(1) Scopul prezentului regulament este de a îmbunătăți funcționarea pieței interne prin stabilirea unui cadru juridic uniform, în special pentru dezvoltarea, introducerea pe piață, punerea în funcțiune și utilizarea de sisteme de inteligență artificială (sisteme de IA) în Uniune, în conformitate cu valorile Uniunii, de a promova adoptarea unei inteligențe artificiale (IA) de încredere și centrate pe factorul uman, asigurând în același timp un nivel ridicat de protecție a sănătății, a siguranței, a drepturilor fundamentale consacrate în Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), inclusiv a democrației, a statului de drept și a mediului, de a proteja împotriva efectelor dăunătoare ale sistemelor de IA în Uniune, precum și de a sprijini inovarea. Prezentul regulament asigură libera circulație transfrontalieră a bunurilor și serviciilor bazate pe IA, împiedicând astfel statele membre să impună restricții privind dezvoltarea, comercializarea și utilizarea sistemelor de IA, cu excepția cazului în care acest lucru este autorizat în mod explicit de prezentul regulament.

(2) Prezentul regulament ar trebui să se aplice în conformitate cu valorile Uniunii consacrate în cartă, facilitând protecția persoanelor fizice, a întreprinderilor, a democrației, a statului de drept și a mediului, stimulând în același timp inovarea și ocuparea forței de muncă și asigurând Uniunii o poziție de lider în adoptarea unei IA de încredere.

(3) Sistemele de IA pot fi implementate cu ușurință într-o mare varietate de sectoare ale economiei și în multe părți ale societății, inclusiv la nivel transfrontalier, și pot circula cu ușurință în întreaga Uniune. Anumite state membre au explorat deja adoptarea unor norme naționale pentru a se asigura că IA este sigură și de încredere și că este dezvoltată și utilizată în conformitate cu obligațiile în materie de drepturi fundamentale. Divergențele dintre normele naționale pot duce la fragmentarea pieței interne și pot reduce gradul de securitate juridică pentru operatorii care dezvoltă, importă sau utilizează sisteme de IA. Prin urmare, ar trebui să se asigure un nivel ridicat și consecvent de protecție în întreaga Uniune pentru a se obține o IA de încredere, iar divergențele care împiedică libera circulație, inovarea, implementarea și adoptarea sistemelor de IA și a produselor și serviciilor conexe în cadrul pieței interne ar trebui să fie prevenite, prin stabilirea unor obligații uniforme pentru operatori și prin garantarea protecției uniforme a motivelor imperative de interes public major și a drepturilor persoanelor în întreaga piață internă, în temeiul articolului 114 din Tratatul privind funcționarea Uniunii Europene (TFUE). În măsura în care prezentul regulament conține norme specifice de protecție a persoanelor fizice în contextul prelucrării datelor cu caracter personal, referitoare la restricțiile de utilizare a sistemelor de IA pentru identificarea biometrică la distanță în scopul aplicării legii, la utilizarea sistemelor de IA pentru evaluarea riscurilor persoanelor fizice în scopul aplicării legii și la utilizarea sistemelor de IA de clasificare biometrică în scopul aplicării legii, este oportun ca prezentul regulament să se întemeieze, în ceea ce privește normele specifice respective, pe articolul 16 din TFUE. Având în vedere normele specifice respective și recurgerea la articolul 16 din TFUE, este oportun să se consulte Comitetul european pentru protecția datelor.

(4) IA este o familie de tehnologii cu evoluție rapidă, care contribuie la o gamă largă de beneficii economice, de mediu și societale în întregul spectru de industrii și activități sociale. Prin îmbunătățirea previziunilor, optimizarea operațiunilor și a alocării resurselor, precum și prin personalizarea soluțiilor digitale disponibile pentru persoane fizice și organizații, utilizarea IA poate oferi avantaje concurențiale esențiale întreprinderilor și poate sprijini obținerea de rezultate benefice din punct de vedere social și al mediului, în domenii precum îngrijirile de sănătate, agricultura, siguranța alimentară, educația și formarea, mass-media, sportul, cultura, gestionarea infrastructurii, energia, transporturile și logistica, serviciile publice, securitatea, justiția, eficiența energetică și a utilizării resurselor, monitorizarea mediului, conservarea și refacerea biodiversității și ecosistemelor, precum și atenuarea schimbărilor climatice și adaptarea la acestea.

(5) În același timp, în funcție de circumstanțele legate de aplicarea și utilizarea sa specifică, precum și de nivelul său specific de dezvoltare tehnologică, IA poate genera riscuri și poate aduce prejudicii intereselor publice și drepturilor fundamentale care sunt protejate de dreptul Uniunii. Un astfel de prejudiciu ar putea fi material sau moral, inclusiv de natură fizică, psihologică, societală sau economică.

(6) Având în vedere impactul major pe care IA îl poate avea asupra societății și necesitatea de a genera încredere, este esențial ca IA și cadrul său de reglementare să fie dezvoltate în concordanță cu valorile Uniunii consacrate la articolul 2 din Tratatul privind Uniunea Europeană (TUE) și cu drepturile și libertățile fundamentale consacrate în tratate și, potrivit articolului 6 din TUE, în cartă. Ca o condiție prealabilă, IA ar trebui să fie o tehnologie centrată pe factorul uman. Aceasta ar trebui să le servească oamenilor ca un instrument, cu scopul final de a le spori bunăstarea.

(7) Pentru a asigura un nivel consecvent și ridicat de protecție a intereselor publice în ceea ce privește sănătatea, siguranța și drepturile fundamentale, ar trebui să fie stabilite norme comune pentru sistemele de IA cu grad ridicat de risc. Normele respective ar trebui să fie în concordanță cu carta și ar trebui să fie nediscriminatorii și în conformitate cu angajamentele comerciale internaționale ale Uniunii. De asemenea, ele ar trebui să țină seama de Declarația europeană privind drepturile și principiile digitale pentru deceniul digital și de Orientările în materie de etică pentru o IA fiabilă ale Grupului independent de experți la nivel înalt privind inteligența artificială.

(8) Prin urmare, este necesar un cadru juridic al Uniunii care să stabilească norme armonizate privind IA pentru a încuraja dezvoltarea, utilizarea și adoptarea pe piața internă a IA și care să asigure, în același timp, un nivel ridicat de protecție a intereselor publice, cum ar fi sănătatea și siguranța, și protecția drepturilor fundamentale, inclusiv a democrației, a statului de drept și a mediului, astfel cum sunt recunoscute și protejate de dreptul Uniunii. Pentru atingerea acestui obiectiv, ar trebui să fie stabilite norme care să reglementeze introducerea pe piață, punerea în funcțiune și utilizarea anumitor sisteme de IA, asigurând astfel buna funcționare a pieței interne și permițând sistemelor respective să beneficieze de principiul liberei circulații a bunurilor și a serviciilor. Normele respective ar trebui să fie clare și solide în ceea ce privește protejarea drepturilor fundamentale, sprijinind noile soluții inovatoare, permițând unui ecosistem european de actori publici și privați să creeze sisteme de IA în conformitate cu valorile Uniunii și deblocând potențialul transformării digitale în toate regiunile Uniunii. Prin stabilirea normelor respective, precum și a unor măsuri de susținere a inovării cu un accent special pe întreprinderile mici și mijlocii (IMM), inclusiv pe întreprinderile nou-înființate, prezentul regulament sprijină obiectivul de promovare a abordării europene centrate pe factorul uman față de IA și de poziționare ca lider mondial în dezvoltarea unei IA sigure, de încredere și etice, astfel cum a afirmat Consiliul European (5), și asigură protecția principiilor etice, astfel cum a solicitat în mod expres Parlamentul European (6).

(9) Normele armonizate aplicabile introducerii pe piață, punerii în funcțiune și utilizării sistemelor de IA cu grad ridicat de risc ar trebui să fie stabilite în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului (7), cu Decizia nr. 768/2008/CE a Parlamentului European și a Consiliului (8) și cu Regulamentul (UE) 2019/1020 al Parlamentului European și al Consiliului (9) (denumite în continuare „noul cadru legislativ”). Normele armonizate prevăzute în prezentul regulament ar trebui să se aplice în toate sectoarele și, în conformitate cu noul cadru legislativ, ar trebui să nu aducă atingere dreptului în vigoare al Uniunii, în special în ceea ce privește protecția datelor, protecția consumatorilor, drepturile fundamentale, ocuparea forței de muncă, protecția lucrătorilor și siguranța produselor, cu care prezentul regulament este complementar. În consecință, toate drepturile și căile de atac prevăzute de dreptul Uniunii pentru consumatori și alte persoane asupra cărora sistemele de IA ar putea avea un impact negativ, inclusiv în ceea ce privește despăgubirea pentru eventuale prejudicii prevăzută în Directiva 85/374/CEE a Consiliului (10), rămân neafectate și pe deplin aplicabile. În plus, în contextul ocupării forței de muncă și al protecției lucrătorilor, prezentul regulament ar trebui așadar să nu aducă atingere dreptului Uniunii privind politica socială și dreptului național al muncii, în conformitate cu dreptul Uniunii, în ceea ce privește condițiile de angajare și de muncă, inclusiv securitatea și sănătatea în muncă și relația dintre angajatori și lucrători. De asemenea, prezentul regulament ar trebui să nu aducă atingere exercitării drepturilor fundamentale, astfel cum sunt recunoscute în statele membre și la nivelul Uniunii, inclusiv dreptului sau libertății de a intra în grevă sau de a întreprinde alte acțiuni care țin de sistemele specifice de relații de muncă din statele membre, precum și dreptului de a negocia, de a încheia și de a pune în aplicare contracte colective de muncă sau de a desfășura acțiuni colective în conformitate cu dreptul intern. Prezentul regulament ar trebui să nu aducă atingere dispozițiilor care vizează îmbunătățirea condițiilor de muncă în ceea ce privește munca prin intermediul platformelor, prevăzute într-o Directivă a Parlamentului European și a Consiliului privind îmbunătățirea condițiilor de muncă pentru lucrul prin intermediul platformelor. În plus, prezentul regulament urmărește să consolideze eficacitatea acestor drepturi și căi de atac existente prin stabilirea unor cerințe și obligații specifice, inclusiv în ceea ce privește transparența, documentația tehnică și păstrarea evidențelor sistemelor de IA. De asemenea, obligațiile impuse diferiților operatori implicați în lanțul valoric al IA în temeiul prezentului regulament ar trebui să se aplice fără a aduce atingere dreptului intern, în conformitate cu dreptul Uniunii, având ca efect limitarea utilizării anumitor sisteme de IA în cazul în care dreptul respectiv nu intră în domeniul de aplicare al prezentului regulament sau urmărește alte obiective legitime de interes public decât cele urmărite de prezentul regulament. De exemplu, dreptul intern al muncii și dreptul intern privind protecția minorilor, și anume a persoanelor cu vârsta sub 18 ani, ținând seama de Comentariul general nr. 25 (2021) la Convenția UNCRC cu privire la drepturile copiilor în legătură cu mediul digital, în măsura în care nu sunt specifice sistemelor de IA și urmăresc alte obiective legitime de interes public, ar trebui să nu fie afectate de prezentul regulament.

(10) Dreptul fundamental la protecția datelor cu caracter personal este protejat în special de Regulamentele (UE) 2016/679 (11) și (UE) 2018/1725 (12) ale Parlamentului European și ale Consiliului și de Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (13). Directiva 2002/58/CE a Parlamentului European și a Consiliului (14) protejează, în plus, viața privată și confidențialitatea comunicațiilor, inclusiv prin faptul că prevede condiții pentru stocarea și accesarea pe echipamente terminale a oricăror date cu și fără caracter personal. Respectivele acte legislative ale Uniunii asigură temeiul prelucrării durabile și responsabile a datelor, inclusiv atunci când seturile de date conțin un amestec de date cu caracter personal și date fără caracter personal. Prezentul regulament nu urmărește să aducă atingere aplicării dreptului în vigoare al Uniunii care reglementează prelucrarea datelor cu caracter personal, nici sarcinilor și competențelor autorităților de supraveghere independente care sunt competente să monitorizeze respectarea instrumentelor respective. Prezentul regulament nu aduce atingere nici obligațiilor furnizorilor și implementatorilor de sisteme de IA în rolul lor de operatori de date sau de persoane împuternicite de operatori, care decurg din dreptul Uniunii sau din dreptul național privind protecția datelor cu caracter personal, în măsura în care proiectarea, dezvoltarea sau utilizarea sistemelor de IA implică prelucrarea de date cu caracter personal. De asemenea, este oportun să se clarifice că persoanele vizate continuă să beneficieze de toate drepturile și garanțiile care le sunt acordate de dreptul Uniunii, printre care se numără drepturile legate de procesul decizional individual complet automatizat, inclusiv crearea de profiluri. Normele armonizate pentru introducerea pe piață, punerea în funcțiune și utilizarea sistemelor de IA instituite în temeiul prezentului regulament ar trebui să faciliteze punerea în aplicare efectivă și să permită exercitarea drepturilor persoanelor vizate și a altor căi de atac garantate în temeiul dreptului Uniunii privind protecția datelor cu caracter personal și a altor drepturi fundamentale.

(11) Prezentul regulament ar trebui să nu aducă atingere dispozițiilor privind răspunderea furnizorilor de servicii intermediare prevăzute în Regulamentul (UE) 2022/2065 al Parlamentului European și al Consiliului (15).

(12) Noțiunea de „sistem de IA” din prezentul regulament ar trebui să fie definită în mod clar și ar trebui să fie aliniată îndeaproape la lucrările organizațiilor internaționale care își desfășoară activitatea în domeniul IA, pentru a asigura securitatea juridică și a facilita convergența internațională și acceptarea pe scară largă, oferind în același timp flexibilitatea necesară pentru a ține seama de evoluțiile tehnologice rapide din acest domeniu. În plus, definiția ar trebui să se bazeze pe caracteristicile esențiale ale sistemelor de IA, care le diferențiază de sistemele software sau abordările de programare tradiționale mai simple, și nu ar trebui să acopere sistemele care se bazează pe reguli definite exclusiv de persoane fizice pentru a executa în mod automat anumite operațiuni. O caracteristică esențială a sistemelor de IA este capabilitatea lor de a realiza deducții. Această capabilitate se referă la procesul de obținere a rezultatelor, cum ar fi previziuni, conținut, recomandări sau decizii, care pot influența mediile fizice și virtuale, precum și la capabilitatea sistemelor de IA de a deriva modele sau algoritmi, sau ambele, din date sau din datele de intrare. Printre tehnicile folosite în timpul conceperii unui sistem de IA care fac posibilă realizarea de deducții se numără abordările bazate pe învățarea automată, care presupun a învăța, pe baza datelor, cum pot fi atinse anumite obiective, și abordările bazate pe logică și pe cunoaștere, care presupun realizarea de deducții pornind de la cunoștințe codificate sau de la reprezentarea simbolică a sarcinii de rezolvat. Capacitatea unui sistem de IA de a realiza deducții depășește simpla prelucrare de date, făcând posibile învățarea, raționamentul sau modelarea. Termenul „bazat pe calculator” se referă la faptul că sistemele de IA rulează pe calculatoare. Trimiterea la obiective explicite sau implicite subliniază faptul că sistemele de IA pot funcționa în conformitate cu obiective definite explicite sau cu obiective implicite. Obiectivele sistemului de IA pot fi diferite de scopul preconizat al sistemului de IA într-un context specific. În sensul prezentului regulament, mediile ar trebui să fie înțelese ca fiind contextele în care funcționează sistemele de IA, în timp ce rezultatele generate de sistemele de IA reflectă diferitele funcții îndeplinite de acestea și includ previziuni, conținut, recomandări sau decizii. Sistemele de IA sunt concepute pentru a funcționa cu diferite niveluri de autonomie, ceea ce înseamnă că au un anumit grad de independență a acțiunilor față de implicarea umană și anumite capabilități de a funcționa fără intervenție umană. Adaptabilitatea de care un sistem de IA ar putea da dovadă după implementare se referă la capabilitățile de autoînvățare, care permit sistemului să se modifice în timpul utilizării. Sistemele de IA pot fi utilizate în mod independent sau ca o componentă a unui produs, indiferent dacă sistemul este integrat fizic în produs (încorporat) sau dacă servește funcționalității produsului fără a fi integrat în acesta (neîncorporat).

(13) Noțiunea de „implementator” menționată în prezentul regulament ar trebui să fie interpretată ca făcând referire la orice persoană fizică sau juridică, inclusiv la o autoritate publică, o agenție sau un alt organism, care utilizează un sistem de IA aflat sub autoritatea sa, cu excepția cazului în care sistemul de IA este utilizat în cursul unei activități personale, fără caracter profesional. În funcție de tipul de sistem de IA, utilizarea sistemului poate afecta alte persoane decât implementatorul.

(14) Noțiunea de „date biometrice” utilizată în prezentul regulament ar trebui să fie interpretată în concordanță cu noțiunea de „date biometrice”, astfel cum este definită la articolul 4 punctul 14 din Regulamentul (UE) 2016/679, la articolul 3 punctul 18 din Regulamentul (UE) 2018/1725 și la articolul 3 punctul 13 din Directiva (UE) 2016/680. Datele biometrice pot permite autentificarea, identificarea sau clasificarea persoanelor fizice, precum și recunoașterea emoțiilor acestora.

(15) Noțiunea de „identificare biometrică” menționată în prezentul regulament ar trebui să fie definită drept recunoașterea automată a unor trăsături umane fizice, fiziologice și comportamentale, precum fața, mișcările ochilor, forma corpului, vocea, intonația, mersul, postura, frecvența cardiacă, tensiunea arterială, mirosul, particularitățile de tastare, în scopul de a stabili identitatea unei persoane comparând datele biometrice ale persoanei respective cu date biometrice ale unor persoane stocate într-o bază de date de referință, indiferent dacă persoana în cauză și-a dat sau nu consimțământul. Nu se încadrează aici sistemele de IA destinate a fi utilizate pentru verificarea biometrică, care include autentificarea, al căror unic scop este de a confirma că o anumită persoană fizică este persoana care susține că este și de a confirma identitatea unei persoane fizice cu unicul scop de a-i permite accesul la un serviciu, deblocarea unui dispozitiv sau accesul securizat într-o incintă.

(16) Noțiunea de „clasificare biometrică” menționată în prezentul regulament ar trebui să fie definită drept încadrarea persoanelor fizice în categorii specifice pe baza datelor lor biometrice. Astfel de categorii specifice se pot referi la aspecte precum sexul, vârsta, culoarea părului, culoarea ochilor, tatuajele, trăsăturile comportamentale sau de personalitate, limba, religia, apartenența la o minoritate națională, orientarea sexuală sau politică. Nu se încadrează aici sistemele de clasificare biometrică care constituie un element pur auxiliar legat intrinsec de un alt serviciu comercial, ceea ce înseamnă că, din motive tehnice obiective, elementul respectiv nu poate fi utilizat fără serviciul principal, iar integrarea acelui element sau a acelei funcționalități nu este un mijloc de a eluda aplicabilitatea normelor prezentului regulament. De exemplu, filtrele care clasifică caracteristicile faciale sau corporale utilizate pe piețele online ar putea constitui un astfel de element auxiliar, deoarece pot fi utilizate numai în legătură cu serviciul principal care constă în vânzarea unui produs, permițând consumatorului să vizualizeze cum ar arăta produsul pe el însuși și ajutându-l să ia o decizie de cumpărare. Filtrele utilizate în cadrul serviciilor de rețele de socializare care clasifică caracteristicile faciale sau corporale pentru a permite utilizatorilor să adauge sau să modifice fotografii sau materiale video ar putea, de asemenea, să fie considerate elemente auxiliare, deoarece un astfel de filtru nu poate fi utilizat fără serviciul principal de rețea de socializare care constă în partajarea de conținut online.

(17) Noțiunea de „sistem de identificare biometrică la distanță” menționată în prezentul regulament ar trebui să fie definită din punct de vedere funcțional ca fiind un sistem de IA destinat identificării persoanelor fizice fără implicarea activă a acestora, de regulă de la distanță, prin compararea datelor biometrice ale unei persoane cu datele biometrice conținute într-o bază de date de referință, indiferent de tehnologia specifică, procesele specifice sau tipurile specifice de date biometrice utilizate. Astfel de sisteme de identificare biometrică la distanță sunt utilizate, de regulă, pentru a percepe mai multe persoane sau comportamentul acestora simultan, cu scopul de a facilita în mod semnificativ identificarea persoanelor fizice fără implicarea lor activă. Nu se încadrează aici sistemele de IA destinate a fi utilizate pentru verificarea biometrică, care include autentificarea, al căror unic scop este de a confirma că o anumită persoană fizică este persoana care susține că este și de a confirma identitatea unei persoane fizice cu unicul scop de a-i permite accesul la un serviciu, deblocarea unui dispozitiv sau accesul securizat într-o incintă. Această excludere este justificată de faptul că, cel mai probabil, astfel de sisteme au un impact minor asupra drepturilor fundamentale ale persoanelor fizice în comparație cu sistemele de identificare biometrică la distanță care pot fi utilizate pentru prelucrarea datelor biometrice ale unui număr mare de persoane fără implicarea lor activă. În cazul sistemelor „în timp real”, captarea datelor biometrice, compararea și identificarea se efectuează instantaneu, aproape instantaneu sau, în orice caz, fără întârzieri semnificative. În acest sens, nu ar trebui să existe posibilități de eludare a normelor prezentului regulament privind utilizarea „în timp real” a sistemelor de IA în cauză prin prevederea unor întârzieri minore. Sistemele „în timp real” implică utilizarea de materiale „în direct” sau „aproape în direct”, cum ar fi înregistrări video generate de o cameră video sau de un alt dispozitiv cu funcționalitate similară. În schimb, în cazul sistemelor de identificare „ulterioară”, datele biometrice au fost deja captate, iar compararea și identificarea au loc numai după o întârziere semnificativă. În acest caz sunt utilizate materiale, cum ar fi imagini sau înregistrări video generate de camere de televiziune cu circuit închis sau de dispozitive private, care au fost generate înainte de utilizarea sistemului în legătură cu persoanele fizice în cauză.

(18) Noțiunea de „sistem de recunoaștere a emoțiilor” menționată în prezentul regulament ar trebui să fie definită ca un sistem de IA destinat identificării sau deducerii emoțiilor sau intențiilor persoanelor fizice pe baza datelor lor biometrice. Noțiunea se referă la emoții sau intenții precum fericirea, tristețea, furia, surpriza, dezgustul, stânjeneala, entuziasmul, rușinea, disprețul, satisfacția și amuzamentul. Nu sunt incluse stări fizice, cum ar fi durerea sau oboseala, inclusiv, de exemplu, sistemele utilizate pentru detectarea stării de oboseală a piloților sau conducătorilor auto profesioniști în scopul prevenirii accidentelor. De asemenea, nu este inclusă simpla detectare a expresiilor, gesturilor sau mișcărilor evidente, decât dacă sunt utilizate pentru identificarea sau deducerea emoțiilor. Expresiile respective pot fi expresii faciale de bază, cum ar fi o încruntătură sau un zâmbet, ori gesturi, cum ar fi mișcarea mâinilor, a brațelor sau a capului, ori caracteristici ale vocii unei persoane, cum ar fi o voce ridicată sau vorbitul în șoaptă.
(19) În sensul prezentului regulament, noțiunea de „spațiu accesibil publicului” ar trebui să fie înțeleasă ca referindu-se la orice spațiu fizic accesibil unui număr nedeterminat de persoane fizice, indiferent dacă spațiul în cauză este proprietate privată sau publică și indiferent de activitatea pentru care poate fi utilizat spațiul, cum ar fi comerț, de exemplu, magazine, restaurante, cafenele; servicii, de exemplu, bănci, activități profesionale, structuri de primire turistică; sport, de exemplu, piscine, săli de sport, stadioane; transporturi, de exemplu, stații de autobuz și de metrou, gări, aeroporturi, mijloace de transport; divertisment, de exemplu, cinematografe, teatre, muzee, săli de concerte și de conferințe, agrement sau altele, de exemplu, drumuri și piețe publice, parcuri, păduri, terenuri de joacă. Totodată, un spațiu ar trebui să fie clasificat ca fiind accesibil publicului și în cazul în care, indiferent de capacitatea potențială sau de restricțiile de securitate, accesul este supus anumitor condiții prestabilite, care pot fi îndeplinite de un număr nedeterminat de persoane, cum ar fi achiziționarea unui bilet sau a unui titlu de transport, înregistrarea prealabilă sau condiția de a avea o anumită vârstă. În schimb, un spațiu nu ar trebui să fie considerat accesibil publicului dacă accesul este limitat la anumite persoane fizice definite ca atare fie prin dreptul Uniunii, fie prin cel intern, în legătură directă cu siguranța sau securitatea publică sau prin manifestarea clară de voință a persoanei care deține autoritatea necesară asupra spațiului. Simpla posibilitate de acces (cum ar fi o ușă descuiată sau o poartă deschisă într-un gard) nu implică faptul că spațiul este accesibil publicului în prezența unor indicații sau circumstanțe care sugerează contrariul (de exemplu, semne care interzic sau restricționează accesul). Sediile întreprinderilor și ale fabricilor, precum și birourile și locurile de muncă care sunt destinate a fi accesate numai de către angajații și prestatorii de servicii competenți sunt spații care nu sunt accesibile publicului. Spațiile accesibile publicului nu ar trebui să includă închisorile sau punctele de control la frontieră. Alte spații pot cuprinde atât spații accesibile publicului, cât și spații care nu sunt accesibile publicului, cum ar fi holul unei clădiri rezidențiale private, care trebuie parcurs pentru a avea acces la un cabinet medical, sau un aeroport. Spațiile online nu sunt nici ele vizate, deoarece nu sunt spații fizice. Cu toate acestea, ar trebui să se stabilească de la caz la caz dacă un anumit spațiu este accesibil publicului, având în vedere particularitățile situației individuale în cauză.

(20) Pentru a obține beneficii cât mai mari de pe urma sistemelor de IA, protejând în același timp drepturile fundamentale, sănătatea și siguranța, și pentru a permite controlul democratic, alfabetizarea în domeniul IA ar trebui să le ofere furnizorilor, implementatorilor și persoanelor afectate noțiunile necesare pentru a lua decizii în cunoștință de cauză cu privire la sistemele de IA. Aceste noțiuni pot varia în funcție de contextul relevant și pot include înțelegerea aplicării corecte a elementelor tehnice în faza de dezvoltare a sistemului de IA, măsurile care trebuie aplicate în timpul utilizării sale, modalitățile adecvate de interpretare a rezultatelor sistemului de IA și, în cazul persoanelor afectate, cunoștințele necesare pentru a înțelege impactul pe care îl vor avea asupra lor deciziile luate cu ajutorul IA. În contextul aplicării prezentului regulament, alfabetizarea în domeniul IA ar trebui să ofere tuturor actorilor relevanți din lanțul valoric al IA informațiile necesare pentru a asigura conformitatea adecvată și aplicarea corectă a regulamentului. În plus, punerea în aplicare pe scară largă a măsurilor de alfabetizare în domeniul IA și introducerea unor acțiuni subsecvente adecvate ar putea contribui la îmbunătățirea condițiilor de muncă și, în cele din urmă, ar putea susține consolidarea unei IA de încredere și inovarea în acest domeniu în Uniune. Consiliul european pentru inteligența artificială (denumit în continuare „Consiliul IA”) ar trebui să sprijine Comisia pentru a promova instrumente de alfabetizare în domeniul IA, sensibilizarea publicului și înțelegerea beneficiilor, a riscurilor, a garanțiilor, a drepturilor și a obligațiilor care decurg din utilizarea sistemelor de IA. În cooperare cu părțile interesate relevante, Comisia și statele membre ar trebui să faciliteze elaborarea unor coduri de conduită voluntare pentru a promova alfabetizarea în domeniul IA în rândul persoanelor care se ocupă de dezvoltarea, exploatarea și utilizarea IA.
(21) Pentru a asigura condiții de concurență echitabile și o protecție eficace a drepturilor și libertăților persoanelor fizice în întreaga Uniune, normele stabilite prin prezentul regulament ar trebui să se aplice în mod nediscriminatoriu furnizorilor de sisteme de IA, indiferent dacă sunt stabiliți în Uniune sau într-o țară terță, precum și implementatorilor de sisteme de IA stabiliți în Uniune.

