act cu toții au anumite obligații în legătură cu algoritmii folosiți și cu riscurile introduse de aceștia.

GDPR este un regulament menit să asigure protecția persoanelor fizice din punctul de vedere al prelucrărilor de date personale. AI Act este un regulament menit să apere drepturile fundamentale ale oamenilor, așa cum sunt ele scrise în Carta Drepturilor Fundamentale a Uniunii Europene: respectarea demnității umane, a libertății, a egalității, a democrației și a statului de drept, precum și a drepturilor fundamentale consacrate în cartă, inclusiv a dreptului la nediscriminare, la protecția datelor, la viață privată și la drepturile copilului.

AI Act introduce patru niveluri de risc: inacceptabil, ridicat, mediu, scăzut sau limitat. 

AI-urile care intră în categoria de risc inacceptabil includ sisteme de AI care utilizează tehnici subliminale sau tehnici intenționat manipulative sau înșelătoare cu efect de denaturare a comportamentului unei persoane sau al unui grup de persoane, AI-uri care exploatează vulnerabilitățile unei persoane sau ale unui grup specific de persoane pentru a distorsiona comportamentul făcând rău (vârstnici, abilități fizice și mentale), utilizarea sistemelor biometrice de clasificare, utilizarea sistemelor AI în scopuri de evaluare socială (evaluare sau clasificare), sisteme de identificare biometrică la distanță „în timp real” în spații accesibile publicului (cu anumite excepții), utilizarea sistemelor de AI pentru efectuarea de evaluări ale riscurilor persoanelor, sisteme AI care creează sau extind bazele de date de recunoaștere facială, sisteme AI care deduc emoțiile persoanelor fizice în domeniul aplicării legii, al gestionării frontierelor, la locul de muncă și în instituțiile de învățământ și sisteme AI care analizează înregistrările capturate prin sisteme de identificare biometrică la distanță.

Există anumite excepții, nu intrăm în ele, în domeniul securității naționale, însă în general acești algoritmi sunt strict interziși. 

AI-urile care intră în categoria de risc ridicat includ sisteme de AI destinate utilizării drept componentă de siguranță a unui produs (jucării, aviație, mașini, dispozitive medicale, ascensoare), sisteme biometrice, gestionarea și exploatarea infrastructurii critice, educație și formare profesională în ocuparea forței de muncă, gestionarea angajaților, accesul la servicii private esențiale și la servicii publice și beneficierea de acestea, aplicarea legii în gestionarea migrației, azilului și controlului la frontiere, administrarea justiției și a proceselor democratice. 

În cazul acestor algoritmi trebuie făcută de către implementator o analiză de tip FRIA – Fundamental Rights Impact Assessment, ceva similar DPIA – Data Protection Impact Assessment din GDPR. Această analiză trebuie să conțină o descriere a proceselor implementatorului în care sistemele de AI cu grad ridicat de risc urmează să fie utilizate în conformitate cu scopul lor preconizat, o descriere a perioadei de timp pentru care se intenționează utilizarea sistemului AI, precum și a frecvenței utilizării, categoriile de persoane fizice și grupurile susceptibile a fi afectate de utilizarea sa în contextul specific, riscurile specifice de prejudicii susceptibile a avea un impact asupra categoriilor de persoane sau a grupurilor de persoane identificate, ținând seama de informațiile comunicate de furnizor, o descriere a punerii în aplicare a măsurilor de intervenție umană, în conformitate cu instrucțiunile de utilizare, măsurile care trebuie luate în cazul în care riscurile se materializează, inclusiv mecanismele de guvernanță internă și mecanismele de tratare a plângerilor.

Alte obligații ale operatorilor includ validarea datelor de training și testare care trebuie să îndeplinească cerințele de calitate, de exemplu examinarea prejudecăților, scrierea unei documentații tehnice care să permită evaluarea conformității, jurnalizarea comportamentului sistemelor AI, transparență pentru a permite furnizorilor și operatorilor să înțeleagă în mod rezonabil funcționarea sistemelor AI, Supravegherea umană eficientă care să permită intervenția rapidă, precizie, robustețe, securitate cibernetică.

Importatorii de sisteme AI de mare risc trebuie să se asigure că obțin pentru aceste sisteme marca CE de conformitate pentru utilizarea în Uniunea Europeană. 

Aici văd o mare oportunitate pentru companiile care au deja experiență în proiectarea sistemelor AI, în cybersecurity sau în consultanța de conformitate la GDPR să ofere consultanță de conformitate companiilor ce doresc să implementeze sisteme AI. Nu este destul să faci o analiză FRIA, trebuie să analizezi seturile de date de training și de test, să stabilești procese și proceduri de urmărire a evoluției AI-ului, procese și proceduri privind intervenția umană, căi de escaladare a incidentelor și de rezolvare a plângerilor precum și soluții de despăgubire în cazul în care anumite riscuri se manifestă. 

Cei care deja s-au mobilizat au un avans considerabil și sunt câțiva care au dezvoltat astfel de procese și proceduri pentru a le utiliza la clienți, însă foarte multe companii nu știu de unde să apuce partea de conformitate a utilizării AI. Sper să fie mult mai multe companii românești în piață care să ofere astfel de servicii și care să ia inclusiv clienți din afara României – acolo este de fapt marea oportunitate.

