Legea AI a venit peste noi. Ce trebuie să știi dacă ai o firmă în România
Inteligența artificială nu mai este de mult un concept al viitorului. O folosim zilnic, de la chatbot-uri și generatoare de imagini până la sisteme care analizează date, automatizează procese și iau decizii complexe. Tocmai de aceea, Uniunea Europeană a adoptat primul cadru legislativ amplu dedicat inteligenței artificiale, cunoscut sub numele de AI Act.
Această reglementare are scopul de a proteja cetățenii, de a crește transparența și de a asigura că tehnologiile AI sunt utilizate în mod responsabil. Pentru companii, însă, noua legislație aduce și obligații clare privind dezvoltarea și utilizarea sistemelor bazate pe inteligență artificială.
Ce este AI Act?
AI Act este regulamentul european care stabilește reguli pentru dezvoltarea, comercializarea și utilizarea sistemelor de inteligență artificială în toate statele membre ale Uniunii Europene. Regulamentul a intrat oficial în vigoare la 1 august 2024, însă aplicarea sa se face etapizat, până în anul 2027.
Spre deosebire de alte reglementări, AI Act nu tratează toate aplicațiile AI la fel. Legea clasifică sistemele în funcție de nivelul de risc pe care îl prezintă pentru oameni și societate.
Ce vrea, mai exact, noua lege?
Ideea din spatele AI Act nu este să interzică ChatGPT sau algoritmii care ne recomandă filme pe Netflix. Comisia Europeană a gândit o abordare bazată pe nivelul de risc. Practic, cu cât AI-ul poate face mai mult rău, cu atât regulile sunt mai stricte:
1. Risc inacceptabil
Aceste sisteme sunt interzise complet în Uniunea Europeană. Printre exemple se numără:
- sistemele de „social scoring” care evaluează cetățenii după comportament;
- manipularea comportamentului persoanelor vulnerabile;
- anumite forme de recunoaștere biometrică și clasificare a persoanelor pe criterii sensibile.
Tot ce înseamnă supraveghere socială de tip „Scor Social” sau sisteme care manipulează comportamentul uman pentru a ne face rău – astea dispar, punct.
2. Risc ridicat
Aici intră aplicațiile care pot influența semnificativ viața oamenilor și sistemele care iau decizii critice (de exemplu, dacă o bancă folosește AI să decidă dacă îți dă un credit, sau dacă un sistem AI decide cine este angajat și cine nu), cum ar fi:
- recrutarea și selecția personalului;
- educația;
- serviciile financiare;
- infrastructura critică;
- sănătatea;
- sistemul judiciar.
Pentru aceste sisteme sunt necesare documentații tehnice, evaluări de risc, supraveghere umană și măsuri de transparență.
Companiile trebuie să fie extrem de transparente și să aibă mecanisme de control riguroase.
3. Risc limitat
În această categorie intră majoritatea chatbot-urilor și aplicațiilor conversaționale. Utilizatorii trebuie informați clar că interacționează cu o inteligență artificială și nu cu o persoană reală. Singura obligație majoră? Să știm că stăm de vorbă cu un robot.
4. Risc minim
Instrumentele AI utilizate pentru sarcini simple, precum filtrele anti-spam sau sistemele de recomandare, sunt considerate cu risc redus și nu sunt supuse unor obligații stricte.
De ce ar trebui să ne pese nouă, ca afaceri românești?
Să fim sinceri: pentru marea majoritate a firmelor de la noi, AI Act nu înseamnă că trebuie să închidem site-urile sau să renunțăm la tool-urile de automatizare. Înseamnă însă responsabilitate.
Dacă ești un antreprenor care folosește AI pentru a-și îmbunătăți relația cu clienții (cum ar fi integrarea unui CRM inteligent sau a unui asistent virtual pe site), legea asta îți oferă, paradoxal, mai multă încredere. Clienții tăi vor ști că, dacă folosești un sistem inteligent, acesta a fost verificat și nu le va „fura” datele în moduri dubioase.
Ce faci dacă ai un SRL sau un start-up?
Dacă ești o firmă mică, nu intra în panică. Nu trebuie să angajezi zece juriști. Dar nu ignora situația. Iată un plan simplu pentru următoarele 3 luni:
Fă un inventar al tuturor tool-urilor de AI pe care le folosești. De la ChatGPT-ul Enterprise plătit până la algoritmul intern care face predictii.
Verifică “riscul”: Folosești AI-ul să iei decizii care afectează viața cuiva (angajare, credit, sănătate)? Dacă da, ai nevoie de un sistem de management al calității.
Actualizează Politica GDPR: AI-ul și protecția datelor sunt acum nedespărțite. Dacă ai o notificare de securitate a datelor la ANSPDCP, trebuie să fie compatibilă cu AI Act-ul.
Pregătește “opa” tehnică: Asigură-te că ai backup la documentația de proiectare. Nu arunca notițele despre cum ai testat modelul.
Este similar cu ce s-a întâmplat în 2018 cu GDPR-ul. Atunci toată lumea a lăsat pe ultima sută de metri, și în primele luni după implementare au apărut amenzile exemplare. Acum e șansa ta să fii pregătit înainte ca autoritățile să își intre complet în rol.
Atenție la amenzile care dor!
Nu e glumă când vine vorba de bani. Regulamentul european prevede niște praguri care îți pot seca lichiditățile peste noapte:
Pentru practici interzise (ex: scorare socială, manipulare subconștientă, scraping facial necontrolat): până la 35 de milioane de euro sau 7% din cifra de afaceri globală anuală.
Pentru încălcarea obligațiilor sistemelor cu risc ridicat: până la 15 milioane de euro sau 3%.
Pentru informații false date autorităților: până la 7.5 milioane de euro sau 1.5%.