(22) Având în vedere natura lor digitală, anumite sisteme de IA ar trebui să intre în domeniul de aplicare al prezentului regulament chiar și atunci când nu sunt introduse pe piață, nu sunt puse în funcțiune și nu sunt utilizate în Uniune. Acesta este cazul, de exemplu, al unui operator stabilit în Uniune care contractează anumite servicii unui operator stabilit într-o țară terță în legătură cu o activitate care urmează să fie desfășurată de un sistem de IA care s-ar califica drept prezentând un grad ridicat de risc. În aceste circumstanțe, sistemul de IA utilizat de operator într-o țară terță ar putea prelucra date colectate în Uniune și transferate din Uniune în mod legal și ar putea furniza operatorului contractant din Uniune rezultatele produse de sistemul de IA respectiv ca urmare a prelucrării respective, fără ca sistemul de IA să fie introdus pe piață, pus în funcțiune sau utilizat în Uniune. Pentru a preveni eludarea prezentului regulament și pentru a asigura o protecție eficace a persoanelor fizice situate în Uniune, prezentul regulament ar trebui să se aplice, de asemenea, furnizorilor și implementatorilor de sisteme de IA care sunt stabiliți într-o țară terță, în măsura în care rezultatele produse de sistemele respective sunt destinate a fi utilizate în Uniune. Cu toate acestea, pentru a ține seama de acordurile existente și de nevoile speciale de cooperare viitoare cu partenerii străini cu care se fac schimburi de informații și probe, prezentul regulament nu ar trebui să se aplice autorităților publice ale unei țări terțe și organizațiilor internaționale atunci când acestea acționează în cadrul acordurilor internaționale sau de cooperare încheiate la nivelul Uniunii sau la nivel național pentru cooperarea în materie de aplicare a legii și cooperarea judiciară cu Uniunea sau cu statele membre, cu condiția ca țara terță sau organizația internațională relevantă să ofere garanții adecvate în ceea ce privește protecția drepturilor și libertăților fundamentale ale persoanelor. După caz, acest lucru s-ar putea aplica activităților desfășurate de entitățile cărora țările terțe le-au încredințat îndeplinirea unor sarcini specifice în sprijinul unei astfel de cooperări judiciare și în materie de aplicare a legii. Cadrele de cooperare sau acordurile sus-menționate au fost încheiate bilateral între statele membre și țări terțe sau între Uniunea Europeană, Europol sau alte agenții ale Uniunii, pe de o parte, și țări terțe sau organizații internaționale, pe de altă parte. Autoritățile competente cu supravegherea autorităților de aplicare a legii și a autorităților judiciare în temeiul prezentului regulament ar trebui să evalueze dacă respectivele cadre de cooperare sau acorduri internaționale includ garanții adecvate în ceea ce privește protecția drepturilor și libertăților fundamentale ale persoanelor. Autoritățile naționale destinatare și instituțiile, organele, oficiile și agențiile Uniunii care utilizează astfel de rezultate în Uniune rămân responsabile pentru asigurarea faptului că utilizarea lor respectă dreptul Uniunii. La revizuirea acordurilor internaționale respective sau la încheierea unor acorduri noi în viitor, părțile contractante ar trebui să depună toate eforturile pentru a alinia acordurile respective la cerințele prezentului regulament.

(23) Prezentul regulament ar trebui să se aplice, de asemenea, instituțiilor, organelor, oficiilor și agențiilor Uniunii atunci când acestea acționează în calitate de furnizor sau implementator al unui sistem de IA.

(24) În cazul și în măsura în care sistemele de IA sunt introduse pe piață, puse în funcțiune sau utilizate cu sau fără modificarea lor în scopuri militare, de apărare sau de securitate națională, sistemele respective ar trebui să fie excluse din domeniul de aplicare al prezentului regulament, indiferent de tipul de entitate care desfășoară activitățile respective, de exemplu dacă este o entitate publică sau privată. În ceea ce privește scopurile militare și de apărare, o astfel de excludere este justificată atât de articolul 4 alineatul (2) din TUE, cât și de particularitățile politicii de apărare a statelor membre și ale politicii de apărare comune a Uniunii, care intră sub incidența titlului V capitolul 2 din TUE; acestea fac obiectul dreptului internațional public, care este, prin urmare, cadrul juridic mai adecvat pentru reglementarea sistemelor de IA în contextul utilizării forței letale și a altor sisteme de IA în contextul activităților militare și de apărare. În ceea ce privește obiectivele de securitate națională, excluderea este justificată atât de faptul că securitatea națională rămâne responsabilitatea exclusivă a statelor membre în conformitate cu articolul 4 alineatul (2) din TUE, cât și de natura specifică și de nevoile operaționale ale activităților de securitate națională și de normele naționale specifice aplicabile activităților respective. Însă, în cazul în care un sistem de IA dezvoltat, introdus pe piață, pus în funcțiune sau utilizat în scopuri militare, de apărare sau de securitate națională este utilizat, temporar sau permanent, în afara acestui cadru în alte scopuri, de exemplu în scopuri civile sau umanitare, de aplicare a legii sau de securitate publică, un astfel de sistem ar intra în domeniul de aplicare al prezentului regulament. În acest caz, entitatea care utilizează sistemul de IA în alte scopuri decât cele militare, de apărare sau de securitate națională ar trebui să asigure conformitatea sistemului de IA cu prezentul regulament, cu excepția cazului în care sistemul respectă deja prezentul regulament. Sistemele de IA introduse pe piață sau puse în funcțiune pentru un scop care face obiectul excluderii, și anume în scop militar, de apărare sau de securitate națională, și pentru unul sau mai multe scopuri care nu fac obiectul excluderii, de exemplu în scopuri civile sau de aplicare a legii, intră în domeniul de aplicare al prezentului regulament, iar furnizorii sistemelor respective ar trebui să asigure conformitatea cu prezentul regulament. În aceste cazuri, faptul că un sistem de IA poate intra în domeniul de aplicare al prezentului regulament nu ar trebui să afecteze posibilitatea ca entitățile care desfășoară activități de securitate națională, de apărare și militare, indiferent de tipul de entitate care desfășoară activitățile respective, să utilizeze sisteme de IA în scopuri de securitate națională, militare și de apărare, utilizare care este exclusă din domeniul de aplicare al prezentului regulament. Un sistem de IA introdus pe piață în scopuri civile sau de aplicare a legii și care este utilizat cu sau fără modificări în scopuri militare, de apărare sau de securitate națională nu ar trebui să intre în domeniul de aplicare al prezentului regulament, indiferent de tipul de entitate care desfășoară activitățile respective.

(25) Prezentul regulament ar trebui să sprijine inovarea, ar trebui să respecte libertatea științei și nu ar trebui să submineze activitatea de cercetare și dezvoltare. Prin urmare, este necesar să se excludă din domeniul său de aplicare sistemele și modelele de IA dezvoltate și puse în funcțiune în mod specific în scopul unic al cercetării și dezvoltării științifice. În plus, este necesar să se asigure că prezentul regulament nu afectează într-un alt mod activitatea de cercetare și dezvoltare științifică privind sistemele sau modelele de IA înainte de a fi introduse pe piață sau puse în funcțiune. În ceea ce privește activitatea de cercetare, testare și dezvoltare orientată spre produse aferentă sistemelor sau modelelor de IA, dispozițiile prezentului regulament nu ar trebui, de asemenea, să se aplice înainte ca aceste sisteme și modele să fie puse în funcțiune sau introduse pe piață. Această excludere nu aduce atingere obligației de a respecta prezentul regulament în cazul în care un sistem de IA aflat sub incidența prezentului regulament este introdus pe piață sau pus în funcțiune ca urmare a unei astfel de activități de cercetare și dezvoltare, și nici aplicării dispozițiilor privind spațiile de testare în materie de reglementare în domeniul IA și testarea în condiții reale. În plus, fără a aduce atingere excluderii sistemelor de IA dezvoltate și puse în funcțiune în mod specific în scopul unic al cercetării și dezvoltării științifice, orice alt sistem de IA care poate fi utilizat pentru desfășurarea oricărei activități de cercetare și dezvoltare ar trebui să facă în continuare obiectul dispozițiilor prezentului regulament. În orice caz, toate activitățile de cercetare și dezvoltare ar trebui să se desfășoare în conformitate cu standardele etice și profesionale recunoscute pentru cercetarea științifică, precum și în conformitate cu dreptul aplicabil al Uniunii.

(26) Pentru a introduce un set proporțional și eficace de norme obligatorii pentru sistemele de IA, ar trebui să fie urmată o abordare bazată pe riscuri clar definită. Această abordare ar trebui să adapteze tipul și conținutul unor astfel de norme la intensitatea și amploarea riscurilor pe care le pot genera sistemele de IA. Prin urmare, este necesar să se interzică anumite practici în domeniul IA care sunt inacceptabile, să se stabilească cerințe pentru sistemele de IA cu grad ridicat de risc și obligații pentru operatorii relevanți și să se stabilească obligații în materie de transparență pentru anumite sisteme de IA.

(27) Deși abordarea bazată pe riscuri reprezintă temelia pentru un set proporțional și eficace de norme obligatorii, este important să se reamintească Orientările în materie de etică pentru o IA fiabilă din 2019, elaborate de Grupul independent de experți la nivel înalt privind IA numit de Comisie. În orientările respective, grupul de experți a elaborat șapte principii etice fără caracter obligatoriu pentru IA, care sunt menite să contribuie la asigurarea faptului că IA este de încredere și că este solidă din punct de vedere etic. Cele șapte principii sunt: implicarea și supravegherea umană; robustețea tehnică și siguranța; respectarea vieții private și guvernanța datelor; transparența; diversitatea, nediscriminarea și echitatea; bunăstarea socială și de mediu și asumarea răspunderii. Fără a aduce atingere cerințelor obligatorii din punct de vedere juridic prevăzute în prezentul regulament și în orice alt act legislativ aplicabil al Uniunii, aceste orientări contribuie la conceperea unei IA coerente, de încredere și centrate pe factorul uman, în conformitate cu carta și cu valorile pe care se întemeiază Uniunea. Potrivit orientărilor Grupului de experți la nivel înalt privind IA, implicarea și supravegherea umană înseamnă că sistemele de IA sunt dezvoltate și utilizate ca un instrument ce servește oamenilor, respectă demnitatea umană și autonomia personală și funcționează într-un mod care poate fi controlat și supravegheat în mod corespunzător de către oameni. Robustețea tehnică și siguranța înseamnă că sistemele de IA sunt dezvoltate și utilizate într-un mod care asigură robustețea în caz de probleme și reziliența la încercările de a modifica utilizarea sau performanța sistemului de IA în vederea permiterii utilizării ilegale de către terți și care reduce la minimum prejudiciile neintenționate. Respectarea vieții private și guvernanța datelor înseamnă că sistemele de IA sunt dezvoltate și utilizate în conformitate cu normele privind protecția vieții private și a datelor și că, în același timp, se prelucrează date care respectă standarde ridicate de calitate și de integritate. Transparența înseamnă că sistemele de IA sunt dezvoltate și utilizate într-un mod care permite trasabilitatea și explicabilitatea adecvate, aducând totodată la cunoștința oamenilor faptul că interacționează sau comunică cu un sistem de IA și informând în mod corespunzător implementatorii cu privire la capabilitățile și limitele respectivului sistem de IA și persoanele afectate cu privire la drepturile lor. Diversitatea, nediscriminarea și echitatea înseamnă că sistemele de IA sunt dezvoltate și utilizate într-un mod care presupune implicarea a diverși actori și promovează accesul egal, egalitatea de gen și diversitatea culturală, evitând totodată efectele discriminatorii și prejudecățile inechitabile interzise prin dreptul Uniunii sau dreptul intern. Bunăstarea socială și de mediu înseamnă că sistemele de IA sunt dezvoltate și utilizate într-un mod durabil, care respectă mediul și care aduce beneficii tuturor ființelor umane, monitorizându-se și evaluându-se totodată efectele pe termen lung asupra persoanelor, a societății și a democrației. Aplicarea acestor principii ar trebui să fie transpusă, atunci când este posibil, în conceperea și utilizarea modelelor de IA. În orice caz, aceste principii ar trebui să servească drept bază pentru elaborarea codurilor de conduită în temeiul prezentului regulament. Toate părțile interesate, inclusiv industria, mediul academic, societatea civilă și organizațiile de standardizare, sunt încurajate să ia în considerare, după caz, principiile etice pentru dezvoltarea de bune practici și standarde voluntare.

(28) Pe lângă numeroasele utilizări benefice ale IA, aceasta poate fi utilizată și în mod abuziv și poate oferi instrumente noi și puternice pentru practici de manipulare, exploatare și control social. Astfel de practici sunt deosebit de nocive și abuzive și ar trebui să fie interzise deoarece contravin valorilor Uniunii privind respectarea demnității umane, a libertății, a egalității, a democrației și a statului de drept, precum și a drepturilor fundamentale consacrate în cartă, inclusiv dreptul la nediscriminare, la protecția datelor și la viața privată și drepturile copilului.

(29) Tehnicile de manipulare bazate pe IA pot fi utilizate pentru a convinge anumite persoane să manifeste comportamente nedorite sau pentru a le înșela, împingându-le să ia decizii într-un mod care le subminează și le afectează autonomia, capacitatea decizională și libera alegere. Introducerea pe piață, punerea în funcțiune sau utilizarea anumitor sisteme de IA având drept obiectiv sau drept efect denaturarea semnificativă a comportamentului uman, caz în care este probabil să se producă prejudicii semnificative, mai ales cu efecte negative suficient de importante asupra sănătății fizice sau psihologice ori a intereselor financiare, sunt deosebit de periculoase și, prin urmare, ar trebui să fie interzise. Astfel de sisteme de IA implementează componente subliminale, cum ar fi stimuli audio, sub formă de imagini sau video, pe care persoanele nu le pot percepe întrucât stimulii respectivi depășesc percepția umană, sau alte tehnici manipulatoare sau înșelătoare care subminează sau afectează autonomia, capacitatea decizională sau libera alegere ale unei persoane în astfel de moduri încât oamenii nu sunt conștienți de astfel de tehnici sau, chiar dacă sunt conștienți de acestea, tot pot fi înșelați sau sunt incapabili să le controleze sau să li se opună. Acest lucru ar putea fi facilitat, de exemplu, de interfețele mașină-creier sau de realitatea virtuală, deoarece acestea permit un nivel mai ridicat de control asupra stimulilor prezentați persoanelor, în măsura în care acești stimuli pot denatura semnificativ comportamentul persoanelor într-un mod deosebit de dăunător. În plus, sistemele de IA pot exploata și în alte moduri vulnerabilitățile unei persoane sau ale unui anumit grup de persoane din cauza vârstei sau a dizabilității acestora în sensul Directivei (UE) 2019/882 a Parlamentului European și a Consiliului (16) sau din cauza unei situații sociale sau economice specifice care este susceptibilă să sporească vulnerabilitatea la exploatare a persoanelor respective, cum ar fi persoanele care trăiesc în sărăcie extremă sau care aparțin minorităților etnice sau religioase. Astfel de sisteme de IA pot fi introduse pe piață, puse în funcțiune sau utilizate având drept obiectiv sau drept efect denaturarea semnificativă a comportamentului unei persoane, într-un mod care cauzează sau este susceptibil în mod rezonabil să cauzeze prejudicii semnificative persoanei respective sau grupului respectiv ori unei alte persoane sau altor grupuri de persoane, inclusiv prejudicii care se pot acumula în timp, și, prin urmare, ar trebui să fie interzise. Este posibil să nu se poată presupune că există intenția de a denatura comportamentul în cazul în care denaturarea rezultă din factori externi sistemului de IA asupra cărora furnizorul sau implementatorul nu deține controlul, și anume factori care ar putea să nu fie prevăzuți în mod rezonabil și, prin urmare, să nu poată fi atenuați de către furnizorul sau implementatorul sistemului de IA. În orice caz, nu este necesar ca furnizorul sau implementatorul să aibă intenția de a cauza un prejudiciu semnificativ, cu condiția ca un astfel de prejudiciu să rezulte din practicile de manipulare sau de exploatare bazate pe IA. Interdicțiile privind astfel de practici în domeniul IA sunt complementare dispozițiilor cuprinse în Directiva 2005/29/CE a Parlamentului European și a Consiliului (17), în special faptul că practicile comerciale neloiale care conduc la prejudicii economice sau financiare pentru consumatori sunt interzise în toate circumstanțele, indiferent dacă sunt puse în aplicare prin intermediul sistemelor de IA sau în alt mod. Interdicțiile privind practicile de manipulare și exploatare prevăzute în prezentul regulament nu ar trebui să afecteze practicile legale în contextul tratamentului medical, cum ar fi tratamentul psihologic al unei boli mintale sau reabilitarea fizică, atunci când practicile respective se desfășoară în conformitate cu dreptul și cu standardele medicale aplicabile, de exemplu în ceea ce privește consimțământul explicit al persoanelor în cauză sau al reprezentanților lor legali. În plus, practicile comerciale comune și legitime, de exemplu în domeniul publicității, care respectă dreptul aplicabil nu ar trebui să fie considerate, în sine, ca reprezentând practici dăunătoare de manipulare bazate pe IA.

(30) Sistemele de clasificare biometrică care se bazează pe datele biometrice ale persoanelor fizice, cum ar fi fața sau amprentele digitale ale unei persoane, pentru a face presupuneri sau deducții cu privire la opiniile politice, apartenența la un sindicat, convingerile religioase sau filozofice, rasa, viața sexuală sau orientarea sexuală ale unei persoane ar trebui să fie interzise. Această interdicție nu ar trebui să se refere la etichetarea, filtrarea sau clasificarea legală, în funcție de datele biometrice, a seturilor de date biometrice obținute în conformitate cu dreptul Uniunii sau cu dreptul intern, cum ar fi sortarea imaginilor în funcție de culoarea părului sau de culoarea ochilor, care poate fi utilizată, de exemplu, în domeniul aplicării legii.

(31) Sistemele de IA care permit atribuirea unui punctaj social persoanelor fizice de către actori privați sau publici pot genera rezultate discriminatorii și excluderea anumitor grupuri. Acestea pot încălca dreptul la demnitate și nediscriminare, precum și valorile egalității și justiției. Astfel de sisteme de IA evaluează sau clasifică persoanele fizice sau grupurile de persoane pe baza mai multor puncte de date legate de comportamentul lor social în contexte multiple sau de caracteristici personale sau de personalitate cunoscute, deduse sau preconizate de-a lungul anumitor perioade de timp. Punctajul social obținut din astfel de sisteme de IA poate duce la un tratament prejudiciabil sau nefavorabil al persoanelor fizice sau al unor grupuri întregi de astfel de persoane în contexte sociale care nu au legătură cu contextul în care datele au fost inițial generate sau colectate sau la un tratament prejudiciabil care este disproporționat sau nejustificat în raport cu gravitatea comportamentului lor social. Sistemele de IA care implică astfel de practici inacceptabile de atribuire a unui punctaj și care conduc la astfel de rezultate prejudiciabile sau nefavorabile ar trebui, prin urmare, să fie interzise. Această interdicție nu ar trebui să afecteze practicile legale de evaluare a persoanelor fizice care sunt realizate într-un scop specific în conformitate cu dreptul Uniunii și cu dreptul național.

(32) Utilizarea sistemelor de IA pentru identificarea biometrică la distanță „în timp real” a persoanelor fizice în spațiile accesibile publicului în scopul aplicării legii este deosebit de intruzivă pentru drepturile și libertățile persoanelor în cauză, în măsura în care poate afecta viața privată a unei părți mari a populației, poate inspira un sentiment de supraveghere constantă și poate descuraja indirect exercitarea libertății de întrunire și a altor drepturi fundamentale. Inexactitățile tehnice ale sistemelor de IA destinate identificării biometrice la distanță a persoanelor fizice pot conduce la rezultate distorsionate de prejudecăți și pot avea efecte discriminatorii. Astfel de rezultate distorsionate și efecte discriminatorii posibile sunt deosebit de relevante în ceea ce privește vârsta, etnia, rasa, sexul sau dizabilitatea. În plus, caracterul imediat al impactului și posibilitățile limitate de a efectua verificări sau corecții suplimentare în ceea ce privește utilizarea unor astfel de sisteme care funcționează în timp real implică riscuri sporite pentru drepturile și libertățile persoanelor vizate în contextul activităților de aplicare a legii sau impactate de acestea.

(33) Prin urmare, utilizarea sistemelor respective în scopul aplicării legii ar trebui să fie interzisă, cu excepția situațiilor enumerate în mod exhaustiv și definite în mod precis în care utilizarea este strict necesară pentru un interes public substanțial, a cărui importanță este superioară riscurilor. Situațiile respective implică căutarea anumitor victime ale unor infracțiuni, inclusiv persoane dispărute, anumite amenințări la adresa vieții sau a siguranței fizice a persoanelor fizice sau privind un atac terorist și localizarea sau identificarea autorilor infracțiunilor enumerate într-o anexă la prezentul regulament sau a persoanelor suspectate de acestea, în cazul în care infracțiunile respective se pedepsesc în statul membru în cauză cu o pedeapsă sau o măsură de siguranță privativă de libertate pentru o perioadă maximă de cel puțin patru ani și astfel cum sunt definite în dreptul intern al statului membru respectiv. Un astfel de prag pentru pedeapsa sau măsura de siguranță privativă de libertate în conformitate cu dreptul intern contribuie la asigurarea faptului că infracțiunea ar trebui să fie suficient de gravă pentru a justifica eventual utilizarea sistemelor de identificare biometrică la distanță „în timp real”. În plus, lista infracțiunilor prevăzută în anexa la prezentul regulament se bazează pe cele 32 de infracțiuni enumerate în Decizia-cadru 2002/584/JAI a Consiliului (18), ținând seama de faptul că unele infracțiuni sunt, în practică, susceptibile să fie mai relevante decât altele, în sensul că recurgerea la identificarea biometrică la distanță „în timp real” ar putea, în mod previzibil, fi necesară și proporțională în grade foarte diferite pentru urmărirea practică a localizării sau a identificării unui autor al diferitelor infracțiuni enumerate sau a unei persoane suspectate de acestea, și având în vedere diferențele probabile în ceea ce privește gravitatea, probabilitatea și amploarea prejudiciului sau posibilele consecințe negative. O amenințare iminentă la adresa vieții sau a siguranței fizice a unor persoane fizice ar putea rezulta și dintr-o perturbare gravă a infrastructurii critice, astfel cum este definită la articolul 2 punctul 4 din Directiva (UE) 2022/2557 a Parlamentului European și a Consiliului (19), în cazul în care perturbarea sau distrugerea unei astfel de infrastructuri critice ar genera o amenințare iminentă la adresa vieții sau a siguranței fizice a unei persoane, inclusiv prin afectarea gravă a aprovizionării cu produse de bază a populației sau a exercitării funcțiilor de bază ale statului. În plus, prezentul regulament ar trebui să mențină capacitatea autorităților de aplicare a legii, de control la frontiere, de imigrație sau de azil de a efectua controale de identitate în prezența persoanei vizate, în conformitate cu condițiile prevăzute în dreptul Uniunii și în cel intern pentru astfel de controale. În special, autoritățile de aplicare a legii, de control la frontiere, de imigrație sau de azil ar trebui să poată utiliza sistemele de informații, în conformitate cu dreptul Uniunii sau cu cel intern, pentru a identifica persoane care, în cursul unui control de identitate, fie refuză să fie identificate, fie sunt incapabile să își declare sau să își dovedească identitatea, fără ca autoritățile în cauză să fie obligate prin prezentul regulament să obțină o autorizație prealabilă. Ar putea fi vorba, de exemplu, de o persoană implicată într-o infracțiune care fie nu dorește, fie, din cauza unui accident sau a unei afecțiuni medicale, nu poate să își divulge identitatea autorităților de aplicare a legii.

(34) Pentru a se asigura că sistemele respective sunt utilizate în mod responsabil și proporțional, este de asemenea important să se stabilească faptul că, în fiecare dintre aceste situații enumerate în mod exhaustiv și precis definite, ar trebui să fie luate în considerare anumite elemente, în special în ceea ce privește natura situației care a stat la baza cererii și consecințele utilizării asupra drepturilor și libertăților tuturor persoanelor vizate, precum și garanțiile și condițiile prevăzute pentru utilizare. În plus, ar trebui să se recurgă la utilizarea sistemelor de identificare biometrică la distanță „în timp real” în spațiile accesibile publicului în scopul aplicării legii numai pentru a confirma identitatea persoanei vizate în mod specific și această utilizare ar trebui să se limiteze la ceea ce este strict necesar din punct de vedere al perioadei de timp, precum și al sferei de aplicare geografică și personală, având în vedere în special dovezile sau indicațiile privind amenințările, victimele sau autorul infracțiunii. Utilizarea sistemului de identificare biometrică la distanță în timp real în spațiile accesibile publicului ar trebui să fie autorizată numai dacă autoritatea relevantă de aplicare a legii a finalizat o evaluare a impactului asupra drepturilor fundamentale și, cu excepția cazului în care se prevede altfel în prezentul regulament, a înregistrat sistemul în baza de date prevăzută în prezentul regulament. Baza de date de referință a persoanelor ar trebui să fie adecvată pentru fiecare caz de utilizare în fiecare dintre situațiile menționate mai sus.

(35) Fiecare utilizare a unui sistem de identificare biometrică la distanță „în timp real” în spațiile accesibile publicului în scopul aplicării legii ar trebui să facă obiectul unei autorizări exprese și specifice de către o autoritate judiciară sau o autoritate administrativă independentă a unui stat membru a cărei decizie este obligatorie. O astfel de autorizație ar trebui, în principiu, să fie obținută înainte de utilizarea sistemului de IA în vederea identificării uneia sau mai multor persoane. Ar trebui să fie permise excepții de la această regulă în situații justificate în mod corespunzător din motive de urgență, și anume în situațiile în care necesitatea de a utiliza sistemele în cauză este de natură să facă imposibilă în mod efectiv și obiectiv obținerea unei autorizații înainte de începerea utilizării sistemului de IA. În astfel de situații de urgență, utilizarea sistemului de IA ar trebui să fie limitată la ceea ce este minim și absolut necesar și ar trebui să facă obiectul unor garanții și condiții adecvate, astfel cum sunt stabilite în dreptul intern și specificate de către însăși autoritatea de aplicare a legii în contextul fiecărui caz individual de utilizare urgentă. În plus, în astfel de situații, autoritatea de aplicare a legii ar trebui să solicite o astfel de autorizație și să furnizeze în același timp motivele pentru care nu a fost în măsură să o solicite mai devreme, fără întârzieri nejustificate și cel târziu în termen de 24 de ore. În cazul în care solicitarea unei astfel de autorizații este respinsă, utilizarea sistemelor de identificare biometrică în timp real legate de autorizația respectivă ar trebui să înceteze cu efect imediat și toate datele legate de utilizarea respectivă ar trebui să fie înlăturate și șterse. Aceste date includ datele de intrare dobândite direct de un sistem de IA în cursul utilizării unui astfel de sistem, precum și rezultatele și produsele obținute în cadrul utilizării legate de autorizația respectivă, dar nu ar trebui să includă datele de intrare dobândite în mod legal în conformitate cu un alt act legislativ al Uniunii sau național. În orice caz, nicio decizie care produce un efect juridic negativ asupra unei persoane nu ar trebui să fie luată exclusiv pe baza unui produs al sistemului de identificare biometrică la distanță.

(36) Pentru a-și îndeplini sarcinile în conformitate cu cerințele prevăzute în prezentul regulament, precum și în normele naționale, autoritatea relevantă de supraveghere a pieței și autoritatea națională pentru protecția datelor ar trebui să fie notificate cu privire la fiecare utilizare a sistemului de identificare biometrică în timp real. Autoritățile de supraveghere a pieței și autoritățile naționale pentru protecția datelor care au fost notificate ar trebui să prezinte Comisiei un raport anual privind utilizarea sistemelor de identificare biometrică în timp real.

(37) În plus, este oportun să se prevadă, în cadrul exhaustiv stabilit de prezentul regulament, că o astfel de utilizare pe teritoriul unui stat membru în conformitate cu prezentul regulament ar trebui să fie posibilă numai în cazul și în măsura în care statul membru respectiv a decis să prevadă în mod expres posibilitatea de a autoriza o astfel de utilizare în normele sale detaliate de drept intern. În consecință, în temeiul prezentului regulament, statele membre au în continuare libertatea de a nu prevedea o astfel de posibilitate sau de a prevedea o astfel de posibilitate numai în ceea ce privește unele dintre obiectivele care pot justifica utilizarea autorizată identificate în prezentul regulament. Astfel de norme naționale ar trebui să fie notificate Comisiei în termen de 30 de zile de la adoptare.

(38) Utilizarea sistemelor de IA pentru identificarea biometrică la distanță în timp real a persoanelor fizice în spațiile accesibile publicului în scopul aplicării legii implică în mod necesar prelucrarea de date biometrice. Normele din prezentul regulament care interzic, sub rezerva anumitor excepții, o astfel de utilizare, care se întemeiază pe articolul 16 din TFUE, ar trebui să se aplice ca lex specialis în ceea ce privește normele privind prelucrarea datelor biometrice prevăzute la articolul 10 din Directiva (UE) 2016/680, reglementând astfel în mod exhaustiv această utilizare și prelucrarea datelor biometrice implicate. Prin urmare, o astfel de utilizare și prelucrare ar trebui să fie posibile numai în măsura în care sunt compatibile cu cadrul stabilit de prezentul regulament, fără a exista, în afara cadrului respectiv, posibilitatea ca autoritățile competente, atunci când acționează în scopul aplicării legii, să utilizeze astfel de sisteme și să prelucreze astfel de date în legătură cu utilizarea respectivă din motivele enumerate la articolul 10 din Directiva (UE) 2016/680. În acest context, prezentul regulament nu este menit să ofere temeiul juridic pentru prelucrarea datelor cu caracter personal în baza articolului 8 din Directiva (UE) 2016/680. Cu toate acestea, utilizarea sistemelor de identificare biometrică la distanță în timp real în spații accesibile publicului în alte scopuri decât cele de aplicare a legii, inclusiv de către autoritățile competente, nu ar trebui să facă obiectul cadrului specific privind o astfel de utilizare în scopul aplicării legii stabilit de prezentul regulament. Prin urmare, o astfel de utilizare în alte scopuri decât aplicarea legii nu ar trebui să facă obiectul solicitării unei autorizații în temeiul prezentului regulament și al normelor de drept intern detaliate aplicabile prin care autorizația respectivă poate produce efecte.

