Adoptarea Regulamentului (UE) 2024/1689 (Legea IA) redefinește responsabilitatea asociată inteligenței artificiale în UE. De acum înainte, nu va mai fi suficient să se invoce „bune practici” sau „utilizare etică”: va fi esențial să se demonstreze, cu trasabilitate și dovezi, că sistemul a fost conceput, comercializat și utilizat în conformitate cu un cadru de due diligence, guvernanță și gestionare a riscurilor.
În ceea ce privește calendarul său, Legea IA anticipează intrarea sa în vigoare la douăzeci de zile de la publicarea sa în Jurnalul Oficial al Uniunii Europene (JOUE) și stabilește aplicarea sa generală începând cu 2 august 2026, cu obligații eșalonate începând cu 2025. Prin urmare, perioada 2025-2026 servește drept fază de tranziție către o conformitate din ce în ce mai strictă.
În acest cadru, trei domenii cheie prind deja contur:
Alocarea sarcinilor în funcție de rolul în lanțul valoric.
Asigurabilitatea progresivă a riscului prin standardizarea controalelor.
Evaluarea ex-ante ca prag legal pentru intrarea pe piață. Atribuirea responsabilităților: „buna utilizare” ca obligație de diligență
Legea IA se bazează pe o idee centrală: responsabilitatea este organizată pe roluri și controale în cadrul lanțului valoric, nu doar pe daunele finale. Regulamentul impune obligații furnizorilor, implementatorilor (utilizatorilor profesioniști), importatorilor, distribuitorilor și altor operatori, chiar dacă aceștia se află în afara UE atunci când sistemul este comercializat sau utilizat în Uniune.
„Buna utilizare” este definită legal în două niveluri de due diligence:
Pe de o parte, furnizorul trebuie să introducă pe piață un sistem cu garanții adecvate profilului său de risc.
Pe de altă parte, implementatorul definește contextul de utilizare și trebuie să prevină utilizarea necorespunzătoare, să asigure supravegherea umană și să respecte condițiile și instrucțiunile, în special în zonele sensibile.
În sistemele cu risc ridicat, cerința este intensificată: Legea IA impune un sistem continuu de gestionare a riscurilor pe tot parcursul ciclului de viață. În practică, acest lucru mută accentul pe dovezi: va fi crucial să se poată demonstra ce riscuri au fost identificate, cum au fost evaluate, ce măsuri au fost adoptate și cum au fost revizuite ca răspuns la schimbările din sistem sau din contextul de utilizare.
În plus, pentru anumite implementări cu risc ridicat, este necesară o Evaluare a Impactului asupra Drepturilor Fundamentale (EIA) înainte de implementare, în special în sectorul public și în anumite entități private care furnizează servicii publice. EIA impune o descriere a utilizării preconizate, a grupurilor afectate, a riscurilor la adresa drepturilor fundamentale, a măsurilor de supraveghere umană și a strategiilor de atenuare. Absența sau formalitatea excesivă a acesteia poate exacerba riscurile de reglementare și civile.
Legea IA nu înlocuiește nici alte cadre: aplicarea GDPR, a reglementărilor privind confidențialitatea și a altor regimuri (de consumator, contractuale, răspunderea pentru produse) rămâne în vigoare, ceea ce face ca răspunderea multifațetată să fie comună.
Riscul de asigurare: De la incertitudine la auditabilitate
Piața asigurărilor reconfigurează acoperirea deoarece riscul asociat cu IA este rareori strict tehnic. De obicei, se manifestă ca un risc compozit: daune aduse terților, încălcări ale contractelor, defecțiuni de securitate, reclamații pentru discriminare sau decizii automatizate și, în sectoarele reglementate, expunerea la măsuri corective sau punitive.
În acest moment, Legea IA are un efect indirect, dar decisiv: introduce un standard de reglementare care facilitează auditabilitatea riscului și, prin urmare, asigurabilitatea acestuia, cu condiția ca organizația să poată demonstra guvernanță și controale. În conformitate cu aceasta, EIOPA a promovat criterii pentru integrarea IA în cadrele existente de control intern și gestionare a riscurilor în sectorul asigurărilor.
În paralel, Directiva (UE) 2024/2853 privind răspunderea pentru produse lărgește conceptul de „produs” pentru a include, printre altele, software-ul, consolidând expunerea la răspunderea strictă în anumite scenarii. Prin urmare, o strategie coerentă care integrează conformitatea tehnică, proiectarea contractelor și gestionarea asigurărilor devine din ce în ce mai importantă.
Evaluarea ex-ante și ciclul de viață: noul prag pentru intrarea pe piață
Dintr-o perspectivă de afaceri, cea mai semnificativă schimbare este că intrarea pe piață nu mai este o piatră de hotar pur tehnologică, ci mai degrabă un prag legal de due diligence. Pentru sistemele cu risc ridicat, cerința minimă se învârte în jurul sistemului de gestionare a riscurilor: un proces continuu, documentat și actualizabil care permite identificarea și atenuarea riscurilor, cu revizuiri periodice.
Atunci când este necesar, FRIA (Family Risk Assessment Initiative – Inițiativa de Evaluare a Riscurilor Familiale) acționează ca o legătură între sistem și drepturile fundamentale în cazul specific. Și, în mediile care implică date cu caracter personal, conformitatea cu GDPR este esențială: un proiect poate fi aliniat în mod rezonabil cu Legea IA și totuși să fie neconform din cauza deficiențelor în temeiul juridic, transparență, minimizare sau exercitarea drepturilor.
În cele din urmă, conformitatea nu se încheie odată cu lansarea. Logica Legii IA impune o abordare a ciclului de viață: monitorizare, detectarea abaterilor, revizuire în fața unor schimbări semnificative și capacități de răspuns la incidente. În cele din urmă, această abordare va fi ceea ce, în practică, va distinge proiectele pur „pilotabile” de proiectele cu adevărat „scalabile” într-un mediu de reglementare din ce în ce mai exigent.