Una dintre cele mai cool chestii din AI Act este obligativitatea fiecărei țări de a crea „un cadru controlat instituit de o autoritate competentă care oferă furnizorilor sau potențialilor furnizori de sisteme AI posibilitatea de a dezvolta, de a antrena, de a valida și de a testa, după caz în condiții reale, un sistem AI inovator, pe baza unui plan privind spațiul de testare, pentru o perioadă limitată de timp, sub supraveghere reglementară”.

La ora actuală, puține firme își permit să creeze astfel de medii de testare, costurile sunt prohibitive. Însă dacă statul român, prin intermediul unei autorități competente (probabil ANSPDCP) finanțează un astfel de mediu controlat, firmele românești au enorm de mult de câștigat fiindcă vor putea integra partea de testare controlată în efortul de dezvoltare, reducând însă costurile asociate acestui efort. Nu vom vedea foarte curând aceste AI Regulatory Sandboxes, estimarea realistă este că le vom vedea undeva prin 2026-2027, însă le vom vedea. Și dacă tot vorbim de timeline, hai să vedem când va intra în vigoare AI Act.

Normele AI Act se vor aplica gradual, după cum urmează:

• Intrarea în vigoare (preconizată în aceste zile): AI Act va intra în vigoare la 20 de zile de la publicarea sa în Jurnalul Oficial al UE.
• Aplicabilitatea prevederilor: 24 de luni de la intrarea în vigoare, unele dispoziții specifice intrând în vigoare mai devreme.
• Șase luni de la intrarea în vigoare: Interdicțiile privind AI cu risc inacceptabil intră în vigoare; deci, prin noiembrie – decembrie 2024 s-ar putea să vedem decizii de interzicere a unor sisteme AI!
• 12 luni de la intrarea în vigoare: încep obligațiile furnizorilor de modele de AI de uz general (GPAI), odată cu numirea autorităților competente ale statelor membre și cu revizuirea anuală de către Comisie a listei de AI-uri interzise.
• 18 luni de la intrarea în vigoare: Comisia pune în aplicare norme privind monitorizarea ulterioară introducerii pe piață.
• 24 de luni de la intrarea în vigoare: Obligațiile privind sistemele de AI cu grad ridicat de risc, sancțiunile și instituirea de spații de testare în materie de reglementare a AI de către statele membre devin active.
• 36 de luni de la intrarea în vigoare: Obligațiile pentru sistemele de AI cu grad ridicat de risc care nu sunt prevăzute în anexa III a regulamentului intră în vigoare.
• Până la sfârșitul anului 2030: Anumite sisteme de AI, cum ar fi cele din sistemele informatice la scară largă instituite prin legislația UE, vor fi puse în aplicare.

Practic, nu mai e „lejeritatea” a doi ani de „cercetare” cum am avut la GDPR, publicat în 2016 și intrat în vigoare în 2018. În noiembrie – decembrie vom avea primele măsuri aplicate unor algoritmi AI! 

Și, bineînțeles, bănuiesc că sunteți curioși cam cât de mari sunt amenzile. Păi putem spune că sunt cu mult mai ridicate decât în cazul GDPR:

• Nerespectarea interdicției privind practicile AI face obiectul unor amenzi administrative de până la 35.000.000 EUR sau 7% din cifra sa de afaceri mondială totală anuală pentru exercițiul financiar precedent, luându-se în considerare valoarea cea mai mare.
• Nerespectarea dispozițiilor referitoare la operatori sau la organismele notificate face obiectul unor amenzi administrative de până la 15.000.000 EUR sau 3% din cifra sa de afaceri mondială totală anuală pentru exercițiul financiar precedent, luându-se în considerare valoarea cea mai mare.
• Furnizarea de informații incorecte, incomplete sau înșelătoare organismelor notificate sau autorităților naționale competente ca răspuns la o cerere face obiectul unor amenzi administrative de până la 7.500.000 EUR sau 1% din cifra sa de afaceri mondială totală anuală pentru exercițiul financiar precedent, luându-se în considerare valoarea cea mai mare.

În cazul IMM-urilor, inclusiv al start-up-urilor, fiecare amendă se aplică procentelor sau cuantumului recomandat, reținându-se valoarea cea mai mică. Asta va permite start-up-urilor să „greșească” și să învețe din greșeli, fără a da faliment la prima greșeală. 

Autoritățile de supraveghere vor fi, cel mai probabil, autoritățile de protecție a datelor – în cazul României, ANSPDCP. Însă rol de control vor avea și autoritățile sectoriale, în diversele industrii reglementate, cum ar fi ASF pentru piața de capital și piața asigurărilor, ANRE pentru piața de energie, Banca Națională pentru zona financiar-bancară, ANCOM pentru sectorul comunicațiilor și așa mai departe. 

Ca o concluzie, firmele din România au acum un cadru competitiv de reglementare a dezvoltării, vânzării, implementării și utilizării de sisteme AI. Mai mult, au timp să se pregătească pentru aceste norme și să aibă un ecart mare versus competiție, însă doar dacă încep acum să se documenteze.