(39) Orice prelucrare de date biometrice și alte date cu caracter personal implicate în utilizarea sistemelor de IA pentru identificarea biometrică, alta decât în legătură cu utilizarea sistemelor de identificare biometrică la distanță în timp real în spații accesibile publicului în scopul aplicării legii, astfel cum este reglementată de prezentul regulament, ar trebui să respecte în continuare toate cerințele care decurg din articolul 10 din Directiva (UE) 2016/680. În ceea ce privește alte scopuri decât aplicarea legii, articolul 9 alineatul (1) din Regulamentul (UE) 2016/679 și articolul 10 alineatul (1) din Regulamentul (UE) 2018/1725 interzic prelucrarea de date biometrice, sub rezerva unor excepții limitate prevăzute la articolele respective. În vederea aplicării articolului 9 alineatul (1) din Regulamentul (UE) 2016/679, utilizarea identificării biometrice la distanță în alte scopuri decât aplicarea legii a făcut deja obiectul unor decizii de interzicere luate de autoritățile naționale pentru protecția datelor.

(40) În conformitate cu articolul 6a din Protocolul nr. 21 privind poziția Regatului Unit și a Irlandei în ceea ce privește spațiul de libertate, securitate și justiție, anexat la TUE și la TFUE, Irlandei nu îi revin obligații în temeiul normelor prevăzute la articolul 5 alineatul (1) primul paragraf litera (g) în măsura în care se aplică utilizării sistemelor de clasificare biometrică pentru activități în domeniul cooperării polițienești și al cooperării judiciare în materie penală, la articolul 5 alineatul (1) primul paragraf litera (d) în măsura în care se aplică utilizării sistemelor de IA care intră sub incidența dispoziției respective, la articolul 5 alineatul (1) primul paragraf litera (h) și alineatele (2)-(6) și la articolul 26 alineatul (10) din prezentul regulament adoptate în temeiul articolului 16 din TFUE, referitoare la prelucrarea datelor cu caracter personal de către statele membre atunci când exercită activități care intră în domeniul de aplicare al părții a treia titlul V capitolul 4 sau 5 din TFUE, în cazurile în care Irlandei nu îi revin obligații în temeiul normelor privind formele de cooperare judiciară în materie penală sau de cooperare polițienească care necesită respectarea dispozițiilor stabilite în temeiul articolului 16 din TFUE.

(41) În conformitate cu articolele 2 și 2a din Protocolul nr. 22 privind poziția Danemarcei, anexat la TUE și la TFUE, Danemarcei nu îi revin obligații în temeiul normelor prevăzute la articolul 5 alineatul (1) primul paragraf litera (g) în măsura în care se aplică utilizării sistemelor de clasificare biometrică pentru activități în domeniul cooperării polițienești și al cooperării judiciare în materie penală, la articolul 5 alineatul (1) primul paragraf litera (d) în măsura în care se aplică utilizării sistemelor de IA care intră sub incidența dispoziției respective, la articolul 5 alineatul (1) primul paragraf litera (h) și alineatele (2)-(6) și la articolul 26 alineatul (10) din prezentul regulament adoptate în temeiul articolului 16 din TFUE, referitoare la prelucrarea datelor cu caracter personal de către statele membre atunci când exercită activități care intră în domeniul de aplicare al părții a treia titlul V capitolul 4 sau 5 din TFUE și Danemarca nu face obiectul aplicării normelor respective.

(42) În conformitate cu prezumția de nevinovăție, persoanele fizice din Uniune ar trebui să fie întotdeauna judecate în funcție de comportamentul lor real. Persoanele fizice nu ar trebui să fie niciodată judecate în funcție de comportamentul preconizat de IA exclusiv pe baza creării profilurilor lor, a trăsăturilor lor de personalitate sau a unor caracteristici precum cetățenia, locul nașterii, locul de reședință, numărul de copii, nivelul datoriilor sau tipul de autoturism, dacă nu există o suspiciune rezonabilă, bazată pe fapte obiective verificabile, că persoana respectivă este implicată într-o activitate infracțională și dacă nu se face o evaluare în acest sens de către un om. Prin urmare, ar trebui să fie interzise evaluările riscurilor efectuate în legătură cu persoane fizice pentru a evalua probabilitatea ca acestea să comită infracțiuni sau pentru a anticipa producerea unei infracțiuni reale sau potențiale exclusiv pe baza creării profilurilor acestor persoane sau a evaluării trăsăturilor lor de personalitate și a caracteristicilor lor. În orice caz, această interdicție nu privește și nici nu afectează analiza de risc care nu se bazează pe crearea de profiluri ale persoanelor sau pe trăsăturile de personalitate și caracteristicile persoanelor, cum ar fi sistemele de IA care utilizează analiza de risc pentru a evalua probabilitatea de fraudă financiară din partea întreprinderilor pe baza unor tranzacții suspecte sau instrumentele analitice de risc utilizate pentru a prevedea probabilitatea localizării de către autoritățile vamale a stupefiantelor sau a mărfurilor ilicite, de exemplu pe baza rutelor de trafic cunoscute.

(43) Introducerea pe piață, punerea în funcțiune în scopul specific respectiv și utilizarea sistemelor de IA care creează sau extind baze de date de recunoaștere facială prin extragerea fără scop precis de imagini faciale de pe internet sau din înregistrări TVCI ar trebui să fie interzise, deoarece această practică amplifică sentimentul de supraveghere în masă și poate duce la încălcări grave ale drepturilor fundamentale, inclusiv ale dreptului la viață privată.

(44) Există preocupări serioase cu privire la baza științifică a sistemelor de IA care vizează identificarea sau deducerea emoțiilor, în special deoarece exprimarea emoțiilor variază considerabil de la o cultură la alta și de la o situație la alta și chiar la nivelul unei singure persoane. Printre principalele deficiențe ale unor astfel de sisteme se numără fiabilitatea limitată, lipsa specificității și posibilitățile limitate de generalizare. Prin urmare, sistemele de IA care identifică sau deduc emoțiile sau intențiile persoanelor fizice pe baza datelor lor biometrice pot genera rezultate discriminatorii și pot fi intruzive pentru drepturile și libertățile persoanelor în cauză. Având în vedere dezechilibrul de putere în contextul muncii sau al educației, combinat cu caracterul intruziv al acestor sisteme, ele ar putea conduce la un tratament prejudiciabil sau nefavorabil al anumitor persoane fizice sau al unor grupuri întregi de astfel de persoane. Prin urmare, ar trebui să fie interzise introducerea pe piață, punerea în funcțiune și utilizarea sistemelor de IA destinate a fi utilizate pentru a detecta starea emoțională a persoanelor în situații legate de locul de muncă și de educație. Această interdicție nu ar trebui să se aplice sistemelor de IA introduse pe piață strict din motive medicale sau de siguranță, cum ar fi sistemele destinate utilizării în scop terapeutic.

(45) Practicile interzise de dreptul Uniunii, inclusiv dreptul privind protecția datelor, dreptul privind nediscriminarea, dreptul privind protecția consumatorilor și dreptul concurenței, nu ar trebui să fie afectate de prezentul regulament.

(46) Sistemele de IA cu grad ridicat de risc ar trebui să fie introduse pe piața Uniunii, puse în funcțiune sau utilizate numai dacă respectă anumite cerințe obligatorii. Cerințele respective ar trebui să asigure faptul că sistemele de IA cu grad ridicat de risc disponibile în Uniune sau ale căror rezultate sunt utilizate în alt mod în Uniune nu prezintă riscuri inacceptabile pentru interesele publice importante ale Uniunii, astfel cum sunt recunoscute și protejate de dreptul Uniunii. Pe baza noului cadru legislativ, astfel cum s-a clarificat în Comunicarea Comisiei intitulată „«Ghidul albastru» din 2022 referitor la punerea în aplicare a normelor UE privind produsele” (20), regula generală este că cel puțin un act juridic din legislația de armonizare a Uniunii, cum ar fi Regulamentele (UE) 2017/745 (21) și (UE) 2017/746 (22) ale Parlamentului European și ale Consiliului sau Directiva 2006/42/CE a Parlamentului European și a Consiliului (23), poate fi aplicabil unui singur produs, deoarece punerea la dispoziție sau punerea în funcțiune poate avea loc numai atunci când produsul respectă întreaga legislație de armonizare a Uniunii aplicabilă. Pentru a se asigura coerența și a se evita sarcinile administrative sau costurile inutile, furnizorii unui produs care conține unul sau mai multe sisteme de IA cu grad ridicat de risc, cărora li se aplică cerințele prezentului regulament și ale legislației de armonizare a Uniunii astfel cum este conținută într-o anexă la prezentul regulament, ar trebui să fie flexibili în ceea ce privește deciziile operaționale cu privire la modul optim de asigurare a conformității unui produs care conține unul sau mai multe sisteme de IA cu toate cerințele aplicabile din respectiva legislație de armonizare a Uniunii. Sistemele de IA identificate ca prezentând un grad ridicat de risc ar trebui să se limiteze la cele care au un impact negativ semnificativ asupra sănătății, siguranței și drepturilor fundamentale ale persoanelor din Uniune, iar o astfel de limitare ar trebui să reducă la minimum orice eventuală restricționare a comerțului internațional.

(47) Sistemele de IA ar putea avea un impact negativ asupra sănătății și siguranței persoanelor, în special atunci când funcționează drept componente de siguranță ale produselor. În concordanță cu obiectivele legislației de armonizare a Uniunii de a facilita libera circulație a produselor pe piața internă și de a asigura că numai produsele sigure și conforme în toate privințele ajung pe piață, este important ca riscurile în materie de siguranță care pot fi generate de un produs în ansamblu din cauza componentelor sale digitale, inclusiv a sistemelor de IA, să fie prevenite și atenuate în mod corespunzător. De exemplu, roboții din ce în ce mai autonomi, fie în contextul producției, fie în contextul asistenței și îngrijirii personale, ar trebui să fie în măsură să își desfășoare activitatea și să își îndeplinească funcțiile în condiții de siguranță în medii complexe. În mod similar, în sectorul sănătății, unde mizele privind viața și sănătatea sunt deosebit de ridicate, sistemele de diagnosticare din ce în ce mai sofisticate și sistemele care sprijină deciziile umane ar trebui să fie fiabile și exacte.

(48) Amploarea impactului negativ al sistemului de IA asupra drepturilor fundamentale protejate de cartă este deosebit de relevantă atunci când un sistem de IA este clasificat ca prezentând un grad ridicat de risc. Printre aceste drepturi se numără dreptul la demnitate umană, respectarea vieții private și de familie, protecția datelor cu caracter personal, libertatea de exprimare și de informare, libertatea de întrunire și de asociere, precum, dreptul la nediscriminarea, dreptul la educație, protecția consumatorilor, drepturile lucrătorilor, drepturile persoanelor cu dizabilități, egalitatea de gen, drepturile de proprietate intelectuală, dreptul la o cale de atac eficientă și la un proces echitabil, dreptul la apărare și prezumția de nevinovăție și dreptul la o bună administrare. Pe lângă aceste drepturi, este important să se sublinieze faptul că copiii au drepturi specifice, astfel cum sunt consacrate la articolul 24 din cartă și în Convenția Organizației Națiunilor Unite cu privire la drepturile copilului, detaliată în Comentariul general nr. 25 la aceasta privind mediul digital, ambele impunând luarea în considerare a vulnerabilităților copiilor și asigurarea protecției și îngrijirii necesare pentru bunăstarea lor. Dreptul fundamental la un nivel ridicat de protecție a mediului consacrat în cartă și pus în aplicare în politicile Uniunii ar trebui, de asemenea, să fie luat în considerare atunci când se evaluează gravitatea prejudiciului pe care îl poate cauza un sistem de IA, inclusiv în ceea ce privește sănătatea și siguranța persoanelor.

(49) În ceea ce privește sistemele de IA cu grad ridicat de risc care sunt componente de siguranță ale produselor sau sistemelor sau care sunt ele însele produse sau sisteme care intră în domeniul de aplicare al Regulamentului (CE) nr. 300/2008 al Parlamentului European și al Consiliului (24), al Regulamentului (UE) nr. 167/2013 al Parlamentului European și al Consiliului (25), al Regulamentului (UE) nr. 168/2013 al Parlamentului European și al Consiliului (26), al Directivei 2014/90/UE a Parlamentului European și a Consiliului (27), al Directivei (UE) 2016/797 a Parlamentului European și a Consiliului (28), al Regulamentului (UE) 2018/858 al Parlamentului European și al Consiliului (29), al Regulamentului (UE) 2018/1139 al Parlamentului European și al Consiliului (30) și al Regulamentului (UE) 2019/2144 al Parlamentului European și al Consiliului (31), este oportun să se modifice respectivele acte legislative pentru a se asigura luarea în considerare de către Comisie, pe baza specificităților tehnice și de reglementare ale fiecărui sector și fără a afecta mecanismele și autoritățile existente de guvernanță, de evaluare a conformității și de aplicare a legislației instituite în acestea, a cerințelor obligatorii pentru sistemele de IA cu grad ridicat de risc prevăzute în prezentul regulament atunci când adoptă orice act delegat sau de punere în aplicare relevant pe baza respectivelor acte legislative.

(50) În ceea ce privește sistemele de IA care sunt componente de siguranță ale produselor sau care sunt ele însele produse care intră în domeniul de aplicare al anumitor acte legislative de armonizare ale Uniunii enumerate într-o anexă la prezentul regulament, este oportun să fie clasificate ca prezentând un grad ridicat de risc în temeiul prezentului regulament în cazul în care produsul respectiv este supus procedurii de evaluare a conformității efectuate de un organism terț de evaluare a conformității în temeiul respectivelor acte legislative de armonizare relevante ale Uniunii. În special, astfel de produse sunt echipamentele tehnice, jucăriile, ascensoarele, echipamentele și sistemele de protecție destinate utilizării în atmosfere potențial explozive, echipamentele radio, echipamentele sub presiune, echipamentele pentru ambarcațiuni de agrement, instalațiile pe cablu, aparatele consumatoare de combustibili gazoși, dispozitivele medicale, dispozitivele medicale pentru diagnostic in vitro, cele din industria auto și aeronautică.

(51) Clasificarea unui sistem de IA ca prezentând un grad ridicat de risc în temeiul prezentului regulament nu ar trebui să însemne neapărat că produsul a cărui componentă de siguranță este sistemul de IA sau că sistemul de IA în sine ca produs este considerat ca prezentând un grad ridicat de risc în conformitate cu criteriile stabilite în actele legislative de armonizare relevante ale Uniunii care se aplică produsului. Acesta este, în special, cazul Regulamentelor (UE) 2017/745 și (UE) 2017/746, care prevăd o evaluare a conformității de către un terț pentru produsele cu grad mediu de risc și cu grad ridicat de risc.

(52) În ceea ce privește sistemele de IA autonome, și anume alte sisteme de IA cu grad ridicat de risc decât cele care sunt componente de siguranță ale unor produse sau care sunt ele însele produse, este oportun să fie clasificate ca prezentând un grad ridicat de risc dacă, având în vedere scopul lor preconizat, prezintă un risc ridicat de a aduce prejudicii sănătății și siguranței sau drepturilor fundamentale ale persoanelor, ținându-se seama atât de gravitatea posibilelor prejudicii, cât și de probabilitatea producerii acestora, și dacă sunt utilizate într-o serie de domenii predefinite în mod specific precizate în prezentul regulament. Identificarea sistemelor respective se bazează pe aceeași metodologie și pe aceleași criterii avute în vedere pentru eventuale modificări viitoare ale listei de sisteme de IA cu grad ridicat de risc, modificări pe care Comisia ar trebui să fie împuternicită să le adopte, prin intermediul unor acte delegate, pentru a ține seama de ritmul rapid al dezvoltării tehnologice și de eventualele modificări în utilizarea sistemelor de IA.

(53) De asemenea, este important să se clarifice faptul că pot exista cazuri specifice în care sistemele de IA menționate în domenii predefinite specificate în prezentul regulament nu conduc la un risc semnificativ de a aduce prejudicii intereselor juridice protejate în cadrul domeniilor respective, deoarece nu influențează în mod semnificativ procesul decizional sau nu aduc prejudicii substanțiale intereselor respective. În sensul prezentului regulament, un sistem de IA care nu influențează în mod semnificativ rezultatul procesului decizional ar trebui să fie înțeles ca fiind un sistem de IA care nu are un impact asupra substanței și, prin urmare, nici asupra rezultatului procesului decizional, indiferent dacă este uman sau automatizat. Un sistem de IA care nu influențează în mod semnificativ rezultatul procesului decizional ar putea include situații în care sunt îndeplinite una sau mai multe dintre condițiile prezentate în continuare. Prima condiție ar trebui să fie aceea ca sistemul de IA să fie destinat să îndeplinească o sarcină procedurală restrânsă, de exemplu un sistem de IA care transformă date nestructurate în date structurate, un sistem de IA care clasifică pe categorii documentele primite sau un sistem de IA care este utilizat pentru a detecta duplicatele dintr-un număr mare de candidaturi. Aceste sarcini au un caracter atât de restrâns și de limitat încât prezintă doar riscuri reduse, riscuri care nu cresc prin utilizarea unui sistem de IA într-un context enumerat ca utilizare cu grad ridicat de risc într-o anexă la prezentul regulament. A doua condiție ar trebui să fie ca sarcina îndeplinită de sistemul de IA să fie menită să îmbunătățească rezultatul unei activități umane finalizate anterior care poate fi relevantă în sensul utilizărilor cu grad ridicat de risc enumerate într-o anexă la prezentul regulament. Având în vedere aceste caracteristici, sistemul de IA adaugă doar un nivel suplimentar unei activități umane, prezentând în consecință un risc redus. Această condiție s-ar aplica, de exemplu, sistemelor de IA care sunt menite să îmbunătățească limbajul utilizat în documente redactate anterior, de exemplu în ceea ce privește tonul profesional, stilul academic de limbaj sau alinierea textului la mesajele specifice unei anumite mărci. A treia condiție ar trebui să fie aceea ca sistemul de IA să fie destinat să detecteze modelele decizionale sau devierile de la modele decizionale anterioare. Riscul ar fi redus deoarece utilizarea sistemului de IA este ulterioară unei evaluări finalizate anterior de către un om, pe care nu este destinată să o înlocuiască sau să o influențeze fără o revizuire adecvată de către un om. Printre aceste sisteme de IA se numără, de exemplu, cele care, având în vedere un anumit model de notare folosit de un cadru didactic, pot fi utilizate pentru a verifica ex post dacă respectivul cadru didactic s-a abătut de la modelul de notare în cauză și pentru a semnala astfel eventuale inconsecvențe sau anomalii. A patra condiție ar trebui să fie aceea ca sistemul de IA să fie destinat să îndeplinească o sarcină care este doar pregătitoare pentru o evaluare relevantă pentru scopurile sistemelor de IA enumerate într-o anexă la prezentul regulament, făcând astfel ca posibilul impact al rezultatelor sistemului să prezinte un risc foarte scăzut pentru evaluarea ulterioară bazată pe ele. Această condiție se referă, printre altele, la soluțiile inteligente de gestionare a fișierelor, care includ diverse funcții, cum ar fi indexarea, căutarea, prelucrarea textelor și a vorbirii sau corelarea datelor cu alte surse de date, ori la sistemele de IA utilizate pentru traducerea documentelor inițiale. În orice caz, ar trebui să se considere că sistemele de IA utilizate în situații cu grad ridicat de risc enumerate într-o anexă la prezentul regulament prezintă riscuri semnificative de prejudicii la adresa sănătății, siguranței sau drepturilor fundamentale dacă implică crearea de profiluri în sensul articolului 4 punctul 4 din Regulamentul (UE) 2016/679 sau al articolului 3 punctul 4 din Directiva (UE) 2016/680 sau al articolului 3 punctul 5 din Regulamentul (UE) 2018/1725. Pentru a asigura trasabilitatea și transparența, un furnizor care consideră pe baza condițiilor menționate mai sus că un sistem de IA nu prezintă un grad ridicat de risc ar trebui să întocmească documentația pentru evaluare înainte ca sistemul respectiv să fie introdus pe piață sau pus în funcțiune și ar trebui să furnizeze respectiva documentație autorităților naționale competente, la cerere. Furnizorul ar trebui să fie obligat să înregistreze sistemul de IA în baza de date a UE instituită în temeiul prezentului regulament. Pentru a oferi îndrumare suplimentară în vederea punerii în practică a condițiilor în care sistemele de IA enumerate într-o anexă la prezentul regulament nu prezintă, în mod excepțional, un grad ridicat de risc, Comisia ar trebui, după consultarea Consiliului IA, să furnizeze orientări care să detalieze respectiva punere în practică, completate de o listă cuprinzătoare de exemple practice de cazuri de utilizare a sistemelor de IA cu grad ridicat de risc și cazuri de utilizare fără grad ridicat de risc.

(54) Întrucât datele biometrice constituie o categorie specială de date cu caracter personal, este oportun ca mai multe cazuri de utilizare critică a sistemelor biometrice să fie clasificate ca prezentând un grad ridicat de risc, în măsura în care utilizarea acestora este permisă în temeiul dreptului Uniunii și al dreptului intern relevant. Inexactitățile tehnice ale sistemelor de IA destinate identificării biometrice la distanță a persoanelor fizice pot conduce la rezultate distorsionate de prejudecăți și pot avea efecte discriminatorii. Riscul unor astfel de rezultate distorsionate de prejudecăți și efecte discriminatorii este deosebit de relevant în ceea ce privește vârsta, etnia, rasa, sexul sau dizabilitățile. Prin urmare, sistemele de identificare biometrică la distanță ar trebui să fie clasificate ca prezentând un grad ridicat de risc, având în vedere riscurile pe care le implică. Nu se încadrează în această clasificare sistemele de IA destinate a fi utilizate pentru verificarea biometrică, inclusiv pentru autentificare, al cărei unic scop este de a confirma că o anumită persoană fizică este cine susține că este și de a confirma identitatea unei persoane fizice cu unicul scop de a-i permite accesul la un serviciu, deblocarea unui dispozitiv sau accesul securizat într-o incintă. În plus, ar trebui să fie clasificate ca prezentând un grad ridicat de risc sistemele de IA destinate a fi utilizate pentru clasificarea biometrică în funcție de atribute sau caracteristici sensibile protejate în temeiul articolului 9 alineatul (1) din Regulamentul (UE) 2016/679 pe baza datelor biometrice, în măsura în care nu sunt interzise în temeiul prezentului regulament, și sistemele de recunoaștere a emoțiilor care nu sunt interzise în temeiul prezentului regulament. Sistemele biometrice destinate a fi utilizate exclusiv în scopul aplicării măsurilor de securitate cibernetică și de protecție a datelor cu caracter personal nu ar trebui să fie considerate sisteme de IA cu grad ridicat de risc.
(55) În ceea ce privește gestionarea și exploatarea infrastructurii critice, este oportun să se clasifice ca prezentând un grad ridicat de risc sistemele de IA destinate utilizării drept componente de siguranță în cadrul gestionării și exploatării infrastructurilor digitale critice enumerate la punctul 8 din anexa la Directiva (UE) 2022/2557, a traficului rutier și a aprovizionării cu apă, gaz, încălzire și energie electrică, deoarece defectarea lor sau funcționarea lor defectuoasă poate pune în pericol viața și sănătatea persoanelor la scară largă și poate conduce la perturbări semnificative ale desfășurării obișnuite a activităților sociale și economice. Componentele de siguranță ale infrastructurii critice, inclusiv ale infrastructurii digitale critice, sunt sisteme utilizate pentru a proteja în mod direct integritatea fizică a infrastructurii critice sau sănătatea și siguranța persoanelor și a bunurilor, dar care nu sunt necesare pentru funcționarea sistemului. Defectarea sau funcționarea defectuoasă a unor astfel de componente ar putea conduce în mod direct la riscuri pentru integritatea fizică a infrastructurii critice și, prin urmare, la riscuri pentru sănătatea și siguranța persoanelor și a bunurilor. Componentele destinate a fi utilizate exclusiv în scopuri de securitate cibernetică nu ar trebui să se califice drept componente de siguranță. Printre exemplele de componente de siguranță ale unei astfel de infrastructuri critice se numără sistemele de monitorizare a presiunii apei sau sistemele de control al alarmei de incendiu în centrele de cloud computing.

(56) Implementarea sistemelor de IA în educație este importantă pentru a promova educația și formarea digitală de înaltă calitate și pentru a permite tuturor cursanților și cadrelor didactice să dobândească și să partajeze aptitudinile și competențele digitale necesare, inclusiv educația în domeniul mass-mediei și gândirea critică, pentru a participa activ la economie, în societate și la procesele democratice. Cu toate acestea, sistemele de IA utilizate în educație sau în formarea profesională, în special pentru stabilirea accesului sau a admiterii, pentru repartizarea persoanelor în instituții sau programe educaționale și de formare profesională la toate nivelurile, pentru evaluarea rezultatelor învățării unei persoane, pentru evaluarea nivelului adecvat de instruire al unei persoane, pentru influențarea semnificativă a nivelului de educație și formare pe care îl vor primi sau îl vor putea accesa persoanele sau pentru monitorizarea și detectarea comportamentului interzis al elevilor și studenților în timpul testelor, ar trebui să fie clasificate drept sisteme de IA cu grad ridicat de risc, deoarece pot determina parcursul educațional și profesional din viața unei persoane și, prin urmare, pot afecta capacitatea acesteia de a-și asigura mijloace de subzistență. Atunci când sunt concepute și utilizate în mod necorespunzător, astfel de sisteme pot fi deosebit de intruzive și pot încălca dreptul la educație și formare, precum și dreptul de a nu fi discriminat și pot perpetua tipare istorice de discriminare, de exemplu împotriva femeilor, a anumitor grupe de vârstă, a persoanelor cu dizabilități sau a persoanelor de anumite origini rasiale ori etnice sau cu o anumită orientare sexuală.

(57) De asemenea, sistemele de IA utilizate în domeniul ocupării forței de muncă, al gestionării lucrătorilor și al accesului la activități independente, în special pentru recrutarea și selectarea persoanelor, pentru luarea deciziilor care afectează condițiile relației legate de muncă, pentru promovarea și încetarea relațiilor contractuale legate de muncă, pentru alocarea sarcinilor pe baza comportamentului individual sau a trăsăturilor sau caracteristicilor personale, precum și pentru monitorizarea sau evaluarea persoanelor aflate în relații contractuale legate de muncă, ar trebui să fie clasificate ca prezentând un grad ridicat de risc, deoarece aceste sisteme pot avea un impact semnificativ asupra viitoarelor perspective de carieră, asupra mijloacelor de subzistență ale acestor persoane și asupra drepturilor lucrătorilor. Relațiile contractuale relevante legate de muncă ar trebui să implice într-un mod semnificativ angajații și persoanele care prestează servicii prin intermediul platformelor, astfel cum se menționează în Programul de lucru al Comisiei pentru 2021. Pe tot parcursul procesului de recrutare, precum și în evaluarea, promovarea sau menținerea persoanelor în relații contractuale legate de muncă, astfel de sisteme pot perpetua tipare istorice de discriminare, de exemplu împotriva femeilor, a anumitor grupe de vârstă, a persoanelor cu dizabilități sau a persoanelor de anumite origini rasiale ori etnice sau cu o anumită orientare sexuală. Sistemele de IA utilizate pentru a monitoriza performanța și comportamentul acestor persoane pot, de asemenea, să le submineze drepturile fundamentale la protecția datelor și la viața privată.
(58) Un alt domeniu în care utilizarea sistemelor de IA merită o atenție deosebită este accesul și posibilitatea de a beneficia de anumite prestații și servicii publice și private esențiale, necesare pentru ca oamenii să participe pe deplin în societate sau să își îmbunătățească nivelul de trai. În special, persoanele fizice care solicită sau primesc prestații și servicii esențiale de asistență publică din partea autorităților publice, și anume servicii de îngrijiri de sănătate, prestații de asigurări sociale, servicii sociale care oferă protecție în cazuri precum maternitatea, boala, accidentele de muncă, dependența, bătrânețea, pierderea locului de muncă, precum și asistență socială și legată de locuințe, sunt de regulă dependente de aceste prestații și servicii și se află într-o poziție vulnerabilă în raport cu autoritățile responsabile. În cazul în care sistemele de IA sunt utilizate pentru a stabili dacă astfel de prestații și servicii ar trebui să fie acordate, refuzate, reduse, revocate sau recuperate de autorități, inclusiv dacă beneficiarii au dreptul legitim la astfel de prestații sau servicii, sistemele respective pot avea un impact semnificativ asupra mijloacelor de subzistență ale persoanelor și le pot încălca drepturile fundamentale, cum ar fi dreptul la protecție socială, la nediscriminare, la demnitatea umană sau la o cale de atac efectivă și, prin urmare, ar trebui să fie clasificate ca prezentând un grad ridicat de risc. Cu toate acestea, prezentul regulament nu ar trebui să împiedice dezvoltarea și utilizarea unor abordări inovatoare în administrația publică, care ar putea beneficia de o utilizare mai largă a sistemelor de IA conforme și sigure, cu condiția ca aceste sisteme să nu implice un risc ridicat pentru persoanele fizice și juridice. În plus, sistemele de IA utilizate pentru a evalua punctajul de credit sau bonitatea persoanelor fizice ar trebui să fie clasificate ca sisteme de IA cu grad ridicat de risc, întrucât acestea determină accesul persoanelor respective la resurse financiare sau la servicii esențiale, cum ar fi locuințe, electricitate și telecomunicații. Sistemele de IA utilizate în aceste scopuri pot duce la discriminare între persoane sau între grupuri și pot perpetua tipare istorice de discriminare, de exemplu pe criterii de origine rasială sau etnică, sex, dizabilitate, vârstă sau orientare sexuală, sau pot crea noi forme de impact discriminatoriu. Cu toate acestea, sistemele de IA prevăzute de dreptul Uniunii în scopul detectării fraudelor în furnizarea de servicii financiare și în scopuri prudențiale pentru a calcula cerințele de capital ale instituțiilor de credit și ale întreprinderilor de asigurări nu ar trebui să fie considerate ca prezentând un grad ridicat de risc în temeiul prezentului regulament. În plus, sistemele de IA destinate a fi utilizate pentru evaluarea riscurilor și stabilirea prețurilor pentru asigurarea de sănătate și de viață în cazul persoanelor fizice pot avea, de asemenea, un impact semnificativ asupra mijloacelor de subzistență ale persoanelor și, dacă nu sunt concepute, dezvoltate și utilizate în mod corespunzător, pot încălca drepturile lor fundamentale și pot avea consecințe grave pentru viața și sănătatea oamenilor, cum ar fi excluziunea financiară și discriminarea. În cele din urmă, sistemele de IA utilizate pentru evaluarea și clasificarea apelurilor de urgență ale persoanelor fizice sau pentru distribuirea sau stabilirea priorităților în distribuirea serviciilor de primă intervenție de urgență, inclusiv de către poliție, pompieri și asistența medicală, precum și în cadrul sistemelor de triaj medical de urgență al pacienților, ar trebui de asemenea să fie clasificate ca prezentând un grad ridicat de risc, deoarece iau decizii în situații foarte critice pentru viața și sănătatea persoanelor și pentru bunurile acestora.

(59) Având în vedere rolul și responsabilitatea lor, acțiunile întreprinse de autoritățile de aplicare a legii care implică anumite utilizări ale sistemelor de IA sunt caracterizate de un grad semnificativ de dezechilibru de putere și pot duce la supravegherea, arestarea sau privarea de libertate a unei persoane fizice, precum și la alte efecte negative asupra drepturilor fundamentale garantate în cartă. În special, în cazul în care nu este alimentat cu date de înaltă calitate, nu îndeplinește cerințe adecvate de performanță, acuratețe sau robustețe sau nu este proiectat și testat în mod corespunzător înainte de a fi introdus pe piață sau pus în funcțiune în alt mod, sistemul de IA poate selecta persoanele într-un mod discriminatoriu sau, la un nivel mai general, în mod incorect ori injust. În plus, exercitarea unor drepturi procedurale fundamentale importante, cum ar fi dreptul la o cale de atac efectivă și la un proces echitabil, precum și dreptul la apărare și prezumția de nevinovăție, ar putea fi împiedicată, în special în cazul în care astfel de sisteme de IA nu sunt suficient de transparente, explicabile și documentate. Prin urmare, este oportun să fie clasificate ca prezentând un grad ridicat de risc, în măsura în care utilizarea lor este permisă în temeiul dreptului Uniunii și al dreptului intern relevant, o serie de sisteme de IA destinate a fi utilizate în contextul aplicării legii, în care acuratețea, fiabilitatea și transparența sunt deosebit de importante pentru a evita efectele negative, pentru a păstra încrederea publicului și pentru a asigura asumarea răspunderii și reparații efective. Având în vedere natura activităților și riscurile aferente, aceste sisteme de IA cu grad ridicat de risc ar trebui să includă, în special, sistemele de IA destinate a fi utilizate de autoritățile de aplicare a legii sau în numele acestora sau de instituțiile, organele, oficiile sau agențiile Uniunii în sprijinul autorităților de aplicare a legii pentru a evalua riscul ca o persoană fizică să devină victimă a infracțiunilor, ca poligrafe și instrumente similare pentru evaluarea fiabilității probelor în cursul investigării sau urmăririi penale a infracțiunilor și, în măsura în care nu se interzice în temeiul prezentului regulament, pentru a evalua riscul ca o persoană fizică să comită o infracțiune sau o recidivă, nu numai pe baza creării de profiluri ale persoanelor fizice, a evaluării trăsăturilor de personalitate și a caracteristicilor lor sau a comportamentului infracțional anterior al persoanelor fizice sau al grupurilor, precum și pentru a crea profiluri în cursul depistării, investigării sau urmăririi penale a infracțiunilor. Sistemele de IA destinate în mod specific utilizării în proceduri administrative de către autoritățile fiscale și vamale, precum și de către unitățile de informații financiare care efectuează sarcini administrative prin care analizează informații în temeiul dreptului Uniunii privind combaterea spălării banilor, nu ar trebui să fie clasificate ca sisteme de IA cu grad ridicat de risc utilizate de autoritățile de aplicare a legii în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor. Utilizarea instrumentelor de IA de către autoritățile de aplicare a legii și de alte autorități relevante nu ar trebui să devină un factor de inegalitate sau de excluziune. Impactul utilizării instrumentelor de IA asupra drepturilor la apărare ale suspecților nu ar trebui să fie ignorat, în special dificultatea de a obține informații semnificative cu privire la funcționarea acestor sisteme și, în consecință, dificultatea de a contesta rezultatele acestora în instanță, în special de către persoanele fizice care fac obiectul investigării.

(60) Sistemele de IA utilizate în domeniile migrației, azilului și gestionării controlului la frontiere afectează persoane care se află adesea într-o poziție deosebit de vulnerabilă și care depind de rezultatul acțiunilor autorităților publice competente. Acuratețea, caracterul nediscriminatoriu și transparența sistemelor de IA utilizate în aceste contexte sunt, prin urmare, deosebit de importante pentru a garanta respectarea drepturilor fundamentale ale persoanelor afectate, în special a drepturilor acestora la liberă circulație, nediscriminare, protecția vieții private și a datelor cu caracter personal, protecție internațională și bună administrare. Prin urmare, este oportun să fie clasificate ca prezentând un grad ridicat de risc, în măsura în care utilizarea lor este permisă în temeiul dreptului Uniunii și al dreptului intern relevant, sistemele de IA destinate a fi utilizate de către autoritățile publice competente ori în numele acestora sau de către instituțiile, organele, oficiile sau agențiile Uniunii care au atribuții în domeniile migrației, azilului și gestionării controlului la frontiere ca poligrafe și instrumente similare, pentru a evalua anumite riscuri prezentate de persoanele fizice care intră pe teritoriul unui stat membru sau care solicită viză sau azil, pentru a acorda asistență autorităților publice competente în ceea ce privește examinarea, inclusiv evaluarea conexă a fiabilității probelor, a cererilor de azil, de vize și de permise de ședere și a plângerilor aferente cu privire la obiectivul de stabilire a eligibilității persoanelor fizice care solicită un statut, în scopul detectării, al recunoașterii sau al identificării persoanelor fizice în contextul migrației, al azilului și al gestionării controlului la frontiere, cu excepția verificării documentelor de călătorie. Sistemele de IA din domeniul migrației, azilului și gestionării controlului la frontiere reglementate de prezentul regulament ar trebui să respecte cerințele procedurale relevante stabilite de Regulamentul (CE) nr. 810/2009 al Parlamentului European și al Consiliului (32), de Directiva 2013/32/UE a Parlamentului European și a Consiliului (33) și de alte dispoziții relevante din dreptul Uniunii. Statele membre sau instituțiile, organele, oficiile și agențiile Uniunii nu ar trebui în niciun caz să utilizeze sistemele de IA în domeniul migrației, azilului și gestionării controlului la frontiere ca mijloc de eludare a obligațiilor lor internaționale în temeiul Convenției ONU privind statutul refugiaților întocmită la Geneva la 28 iulie 1951, astfel cum a fost modificată prin Protocolul din 31 ianuarie 1967. De asemenea, respectivele sisteme de IA nu ar trebui să fie utilizate pentru a încălca în vreun fel principiul nereturnării sau pentru a refuza căi legale sigure și eficace de intrare pe teritoriul Uniunii, inclusiv dreptul la protecție internațională.

(61) Anumite sisteme de IA destinate administrării justiției și proceselor democratice ar trebui să fie clasificate ca prezentând un grad ridicat de risc, având în vedere impactul potențial semnificativ al acestora asupra democrației, statului de drept și libertăților individuale, precum și asupra dreptului la o cale de atac efectivă și la un proces echitabil. În special, pentru a aborda potențialele riscuri de prejudecăți, erori și opacitate, este oportun să fie calificate drept sisteme cu grad ridicat de risc sistemele de IA destinate să fie utilizate de o autoritate judiciară sau în numele acesteia pentru a ajuta autoritățile judiciare să cerceteze și să interpreteze faptele și legea și să aplice legea unui set concret de fapte. Sistemele de IA destinate a fi utilizate de organismele de soluționare alternativă a litigiilor în aceste scopuri ar trebui, de asemenea, să fie considerate ca având un grad ridicat de risc atunci când rezultatele procedurilor de soluționare alternativă a litigiilor produc efecte juridice pentru părți. Utilizarea instrumentelor de IA poate sprijini puterea de decizie a judecătorilor sau independența sistemului judiciar, dar nu ar trebui să le înlocuiască: procesul decizional final trebuie să rămână o activitate umană. Clasificarea sistemelor de IA ca prezentând un grad ridicat de risc nu ar trebui, totuși, să se extindă la sistemele de IA destinate unor activități administrative pur auxiliare care nu afectează administrarea efectivă a justiției în cazuri individuale, cum ar fi anonimizarea sau pseudonimizarea hotărârilor judecătorești, a documentelor sau a datelor, comunicarea între membrii personalului, sarcinile administrative.

(62) Fără a aduce atingere normelor prevăzute în Regulamentul (UE) 2024/900 al Parlamentului European și al Consiliului (34) și pentru a aborda riscurile de ingerințe externe nejustificate în dreptul de vot consacrat la articolul 39 din cartă și de efecte adverse asupra democrației și a statului de drept, sistemele de IA destinate a fi utilizate pentru a influența rezultatul unor alegeri sau al unui referendum sau comportamentul de vot al persoanelor fizice în exercitarea votului lor în cadrul alegerilor sau al referendumurilor ar trebui să fie clasificate drept sisteme de IA cu grad ridicat de risc, cu excepția sistemelor de IA la ale căror rezultate persoanele fizice nu sunt expuse în mod direct, cum ar fi instrumentele utilizate pentru organizarea, optimizarea și structurarea campaniilor politice din punct de vedere administrativ și logistic.

(63) Faptul că un sistem de IA este clasificat ca sistem de IA cu grad ridicat de risc în temeiul prezentului regulament nu ar trebui să fie interpretat ca indicând că utilizarea sistemului este legală în temeiul altor acte ale dreptului Uniunii sau al dreptului intern compatibil cu dreptul Uniunii, cum ar fi în ceea ce privește protecția datelor cu caracter personal, utilizarea poligrafelor și a instrumentelor similare sau a altor sisteme pentru detectarea stării emoționale a persoanelor fizice. Orice astfel de utilizare ar trebui să continue să aibă loc numai în conformitate cu cerințele aplicabile care decurg din cartă, precum și din legislația secundară aplicabilă a Uniunii și din dreptul intern aplicabil. Prezentul regulament nu ar trebui să fie înțeles ca oferind temeiul juridic pentru prelucrarea datelor cu caracter personal, inclusiv a categoriilor speciale de date cu caracter personal, după caz, cu excepția cazului în care se specifică altfel în cuprinsul prezentului regulament.

(64) Pentru atenuarea riscurilor generate de sistemele de IA cu grad ridicat de risc introduse pe piață sau puse în funcțiune și pentru a asigura un nivel înalt de credibilitate, ar trebui să se aplice anumite cerințe obligatorii în cazul sistemelor de IA cu grad ridicat de risc, ținând seama de scopul preconizat și de contextul utilizării sistemului de IA și în conformitate cu sistemul de gestionare a riscurilor care urmează să fie instituit de furnizor. Măsurile adoptate de furnizori pentru a se conforma cerințelor obligatorii din prezentul regulament ar trebui să țină seama de stadiul general recunoscut al tehnologiei în materie de IA, să fie proporționale și eficace pentru a îndeplini obiectivele prezentului regulament. Pe baza noului cadru legislativ, astfel cum s-a clarificat în Comunicarea Comisiei intitulată „«Ghidul albastru» din 2022 referitor la punerea în aplicare a normelor UE privind produsele”, regula generală este că cel puțin un act juridic din legislația de armonizare a Uniunii poate fi aplicabil unui singur produs, deoarece punerea la dispoziție sau punerea în funcțiune poate avea loc numai atunci când produsul respectă întreaga legislație de armonizare a Uniunii aplicabilă. Pericolele sistemelor de IA care fac obiectul cerințelor prezentului regulament se referă la aspecte diferite față de legislația existentă de armonizare a Uniunii și, prin urmare, cerințele prezentului regulament ar completa corpul existent al legislației de armonizare a Uniunii. De exemplu, mașinile sau dispozitivele medicale care încorporează un sistem de IA ar putea prezenta riscuri care nu sunt abordate de cerințele esențiale de sănătate și siguranță prevăzute în legislația armonizată relevantă a Uniunii, deoarece legislația sectorială respectivă nu abordează riscurile specifice sistemelor de IA. Acest lucru necesită o aplicare simultană și complementară a diferitelor acte legislative. Pentru a se asigura coerența și a se evita sarcinile administrative și costurile inutile, furnizorii unui produs care conține unul sau mai multe sisteme de IA cu grad ridicat de risc, cărora li se aplică cerințele prezentului regulament și ale legislației de armonizare a Uniunii bazate pe noul cadru legislativ și care figurează într-o anexă la prezentul regulament, ar trebui să fie flexibili în ceea ce privește deciziile operaționale cu privire la modul optim de asigurare a conformității unui produs care conține unul sau mai multe sisteme de IA cu toate cerințele aplicabile din respectiva legislație armonizată a Uniunii. Această flexibilitate ar putea însemna, de exemplu, o decizie a furnizorului de a integra o parte a proceselor de testare și raportare necesare, informațiile și documentația impuse în temeiul prezentului regulament în documentația și în procedurile deja existente impuse în temeiul legislației de armonizare existente a Uniunii bazate pe noul cadru legislativ și care figurează într-o anexă la prezentul regulament. Acest lucru nu ar trebui să submineze în niciun fel obligația furnizorului de a respecta toate cerințele aplicabile.

(65) Sistemul de gestionare a riscurilor ar trebui să constea într-un proces iterativ continuu care este preconizat și derulat pe parcursul întregului ciclu de viață al unui sistem de IA cu grad ridicat de risc. Respectivul proces ar trebui să aibă drept scop identificarea și atenuarea riscurilor relevante reprezentate de sistemele de IA pentru sănătate, siguranță și drepturile fundamentale. Sistemul de gestionare a riscurilor ar trebui să fie evaluat și actualizat periodic pentru a se asigura eficacitatea sa continuă, precum și justificarea și documentarea oricăror decizii și acțiuni semnificative luate în temeiul prezentului regulament. Acest proces ar trebui să garanteze faptul că furnizorul identifică riscurile sau efectele negative și pune în aplicare măsuri de atenuare pentru riscurile cunoscute și previzibile în mod rezonabil reprezentate de sistemele de IA pentru sănătate, siguranță și drepturile fundamentale, având în vedere scopul preconizat al acestora și utilizarea necorespunzătoare previzibilă în mod rezonabil ale acestor sisteme, inclusiv posibilele riscuri care decurg din interacțiunea dintre sistemele de IA și mediul în care funcționează. Sistemul de gestionare a riscurilor ar trebui să adopte cele mai adecvate măsuri de gestionare a riscurilor, având în vedere stadiul cel mai avansat al tehnologiei în domeniul IA. Atunci când identifică cele mai adecvate măsuri de gestionare a riscurilor, furnizorul ar trebui să documenteze și să explice alegerile făcute și, după caz, să implice experți și părți interesate externe. Atunci când identifică utilizarea necorespunzătoare previzibilă în mod rezonabil a sistemelor de IA cu grad ridicat de risc, furnizorul ar trebui să acopere utilizările sistemelor de IA în legătură cu care se poate aștepta în mod rezonabil, să rezulte dintr-un comportament uman ușor previzibil în contextul caracteristicilor specifice și al utilizării unui anumit sistem de IA, deși utilizările respective nu sunt acoperite în mod direct de scopul preconizat și nu sunt prevăzute în instrucțiunile de utilizare. Orice circumstanțe cunoscute sau previzibile legate de utilizarea sistemului de IA cu grad ridicat de risc în conformitate cu scopul său preconizat sau în condiții de utilizare necorespunzătoare previzibilă în mod rezonabil, care pot conduce la riscuri pentru sănătate și siguranță sau pentru drepturile fundamentale, ar trebui să fie incluse în instrucțiunile de utilizare care sunt furnizate de furnizor. Scopul este de a se asigura că implementatorul le cunoaște și le ia în considerare atunci când utilizează sistemul de IA cu grad ridicat de risc. Identificarea și punerea în aplicare a măsurilor de atenuare a riscurilor în caz de utilizare necorespunzătoare previzibilă în temeiul prezentului regulament nu ar trebui să necesite din partea furnizorului antrenare suplimentară specifică pentru sistemul de IA cu grad ridicat de risc pentru a aborda utilizarea necorespunzătoare previzibilă. Cu toate acestea, furnizorii sunt încurajați să ia în considerare astfel de măsuri suplimentare de antrenare pentru a atenua utilizările necorespunzătoare previzibile în mod rezonabil, după cum este necesar și adecvat.

(66) Cerințele ar trebui să se aplice sistemelor de IA cu grad ridicat de risc în ceea ce privește gestionarea riscurilor, calitatea și relevanța seturilor de date utilizate, documentația tehnică și păstrarea evidențelor, transparența și furnizarea de informații către implementatori, supravegherea umană, robustețea, acuratețea și securitatea cibernetică. Aceste cerințe sunt necesare pentru a atenua în mod eficace riscurile pentru sănătate, siguranță și drepturile fundamentale. Nefiind disponibile în mod rezonabil alte măsuri mai puțin restrictive privind comerțul, respectivele restricții în calea comerțului nu sunt astfel nejustificate.

(67) Datele de înaltă calitate și accesul la date de înaltă calitate joacă un rol vital în ceea ce privește furnizarea structurii și asigurarea performanței multor sisteme de IA, în special atunci când se utilizează tehnici care implică antrenarea modelelor, pentru a se asigura că sistemul de IA cu grad ridicat de risc funcționează astfel cum s-a prevăzut și în condiții de siguranță și nu devine o sursă de discriminare, interzisă de dreptul Uniunii. Seturile de date de înaltă calitate de antrenare, de validare și de testare necesită punerea în aplicare a unor practici adecvate de guvernanță și gestionare a datelor. Seturile de date de antrenare, de validare și de testare, inclusiv etichetele, ar trebui să fie relevante, suficient de reprezentative și, pe cât posibil, fără erori și complete, având în vedere scopul preconizat al sistemului. Pentru a facilita respectarea dreptului Uniunii în materie de protecție a datelor, cum ar fi Regulamentul (UE) 2016/679, practicile de guvernanță și gestionare a datelor ar trebui să includă, în cazul datelor cu caracter personal, transparența cu privire la scopul inițial al colectării datelor. Seturile de date ar trebui să aibă, de asemenea, proprietățile statistice adecvate, inclusiv în ceea ce privește persoanele sau grupurile de persoane în legătură cu care se intenționează să fie utilizat sistemul de IA cu grad ridicat de risc, acordând o atenție deosebită atenuării posibilelor prejudecăți din seturile de date, care ar putea afecta sănătatea și siguranța persoanelor, ar putea avea un impact negativ asupra drepturilor fundamentale sau ar putea conduce la discriminare interzisă în temeiul dreptului Uniunii, în special în cazul în care datele de ieșire influențează datele de intrare pentru operațiunile viitoare („bucle de feedback”). Prejudecățile pot fi, de exemplu, inerente seturilor de date subiacente, mai ales când sunt utilizate date istorice, sau pot fi generate în timpul implementării în condiții reale a sistemelor. Rezultatele produse de sistemele de IA ar putea fi influențate de aceste prejudecăți inerente care tind să crească treptat și astfel să perpetueze și să amplifice discriminarea existentă, în special pentru persoanele care aparțin anumitor grupuri vulnerabile, inclusiv grupuri rasiale sau etnice. Cerința ca seturile de date să fie, pe cât posibil, complete și fără erori nu ar trebui să afecteze utilizarea tehnicilor de protejare a vieții private în contextul dezvoltării și testării sistemelor de IA. În special, seturile de date ar trebui să țină seama, în măsura în care acest lucru este necesar având în vedere scopul lor preconizat, de particularitățile, caracteristicile sau elementele care sunt specifice cadrului geografic, contextual, comportamental sau funcțional în care este destinat să fie utilizat sistemul de IA. Cerințele legate de guvernanța datelor pot fi respectate prin recurgerea la părți terțe care oferă servicii de conformitate certificate, inclusiv verificarea guvernanței datelor, a integrității seturilor de date și a practicilor de antrenare, validare și testare a datelor, în măsura în care este asigurată respectarea cerințelor în materie de date din prezentul regulament.

(68) Pentru dezvoltarea și evaluarea sistemelor de IA cu grad ridicat de risc, anumiți actori, cum ar fi furnizorii, organismele notificate și alte entități relevante, cum ar fi centrele europene de inovare digitală, unitățile de testare și experimentare și cercetătorii, ar trebui să poată accesa și utiliza seturi de date de înaltă calitate în domeniile de activitate ale actorilor respectivi care sunt legate de prezentul regulament. Spațiile europene comune ale datelor instituite de Comisie și facilitarea schimbului de date între întreprinderi și cu administrațiile publice în interes public vor fi esențiale pentru a oferi un acces de încredere, responsabil și nediscriminatoriu la date de înaltă calitate pentru antrenarea, validarea și testarea sistemelor de IA. De exemplu, în domeniul sănătății, spațiul european al datelor privind sănătatea va facilita accesul nediscriminatoriu la datele privind sănătatea și antrenarea algoritmilor IA cu aceste seturi de date, într-un mod care protejează viața privată, sigur, prompt, transparent și fiabil și cu o guvernanță instituțională adecvată. Autoritățile competente relevante, inclusiv cele sectoriale, care furnizează sau sprijină accesul la date pot sprijini, de asemenea, furnizarea de date de înaltă calitate pentru antrenarea, validarea și testarea sistemelor de IA.

(69) Dreptul la viața privată și la protecția datelor cu caracter personal trebuie să fie garantat pe parcursul întregului ciclu de viață al sistemului de IA. În acest sens, principiile reducerii la minimum a datelor și protecției datelor începând cu momentul conceperii și în mod implicit, astfel cum sunt prevăzute în dreptul Uniunii privind protecția datelor, sunt aplicabile atunci când sunt prelucrate date cu caracter personal. Măsurile luate de furnizori pentru a asigura respectarea principiilor respective pot include nu numai anonimizarea și criptarea, ci și folosirea unei tehnologii care permite să se aplice algoritmi datelor și antrenarea sistemelor de IA, fără ca aceste date să fie transmise între părți și fără ca înseși datele primare sau datele structurate să fie copiate, fără a aduce atingere cerințelor privind guvernanța datelor prevăzute în prezentul regulament.
(70) Pentru a proteja dreptul altora împotriva discriminării care ar putea rezulta din prejudecățile inerente sistemelor de IA, furnizorii ar trebui să poată să prelucreze și categorii speciale de date cu caracter personal, ca o chestiune de interes public major în înțelesul articolului 9 alineatul (2) litera (g) din Regulamentul (UE) 2016/679 și al articolului 10 alineatul (2) litera (g) din Regulamentul (UE) 2018/1725, în mod excepțional, în măsura în care este strict necesar în scopul asigurării detectării și corectării prejudecăților în legătură cu sistemele de IA cu grad ridicat de risc, sub rezerva unor garanții adecvate pentru drepturile și libertățile fundamentale ale persoanelor fizice și în urma aplicării tuturor condițiilor prevăzute în temeiul prezentului regulament în plus față de condițiile prevăzute în Regulamentele (UE) 2016/679 și (UE) 2018/1725 și în Directiva (UE) 2016/680.
(71) Deținerea de informații ușor de înțeles cu privire la modul în care au fost dezvoltate sistemele de IA cu grad ridicat de risc și la modul în care acestea funcționează pe toată durata lor de viață este esențială pentru a permite trasabilitatea sistemelor respective, pentru a verifica conformitatea cu cerințele prevăzute în prezentul regulament, precum și pentru monitorizarea funcționării lor și pentru monitorizarea ulterioară introducerii pe piață. Acest lucru presupune păstrarea evidențelor și disponibilitatea unei documentații tehnice care să conțină informațiile necesare pentru a evalua conformitatea sistemului de IA cu cerințele relevante și a facilita monitorizarea ulterioară introducerii pe piață. Aceste informații ar trebui să includă caracteristicile generale, capabilitățile și limitările sistemului, algoritmii, datele, procesele de antrenare, testare și validare utilizate, precum și documentația privind sistemul relevant de gestionare a riscurilor și ar trebui să fie redactate într-o formă clară și cuprinzătoare. Documentația tehnică ar trebui să fie actualizată permanent și în mod adecvat pe toată durata de viață a sistemului de IA. În plus, sistemele de IA cu grad ridicat de risc ar trebui să permită din punct de vedere tehnic înregistrarea automată a evenimentelor, prin intermediul unor fișiere de jurnalizare, de-a lungul duratei de viață a sistemului.

(72) Pentru a răspunde preocupărilor legate de opacitatea și complexitatea anumitor sisteme de IA și pentru a-i ajuta pe implementatori să își îndeplinească obligațiile care le revin în temeiul prezentului regulament, ar trebui să fie impusă transparența pentru sistemele de IA cu grad ridicat de risc înainte ca acestea să fie introduse pe piață sau puse în funcțiune. Sistemele de IA cu grad ridicat de risc ar trebui să fie proiectate astfel încât să le permită implementatorilor să înțeleagă modul în care funcționează sistemul de IA, să îi evalueze funcționalitatea și să îi înțeleagă punctele forte și limitările. Sistemele de IA cu grad ridicat de risc ar trebui să fie însoțite de informații adecvate sub formă de instrucțiuni de utilizare. Astfel de informații ar trebui să includă caracteristicile, capabilitățile și limitările performanței sistemului de IA. Acestea ar acoperi informații privind posibile circumstanțe cunoscute și previzibile legate de utilizarea sistemului de IA cu grad ridicat de risc, inclusiv acțiuni ale implementatorului care pot influența comportamentul și performanța sistemului, din cauza cărora sistemul de IA poate genera riscuri pentru sănătate, siguranță și drepturile fundamentale, privind modificările care au fost prestabilite și evaluate din punctul de vedere al conformității de către furnizor și privind măsurile relevante de supraveghere umană, inclusiv măsurile de facilitare a interpretării rezultatelor sistemului de IA de către implementatori. Transparența, inclusiv instrucțiunile de utilizare însoțitoare, ar trebui să ajute implementatorii să utilizeze sistemul și să îi sprijine să ia decizii în cunoștință de cauză. Printre altele, implementatorii ar trebui să fie mai în măsură să aleagă corect sistemul pe care intenționează să îl utilizeze, având în vedere obligațiile care le sunt aplicabile, să fie informați despre utilizările preconizate și interzise și să utilizeze sistemul de IA în mod corect și adecvat. Pentru a spori lizibilitatea și accesibilitatea informațiilor incluse în instrucțiunile de utilizare, ar trebui să fie incluse, după caz, exemple ilustrative, de exemplu privind limitările și utilizările preconizate și interzise ale sistemului de IA. Furnizorii ar trebui să se asigure că toată documentația, inclusiv instrucțiunile de utilizare, conține informații semnificative, cuprinzătoare, accesibile și ușor de înțeles, ținând seama de nevoile și cunoștințele previzibile ale implementatorilor vizați. Instrucțiunile de utilizare ar trebui să fie puse la dispoziție într-o limbă ușor de înțeles de către implementatorii vizați, astfel cum se stabilește de statul membru în cauză.

(73) Sistemele de IA cu grad ridicat de risc ar trebui să fie concepute și dezvoltate astfel încât persoanele fizice să poată supraveghea funcționarea lor și să se poată asigura că ele sunt utilizate conform destinației lor și că impactul lor este abordat pe parcursul întregului ciclu de viață al sistemului. În acest scop, furnizorul sistemului ar trebui să identifice măsuri adecvate de supraveghere umană înainte de introducerea sa pe piață sau de punerea sa în funcțiune. În special, după caz, astfel de măsuri ar trebui să garanteze că sistemul este supus unor constrângeri operaționale integrate care nu pot fi dezactivate de sistem și care sunt receptive la operatorul uman și că persoanele fizice cărora le-a fost încredințată supravegherea umană au competența, pregătirea și autoritatea necesare pentru îndeplinirea acestui rol. De asemenea, este esențial, după caz, să se asigure faptul că sistemele de IA cu grad ridicat de risc includ mecanisme de ghidare și informare a unei persoane fizice căreia i-a fost încredințată supravegherea umană pentru a lua decizii în cunoștință de cauză pentru a stabili dacă, când și cum să intervină pentru a evita consecințele negative sau riscurile sau pentru a opri sistemul dacă nu funcționează astfel cum s-a prevăzut. Având în vedere consecințele semnificative pentru persoane în cazul unei concordanțe incorecte generate de anumite sisteme de identificare biometrică, este oportun să se prevadă o cerință de supraveghere umană mai strictă pentru sistemele respective, astfel încât implementatorul să nu poată lua nicio măsură sau decizie pe baza identificării rezultate din sistem, decât dacă acest lucru a fost verificat și confirmat separat de cel puțin două persoane fizice. Aceste persoane ar putea proveni de la una sau mai multe entități și ar putea include persoana care operează sau utilizează sistemul. Această cerință nu ar trebui să reprezinte o povară inutilă sau să genereze întârzieri inutile și ar putea fi suficient ca verificările separate efectuate de diferite persoane să fie înregistrate automat în fișierele de jurnalizare generate de sistem. Având în vedere particularitățile din domeniile aplicării legii, migrației, controlului la frontiere și azilului, această cerință nu ar trebui să se aplice în cazul în care dreptul Uniunii sau dreptul intern consideră că aplicarea cerinței respective este disproporționată.

(74) Sistemele de IA cu grad ridicat de risc ar trebui să funcționeze în mod consecvent pe parcursul întregului lor ciclu de viață și să atingă un nivel adecvat de acuratețe, robustețe și securitate cibernetică, având în vedere scopul lor preconizat și în conformitate cu stadiul de avansare al tehnologiei general recunoscut. Comisia și organizațiile și părțile interesate relevante sunt încurajate să țină seama în mod corespunzător de atenuarea riscurilor și a impacturilor negative ale sistemului de IA. Nivelul preconizat al indicatorilor de performanță ar trebui să fie declarat în instrucțiunile de utilizare însoțitoare. Furnizorii sunt îndemnați să comunice aceste informații implementatorilor într-un mod clar și ușor de înțeles, fără induceri în eroare sau declarații înșelătoare. Dreptul Uniunii privind metrologia legală, inclusiv Directivele 2014/31/UE (35) și 2014/32/UE (36) ale Parlamentului European și ale Consiliului, urmărește să asigure acuratețea măsurătorilor și să contribuie la transparența și echitatea tranzacțiilor comerciale. În acest context, în cooperare cu părțile interesate și organizațiile relevante, cum ar fi autoritățile din domeniul metrologiei și al etalonării, Comisia ar trebui să încurajeze, după caz, elaborarea unor valori de referință și a unor metodologii de măsurare pentru sistemele de IA. În acest sens, Comisia ar trebui să țină seama de partenerii internaționali care lucrează în domeniul metrologiei și al indicatorilor de măsurare relevanți referitori la IA și să colaboreze cu partenerii respectivi.

(75) Robustețea tehnică este o cerință esențială pentru sistemele de IA cu grad ridicat de risc. Acestea ar trebui să fie reziliente în raport cu comportamentul prejudiciabil sau altfel indezirabil, care poate rezulta din limitările din cadrul sistemelor sau al mediului în care funcționează sistemele (de exemplu, erori, defecțiuni, inconsecvențe, situații neprevăzute). Prin urmare, ar trebui să fie luate măsuri tehnice și organizatorice pentru a asigura robustețea sistemelor de IA cu grad ridicat de risc, de exemplu prin proiectarea și dezvoltarea de soluții tehnice adecvate pentru a preveni sau a reduce la minimum comportamentul prejudiciabil sau altfel indezirabil în alt mod. Soluțiile tehnice respective pot include, de exemplu, mecanisme care permit sistemului să își întrerupă funcționarea în condiții de siguranță (planuri de autoprotecție) în prezența anumitor anomalii sau atunci când funcționarea are loc în afara anumitor limite prestabilite. Incapacitatea de a asigura protecția împotriva acestor riscuri ar putea avea un impact asupra siguranței sau ar putea afecta în mod negativ drepturile fundamentale, de exemplu din cauza unor decizii eronate sau a unor rezultate greșite sau distorsionate de prejudecăți generate de sistemul de IA.

(76) Securitatea cibernetică joacă un rol esențial în asigurarea rezilienței sistemelor de IA împotriva încercărilor de modificare a utilizării, a comportamentului, a performanței sau de compromitere a proprietăților lor de securitate de către părți terțe răuvoitoare care exploatează vulnerabilitățile sistemului. Atacurile cibernetice împotriva sistemelor de IA se pot folosi de active specifice de IA, cum ar fi seturi de date de antrenament (de exemplu, otrăvirea datelor) sau modele antrenate (de exemplu, atacuri contradictorii sau inferențe din datele membrilor – membership inference), sau pot exploata vulnerabilitățile activelor digitale ale sistemului de IA sau ale infrastructurii TIC subiacente. Pentru a asigura un nivel de securitate cibernetică adecvat riscurilor, furnizorii de sisteme de IA cu grad ridicat de risc ar trebui, prin urmare, să ia măsuri adecvate, cum ar fi controalele de securitate, ținând seama, după caz, și de infrastructura TIC subiacentă.

(77) Fără a aduce atingere cerințelor legate de robustețe și acuratețe prevăzute în prezentul regulament, sistemele de IA cu grad ridicat de risc care intră în domeniul de aplicare al Regulamentului Parlamentului European și al Consiliului privind cerințele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale, în conformitate cu regulamentul respectiv, pot demonstra conformitatea cu cerințele de securitate cibernetică prevăzute în prezentul regulament prin îndeplinirea cerințelor esențiale de securitate cibernetică prevăzute în regulamentul respectiv. Atunci când îndeplinesc cerințele esențiale ale Regulamentului Parlamentului European și al Consiliului privind cerințele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale, sistemele de IA cu grad ridicat de risc ar trebui să fie considerate conforme cu cerințele de securitate cibernetică prevăzute în prezentul regulament, în măsura în care îndeplinirea cerințelor respective este demonstrată în declarația de conformitate UE sau în părți ale acesteia emise în temeiul regulamentului respectiv. În acest scop, evaluarea riscurilor în materie de securitate cibernetică asociate unui produs cu elemente digitale clasificat drept sistem de IA cu grad ridicat de risc în conformitate cu prezentul regulament, efectuată în temeiul Regulamentului Parlamentului European și al Consiliului privind cerințele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale, ar trebui să ia în considerare riscurile la adresa rezilienței cibernetice a unui sistem de IA în ceea ce privește încercările unor părți terțe neautorizate de a-i modifica utilizarea, comportamentul sau performanța, inclusiv vulnerabilitățile specifice IA, cum ar fi otrăvirea datelor sau atacurile contradictorii, precum și, după caz, riscurile la adresa drepturilor fundamentale, astfel cum se prevede în prezentul regulament.
(78) Procedura de evaluare a conformității prevăzută de prezentul regulament ar trebui să se aplice în ceea ce privește cerințele esențiale în materie de securitate cibernetică ale unui produs cu elemente digitale care intră sub incidența Regulamentului Parlamentului European și al Consiliului privind cerințele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale și clasificat drept sistem de IA cu grad ridicat de risc în temeiul prezentului regulament. Totuși, această regulă nu ar trebui să conducă la reducerea nivelului necesar de asigurare pentru produsele critice cu elemente digitale care intră sub incidența Regulamentului Parlamentului European și al Consiliului privind cerințele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale. Prin urmare, prin derogare de la această regulă, sistemele de IA cu grad ridicat de risc care intră în domeniul de aplicare al prezentului regulament și care sunt calificate, de asemenea, drept produse importante și critice cu elemente digitale în temeiul Regulamentului Parlamentului European și al Consiliului privind cerințele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale și cărora li se aplică procedura de evaluare a conformității bazată pe control intern prevăzută într-o anexă la prezentul regulament fac obiectul dispozițiilor privind evaluarea conformității din Regulamentul Parlamentului European și al Consiliului privind cerințele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale în ceea ce privește cerințele esențiale în materie de securitate cibernetică din regulamentul respectiv. În acest caz, pentru toate celelalte aspecte reglementate de prezentul regulament ar trebui să se aplice dispozițiile respective privind evaluarea conformității bazate pe control intern prevăzute într-o anexă la prezentul regulament. Valorificând cunoașterea și cunoștințele de specialitate din ENISA în ceea ce privește politica în materie de securitate cibernetică și sarcinile atribuite ENISA în temeiul Regulamentului (UE) 2019/881 al Parlamentului European și al Consiliului (37), Comisia ar trebui să coopereze cu ENISA în ceea ce privește aspectele legate de securitatea cibernetică a sistemelor de IA.

(79) Este oportun ca o anumită persoană fizică sau juridică, definită drept furnizor, să își asume responsabilitatea pentru introducerea pe piață sau punerea în funcțiune a unui sistem de IA cu grad ridicat de risc, indiferent dacă persoana fizică sau juridică respectivă este persoana care a proiectat sau a dezvoltat sistemul.

(80) În calitate de semnatare ale Convenției Națiunilor Unite privind drepturile persoanelor cu dizabilități, Uniunea și statele membre sunt obligate din punct de vedere juridic să protejeze persoanele cu dizabilități împotriva discriminării și să promoveze egalitatea acestora, să se asigure că persoanele cu dizabilități au acces, în condiții de egalitate cu ceilalți, la tehnologiile și sistemele informației și comunicațiilor și să garanteze respectarea vieții private a persoanelor cu dizabilități. Având în vedere importanța și utilizarea în creștere a sistemelor de IA, aplicarea principiilor proiectării universale la toate noile tehnologii și servicii ar trebui să asigure accesul deplin și egal al tuturor persoanelor potențial afectate de tehnologiile IA sau care utilizează aceste tehnologii, inclusiv al persoanelor cu dizabilități, într-un mod care să țină seama pe deplin de demnitatea și diversitatea lor inerentă. Prin urmare, este esențial ca furnizorii să asigure conformitatea deplină cu cerințele de accesibilitate, inclusiv cu Directiva (UE) 2016/2102 a Parlamentului European și a Consiliului (38) și cu Directiva (UE) 2019/882. Furnizorii ar trebui să asigure conformitatea cu aceste cerințe din faza de proiectare. Prin urmare, măsurile necesare ar trebui să fie integrate cât mai mult posibil în proiectarea sistemului de IA cu grad ridicat de risc.

(81) Furnizorul ar trebui să instituie un sistem bine pus la punct de management al calității, să asigure realizarea procedurii necesare de evaluare a conformității, să întocmească documentația relevantă și să instituie un sistem solid de monitorizare după introducerea pe piață. Furnizorii de sisteme de IA cu grad ridicat de risc care fac obiectul unor obligații privind sistemele de management al calității în temeiul dreptului sectorial relevant al Uniunii ar trebui să aibă posibilitatea de a include elementele sistemului de management al calității prevăzut în prezentul regulament ca parte a sistemului existent de management al calității prevăzut în respectivul drept sectorial al Uniunii. Complementaritatea dintre prezentul regulament și dreptul sectorial existent al Uniunii ar trebui, de asemenea, să fie luată în considerare în viitoarele activități de standardizare sau orientări adoptate de Comisie. Autoritățile publice care pun în funcțiune sisteme de IA cu grad ridicat de risc pentru uzul propriu pot adopta și pune în aplicare norme privind sistemul de management al calității ca parte a sistemului de management al calității adoptat la nivel național sau regional, după caz, ținând seama de particularitățile sectorului și de competențele și organizarea autorității publice în cauză.

(82) Pentru a permite aplicarea prezentului regulament și pentru a crea condiții de concurență echitabile pentru operatori și ținând seama de diferitele forme de punere la dispoziție a produselor digitale, este important să se asigure că, în toate circumstanțele, o persoană stabilită în Uniune poate furniza autorităților toate informațiile necesare cu privire la conformitatea unui sistem de IA. Prin urmare, înainte de a-și pune la dispoziție sistemele de IA în Uniune, furnizorii stabiliți în țări terțe ar trebui să desemneze, prin mandat scris, un reprezentant autorizat stabilit în Uniune. Respectivul reprezentant autorizat joacă un rol central în asigurarea conformității sistemelor de IA cu grad ridicat de risc introduse pe piață sau puse în funcțiune în Uniune de furnizorii respectivi care nu sunt stabiliți în Uniune și în îndeplinirea rolului de persoană de contact a acestora stabilită în Uniune.

(83) Având în vedere natura și complexitatea lanțului valoric pentru sistemele de IA și în conformitate cu noul cadru legislativ, este esențial să se asigure securitatea juridică și să se faciliteze respectarea prezentului regulament. Prin urmare, este necesar să se clarifice rolul și obligațiile specifice ale operatorilor relevanți de-a lungul lanțului valoric respectiv, cum ar fi importatorii și distribuitorii care pot contribui la dezvoltarea sistemelor de IA. În anumite situații, operatorii respectivi ar putea acționa în mai multe roluri în același timp și, prin urmare, ar trebui să îndeplinească în mod cumulativ toate obligațiile relevante asociate rolurilor respective. De exemplu, un operator ar putea acționa în același timp ca distribuitor și ca importator.
(84) Pentru a se asigura securitatea juridică, este necesar să se clarifice că, în anumite condiții specifice, orice distribuitor, importator, implementator sau altă parte terță ar trebui să fie considerat drept furnizor al unui sistem de IA cu grad ridicat de risc și, prin urmare, să își asume toate obligațiile relevante. Acest lucru ar fi valabil dacă partea respectivă își pune numele sau marca comercială pe un sistem de IA cu grad ridicat de risc deja introdus pe piață sau pus în funcțiune, fără a aduce atingere dispozițiilor contractuale care prevăd că obligațiile sunt alocate în alt mod. Acest lucru ar fi valabil și dacă partea respectivă aduce o modificare substanțială unui sistem de IA cu grad ridicat de risc care a fost deja introdus pe piață sau a fost deja pus în funcțiune și într-un mod în care acesta rămâne un sistem de IA cu grad ridicat de risc în conformitate cu prezentul regulament sau dacă modifică scopul preconizat al unui sistem de IA, inclusiv al unui sistem de IA de uz general, care nu a fost clasificat ca prezentând un grad ridicat de risc și care a fost deja introdus pe piață sau pus în funcțiune, într-un mod în care sistemul de IA devine un sistem de IA cu grad ridicat de risc în conformitate cu prezentul regulament. Aceste dispoziții ar trebui să se aplice fără a aduce atingere dispozițiilor mai specifice stabilite în anumite acte legislative de armonizare ale Uniunii întemeiate pe noul cadru legislativ, împreună cu care ar trebui să se aplice prezentul regulament. De exemplu, articolul 16 alineatul (2) din Regulamentul (UE) 2017/745, care stabilește că anumite modificări nu ar trebui să fie considerate modificări ale unui dispozitiv care ar putea afecta conformitatea acestuia cu cerințele aplicabile, ar trebui să se aplice în continuare sistemelor de IA cu grad ridicat de risc care sunt dispozitive medicale în sensul regulamentului respectiv.

(85) Sistemele de IA de uz general pot fi utilizate în sine ca sisteme de IA cu grad ridicat de risc sau pot fi componente ale altor sisteme de IA cu grad ridicat de risc. Prin urmare, având în vedere natura lor specifică și pentru a asigura o partajare echitabilă a responsabilităților de-a lungul lanțului valoric al IA, furnizorii de astfel de sisteme ar trebui, indiferent dacă pot fi utilizate ca sisteme de IA cu grad ridicat de risc ca atare de alți furnizori sau drept componente ale unor sisteme de IA cu grad ridicat de risc și cu excepția cazului în care se prevede altfel în prezentul regulament, să coopereze îndeaproape cu furnizorii sistemelor de IA cu grad ridicat de risc relevante pentru a permite respectarea de către acestea a obligațiilor relevante în temeiul prezentului regulament și cu autoritățile competente instituite în temeiul prezentului regulament.

(86) În cazul în care, în condițiile prevăzute în prezentul regulament, furnizorul care a introdus inițial sistemul de IA pe piață sau l-a pus în funcțiune nu ar mai trebui să fie considerat furnizor în sensul prezentului regulament și în cazul în care furnizorul respectiv nu a exclus în mod expres schimbarea sistemului de IA într-un sistem de IA cu grad ridicat de risc, primul furnizor ar trebui totuși să coopereze îndeaproape, să pună la dispoziție informațiile necesare și să furnizeze accesul tehnic și alte tipuri de asistență preconizate în mod rezonabil care sunt necesare pentru îndeplinirea obligațiilor prevăzute în prezentul regulament, în special în ceea ce privește respectarea cerințelor privind evaluarea conformității sistemelor de IA cu grad ridicat de risc.

(87) În plus, în cazul în care un sistem de IA cu grad ridicat de risc care este o componentă de siguranță a unui produs care intră în domeniul de aplicare al legislației de armonizare a Uniunii întemeiate pe noul cadru legislativ nu este introdus pe piață sau pus în funcțiune independent de produs, fabricantul produsului definit în legislația respectivă ar trebui să respecte obligațiile furnizorului stabilite în prezentul regulament și ar trebui, în special, să se asigure că sistemul de IA încorporat în produsul final respectă cerințele prezentului regulament.

(88) De-a lungul lanțului valoric al IA, numeroase părți furnizează adesea sisteme, instrumente și servicii de IA, dar și componente sau procese care sunt încorporate de furnizor în sistemul de IA, cu diferite obiective, inclusiv antrenarea modelelor, reconversia modelelor, testarea și evaluarea modelelor, integrarea în software sau alte aspecte ale dezvoltării de modele. Respectivele părți au un rol important în lanțul valoric față de furnizorul sistemului de IA cu grad ridicat de risc în care sunt integrate sistemele, instrumentele, serviciile, componentele sau procesele lor de IA și ar trebui să îi ofere acestui furnizor, printr-un acord scris, informațiile, capabilitățile, accesul tehnic și alte tipuri de asistență necesare bazate pe stadiul de avansare al tehnologiei general recunoscut, pentru a permite furnizorului să respecte pe deplin obligațiile prevăzute în prezentul regulament, fără a-și compromite propriile drepturi de proprietate intelectuală sau secrete comerciale.

(89) Părțile terțe care pun la dispoziția publicului instrumente, servicii, procese sau componente de IA, altele decât modelele de IA de uz general, ar trebui să nu fie obligate să respecte cerințe care vizează responsabilitățile de-a lungul lanțului valoric al IA, în special față de furnizorul care le-a utilizat sau le-a integrat, atunci când aceste instrumente, servicii, procese sau componente de IA sunt puse la dispoziție sub licență liberă și deschisă. Dezvoltatorii de instrumente, servicii, procese sau componente de IA libere și cu sursă deschisă, altele decât modelele de IA de uz general, ar trebui să fie încurajați să pună în aplicare practici de documentare adoptate pe scară largă, cum ar fi carduri însoțitoare ale modelelor și fișe de date, ca modalitate de a accelera schimbul de informații de-a lungul lanțului valoric al IA, permițând promovarea unor sisteme de IA fiabile în Uniune.

(90) Comisia ar putea elabora și recomanda un model voluntar de clauze contractuale între furnizorii de sisteme de IA cu grad ridicat de risc și părțile terțe care furnizează instrumente, servicii, componente sau procese care sunt utilizate sau integrate în sistemele de IA cu grad ridicat de risc, pentru a facilita cooperarea de-a lungul lanțului valoric. Atunci când elaborează modelul voluntar de clauze contractuale, Comisia ar trebui să ia în considerare și eventualele cerințe contractuale aplicabile în anumite sectoare sau situații economice.

(91) Având în vedere natura sistemelor de IA și riscurile la adresa siguranței și a drepturilor fundamentale care pot fi asociate cu utilizarea lor, inclusiv în ceea ce privește necesitatea de a asigura o monitorizare adecvată a performanței unui sistem de IA într-un context real, este oportun să se stabilească responsabilități specifice pentru implementatori. Implementatorii ar trebui, în special, să ia măsurile tehnice și organizatorice adecvate pentru a se asigura că utilizează sisteme de IA cu grad ridicat de risc în conformitate cu instrucțiunile de utilizare și ar trebui să fie prevăzute și alte obligații în ceea ce privește monitorizarea funcționării sistemelor de IA și păstrarea evidențelor, după caz. În plus, implementatorii ar trebui să se asigure că persoanele desemnate să pună în aplicare instrucțiunile de utilizare și supravegherea umană, astfel cum sunt prevăzute în prezentul regulament, au competența necesară, în special un nivel adecvat de alfabetizare, formare și autoritate în domeniul IA pentru a îndeplini în mod corespunzător sarcinile respective. Respectivele obligații nu ar trebui să aducă atingere altor obligații ale implementatorilor în ceea ce privește sistemele de IA cu grad ridicat de risc în temeiul dreptului Uniunii sau al dreptului intern.

(92) Prezentul regulament nu aduce atingere obligațiilor angajatorilor de a informa sau de a informa și consulta lucrătorii sau reprezentanții acestora în temeiul dreptului și al practicilor Uniunii sau naționale, inclusiv al Directivei 2002/14/CE a Parlamentului European și a Consiliului (39), cu privire la deciziile de punere în funcțiune sau de utilizare a sistemelor de IA. Este în continuare necesar să se asigure informarea lucrătorilor și a reprezentanților acestora cu privire la implementarea planificată a sistemelor de IA cu grad ridicat de risc la locul de muncă în cazul în care nu sunt îndeplinite condițiile pentru respectivele obligații de informare sau de informare și consultare prevăzute în alte instrumente juridice. În plus, un astfel de drept la informare este auxiliar și necesar în raport cu obiectivul de protecție a drepturilor fundamentale care stă la baza prezentului regulament. Prin urmare, prezentul regulament ar trebui să prevadă o cerință de informare în acest sens, fără a afecta drepturile existente ale lucrătorilor.

(93) Deși riscurile legate de sistemele de IA pot rezulta din modul în care sunt proiectate sistemele respective, pot decurge riscuri și din modul în care aceste sisteme de IA sunt utilizate. Prin urmare, implementatorii sistemelor de IA cu grad ridicat de risc joacă un rol esențial în garantarea faptului că drepturile fundamentale sunt protejate, completând obligațiile furnizorului la dezvoltarea sistemului de IA. Implementatorii sunt cei mai în măsură să înțeleagă modul în care sistemul de IA cu grad ridicat de risc va fi utilizat concret și, prin urmare, pot identifica potențialele riscuri semnificative care nu au fost prevăzute în faza de dezvoltare, datorită cunoașterii mai exacte a contextului de utilizare, a persoanelor sau a grupurilor de persoane care ar putea fi afectate, inclusiv a grupurilor vulnerabile. Implementatorii de sisteme de IA cu grad ridicat de risc enumerate într-o anexă la prezentul regulament joacă, de asemenea, un rol esențial în informarea persoanelor fizice și ar trebui, atunci când iau decizii sau contribuie la luarea deciziilor referitoare la persoane fizice, după caz, să informeze persoanele fizice că fac obiectul utilizării sistemului de IA cu grad ridicat de risc. Aceste informații ar trebui să includă scopul urmărit și tipul de decizii luate. Implementatorul ar trebui, de asemenea, să informeze persoanele fizice cu privire la dreptul lor la o explicație furnizată în temeiul prezentului regulament. În ceea ce privește sistemele de IA cu grad ridicat de risc utilizate în scopul aplicării legii, această obligație ar trebui să fie pusă în aplicare în conformitate cu articolul 13 din Directiva (UE) 2016/680.

(94) Orice prelucrare a datelor biometrice implicate în utilizarea sistemelor de IA pentru identificarea biometrică în scopul aplicării legii trebuie să respecte articolul 10 din Directiva (UE) 2016/680, care permite o astfel de prelucrare numai atunci când este strict necesară, sub rezerva unor garanții adecvate pentru drepturile și libertățile persoanei vizate, și atunci când este autorizată de dreptul Uniunii sau de dreptul intern. O astfel de utilizare, atunci când este autorizată, trebuie, de asemenea, să respecte principiile prevăzute la articolul 4 alineatul (1) din Directiva (UE) 2016/680, inclusiv legalitatea, echitatea și transparența, limitarea scopului, exactitatea și limitarea stocării.

(95) Fără a aduce atingere dreptului aplicabil al Uniunii, în special Regulamentului (UE) 2016/679 și Directivei (UE) 2016/680, având în vedere caracterul intruziv al sistemelor de identificare biometrică la distanță ulterioară, utilizarea sistemelor de identificare biometrică la distanță ulterioară ar trebui să facă obiectul unor garanții. Sistemele de identificare biometrică la distanță ulterioară ar trebui să fie utilizate întotdeauna într-un mod proporțional, legitim și strict necesar și, prin urmare, adaptat, în ceea ce privește persoanele care urmează să fie identificate, localizarea, acoperirea temporală și pe baza unui set de date închis de înregistrări video obținute în mod legal. În orice caz, sistemele de identificare biometrică la distanță ulterioară nu ar trebui să fie utilizate în cadrul aplicării legii pentru a conduce la o supraveghere arbitrară. Condițiile pentru identificarea biometrică la distanță ulterioară nu ar trebui, în niciun caz, să ofere o bază pentru a eluda condițiile interdicției și excepțiile stricte pentru identificarea biometrică la distanță în timp real.

(96) Pentru a se asigura în mod eficient că drepturile fundamentale sunt protejate, implementatorii de sisteme de IA cu grad ridicat de risc care sunt organisme de drept public sau entitățile private care furnizează servicii publice și implementatorii care implementează anumite sisteme de IA cu grad ridicat de risc enumerate într-o anexă la prezentul regulament, cum ar fi entitățile bancare sau de asigurări, ar trebui să efectueze o evaluare a impactului asupra drepturilor fundamentale înainte de a pune aceste sisteme în funcțiune. Serviciile importante pentru persoanele fizice care sunt de natură publică pot fi furnizate și de entități private. Entitățile private care furnizează astfel de servicii publice sunt legați de sarcini de interes public, cum ar fi în domeniul educației, al îngrijirilor de sănătate, al serviciilor sociale, al locuințelor, al administrării justiției. Scopul evaluării impactului asupra drepturilor fundamentale este ca implementatorul să identifice riscurile specifice pentru drepturile persoanelor sau ale grupurilor de persoane care ar putea fi afectate și să identifice măsurile care trebuie luate în cazul materializării riscurilor respective. Evaluarea impactului ar trebui să fie efectuată înainte de implementarea sistemului de IA cu grad ridicat de risc și ar trebui să fie actualizată atunci când implementatorul consideră că oricare dintre factorii relevanți s-au schimbat. Evaluarea impactului ar trebui să identifice procesele relevante ale implementatorului în care sistemul de IA cu grad ridicat de risc va fi utilizat în conformitate cu scopul său preconizat și ar trebui să includă o descriere a perioadei de timp și a frecvenței în care se intenționează utilizarea sistemului, precum și a categoriilor specifice de persoane fizice și grupuri care sunt susceptibile de a fi afectate în contextul specific de utilizare. Evaluarea ar trebui să includă, de asemenea, identificarea riscurilor specifice de prejudiciu care ar putea avea un impact asupra drepturilor fundamentale ale persoanelor sau grupurilor respective. Atunci când efectuează această evaluare, implementatorul ar trebui să țină seama de informațiile relevante pentru o evaluare adecvată a impactului, inclusiv de informațiile furnizate de furnizorul sistemului de IA cu grad ridicat de risc în instrucțiunile de utilizare, dar fără a se limita la aceste informații. Având în vedere riscurile identificate, implementatorii ar trebui să stabilească măsurile care trebuie luate în cazul materializării acestor riscuri, inclusiv, de exemplu, mecanisme de guvernanță în acest context specific de utilizare, cum ar fi mecanisme de supraveghere umană în conformitate cu instrucțiunile de utilizare sau proceduri de tratare a plângerilor și proceduri aferente măsurilor reparatorii, deoarece acestea ar putea fi esențiale pentru atenuarea riscurilor la adresa drepturilor fundamentale în cazuri concrete de utilizare. După efectuarea respectivei evaluări a impactului, implementatorul ar trebui să îi notifice acest lucru autorității relevante de supraveghere a pieței. După caz, pentru a colecta informațiile relevante necesare pentru efectuarea evaluării impactului, implementatorii de sisteme de IA cu grad ridicat de risc, în special atunci când sistemele de IA sunt utilizate în sectorul public, ar putea implica părțile interesate relevante, inclusiv reprezentanții grupurilor de persoane susceptibile de a fi afectate de sistemul de IA, experții independenți și organizațiile societății civile în efectuarea unor astfel de evaluări ale impactului și în conceperea măsurilor care trebuie luate în cazul materializării riscurilor. Oficiul european pentru inteligența artificială (Oficiul pentru IA) ar trebui să elaboreze un model de chestionar pentru a facilita conformitatea și a reduce sarcina administrativă pentru implementatori.

(97) Noțiunea de modele de IA de uz general ar trebui să fie definită în mod clar și separată de noțiunea de sisteme de IA pentru a asigura securitatea juridică. Definiția ar trebui să se bazeze pe caracteristicile funcționale esențiale ale unui model de IA de uz general, în special pe generalitate și pe capabilitatea de a îndeplini în mod competent o gamă largă de sarcini distincte. Aceste modele sunt, de regulă, antrenate pe volume mari de date, prin diverse metode, cum ar fi învățarea autosupravegheată, nesupravegheată sau prin întărire. Modelele de IA de uz general pot fi introduse pe piață în diferite moduri, inclusiv prin biblioteci, interfețe de programare a aplicațiilor (API), sub formă de descărcare directă sau sub formă de copie fizică. Aceste modele pot fi modificate suplimentar sau calibrate și astfel transformate în modele noi. Deși modelele de IA sunt componente esențiale ale sistemelor de IA, ele nu constituie sisteme de IA în sine. Modelele de IA necesită adăugarea de componente suplimentare, cum ar fi, de exemplu, o interfață cu utilizatorul, pentru a deveni sisteme de IA. Modelele de IA sunt, de regulă, integrate în sistemele de IA și fac parte din acestea. Prezentul regulament prevede norme specifice pentru modelele de IA de uz general și pentru modelele de IA de uz general care prezintă riscuri sistemice, norme care ar trebui să se aplice și atunci când aceste modele sunt integrate sau fac parte dintr-un sistem de IA. Ar trebui să se înțeleagă că obligațiile furnizorilor de modele de IA de uz general ar trebui să se aplice odată ce modelele de IA de uz general sunt introduse pe piață. Atunci când furnizorul unui model de IA de uz general integrează un model propriu în propriul sistem de IA care este pus la dispoziție pe piață sau pus în funcțiune, modelul respectiv ar trebui să fie considerat ca fiind introdus pe piață și, prin urmare, obligațiile prevăzute în prezentul regulament pentru modele ar trebui să se aplice în continuare în plus față de cele pentru sistemele de IA. Obligațiile stabilite pentru modele nu ar trebui în niciun caz să se aplice atunci când un model propriu este utilizat pentru procese pur interne care nu sunt esențiale pentru furnizarea unui produs sau a unui serviciu către terți, iar drepturile persoanelor fizice nu sunt afectate. Având în vedere potențialele lor efecte negative semnificative, modelele de IA de uz general cu risc sistemic ar trebui să facă întotdeauna obiectul obligațiilor relevante în temeiul prezentului regulament. Definiția nu ar trebui să acopere modelele de IA utilizate înainte de introducerea lor pe piață în scopul unic al activităților de cercetare, dezvoltare și creare de prototipuri. Acest lucru nu aduce atingere obligației de a se conforma prezentului regulament atunci când, în urma unor astfel de activități, se introduce pe piață un model.

(98) În timp ce generalitatea unui model ar putea fi determinată, printre altele, și de o serie de parametri, ar trebui să se considere că modelele cu cel puțin un miliard de parametri și antrenate cu un volum mare de date utilizând autosupravegherea la scară largă prezintă o generalitate semnificativă și îndeplinesc în mod competent o gamă largă de sarcini distincte.

(99) Modelele de IA generative de mari dimensiuni sunt un exemplu tipic de model de IA de uz general, având în vedere că permit generarea flexibilă de conținut, cum ar fi sub formă de text, audio, imagini sau video, care pot răspunde cu ușurință unei game largi de sarcini distincte.

(100) Atunci când un model de IA de uz general este integrat într-un sistem de IA sau face parte dintr-un astfel de sistem, acest sistem ar trebui să fie considerat a fi un sistem de IA de uz general atunci când, în urma acestei integrări, acest sistem are capabilitatea de a servi unei varietăți de scopuri. Un sistem de IA de uz general poate fi utilizat direct sau poate fi integrat în alte sisteme de IA.

(101) Furnizorii de modele de IA de uz general au un rol și o responsabilitate deosebite de-a lungul lanțului valoric al IA, deoarece modelele pe care le furnizează pot constitui baza pentru o serie de sisteme din aval, adesea furnizate de furnizori din aval care au nevoie de o bună înțelegere a modelelor și a capabilităților acestora, atât pentru a permite integrarea unor astfel de modele în produsele lor, cât și pentru a-și îndeplini obligațiile care le revin în temeiul prezentului regulament sau al altor regulamente. Prin urmare, ar trebui să fie stabilite măsuri proporționale de transparență, inclusiv întocmirea și ținerea la zi a documentației, precum și furnizarea de informații privind modelul de IA de uz general pentru utilizarea sa de către furnizorii din aval. Documentația tehnică ar trebui să fie pregătită și ținută la zi de către furnizorul modelului de IA de uz general în scopul de a o pune, la cerere, la dispoziția Oficiului pentru IA și a autorităților naționale competente. Setul minim de elemente care trebuie incluse în această documentație ar trebui să fie stabilit în anexele specifice la prezentul regulament. Comisia ar trebui să fie împuternicită să modifice anexele respective prin intermediul unor acte delegate în funcție de evoluțiile tehnologice.

(102) Software-ul și datele, inclusiv modelele, lansate sub licență liberă și cu sursă deschisă care le permite să fie partajate în mod deschis și pe care utilizatorii le pot accesa, utiliza, modifica și redistribui liber sau versiuni modificate ale acestora, pot contribui la cercetare și inovare pe piață și pot oferi oportunități semnificative de creștere pentru economia Uniunii. Ar trebui să se considere că modelele de IA de uz general lansate sub licențe libere și cu sursă deschisă asigură niveluri ridicate de transparență și deschidere dacă parametrii lor, inclusiv ponderile, informațiile privind arhitectura modelului și informațiile privind utilizarea modelului, sunt puși la dispoziția publicului. Licența ar trebui să fie considerată ca fiind liberă și cu sursă deschisă și atunci când le permite utilizatorilor să ruleze, să copieze, să distribuie, să studieze, să modifice și să îmbunătățească software-ul și datele, inclusiv modelele, cu condiția ca furnizorul inițial al modelului să fie menționat și ca termenii de distribuție identici sau comparabili să fie respectați.

(103) Componentele de IA libere și cu sursă deschisă acoperă software-ul și datele, inclusiv modelele și modelele, instrumentele, serviciile sau procesele de IA de uz general ale unui sistem de IA. Componentele de IA libere și cu sursă deschisă pot fi furnizate prin diferite canale, inclusiv prin dezvoltarea lor în depozite deschise. În sensul prezentului regulament, componentele de IA care sunt furnizate contra unui preț sau monetizate în alt mod, inclusiv prin furnizarea de sprijin tehnic sau de alte servicii, inclusiv prin intermediul unei platforme software, legate de componenta de IA, sau utilizarea datelor cu caracter personal din alte motive decât în scopul exclusiv de îmbunătățire a securității, a compatibilității sau a interoperabilității software-ului, cu excepția tranzacțiilor dintre microîntreprinderi, nu ar trebui să beneficieze de excepțiile prevăzute pentru componentele de IA libere și cu sursă deschisă. Punerea la dispoziție a componentelor de IA prin intermediul depozitelor deschise nu ar trebui, în sine, să constituie o monetizare.

(104) Furnizorii de modele de IA de uz general care sunt lansate sub licență liberă și cu sursă deschisă și ai căror parametri, inclusiv ponderile, informațiile privind arhitectura modelului și informațiile privind utilizarea modelului, sunt puși la dispoziția publicului ar trebui să facă obiectul unor excepții în ceea ce privește cerințele legate de transparență impuse modelelor de IA de uz general, cu excepția cazului în care se poate considera că prezintă un risc sistemic, caz în care circumstanța că modelul este transparent și însoțit de o licență cu sursă deschisă nu ar trebui să fie considerată un motiv suficient pentru a exclude respectarea obligațiilor prevăzute în prezentul regulament. În orice caz, având în vedere că lansarea modelelor de IA de uz general sub licență liberă și cu sursă deschisă nu dezvăluie neapărat informații substanțiale cu privire la setul de date utilizat pentru antrenarea sau calibrarea modelului și la modul în care a fost astfel asigurată conformitatea cu dreptul privind drepturile de autor, excepția prevăzută pentru modelele de IA de uz general de la respectarea cerințelor legate de transparență nu ar trebui să se refere la obligația de a prezenta un rezumat cu privire la conținutul utilizat pentru antrenarea modelelor și la obligația de a institui o politică de respectare a dreptului Uniunii privind drepturile de autor, în special pentru a identifica și a respecta rezervarea drepturilor în temeiul articolului 4 alineatul (3) din Directiva (UE) 2019/790 a Parlamentului European și a Consiliului (40).

 

(105) Modelele de IA de uz general, în special modelele de IA generative de mari dimensiuni, capabile să genereze text, imagini și alte conținuturi, prezintă oportunități unice de inovare, dar și provocări pentru artiști, autori și alți creatori și pentru modul în care conținutul lor creativ este creat, distribuit, utilizat și consumat. Dezvoltarea și antrenarea unor astfel de modele necesită acces la volume mari de text, imagini, materiale video și alte date. Tehnicile de extragere a textului și a datelor pot fi utilizate pe scară largă în acest context pentru obținerea și analizarea unui astfel de conținut, care poate fi protejat prin drepturi de autor și drepturi conexe. Orice utilizare a unui conținut protejat prin drepturi de autor necesită autorizare din partea titularului de drepturi în cauză, cu excepția cazului în care se aplică excepții și limitări relevante ale drepturilor de autor. Directiva (UE) 2019/790 a introdus excepții și limitări care permit reproduceri și extrageri ale operelor sau ale altor obiecte protejate, în scopul extragerii de text și de date, în anumite condiții. În temeiul acestor norme, titularii de drepturi pot alege să își rezerve drepturile asupra operelor lor sau asupra altor obiecte protejate ale lor pentru a preveni extragerea de text și de date, cu excepția cazului în care acest lucru se face în scopul cercetării științifice. În cazul în care drepturile de neparticipare au fost rezervate în mod expres într-un mod adecvat, furnizorii de modele de IA de uz general trebuie să obțină o autorizație din partea titularilor de drepturi dacă doresc să efectueze extragere de text și de date din astfel de opere.

(106) Furnizorii care introduc modele de IA de uz general pe piața Uniunii ar trebui să asigure respectarea obligațiilor relevante prevăzute în prezentul regulament. În acest scop, furnizorii de modele de IA de uz general ar trebui să instituie o politică de respectare a dreptului Uniunii privind drepturile de autor și drepturile conexe, în special pentru a identifica și a respecta rezervarea drepturilor exprimată de titularii de drepturi în temeiul articolului 4 alineatul (3) din Directiva (UE) 2019/790. Orice furnizor care introduce un model de IA de uz general pe piața Uniunii ar trebui să respecte această obligație, indiferent de jurisdicția în care au loc actele relevante pentru drepturile de autor care stau la baza antrenării respectivelor modele de IA de uz general. Acest lucru este necesar pentru a asigura condiții de concurență echitabile între furnizorii de modele de IA de uz general, în care niciun furnizor nu ar trebui să poată obține un avantaj competitiv pe piața Uniunii prin aplicarea unor standarde privind drepturile de autor mai scăzute decât cele prevăzute în Uniune.

(107) Pentru a spori transparența datelor utilizate în preantrenarea și antrenarea modelelor de IA de uz general, inclusiv a textului și a datelor protejate de dreptul privind drepturile de autor, este adecvat ca furnizorii de astfel de modele să elaboreze și să pună la dispoziția publicului un rezumat suficient de detaliat al conținutului utilizat pentru antrenarea modelului de IA de uz general. Ținând seama în mod corespunzător de necesitatea de a proteja secretele comerciale și informațiile comerciale confidențiale, acest rezumat ar trebui să aibă un domeniu de aplicare în general cuprinzător, în loc să fie detaliat din punct de vedere tehnic, pentru a facilita părților cu interese legitime, inclusiv titularilor de drepturi de autor, să își exercite drepturile și să asigure respectarea drepturilor lor în temeiul dreptului Uniunii, de exemplu prin enumerarea principalelor colecții sau seturi de date folosite la antrenarea modelului, cum ar fi bazele de date sau arhivele de date de mari dimensiuni, private sau publice, și prin furnizarea unei explicații narative cu privire la alte surse de date utilizate. Este oportun ca Oficiul pentru IA să furnizeze un model pentru rezumat, care ar trebui să fie simplu, eficace și să permită furnizorului să furnizeze rezumatul solicitat sub formă narativă.

(108) În ceea ce privește obligațiile impuse furnizorilor de modele de IA de uz general de a institui o politică de respectare a dreptul Uniunii privind drepturile de autor și de a pune la dispoziția publicului un rezumat al conținutului utilizat pentru antrenare, Oficiul pentru IA ar trebui să monitorizeze dacă furnizorul și-a îndeplinit obligațiile respective fără a verifica sau a efectua o evaluare operă cu operă a datelor de antrenament în ceea ce privește respectarea drepturilor de autor. Prezentul regulament nu aduce atingere aplicării normelor în materie de drepturi de autor prevăzute în dreptul Uniunii.

(109) Respectarea obligațiilor aplicabile furnizorilor de modele de IA de uz general ar trebui să fie corespunzătoare și proporțională cu tipul de furnizor de model, excluzând necesitatea respectării pentru persoanele care dezvoltă sau utilizează modele în alte scopuri decât cele profesionale sau de cercetare științifică, care ar trebui totuși să fie încurajate să respecte în mod voluntar aceste cerințe. Fără a aduce atingere dreptului Uniunii privind drepturile de autor, respectarea obligațiilor respective ar trebui să țină seama în mod corespunzător de dimensiunea furnizorului și să permită modalități simplificate de asigurare a respectării cerințelor pentru IMM-uri, inclusiv pentru întreprinderile nou-înființate, care nu ar trebui să reprezinte un cost excesiv și să descurajeze utilizarea unor astfel de modele. În cazul unei modificări sau calibrări a unui model, obligațiile furnizorilor de modele de IA de uz general ar trebui să se limiteze la modificarea sau calibrarea respectivă, de exemplu prin completarea documentației tehnice deja existente cu informații privind modificările, inclusiv noi surse de date de antrenament, ca mijloc de respectare a obligațiilor privind lanțul valoric prevăzute în prezentul regulament.
(110) Modelele de IA de uz general ar putea prezenta riscuri sistemice care includ, printre altele, orice efecte negative reale sau previzibile în mod rezonabil în legătură cu accidente majore, perturbări ale sectoarelor critice și consecințe grave pentru sănătatea și siguranța publică, orice efecte negative reale sau previzibile în mod rezonabil asupra proceselor democratice, asupra securității publice și economice, diseminarea de conținut ilegal, fals sau discriminatoriu. Riscurile sistemice ar trebui să fie înțelese ca crescând odată cu capabilitățile modelului și cu amploarea modelului, pot apărea de-a lungul întregului ciclu de viață al modelului și sunt influențate de condițiile de utilizare necorespunzătoare, de fiabilitatea modelului, de echitatea modelului și de securitatea modelului, de nivelul de autonomie a modelului, de accesul său la instrumente, de modalitățile noi sau combinate, de strategiile de lansare și distribuție, de potențialul de eliminare a mecanismelor de protecție și de alți factori. În special, abordările internaționale au identificat până în prezent necesitatea de a acorda atenție riscurilor generate de potențialele utilizări necorespunzătoare intenționate sau de problemele neintenționate de control legate de alinierea la intenția umană; riscurilor chimice, biologice, radiologice și nucleare, cum ar fi modalitățile de reducere a barierelor la intrare, inclusiv pentru dezvoltarea, proiectarea, achiziționarea sau utilizarea de arme; capabilităților cibernetice ofensive, cum ar fi modalitățile care permit descoperirea, exploatarea sau utilizarea operațională a vulnerabilităților; efectelor interacțiunii și ale utilizării instrumentelor, inclusiv, de exemplu, capacitatea de a controla sistemele fizice și de a interfera cu infrastructura critică; riscurilor legate de posibilitatea ca modelele să facă copii după ele însele sau să se „autoreproducă” ori să antreneze alte modele; modurilor în care modelele pot da naștere unor prejudecăți dăunătoare și discriminării cu riscuri pentru indivizi, comunități sau societăți; facilitării dezinformării sau prejudicierii vieții private cu amenințări la adresa valorilor democratice și a drepturilor omului; riscului ca un anumit eveniment să conducă la o reacție în lanț cu efecte negative considerabile care ar putea afecta până la un întreg oraș, o întreagă activitate de domeniu sau o întreagă comunitate.

(111) Este oportun să se stabilească o metodologie pentru clasificarea modelelor de IA de uz general ca modele de IA de uz general cu riscuri sistemice. Întrucât riscurile sistemice rezultă din capabilități deosebit de ridicate, ar trebui să se considere că un model de IA de uz general prezintă riscuri sistemice dacă are capabilități cu impact ridicat, evaluate pe baza unor instrumente și metodologii tehnice adecvate sau dacă are un impact semnificativ asupra pieței interne din cauza amplorii sale. Capabilități cu impact ridicat în modelele de IA de uz general înseamnă capabilități care corespund capabilităților înregistrate în cele mai avansate modele de IA de uz general sau depășesc capabilitățile respective. Întreaga gamă de capabilități ale unui model ar putea fi mai bine înțeleasă după introducerea sa pe piață sau atunci când implementatorii interacționează cu modelul. În conformitate cu stadiul actual al tehnologiei la momentul intrării în vigoare a prezentului regulament, volumul cumulat de calcul utilizat pentru antrenarea modelului de IA de uz general măsurat în operații în virgulă mobilă este una dintre aproximările relevante pentru capabilitățile modelului. Volumul cumulat de calcul utilizat pentru antrenare include calculul utilizat pentru toate activitățile și metodele menite să consolideze capabilitățile modelului înainte de implementare, cum ar fi preantrenarea, generarea de date sintetice și calibrarea. Prin urmare, ar trebui să fie stabilit un prag inițial de operații în virgulă mobilă, care, dacă este atins de un model de IA de uz general, conduce la prezumția că modelul este un model de IA de uz general cu riscuri sistemice. Acest prag ar trebui să fie ajustat în timp pentru a reflecta schimbările tehnologice și industriale, cum ar fi îmbunătățirile algoritmice sau eficiența hardware sporită, și ar trebui să fie completat cu valori de referință și indicatori pentru capabilitatea modelului. În acest scop, Oficiul pentru IA ar trebui să colaboreze cu comunitatea științifică, cu industria, cu societatea civilă și cu alți experți. Pragurile, precum și instrumentele și valorile de referință pentru evaluarea capabilităților cu impact ridicat ar trebui să fie indicatori puternici ai generalității, ai capabilităților modelului și ai riscului sistemic asociat modelelor de IA de uz general și ar putea lua în considerare modul în care modelul va fi introdus pe piață sau numărul de utilizatori pe care îi poate afecta. Pentru a completa acest sistem, Comisia ar trebui să aibă posibilitatea de a lua decizii individuale de desemnare a unui model de IA de uz general ca model de IA de uz general cu risc sistemic dacă se constată că un astfel de model are capabilități sau un impact echivalent cu cele acoperite de pragul stabilit. Decizia respectivă ar trebui luată pe baza unei evaluări globale a criteriilor pentru desemnarea unui model de IA de uz general cu risc sistemic prevăzute într-o anexă la prezentul regulament, cum ar fi calitatea sau dimensiunea setului de date de antrenament, numărul de utilizatori comerciali și finali, modalitățile referitoare la datele de intrare și de ieșire ale modelului, nivelul său de autonomie și de scalabilitate sau instrumentele la care are acces. La cererea motivată a unui furnizor al cărui model a fost desemnat drept model de IA de uz general cu risc sistemic, Comisia ar trebui să țină seama de cerere și poate decide să reevalueze dacă modelul de IA de uz general poate fi considerat în continuare ca prezentând riscuri sistemice.

(112) De asemenea, este necesar să se clarifice o procedură pentru clasificarea unui model de IA de uz general cu riscuri sistemice. Un model de IA de uz general care respectă pragul aplicabil pentru capabilitățile cu impact ridicat ar trebui să fie prezumat ca fiind un model de IA de uz general cu risc sistemic. Furnizorul ar trebui să notifice Oficiul pentru IA în termen de cel mult două săptămâni de la îndeplinirea cerințelor sau de la data la care devine cunoscut faptul că un model de IA de uz general va îndeplini cerințele care conduc la prezumția respectivă. Acest lucru este deosebit de relevant în legătură cu pragul de operații în virgulă mobilă, deoarece antrenarea modelelor de IA de uz general necesită o planificare considerabilă, care include alocarea în avans a resurselor de calcul și, prin urmare, furnizorii de modele de IA de uz general sunt în măsură să știe dacă modelul lor ar atinge pragul înainte de finalizarea antrenării. În contextul notificării respective, furnizorul ar trebui să poată demonstra că, având în vedere caracteristicile sale specifice, un model de IA de uz general nu prezintă, în mod excepțional, riscuri sistemice și că, prin urmare, nu ar trebui să fie clasificat drept model de IA de uz general cu riscuri sistemice. Aceste informații sunt valoroase deoarece Oficiul pentru IA poate să anticipeze introducerea pe piață a modelelor de IA de uz general cu riscuri sistemice, iar furnizorii pot începe să colaboreze cu Oficiul pentru IA din timp. Aceste informații sunt deosebit de importante în ceea ce privește modelele de IA de uz general care sunt planificate să fie lansate ca sursă deschisă, având în vedere că, după lansarea modelului cu sursă deschisă, măsurile necesare pentru a asigura respectarea obligațiilor prevăzute în prezentul regulament pot fi mai dificil de pus în aplicare.

(113) În cazul în care Comisia constată că un model de IA de uz general îndeplinește cerințele de clasificare ca model de IA de uz general cu risc sistemic, lucru care anterior fie nu fusese cunoscut, fie nu fusese notificat Comisiei de furnizorul relevant, Comisia ar trebui să fie împuternicită să îl desemneze ca atare. Un sistem de alerte calificate ar trebui să asigure faptul că Oficiul pentru IA este informat de către grupul științific cu privire la modele de IA de uz general care ar putea fi clasificate drept modele de IA de uz general cu risc sistemic, pe lângă activitățile de monitorizare ale Oficiului pentru IA.

(114) Furnizorii de modele de IA de uz general care prezintă riscuri sistemice ar trebui să facă obiectul, pe lângă obligațiile prevăzute pentru furnizorii de modele de IA de uz general, unor obligații menite să identifice și să atenueze riscurile respective și să asigure un nivel adecvat de protecție în materie de securitate cibernetică, indiferent dacă este furnizat ca model de sine stătător sau încorporat într-un sistem sau într-un produs de IA. Pentru a atinge obiectivele respective, prezentul regulament ar trebui să impună furnizorilor să efectueze evaluările necesare ale modelelor, în special înainte de prima lor introducere pe piață, inclusiv efectuarea și documentarea testării contradictorii a modelelor, inclusiv, după caz, prin testări interne sau externe independente. În plus, furnizorii de modele de IA de uz general cu riscuri sistemice ar trebui să evalueze și să atenueze în permanență riscurile sistemice, inclusiv, de exemplu, prin instituirea unor politici de gestionare a riscurilor, cum ar fi procesele de asigurare a răspunderii și de guvernanță, prin punerea în aplicare a monitorizării ulterioare introducerii pe piață, prin luarea de măsuri adecvate de-a lungul întregului ciclu de viață al modelului și prin cooperarea cu actorii relevanți de-a lungul lanțului valoric al IA.

(115) Furnizorii de modele de IA de uz general cu riscuri sistemice ar trebui să evalueze și să atenueze posibilele riscuri sistemice. Dacă, în pofida eforturilor de identificare și prevenire a riscurilor legate de un model de IA de uz general care poate prezenta riscuri sistemice, dezvoltarea sau utilizarea modelului cauzează un incident grav, furnizorul modelului de IA de uz general ar trebui să urmărească fără întârzieri nejustificate incidentul și să raporteze Comisiei și autorităților naționale competente orice informații relevante și posibile măsuri corective. În plus, furnizorii ar trebui să asigure un nivel adecvat de protecție în materie de securitate cibernetică pentru model și infrastructura fizică a acestuia, dacă este cazul, de-a lungul întregului ciclu de viață al modelului. Protecția în materie de securitate cibernetică legată de riscurile sistemice asociate utilizării răuvoitoare sau atacurilor ar trebui să ia în considerare în mod corespunzător scurgerile accidentale de modele, lansările neautorizate, eludarea măsurilor de siguranță și apărarea împotriva atacurilor cibernetice, a accesului neautorizat sau a furtului de modele. Această protecție ar putea fi facilitată prin securizarea ponderilor modelelor, a algoritmilor, a serverelor și a seturilor de date, de exemplu prin măsuri de securitate operațională pentru securitatea informațiilor, politici specifice în materie de securitate cibernetică, soluții tehnice și consacrate adecvate și controale ale accesului cibernetic și fizic, adecvate circumstanțelor relevante și riscurilor implicate.

(116) Oficiul pentru IA ar trebui să încurajeze și să faciliteze elaborarea, revizuirea și adaptarea unor coduri de bune practici, ținând seama de abordările internaționale. Toți furnizorii de modele de IA de uz general ar putea fi invitați să participe. Pentru a se asigura că codurile de bune practici reflectă stadiul actual al tehnologiei și țin seama în mod corespunzător de un set divers de perspective, Oficiul pentru IA ar trebui să colaboreze cu autoritățile naționale competente relevante și ar putea, după caz, să se consulte cu organizațiile societății civile și cu alte părți interesate și experți relevanți, inclusiv cu grupul științific, pentru elaborarea unor astfel de coduri. Codurile de bune practici ar trebui să se refere la obligațiile furnizorilor de modele de IA de uz general și de modele de IA de uz general care prezintă riscuri sistemice. În plus, în ceea ce privește riscurile sistemice, codurile de bune practici ar trebui să contribuie la stabilirea unei taxonomii a tipurilor și naturii riscurilor sistemice la nivelul Uniunii, inclusiv a surselor acestora. Codurile de bune practici ar trebui să se axeze, de asemenea, pe măsuri specifice de evaluare și de atenuare a riscurilor.

(117) Codurile de bune practici ar trebui să reprezinte un instrument central pentru respectarea corespunzătoare a obligațiilor prevăzute în prezentul regulament pentru furnizorii de modele de IA de uz general. Furnizorii ar trebui să se poată baza pe coduri de bune practici pentru a demonstra respectarea obligațiilor. Prin intermediul unor acte de punere în aplicare, Comisia poate decide să aprobe un cod de bune practici și să îi acorde o valabilitate generală în Uniune sau, alternativ, să prevadă norme comune pentru punerea în aplicare a obligațiilor relevante, în cazul în care, până la momentul în care prezentul regulament devine aplicabil, un cod de bune practici nu poate fi finalizat sau nu este considerat adecvat de către Oficiul pentru IA. Odată ce un standard armonizat este publicat și evaluat ca fiind adecvat pentru a acoperi obligațiile relevante de către Oficiul pentru IA, furnizorii ar trebui să beneficieze de prezumția de conformitate în cazul în care respectă un standard european armonizat. În plus, furnizorii de modele de IA de uz general ar trebui să poată demonstra conformitatea utilizând mijloace alternative adecvate, dacă nu sunt disponibile coduri de bune practici sau standarde armonizate sau dacă aleg să nu se bazeze pe acestea.

(118) Prezentul regulament reglementează sistemele de IA și modelele de IA prin impunerea anumitor cerințe și obligații pentru actorii relevanți de pe piață care le introduc pe piață, le pun în funcțiune sau le utilizează în Uniune, completând astfel obligațiile pentru furnizorii de servicii intermediare care încorporează astfel de sisteme sau modele în serviciile lor reglementate de Regulamentul (UE) 2022/2065. În măsura în care astfel de sisteme sau modele sunt încorporate în platforme online foarte mari sau în motoare de căutare online foarte mari desemnate, acestea fac obiectul cadrului de gestionare a riscurilor prevăzut în Regulamentul (UE) 2022/2065. În consecință, ar trebui să se presupună că obligațiile corespunzătoare din prezentul regulament sunt îndeplinite, cu excepția cazului în care apar riscuri sistemice semnificative care nu intră sub incidența Regulamentului (UE) 2022/2065 și sunt identificate în astfel de modele. În acest cadru, furnizorii de platforme online foarte mari și de motoare de căutare online foarte mari sunt obligați să evalueze potențialele riscuri sistemice care decurg din proiectarea, funcționarea și utilizarea serviciilor lor, inclusiv modul în care proiectarea sistemelor algoritmice utilizate în cadrul serviciului poate contribui la astfel de riscuri, precum și riscurile sistemice care decurg din potențialele utilizări necorespunzătoare. Acești furnizori sunt, de asemenea, obligați să ia măsuri adecvate de atenuare, cu respectarea drepturilor fundamentale.

(119) Având în vedere ritmul rapid al inovării și al evoluției tehnologice a serviciilor digitale care intră în domeniul de aplicare al diferitelor instrumente din dreptul Uniunii, în special având în vedere utilizarea și percepția destinatarilor lor, sistemele de IA care fac obiectul prezentului regulament pot fi furnizate ca servicii intermediare sau ca părți ale acestora în sensul Regulamentului (UE) 2022/2065, care ar trebui să fie interpretat într-un mod neutru din punct de vedere tehnologic. De exemplu, sistemele de IA pot fi utilizate pentru a furniza motoare de căutare online, în special în măsura în care un sistem de IA, cum ar fi un chatbot online, efectuează căutări, în principiu, pe toate site-urile web, apoi încorporează rezultatele în cunoștințele sale existente și utilizează cunoștințele actualizate pentru a genera un singur rezultat care combină diferite surse de informații.

(120) În plus, obligațiile impuse prin prezentul regulament furnizorilor și implementatorilor anumitor sisteme de IA pentru a permite detectarea și divulgarea faptului că rezultatele sistemelor respective sunt generate sau manipulate artificial sunt deosebit de relevante pentru a facilita punerea în aplicare efectivă a Regulamentului (UE) 2022/2065. Acest lucru este valabil în special în ceea ce privește obligațiile furnizorilor de platforme online foarte mari sau de motoare de căutare online foarte mari de a identifica și a atenua riscurile sistemice care pot apărea în urma diseminării conținutului care a fost generat sau manipulat artificial, în special riscul privind efectele negative reale sau previzibile asupra proceselor democratice, asupra discursului civic și asupra proceselor electorale, inclusiv prin dezinformare.

(121) Standardizarea ar trebui să joace un rol esențial în furnizarea de soluții tehnice furnizorilor pentru a asigura conformitatea cu prezentul regulament, în conformitate cu stadiul actual al tehnologiei, pentru a promova inovarea, precum și competitivitatea și creșterea pe piața unică. Conformitatea cu standardele armonizate, astfel cum sunt definite la articolul 2 punctul 1 litera (c) din Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului (41), care ar trebui, în mod normal, să reflecte stadiul actual al tehnologiei, ar trebui să fie un mijloc prin care furnizorii să demonstreze conformitatea cu cerințele prezentului regulament. Prin urmare, ar trebui să fie încurajată o reprezentare echilibrată a intereselor, care să implice toate părțile interesate relevante în elaborarea standardelor, în special IMM-urile, organizațiile consumatorilor și părțile interesate din domeniul mediului și din domeniul social, în conformitate cu articolele 5 și 6 din Regulamentul (UE) nr. 1025/2012. Pentru a facilita conformitatea, solicitările de standardizare ar trebui să fie emise de Comisie fără întârzieri nejustificate. Atunci când elaborează solicitarea de standardizare, Comisia ar trebui să consulte forumul consultativ și Consiliul IA pentru a colecta cunoștințele de specialitate relevante. Cu toate acestea, în absența unor trimiteri relevante la standardele armonizate, Comisia ar trebui să poată stabili, prin intermediul unor acte de punere în aplicare și după consultarea forumului consultativ, specificații comune pentru anumite cerințe în temeiul prezentului regulament. Specificația comună ar trebui să constituie o soluție excepțională de rezervă, pentru a facilita obligația furnizorului de a respecta cerințele prezentului regulament, atunci când solicitarea de standardizare nu a fost acceptată de niciuna dintre organizațiile de standardizare europene sau când standardele armonizate relevante abordează insuficient preocupările în materie de drepturi fundamentale ori când standardele armonizate nu corespund solicitării sau atunci când există întârzieri în adoptarea unui standard armonizat adecvat. În cazul în care o astfel de întârziere în adoptarea unui standard armonizat se datorează complexității tehnice a standardului respectiv, acest lucru ar trebui să fie luat în considerare de Comisie înainte de a avea în vedere stabilirea unor specificații comune. Atunci când elaborează specificații comune, Comisia este încurajată să coopereze cu partenerii internaționali și cu organismele de standardizare internaționale.

(122) Este oportun ca, fără a aduce atingere utilizării standardelor armonizate și a specificațiilor comune, să se prezume că furnizorii unui sistem de IA cu grad ridicat de risc care a fost antrenat și testat pe baza unor date care reflectă cadrul geografic, comportamental, contextual sau funcțional specific în care se intenționează utilizarea sistemului de IA respectă măsura relevantă prevăzută în temeiul cerinței privind guvernanța datelor stabilită în prezentul regulament. Fără a aduce atingere cerințelor legate de robustețe și acuratețe prevăzute în prezentul regulament, în conformitate cu articolul 54 alineatul (3) din Regulamentul (UE) 2019/881, ar trebui să se prezume că sistemele de IA cu grad ridicat de risc care au fost certificate sau pentru care a fost emisă o declarație de conformitate în cadrul unui sistem de securitate cibernetică în temeiul regulamentului respectiv, iar referințele aferente au fost publicate în Jurnalul Oficial al Uniunii Europene, respectă cerința de securitate cibernetică menționată în prezentul regulament, în măsura în care certificatul de securitate cibernetică sau declarația de conformitate sau părți ale acestora acoperă cerința de securitate cibernetică din prezentul regulament. Acest lucru nu aduce atingere caracterului voluntar al respectivului sistem de securitate cibernetică.

(123) Pentru a asigura un nivel ridicat de fiabilitate a sistemelor de IA cu grad ridicat de risc, aceste sisteme ar trebui să facă obiectul unei evaluări a conformității înainte de introducerea lor pe piață sau de punerea lor în funcțiune.

(124) Este oportun ca, pentru a reduce la minimum sarcina impusă operatorilor și pentru a evita eventualele suprapuneri, pentru sistemele de IA cu grad ridicat de risc legate de produse care fac obiectul legislației de armonizare existente a Uniunii bazate pe noul cadru legislativ, conformitatea acestor sisteme de IA cu cerințele prezentului regulament să fie evaluată ca parte a evaluării conformității prevăzute deja în legislația respectivă. Aplicabilitatea cerințelor prezentului regulament nu ar trebui, prin urmare, să afecteze logica specifică, metodologia sau structura generală a evaluării conformității în temeiul legislației de armonizare relevante a Uniunii.

(125) Având în vedere complexitatea sistemelor de IA cu grad ridicat de risc și riscurile asociate acestora, este important să se dezvolte o procedură adecvată de evaluare a conformității pentru sistemele de IA cu grad ridicat de risc care implică organisme notificate, așa-numita evaluare a conformității de către terți. Cu toate acestea, având în vedere experiența actuală a organismelor profesionale de certificare înainte de introducerea pe piață în domeniul siguranței produselor și natura diferită a riscurilor implicate, este oportun să se limiteze, cel puțin într-o fază inițială de aplicare a prezentului regulament, domeniul de aplicare al evaluării conformității de către terți pentru sistemele de IA cu grad ridicat de risc, altele decât cele legate de produse. Prin urmare, evaluarea conformității unor astfel de sisteme ar trebui să fie efectuată, ca regulă generală, de către furnizor pe propria răspundere, cu singura excepție a sistemelor de IA destinate a fi utilizate pentru biometrie.

(126) În vederea efectuării de evaluări ale conformității de către terți atunci când este necesar, autoritățile naționale competente ar trebui să comunice lista organismelor notificate în temeiul prezentului regulament, cu condiția ca acestea să îndeplinească un set de cerințe, în special în ceea ce privește independența, competența, absența conflictelor de interese și cerințele minime de securitate cibernetică. Lista acestor organisme notificate ar trebui să fie trimisă de autoritățile naționale competente Comisiei și celorlalte state membre prin intermediul instrumentului de notificare electronică dezvoltat și gestionat de Comisie în temeiul articolului R23 din anexa I la Decizia nr. 768/2008/CE.

(127) În conformitate cu angajamentele asumate de Uniune în temeiul Acordului Organizației Mondiale a Comerțului privind barierele tehnice în calea comerțului, este adecvat să se faciliteze recunoașterea reciprocă a rezultatelor evaluării conformității obținute de organismele competente de evaluare a conformității, indiferent de teritoriul pe care sunt stabilite acestea, cu condiția ca respectivele organisme de evaluare a conformității instituite în temeiul dreptului unei țări terțe să îndeplinească cerințele aplicabile ale prezentului regulament, iar Uniunea să fi încheiat un acord în acest sens. În acest context, Comisia ar trebui să analizeze în mod activ posibile instrumente internaționale adecvate acestui scop și, în special, să urmărească încheierea de acorduri de recunoaștere reciprocă cu țări terțe.

(128) În conformitate cu noțiunea stabilită de comun acord de modificare substanțială pentru produsele reglementate de legislația de armonizare a Uniunii, este oportun ca, ori de câte ori se produce o modificare care poate afecta respectarea prezentului regulament de către un sistem de IA cu grad ridicat de risc (de exemplu, modificarea sistemului de operare sau a arhitecturii software) sau atunci când scopul preconizat al sistemului se modifică, respectivul sistem de IA să fie considerat a fi un sistem de IA nou care ar trebui să facă obiectul unei noi evaluări a conformității. Cu toate acestea, modificările care afectează algoritmul și performanța sistemelor de IA care continuă să „învețe” după ce au fost introduse pe piață sau puse în funcțiune și anume, adaptarea automată a modului în care sunt îndeplinite funcțiile nu ar trebui să constituie o modificare substanțială, cu condiția ca modificările respective să fi fost prestabilite de furnizor și evaluate în momentul evaluării conformității.

(129) Sistemele de IA cu grad ridicat de risc ar trebui să poarte marcajul CE pentru a indica conformitatea lor cu prezentul regulament, astfel încât să poată circula liber în cadrul pieței interne. Pentru sistemele de IA cu grad ridicat de risc încorporate într-un produs ar trebui să fie aplicat un marcaj CE fizic care poate fi completat de un marcaj CE digital. Pentru sistemele de IA cu grad ridicat de risc furnizate exclusiv digital, ar trebui să fie utilizat un marcaj CE digital. Statele membre ar trebui să nu genereze obstacole nejustificate în calea introducerii pe piață sau a punerii în funcțiune a sistemelor de IA cu grad ridicat de risc care sunt conforme cu cerințele prevăzute în prezentul regulament și care poartă marcajul CE.

(130) În anumite condiții, disponibilitatea rapidă a tehnologiilor inovatoare poate fi esențială pentru sănătatea și siguranța persoanelor, pentru protecția mediului și combaterea schimbărilor climatice și pentru societate în ansamblu. Prin urmare, este oportun ca, din motive excepționale de siguranță publică sau de protecție a vieții și a sănătății persoanelor fizice, de protecție a mediului și de protecție a activelor industriale și de infrastructură esențiale, autoritățile de supraveghere a pieței să poată autoriza introducerea pe piață sau punerea în funcțiune a unor sisteme de IA care nu au fost supuse unei evaluări a conformității. În situații justificate în mod corespunzător, astfel cum se prevede în prezentul regulament, autoritățile de aplicare a legii sau autoritățile de protecție civilă pot pune în funcțiune un anumit sistem de IA cu grad ridicat de risc fără autorizarea autorității de supraveghere a pieței, cu condiția ca o astfel de autorizare să fie solicitată în timpul utilizării sau după utilizare, fără întârzieri nejustificate.

(131) Pentru a facilita activitatea Comisiei și a statelor membre în domeniul IA, precum și pentru a spori transparența față de public, furnizorii de sisteme de IA cu grad ridicat de risc, altele decât cele legate de produse care intră în domeniul de aplicare al actelor legislative de armonizare relevante existente ale Uniunii, precum și furnizorii care consideră că un sistem de IA care figurează între situațiile cu grad ridicat de risc dintr-o anexă la prezentul regulament nu este, pe baza unei derogări, un sistem de IA cu grad ridicat de risc, ar trebui să aibă obligația de a se înregistra, precum și de a înregistra informații despre propriul sistem de IA într-o bază de date a UE, care urmează să fie creată și gestionată de Comisie. Înainte de a utiliza un sistem de IA care figurează între situațiile cu grad ridicat de risc dintr-o anexă la prezentul regulament, implementatorii sistemelor de IA cu grad ridicat de risc care sunt autorități, agenții sau organisme publice ar trebui să se înregistreze în baza de date respectivă și să selecteze sistemul pe care intenționează să îl utilizeze. Ceilalți implementatori ar trebui să aibă dreptul de a face acest lucru în mod voluntar. Această secțiune a bazei de date a UE ar trebui să fie accesibilă publicului, în mod gratuit, informațiile ar trebui să fie ușor de parcurs, ușor de înțeles și prelucrabile automat. Baza de date a UE ar trebui, de asemenea, să fie ușor de utilizat, de exemplu prin furnizarea de funcționalități de căutare, inclusiv prin intermediul cuvintelor-cheie, care să permită publicului larg să găsească informațiile relevante care trebuie să fie transmise la înregistrarea sistemelor de IA cu grad ridicat de risc și cu privire la cazul de utilizare a sistemelor de IA cu grad ridicat de risc, prevăzute într-o anexă la prezentul regulament, cărora le corespund sistemele de IA cu grad ridicat de risc. Orice modificare substanțială a sistemelor de IA cu grad ridicat de risc ar trebui să se înregistreze, de asemenea, în baza de date a UE. Pentru sistemele de IA cu grad ridicat de risc din domeniul aplicării legii, al migrației, al azilului și al gestionării controlului la frontiere, obligațiile de înregistrare ar trebui să fie îndeplinite în cadrul unei secțiuni securizate, care nu este accesibilă publicului, a bazei de date a UE. Accesul la secțiunea securizată care nu este accesibilă publicului ar trebui să fie strict limitat la Comisie, precum și la autoritățile de supraveghere a pieței în ceea ce privește secțiunea lor națională din baza de date respectivă. Sistemele de IA cu grad ridicat de risc din domeniul infrastructurii critice ar trebui să fie înregistrate exclusiv la nivel național. Comisia ar trebui să fie operatorul bazei de date a UE, în conformitate cu Regulamentul (UE) 2018/1725. Pentru a asigura funcționalitatea deplină a bazei de date a UE, atunci când aceasta este implementată, procedura de stabilire a bazei de date ar trebui să includă dezvoltarea de specificații funcționale de către Comisie și un raport de audit independent. Comisia ar trebui să țină seama de riscurile în materie de securitate cibernetică atunci când își îndeplinește sarcinile de operator de date în baza de date a UE. Pentru a maximiza disponibilitatea și utilizarea bazei de date a UE de către public, baza de date a UE, inclusiv informațiile puse la dispoziție prin intermediul acesteia, ar trebui să îndeplinească cerințele prevăzute în Directiva (UE) 2019/882.

(132) Anumite sisteme de IA destinate să interacționeze cu persoane fizice sau să genereze conținut pot prezenta riscuri specifice de uzurpare a identității sau de înșelăciune, indiferent dacă acestea se califică drept sisteme cu grad ridicat de risc sau nu. Prin urmare, în anumite circumstanțe, utilizarea acestor sisteme ar trebui să facă obiectul unor obligații specifice în materie de transparență, fără a aduce atingere cerințelor și obligațiilor pentru sistemele de IA cu grad ridicat de risc și sub rezerva unor excepții specifice pentru a ține seama de nevoia specială de a aplica legea. În special, persoanele fizice ar trebui să fie informate că interacționează cu un sistem de IA, cu excepția cazului în care acest lucru este evident din punctul de vedere al unei persoane fizice rezonabil de bine informată, de atentă și de avizată, ținând seama de circumstanțele și contextul de utilizare. La punerea în aplicare a obligației respective, caracteristicile persoanelor fizice care aparțin grupurilor vulnerabile din motive de vârstă sau dizabilitate ar trebui să fie luate în considerare în măsura în care sistemul de IA este destinat să interacționeze și cu aceste grupuri. În plus, persoanele fizice ar trebui să fie informate atunci când sunt expuse la sisteme de IA care, prin prelucrarea datelor lor biometrice, pot identifica sau deduce emoțiile sau intențiile persoanelor respective sau le pot include în categorii specifice. Astfel de categorii specifice se pot referi la aspecte precum sexul, vârsta, culoarea părului, culoarea ochilor, tatuajele, trăsăturile personale, originea etnică, preferințele și interesele personale. Astfel de informații și notificări ar trebui să fie furnizate în formate accesibile pentru persoanele cu dizabilități.

(133) O varietate de sisteme de IA poate genera cantități mari de conținut sintetic, pe care oamenii ajung să îl distingă din ce în ce mai greu de conținutul autentic, generat de om. Disponibilitatea pe scară largă și capabilitățile din ce în ce mai mari ale acestor sisteme au un impact semnificativ asupra integrității ecosistemului informațional și a încrederii în acesta, generând noi riscuri de dezinformare și manipulare la scară largă, de fraudă, de uzurpare a identității și de inducere în eroare a consumatorilor. Având în vedere impactul respectiv, ritmul tehnologic rapid și necesitatea unor noi metode și tehnici de urmărire a originii informațiilor, este oportun să se solicite furnizorilor acestor sisteme să încorporeze soluții tehnice care să permită marcarea într-un format prelucrabil automat și detectarea faptului că rezultatul a fost generat sau manipulat de un sistem de IA, și nu de un om. Aceste tehnici și metode ar trebui să fie suficient de fiabile, interoperabile, eficace și robuste, în măsura în care acest lucru este fezabil din punct de vedere tehnic, ținând seama de tehnicile disponibile sau de o combinație de astfel de tehnici, cum ar fi filigrane, identificări prin intermediul metadatelor, metode criptografice pentru a dovedi proveniența și autenticitatea conținutului, metode de înregistrare, amprente digitale sau alte tehnici, după caz. Atunci când pun în aplicare această obligație, furnizorii ar trebui, de asemenea, să țină seama de particularitățile și limitările diferitelor tipuri de conținut și de evoluțiile tehnologice și ale pieței relevante în domeniu, astfel cum se reflectă în stadiul de avansare general recunoscut al tehnologiei. Astfel de tehnici și metode pot fi puse în aplicare la nivelul sistemului de IA sau la nivelul modelului de IA, inclusiv al modelelor de IA de uz general care generează conținut, facilitând astfel îndeplinirea acestei obligații de către furnizorul din aval al sistemului de IA. Este oportun să se aibă în vedere că, pentru a rămâne proporțională, această obligație de marcare nu ar trebui să vizeze sistemele de IA care îndeplinesc în principal o funcție de asistare pentru editarea standard sau sistemele de IA care nu modifică în mod substanțial datele de intrare furnizate de implementator sau semantica acestora.

(134) Pe lângă soluțiile tehnice utilizate de furnizorii sistemului de IA, implementatorii care utilizează un sistem de IA pentru a genera sau a manipula conținuturi de imagine, audio sau video care se aseamănă în mod apreciabil cu persoane, obiecte, locuri, entități sau evenimente existente și care ar crea unei persoane impresia falsă că sunt autentice sau adevărate (deepfake-uri), ar trebui, de asemenea, să dezvăluie în mod clar și distinct faptul că respectivul conținut a fost creat sau manipulat în mod artificial prin etichetarea în consecință a rezultatului generat de IA și divulgarea originii sale artificiale. Respectarea acestei obligații de transparență nu ar trebui să fie interpretată în sensul de a indica că utilizarea sistemului de IA sau a rezultatelor sale împiedică dreptul la libertatea de exprimare și dreptul la libertatea artelor și științelor garantate de cartă, în special atunci când conținutul face parte dintr-o lucrare sau dintr-un program în mod evident creativ, satiric, artistic, fictiv sau analog, sub rezerva unor garanții adecvate pentru drepturile și libertățile terților. În cazurile respective, obligația de transparență pentru deepfake-uri prevăzută în prezentul regulament se limitează la divulgarea existenței unui astfel de conținut generat sau manipulat într-un mod adecvat, care să nu împiedice expunerea lucrării sau posibilitatea de a beneficia de aceasta, inclusiv exploatarea și utilizarea normală a acesteia, menținând în același timp utilitatea și calitatea lucrării. În plus, este, de asemenea, oportun să se aibă în vedere o obligație similară de divulgare în ceea ce privește textul generat sau manipulat de IA, în măsura în care acesta este publicat cu scopul de a informa publicul cu privire la chestiuni de interes public, cu excepția cazului în care conținutul generat de IA a fost supus unui proces de verificare editorială sau revizuire umană și responsabilitatea editorială pentru publicarea conținutului este deținută de o persoană fizică sau juridică.

(135) Fără a aduce atingere caracterului obligatoriu și aplicabilității depline a obligațiilor privind transparența, Comisia poate, de asemenea, să încurajeze și să faciliteze elaborarea de coduri de bune practici la nivelul Uniunii cu scopul de a facilita punerea în aplicare efectivă a obligațiilor privind detectarea și etichetarea conținutului generat sau manipulat artificial, inclusiv de a sprijini modalitățile practice pentru a oferi accesul, după caz, la mecanisme de detectare și pentru a facilita cooperarea cu alți actori de-a lungul lanțului valoric, pentru a disemina conținutul sau a verifica autenticitatea și proveniența acestuia, astfel încât publicul să poată distinge efectiv conținutul generat de IA.

(136) Obligațiile impuse prin prezentul regulament furnizorilor și implementatorilor anumitor sisteme de IA pentru a permite detectarea și divulgarea faptului că rezultatele sistemelor respective sunt generate sau manipulate artificial sunt deosebit de relevante pentru a facilita punerea în aplicare efectivă a Regulamentului (UE) 2022/2065. Acest lucru este valabil în special în ceea ce privește obligațiile furnizorilor de platforme online foarte mari sau de motoare de căutare online foarte mari de a identifica și a atenua riscurile sistemice care pot apărea în urma diseminării conținutului care a fost generat sau manipulat artificial, în special riscul privind efectele negative reale sau previzibile asupra proceselor democratice, asupra discursului civic și asupra proceselor electorale, inclusiv prin dezinformare. Cerința de etichetare a conținutului generat de sistemele de IA în temeiul prezentului regulament nu aduce atingere obligației prevăzute la articolul 16 alineatul (6) din Regulamentul (UE) 2022/2065 pentru furnizorii de servicii de găzduire de a prelucra notificările privind conținutul ilegal primite în temeiul articolului 16 alineatul (1) din regulamentul respectiv și nu ar trebui să influențeze evaluarea și decizia privind ilegalitatea conținutului specific. Evaluarea respectivă ar trebui să fie efectuată exclusiv în raport cu normele care reglementează legalitatea conținutului.

(137) Respectarea obligațiilor privind transparența pentru sistemele de IA vizate de prezentul regulament nu ar trebui să fie interpretată ca indicând faptul că utilizarea sistemului de IA sau a rezultatelor sale este legală în temeiul prezentului regulament sau al altor dispoziții din dreptul Uniunii și al statelor membre și nu ar trebui să aducă atingere altor obligații de transparență pentru implementatorii sistemelor de IA prevăzute în dreptul Uniunii sau în cel intern.

(138) IA este o familie de tehnologii care se dezvoltă rapid și care necesită supraveghere reglementară și un spațiu sigur și controlat pentru experimentare, asigurând, în același timp, inovarea responsabilă și integrarea unor garanții adecvate și a unor măsuri de atenuare a riscurilor. Pentru a asigura un cadru juridic care promovează inovarea, adaptat exigențelor viitorului și rezistent la inovări disruptive, statele membre ar trebui să se asigure că autoritățile lor naționale competente instituie cel puțin un spațiu de testare la nivel național în materie de reglementare în domeniul IA pentru a facilita dezvoltarea și testarea sistemelor de IA inovatoare aflate sub supraveghere reglementară strictă înainte ca aceste sisteme să fie introduse pe piață sau puse în funcțiune în alt mod. Statele membre ar putea, de asemenea, să îndeplinească această obligație prin participarea la spațiile de testare în materie de reglementare deja existente sau prin instituirea unui spațiu de testare în comun cu una sau mai multe autorități competente ale statelor membre, în măsura în care această participare asigură un nivel echivalent de acoperire națională pentru statele membre participante. Spațiile de testare în materie de reglementare în domeniul IA ar putea fi instituite în formă fizică, digitală sau hibridă și pot găzdui atât produse fizice, cât și produse digitale. Autoritățile de instituire ar trebui, de asemenea, să se asigure că spațiile de testare în materie de reglementare în domeniul IA dispun de resursele adecvate pentru funcționarea lor, inclusiv de resurse financiare și umane.

(139) Obiectivele spațiilor de testare în materie de reglementare în domeniul IA ar trebui să fie promovarea inovării în domeniul IA prin instituirea unui mediu de experimentare și testare controlat în faza de dezvoltare și în faza anterioară introducerii pe piață, cu scopul de a asigura conformitatea sistemelor de IA inovatoare cu prezentul regulament și cu alte dispoziții relevante din dreptul Uniunii și dreptul intern. În plus, spațiile de testare în materie de reglementare în domeniul IA ar trebui să urmărească sporirea securității juridice pentru inovatori și supravegherea și înțelegerea de către autoritățile competente a oportunităților, a riscurilor emergente și a impactului utilizării IA, facilitarea învățării în materie de reglementare pentru autorități și întreprinderi, inclusiv în vederea viitoarelor adaptări ale cadrului juridic, sprijinirea cooperării și a schimbului de bune practici cu autoritățile implicate în spațiul de testare în materie de reglementare în domeniul IA, precum și accelerarea accesului la piețe, inclusiv prin eliminarea barierelor din calea IMM-urilor, inclusiv a întreprinderilor nou-înființate. Spațiile de testare în materie de reglementare în domeniul IA ar trebui să fie disponibile pe scară largă în întreaga Uniune și ar trebui să se acorde o atenție deosebită accesibilității acestora pentru IMM-uri, inclusiv pentru întreprinderile nou-înființate. Participarea la spațiul de testare în materie de reglementare în domeniul IA ar trebui să se concentreze pe aspecte care fac ca furnizorii și potențialii furnizori să se confrunte cu o lipsă de securitate juridică atunci când încearcă să inoveze, să experimenteze cu IA în Uniune și să contribuie la învățarea bazată pe dovezi în materie de reglementare. Supravegherea sistemelor de IA în spațiul de testare în materie de reglementare în domeniul IA ar trebui, prin urmare, să vizeze dezvoltarea, antrenarea, testarea și validarea acestora înainte ca sistemele să fie introduse pe piață sau puse în funcțiune, precum și noțiunea de modificare substanțială care ar putea necesita o nouă procedură de evaluare a conformității și ocurența unei astfel de modificări. Orice riscuri semnificative identificate în cursul dezvoltării și testării unor astfel de sisteme de IA ar trebui să conducă la o atenuare adecvată și, în cazul în care atenuarea nu este posibilă, la suspendarea procesului de dezvoltare și testare. După caz, autoritățile naționale competente care instituie spații de testare în materie de reglementare în domeniul IA ar trebui să coopereze cu alte autorități relevante, inclusiv cu cele care supraveghează protecția drepturilor fundamentale, și ar putea permite implicarea altor actori din ecosistemul de IA, cum ar fi organizațiile de standardizare naționale sau europene, organismele notificate, unitățile de testare și experimentare, laboratoarele de cercetare și experimentare, centrele europene de inovare digitală și organizațiile relevante ale părților interesate și ale societății civile. Pentru a asigura o punere în aplicare uniformă în întreaga Uniune și economii de scară, este oportun să se stabilească norme comune pentru punerea în aplicare a spațiilor de testare în materie de reglementare în domeniul IA și un cadru de cooperare între autoritățile relevante implicate în supravegherea spațiilor de testare. Spațiile de testare în materie de reglementare în domeniul IA instituite în temeiul prezentului regulament nu ar trebui să aducă atingere altor dispoziții de drept care permit instituirea altor spații de testare cu scopul de a asigura conformitatea cu alte dispoziții de drept decât prezentul regulament. După caz, autoritățile competente relevante responsabile de aceste alte spații de testare în materie de reglementare ar trebui să ia în considerare beneficiile utilizării acestor spații de testare și în scopul asigurării conformității sistemelor de IA cu prezentul regulament. Pe baza unui acord între autoritățile naționale competente și participanții la spațiul de testare în materie de reglementare în domeniul IA, testarea în condiții reale poate fi, de asemenea, efectuată și supravegheată în cadrul spațiului de testare în materie de reglementare în domeniul IA.

(140) Prezentul regulament ar trebui să ofere furnizorilor și potențialilor furnizori din cadrul spațiului de testare în materie de reglementare în domeniul IA temeiul juridic pentru utilizarea datelor cu caracter personal colectate în alte scopuri pentru a dezvolta anumite sisteme de IA de interes public în cadrul spațiului de testare în materie de reglementare în domeniul IA numai în condiții specificate, în conformitate cu articolul 6 alineatul (4) și cu articolul 9 alineatul (2) litera (g) din Regulamentul (UE) 2016/679, precum și cu articolele 5, 6 și 10 din Regulamentul (UE) 2018/1725 și fără a aduce atingere articolului 4 alineatul (2) și articolului 10 din Directiva (UE) 2016/680. Toate celelalte obligații ale operatorilor de date și drepturi ale persoanelor vizate în temeiul Regulamentelor (UE) 2016/679 și (UE) 2018/1725 și al Directivei (UE) 2016/680 rămân aplicabile. În special, prezentul regulament nu ar trebui să ofere un temei juridic în sensul articolului 22 alineatul (2) litera (b) din Regulamentul (UE) 2016/679 și al articolului 24 alineatul (2) litera (b) din Regulamentul (UE) 2018/1725. Furnizorii și potențialii furnizori din cadrul spațiului de testare în materie de reglementare în domeniul IA ar trebui să asigure garanții adecvate și să coopereze cu autoritățile competente, inclusiv urmând orientările acestora și acționând cu promptitudine și cu bună-credință, în ceea ce privește atenuarea în mod adecvat a oricăror riscuri semnificative identificate la adresa siguranței, sănătății și a drepturilor fundamentale care ar putea apărea în timpul dezvoltării, testării și experimentării în spațiul de testare respectiv.

(141) Pentru a accelera procesul de dezvoltare și introducere pe piață a sistemelor de IA cu grad ridicat de risc enumerate într-o anexă la prezentul regulament, este important ca furnizorii sau potențialii furnizori ai acestor sisteme să poată beneficia, la rândul lor, de un regim specific pentru testarea acestor sisteme în condiții reale, fără a participa la un spațiu de testare în materie de reglementare în domeniul IA. Cu toate acestea, în astfel de cazuri, ținând seama de posibilele consecințe ale unor astfel de teste asupra persoanelor fizice, ar trebui să se garanteze faptul că prezentul regulament introduce garanții și condiții adecvate și suficiente pentru furnizori sau potențiali furnizori. Astfel de garanții ar trebui să includă, printre altele, solicitarea consimțământului în cunoștință de cauză al persoanelor fizice de a participa la teste în condiții reale, cu excepția cazurilor legate de aplicarea legii dacă solicitarea consimțământului în cunoștință de cauză ar împiedica testarea sistemului de IA. Consimțământul subiecților de a participa la astfel de teste în temeiul prezentului regulament este distinct de consimțământului persoanelor vizate pentru prelucrarea datelor lor cu caracter personal în temeiul dreptului relevant privind protecția datelor și nu îi aduce atingere acestuia. De asemenea, este important să se reducă la minimum riscurile și să se permită supravegherea de către autoritățile competente și, prin urmare, să se impună potențialilor furnizori să facă demersurile necesare pentru prezentarea unui plan de testare în condiții reale autorității competente de supraveghere a pieței, să se înregistreze testările în secțiuni specifice din baza de date a UE, sub rezerva unor excepții limitate, să se instituie limite privind perioada pentru care se poate efectua testarea și să se impună garanții suplimentare pentru persoanele care aparțin anumitor grupuri vulnerabile, precum și un acord scris care să definească rolurile și responsabilitățile potențialilor furnizori și implementatori și supravegherea eficace de către personalul competent implicat în testarea în condiții reale. În plus, este oportun să se prevadă garanții suplimentare pentru a se asigura că previziunile, recomandările sau deciziile sistemului de IA pot fi efectiv inversate și ignorate și că datele cu caracter personal sunt protejate și sunt șterse atunci când subiecții își retrag consimțământul de a participa la testare, fără a aduce atingere drepturilor lor în calitate de persoane vizate în temeiul dreptului Uniunii privind protecția datelor. În ceea ce privește transferul de date, este, de asemenea, oportun să se prevadă că datele colectate și prelucrate în scopul testării în condiții reale ar trebui să fie transferate către țări terțe numai cu condiția punerii în aplicare a unor garanții adecvate și aplicabile în temeiul dreptului Uniunii, în special în conformitate cu bazele pentru transferul de date cu caracter personal în temeiul dreptului Uniunii privind protecția datelor, în timp ce pentru datele fără caracter personal sunt instituite garanții adecvate în conformitate cu dreptul Uniunii, cum ar fi Regulamentele (UE) 2022/868 (42) și (UE) 2023/2854 (43) ale Parlamentului European și ale Consiliului.

(142) Pentru a se asigura că IA conduce la rezultate benefice din punct de vedere social și ecologic, statele membre sunt încurajate să sprijine și să promoveze cercetarea și dezvoltarea de soluții de IA în sprijinul rezultatelor benefice din punct de vedere social și ecologic, cum ar fi soluțiile bazate pe IA pentru a spori accesibilitatea pentru persoanele cu dizabilități, pentru a combate inegalitățile socioeconomice sau pentru a îndeplini obiectivele de mediu, alocând resurse suficiente, inclusiv finanțare publică și din partea Uniunii, și, după caz și cu condiția îndeplinirii criteriilor de eligibilitate și de selecție, luând în considerare în special proiectele care urmăresc astfel de obiective. Aceste proiecte ar trebui să se bazeze pe principiul cooperării interdisciplinare dintre dezvoltatorii de IA, experții în materie de inegalitate și nediscriminare, accesibilitate, drepturile consumatorilor, de mediu și digitale, precum și cadrele universitare.

(143) Pentru a promova și proteja inovarea, este important să fie luate în considerare în mod deosebit interesele IMM-urilor, inclusiv ale întreprinderilor nou-înființate care sunt furnizori și implementatori de sisteme de IA. În acest scop, statele membre ar trebui să elaboreze inițiative care să vizeze operatorii respectivi, inclusiv în ceea ce privește sensibilizarea și comunicarea informațiilor. Statele membre ar trebui să ofere IMM-urilor, inclusiv întreprinderilor nou-înființate, care au un sediu social sau o sucursală în Uniune, acces prioritar la spațiile de testare în materie de reglementare în domeniul IA, cu condiția ca acestea să îndeplinească condițiile de eligibilitate și criteriile de selecție și fără a împiedica alți furnizori și potențiali furnizori să acceseze spațiile de testare, cu condiția să fie îndeplinite aceleași condiții și criterii. Statele membre ar trebui să utilizeze canalele existente și, după caz, să stabilească noi canale specifice de comunicare cu IMM-urile, inclusiv întreprinderile nou-înființate, implementatorii și alți inovatori și, după caz, cu autoritățile publice locale, pentru a sprijini IMM-urile pe tot parcursul dezvoltării lor, oferind orientări și răspunzând la întrebări cu privire la punerea în aplicare a prezentului regulament. După caz, aceste canale ar trebui să colaboreze pentru a crea sinergii și pentru a asigura omogenitatea orientărilor pe care le furnizează IMM-urilor, inclusiv întreprinderilor nou-înființate, și implementatorilor. În plus, statele membre ar trebui să faciliteze participarea IMM-urilor și a altor părți interesate relevante la procesele de elaborare a standardelor. De asemenea, ar trebui să fie luate în considerare interesele și nevoile specifice ale furnizorilor care sunt IMM-uri, inclusiv întreprinderi nou-înființate, atunci când organismele notificate stabilesc taxe de evaluare a conformității. Comisia ar trebui să evalueze periodic costurile de certificare și de conformitate suportate de IMM-uri, inclusiv de întreprinderile nou-înființate, prin consultări transparente și ar trebui să colaboreze cu statele membre pentru a reduce aceste costuri. De exemplu, costurile de traducere legate de documentația obligatorie și de comunicarea cu autoritățile pot constitui un cost semnificativ pentru furnizori și alți operatori, în special pentru cei de dimensiuni mai mici. Statele membre ar trebui, eventual, să se asigure că una dintre limbile stabilite și acceptate pentru documentația relevantă din partea furnizorilor și pentru comunicarea cu operatorii este o limbă înțeleasă pe larg de un număr cât mai mare de implementatori transfrontalieri. Pentru a răspunde nevoilor specifice ale IMM-urilor, inclusiv ale întreprinderilor nou-înființate, Comisia ar trebui să furnizeze modele standardizate pentru domeniile vizate de prezentul regulament, la solicitarea Consiliului IA. În plus, Comisia ar trebui să completeze eforturile statelor membre prin furnizarea unei platforme unice de informare cu informații ușor de utilizat în ceea ce privește prezentul regulament destinate tuturor furnizorilor și implementatorilor, prin organizarea unor campanii de comunicare adecvate pentru sensibilizarea cu privire la obligațiile care decurg din prezentul regulament și prin evaluarea și promovarea convergenței bunelor practici în cadrul procedurilor de achiziții publice în ceea ce privește sistemele de IA. Întreprinderile mijlocii care până recent se încadrau în categoria de întreprinderi mici în sensul anexei la Recomandarea 2003/361/CE a Comisiei (44) ar trebui să aibă acces la măsurile de sprijin respective, deoarece este posibil ca aceste noi întreprinderi mijlocii să nu dispună uneori de resursele juridice și formarea necesare pentru a asigura respectarea și înțelegerea adecvată a prezentului regulament.

(144) Pentru a promova și a proteja inovarea, platforma de IA la cerere și toate programele și proiectele de finanțare relevante ale Uniunii, cum ar fi programele Europa digitală și Orizont Europa, puse în aplicare de Comisie și de statele membre la nivelul Uniunii sau la nivel național, ar trebui, după caz, să contribuie la îndeplinirea obiectivelor prezentului regulament.

(145) Pentru a reduce la minimum riscurile la adresa punerii în aplicare care decurg din lipsa de cunoaștere și de cunoștințe de specialitate de pe piață, precum și pentru a facilita respectarea de către furnizori, cu precădere de către IMM-uri, inclusiv întreprinderile nou-înființate, precum și de către organismele notificate a obligațiilor care le revin în temeiul prezentului regulament, platforma de IA la cerere, centrele europene de inovare digitală și instalațiile de testare și experimentare instituite de Comisie și de statele membre la nivelul Uniunii sau la nivel național ar trebui să contribuie la punerea în aplicare a prezentului regulament. În cadrul misiunii și domeniilor lor de competență respective, platforma de IA la cerere, centrele europene de inovare digitală și instalațiile de testare și experimentare sunt în măsură să ofere, în special, sprijin tehnic și științific furnizorilor și organismelor notificate.

(146) În plus, având în vedere dimensiunea foarte mică a unor operatori și pentru a asigura proporționalitatea în ceea ce privește costurile inovării, este oportun să se permită microîntreprinderilor să îndeplinească într-o manieră simplificată una dintre obligațiile cele mai costisitoare, și anume aceea de a institui un sistem de management al calității, fapt care ar reduce sarcina administrativă și costurile pentru întreprinderile respective, fără a afecta nivelul de protecție și necesitatea de a respecta cerințele pentru sistemele de IA cu grad ridicat de risc. Comisia ar trebui să elaboreze orientări pentru a specifica elementele sistemului de management al calității care trebuie îndeplinite în această manieră simplificată de către microîntreprinderi.

(147) Este oportun ca, în măsura posibilului, Comisia să faciliteze accesul la instalațiile de testare și experimentare pentru organismele, grupurile sau laboratoarele înființate sau acreditate în temeiul oricăror acte legislative de armonizare relevante ale Uniunii și care îndeplinesc sarcini în contextul evaluării conformității produselor sau dispozitivelor reglementate de respectivele acte legislative de armonizare ale Uniunii. Acest lucru este valabil în special în ceea ce privește grupurile de experți, laboratoarele de expertiză și laboratoarele de referință în domeniul dispozitivelor medicale în temeiul Regulamentelor (UE) 2017/745 și (UE) 2017/746.

(148) Prezentul regulament ar trebui să instituie un cadru de guvernanță care să permită, pe de o parte, coordonarea și sprijinirea aplicării prezentului regulament la nivel național și, pe de altă parte, consolidarea capabilităților la nivelul Uniunii și integrarea părților interesate în domeniul IA. Punerea în aplicare și respectarea efectivă a prezentului regulament necesită un cadru de guvernanță care să permită coordonarea și consolidarea cunoștințelor de specialitate centrale la nivelul Uniunii. Oficiul pentru IA a fost instituit printr-o decizie a Comisiei (45) și are ca misiune să dezvolte cunoștințele de specialitate și capabilitățile Uniunii în domeniul IA și să contribuie la punerea în aplicare a dreptului Uniunii privind IA. Statele membre ar trebui să faciliteze sarcinile Oficiului pentru IA cu scopul de a sprijini dezvoltarea, la nivelul Uniunii, a cunoștințelor de specialitate și a capabilităților Uniunii și de a consolida funcționarea pieței unice digitale. În plus, ar trebui să fie instituit un Consiliu IA compus din reprezentanți ai statelor membre, un grup științific care să integreze comunitatea științifică și un forum consultativ pentru a furniza contribuții ale părților interesate pentru punerea în aplicare a prezentului regulament, la nivelul Uniunii și la nivel național. Dezvoltarea cunoștințelor de specialitate și a capabilităților Uniunii ar trebui să includă și valorificarea resurselor și cunoștințelor de specialitate existente, în special prin sinergii cu structurile create în contextul aplicării la nivelul Uniunii a altor acte legislative și al sinergiilor cu inițiativele conexe de la nivelul Uniunii, cum ar fi Întreprinderea comună EuroHPC și unitățile de testare și experimentare în domeniul IA din cadrul programului „Europa digitală”.

(149) Pentru a facilita o punere în aplicare armonioasă, efectivă și armonizată a prezentului regulament, ar trebui să fie instituit un Consiliu IA. Consiliul IA ar trebui să reflecte diferitele interese ale ecosistemului de IA și să fie alcătuit din reprezentanți ai statelor membre. Consiliul IA ar trebui să fie responsabil pentru o serie de sarcini consultative, inclusiv emiterea de avize, recomandări, consiliere sau furnizarea unor contribuții sub formă de orientări cu privire la aspecte legate de punerea în aplicare a prezentului regulament, inclusiv cu privire la aspecte de aplicare a legii, la specificații tehnice sau la standarde existente în ceea ce privește cerințele stabilite în prezentul regulament, precum și furnizarea de consiliere Comisiei și statelor lor membre și autorităților naționale competente ale acestora cu privire la chestiuni specifice legate de IA. Pentru a oferi o anumită flexibilitate statelor membre în ceea ce privește desemnarea reprezentanților lor în cadrul Consiliului IA, astfel de reprezentanți pot fi persoane care aparțin unor entități publice care ar trebui să aibă competențele și prerogativele relevante pentru a facilita coordonarea la nivel național și pentru a contribui la îndeplinirea sarcinilor Consiliului IA. Consiliul IA ar trebui să instituie două subgrupuri permanente pentru a oferi o platformă de cooperare și de schimb între autoritățile de supraveghere a pieței și autoritățile de notificare cu privire la aspecte legate de supravegherea pieței și, respectiv, de organismele notificate. Subgrupul permanent pentru supravegherea pieței ar trebui să acționeze în calitate de grup de cooperare administrativă (ADCO) pentru prezentul regulament în sensul articolului 30 din Regulamentul (UE) 2019/1020. În conformitate cu articolul 33 din regulamentul respectiv, Comisia ar trebui să sprijine activitățile subgrupului permanent pentru supravegherea pieței prin efectuarea de evaluări sau studii de piață, în special în vederea identificării aspectelor prezentului regulament care necesită o coordonare specifică și urgentă între autoritățile de supraveghere a pieței. Consiliul IA poate înființa alte subgrupuri permanente sau temporare, după caz, în scopul examinării unor chestiuni specifice. Consiliul IA ar trebui, de asemenea, să coopereze, după caz, cu organismele, grupurile de experți și rețelele relevante ale Uniunii care își desfășoară activitatea în contextul reglementărilor relevante ale dreptului Uniunii, inclusiv, în special, cu cele care își desfășoară activitatea în temeiul reglementărilor relevante ale dreptului Uniunii privind datele, produsele și serviciile digitale.

(150) Pentru a asigura implicarea părților interesate în punerea în aplicare și aplicarea prezentului regulament, ar trebui să fie instituit un forum consultativ care să furnizeze Consiliului IA și Comisiei consiliere și cunoștințe de specialitate tehnice. Pentru a asigura o reprezentare a părților interesate variată și echilibrată între interesele comerciale și cele necomerciale și, în cadrul categoriei intereselor comerciale, în ceea ce privește IMM-urile și alte întreprinderi, forumul consultativ ar trebui să cuprindă, printre altele, industria, întreprinderile nou-înființate, IMM-urile, mediul academic, societatea civilă, inclusiv partenerii sociali, precum și Agenția pentru Drepturi Fundamentale, ENISA, Comitetul European de Standardizare (CEN), Comitetul European de Standardizare în Electrotehnică (CENELEC) și Institutul European de Standardizare în Telecomunicații (ETSI).

(151) Pentru a sprijini punerea în aplicare și respectarea prezentului regulament, în special activitățile de monitorizare ale Oficiului pentru IA în ceea ce privește modelele de IA de uz general, ar trebui să fie instituit un grup științific de experți independenți. Experții independenți din alcătuirea grupului științific ar trebui să fie selectați pe baza cunoștințelor de specialitate științifice sau tehnice actualizate în domeniul IA și ar trebui să își îndeplinească sarcinile cu imparțialitate și obiectivitate și să asigure confidențialitatea informațiilor și a datelor obținute în îndeplinirea sarcinilor și activităților lor. Pentru a permite consolidarea capacităților naționale necesare pentru aplicarea efectivă a prezentului regulament, statele membre ar trebui să poată solicita sprijin echipei de experți care formează grupul științific pentru activitățile lor de aplicare a legii.

(152) Pentru a sprijini o aplicare adecvată a normelor în ceea ce privește sistemele de IA și pentru a consolida capacitățile statelor membre, ar trebui să fie instituite și puse la dispoziția statelor membre structuri ale Uniunii de sprijin pentru testarea IA.

(153) Statele membre joacă un rol esențial în aplicarea și respectarea prezentului regulament. În acest sens, fiecare stat membru ar trebui să desemneze cel puțin o autoritate de notificare și cel puțin o autoritate de supraveghere a pieței în calitatea de autorități naționale competente în scopul supravegherii aplicării și punerii în aplicare a prezentului regulament. Statele membre pot decide să numească orice tip de entitate publică pentru a îndeplini sarcinile autorităților naționale competente în sensul prezentului regulament, în conformitate cu caracteristicile și nevoile organizaționale naționale specifice ale acestora. Pentru a spori eficiența organizațională din partea statelor membre și pentru a stabili un punct unic de contact cu publicul și cu alți omologi la nivelul statelor membre și al Uniunii, fiecare stat membru ar trebui să desemneze o autoritate de supraveghere a pieței care să acționeze ca punct unic de contact.

(154) Autoritățile naționale competente ar trebui să își exercite competențele în mod independent, imparțial și fără prejudecăți, garantând principiile obiectivității activităților și sarcinilor lor și asigurând aplicarea și punerea în aplicare a prezentului regulament. Membrii acestor autorități ar trebui să se abțină de la orice act incompatibil cu natura funcțiilor lor și ar trebui să facă obiectul normelor de confidențialitate în temeiul prezentului regulament.

(155) Pentru a se asigura că furnizorii de sisteme de IA cu grad ridicat de risc pot ține seama de experiența privind utilizarea sistemelor de IA cu grad ridicat de risc pentru îmbunătățirea sistemelor lor și a procesului de proiectare și dezvoltare sau că pot lua orice măsură corectivă posibilă în timp util, toți furnizorii ar trebui să dispună de un sistem de monitorizare ulterioară introducerii pe piață. După caz, monitorizarea ulterioară introducerii pe piață ar trebui să includă o analiză a interacțiunii cu alte sisteme de IA, inclusiv cu alte dispozitive și alt software. Monitorizarea ulterioară introducerii pe piață nu ar trebui să vizeze datele operaționale sensibile ale implementatorilor care sunt autorități de aplicare a legii. Acest sistem este, de asemenea, esențial pentru a se asigura că posibilele riscuri care decurg din sistemele de IA care continuă să „învețe” după ce au fost introduse pe piață sau puse în funcțiune pot fi abordate într-un mod mai eficient și în timp util. În acest context, furnizorii ar trebui, de asemenea, să aibă obligația de a dispune de un sistem pentru a raporta autorităților relevante orice incident grav care decurge din utilizarea sistemelor lor de IA, și anume un incident sau o funcționare defectuoasă care duce la deces sau la daune grave pentru sănătate, la perturbări grave și ireversibile ale gestionării și funcționării infrastructurii critice, la încălcări ale obligațiilor în temeiul dreptului Uniunii menite să protejeze drepturile fundamentale sau la daune grave aduse bunurilor materiale sau mediului.

(156) Pentru a se asigura respectarea adecvată și efectivă a cerințelor și a obligațiilor prevăzute în prezentul regulament, și anume în legislația de armonizare a Uniunii, ar trebui să se aplice sistemul de supraveghere a pieței și de conformitate a produselor în ansamblul său, astfel cum a fost instituit prin Regulamentul (UE) 2019/1020. Autoritățile de supraveghere a pieței desemnate în temeiul prezentului regulament ar trebui să dispună de toate competențele de aplicare a dispozițiilor stabilite în prezentul regulament și în Regulamentul (UE) 2019/1020 și ar trebui să își exercite competențele și să își îndeplinească atribuțiile în mod independent, imparțial și fără prejudecăți. Deși majoritatea sistemelor de IA nu fac obiectul unor cerințe și obligații specifice în temeiul prezentului regulament, autoritățile de supraveghere a pieței pot lua măsuri în legătură cu toate sistemele de IA atunci când acestea prezintă un risc în conformitate cu prezentul regulament. Având în vedere natura specifică a instituțiilor, agențiilor și organelor Uniunii care intră în domeniul de aplicare al prezentului regulament, este oportun ca Autoritatea Europeană pentru Protecția Datelor să fie desemnată drept autoritate competentă de supraveghere a pieței pentru acestea. Acest lucru nu ar trebui să aducă atingere desemnării autorităților naționale competente de către statele membre. Activitățile de supraveghere a pieței nu ar trebui să afecteze capacitatea entităților supravegheate de a-și îndeplini sarcinile în mod independent, atunci când independența lor este impusă de dreptul Uniunii.

(157) Prezentul regulament nu aduce atingere competențelor, sarcinilor, prerogativelor și independenței autorităților sau organismelor publice naționale relevante care supraveghează aplicarea dreptului Uniunii care protejează drepturile fundamentale, inclusiv ale organismelor de promovare a egalității și ale autorităților de protecție a datelor. În cazul în care acest lucru este necesar pentru îndeplinirea mandatului lor, autoritățile sau organismele publice naționale respective ar trebui să aibă, de asemenea, acces la orice documentație creată în temeiul prezentului regulament. Ar trebui să fie stabilită o procedură de salvgardare specifică pentru a se asigura respectarea dispozițiilor în domeniul IA, în mod adecvat și în timp util, în privința sistemelor de IA care prezintă un risc pentru sănătate, siguranță și drepturile fundamentale. Procedura pentru astfel de sisteme de IA care prezintă un risc ar trebui să se aplice sistemelor de IA cu grad ridicat de risc care prezintă un risc, sistemelor interzise care au fost introduse pe piață, puse în funcțiune sau utilizate cu încălcarea interdicției anumitor practici prevăzută în prezentul regulament, precum și sistemelor de IA care au fost puse la dispoziție cu încălcarea cerințelor de transparență prevăzute în prezentul regulament și care prezintă un risc.

(158) Dreptul Uniunii privind serviciile financiare include norme și cerințe privind guvernanța internă și gestionarea riscurilor care sunt aplicabile instituțiilor financiare reglementate în cursul furnizării acestor servicii, inclusiv atunci când acestea utilizează sisteme de IA. Pentru a asigura, în mod coerent, aplicarea și respectarea obligațiilor prevăzute în prezentul regulament și a normelor și cerințelor relevante ale actelor juridice ale Uniunii în domeniul serviciilor financiare, autoritățile competente responsabile cu supravegherea și aplicarea actelor juridice respective, în special autoritățile competente, astfel cum sunt definite în Regulamentul (UE) nr. 575/2013 al Parlamentului European și al Consiliului (46) și în Directivele 2008/48/CE (47), 2009/138/CE (48), 2013/36/UE (49), 2014/17/UE (50) și (UE) 2016/97 (51)ale Parlamentului European și ale Consiliului, ar trebui să fie desemnate, în limitele competențelor lor respective, drept autorități competente în scopul supravegherii punerii în aplicare a prezentului regulament, inclusiv pentru activitățile de supraveghere a pieței, în ceea ce privește sistemele de IA furnizate sau utilizate de instituțiile financiare reglementate și supravegheate, cu excepția cazului în care statele membre decid să desemneze o altă autoritate pentru a îndeplini aceste sarcini de supraveghere a pieței. Autoritățile competente respective ar trebui să dețină toate competențele în temeiul prezentului regulament și al Regulamentului (UE) 2019/1020 pentru a asigura respectarea cerințelor și a obligațiilor prevăzute în prezentul regulament, inclusiv competențele de a desfășura activități ex post de supraveghere a pieței care pot fi integrate, după caz, în mecanismele și procedurile lor de supraveghere existente în temeiul dispozițiilor relevante ale dreptului Uniunii din domeniul serviciilor financiare. Este oportun să se considere că, atunci când acționează în calitate de autorități de supraveghere a pieței în temeiul prezentului regulament, autoritățile naționale responsabile de supravegherea instituțiilor de credit reglementate în temeiul Directivei 2013/36/UE, care participă la mecanismul unic de supraveghere instituit prin Regulamentul (UE) nr. 1024/2013 al Consiliului (52), ar trebui să raporteze fără întârziere Băncii Centrale Europene orice informații identificate în cursul activităților lor de supraveghere a pieței care ar putea prezenta un interes pentru sarcinile de supraveghere prudențială ale Băncii Centrale Europene, astfel cum se specifică în regulamentul respectiv. Pentru a spori și mai mult coerența dintre prezentul regulament și normele aplicabile instituțiilor de credit reglementate în temeiul Directivei 2013/36/UE, este, de asemenea, oportun să se integreze unele dintre obligațiile procedurale ale furnizorilor în ceea ce privește gestionarea riscurilor, monitorizarea ulterioară introducerii pe piață și documentația în obligațiile și procedurile existente în temeiul Directivei 2013/36/UE. Pentru a evita suprapunerile, ar trebui să fie avute în vedere derogări limitate și în ceea ce privește sistemul de management al calității al furnizorilor și obligația de monitorizare impusă implementatorilor de sisteme de IA cu grad ridicat de risc, în măsura în care acestea se aplică instituțiilor de credit reglementate de Directiva 2013/36/UE. Același regim ar trebui să se aplice întreprinderilor de asigurare și reasigurare și holdingurilor de asigurare în temeiul Directivei 2009/138/CE, intermediarilor de asigurări în temeiul Directivei (UE) 2016/97, precum și altor tipuri de instituții financiare care fac obiectul cerințelor privind guvernanța internă, măsurile sau procesele interne instituite în temeiul dispozițiilor relevante ale dreptului Uniunii din domeniul serviciilor financiare pentru a asigura coerența și egalitatea de tratament în sectorul financiar.

(159) Fiecare autoritate de supraveghere a pieței pentru sistemele de IA cu grad ridicat de risc din domeniul biometriei, astfel cum sunt enumerate într-o anexă la prezentul regulament, în măsura în care sistemele respective sunt utilizate în scopul aplicării legii, al migrației, al azilului și al gestionării controlului la frontiere sau al administrării justiției și al proceselor democratice, ar trebui să aibă competențe de investigare și corective efective, inclusiv cel puțin competența de a obține acces la toate datele cu caracter personal care sunt prelucrate și la toate informațiile necesare pentru îndeplinirea sarcinilor sale. Autoritățile de supraveghere a pieței ar trebui să își poată exercita competențele acționând cu deplină independență. Nicio limitare a accesului acestora la date operaționale sensibile în temeiul prezentului regulament nu ar trebui să aducă atingere competențelor care le sunt conferite prin Directiva (UE) 2016/680. Nicio excludere în ceea ce privește divulgarea de date către autoritățile naționale de protecție a datelor în temeiul prezentului regulament nu ar trebui să afecteze competențele actuale sau viitoare ale autorităților respective în afara domeniului de aplicare al prezentului regulament.

(160) Autoritățile de supraveghere a pieței și Comisia ar trebui să poată propune activități comune, inclusiv investigații comune, care să fie efectuate de autoritățile de supraveghere a pieței sau de autoritățile de supraveghere a pieței în colaborare cu Comisia și care au scopul de a promova conformitatea, de a identifica cazurile de neconformitate, de a sensibiliza și de a oferi orientări în legătură cu prezentul regulament în ceea ce privește anumite categorii de sisteme de IA cu grad ridicat de risc despre care se constată că prezintă un risc grav în două sau mai multe state membre. Activitățile comune de promovare a conformității ar trebui desfășurate în conformitate cu articolul 9 din Regulamentul (UE) 2019/1020. Oficiul pentru IA ar trebui să ofere sprijin sub formă de coordonare pentru investigațiile comune.

(161) Este necesar să se clarifice responsabilitățile și competențele la nivelul Uniunii și la nivel național în ceea ce privește sistemele de IA care au la bază modele de IA de uz general. Pentru a evita suprapunerea competențelor, în cazul în care un sistem de IA se bazează pe un model de IA de uz general, iar modelul și sistemul sunt furnizate de același furnizor, supravegherea ar trebui să aibă loc la nivelul Uniunii prin intermediul Oficiului pentru IA, care, în acest scop, ar trebui să dețină competențele unei autorități de supraveghere a pieței în sensul Regulamentului (UE) 2019/1020. În toate celelalte cazuri, responsabilitatea privind supravegherea sistemelor de IA rămâne în sarcina autorităților naționale de supraveghere a pieței. Cu toate acestea, pentru sistemele de IA de uz general care pot fi utilizate direct de către implementatori pentru cel puțin un scop clasificat ca prezentând un grad ridicat de risc, autoritățile de supraveghere a pieței ar trebui să coopereze cu Oficiul pentru IA pentru a efectua evaluări ale conformității și să informeze în consecință Consiliul IA și alte autorități de supraveghere a pieței. În plus, autoritățile de supraveghere a pieței ar trebui să poată solicita asistență din partea Oficiului pentru IA în cazul în care autoritatea de supraveghere a pieței nu este în măsură să finalizeze o investigație cu privire la un sistem de IA cu grad ridicat de risc din cauza incapacității sale de a accesa anumite informații legate de modelul de IA de uz general care stă la baza sistemului de IA cu grad ridicat de risc. În astfel de cazuri, ar trebui să se aplice mutatis mutandis procedura privind asistența reciprocă transfrontalieră din capitolul VI din Regulamentul (UE) 2019/1020.

(162) Pentru a utiliza în mod optim cunoștințele de specialitate centralizate ale Uniunii și sinergiile de la nivelul Uniunii, competențele de supraveghere și de executare a obligațiilor care le revin furnizorilor de modele de IA de uz general ar trebui să fie deținute de Comisie. Oficiul pentru IA ar trebui să fie în măsură să întreprindă toate acțiunile necesare pentru a monitoriza punerea în aplicare efectivă a prezentului regulament în ceea ce privește modelele de IA de uz general. Acesta ar trebui să fie în măsură să investigheze posibilele încălcări ale normelor privind furnizorii de modele de IA de uz general, atât din proprie inițiativă, dând curs rezultatelor activităților sale de monitorizare, cât și la cererea autorităților de supraveghere a pieței, în conformitate cu condițiile stabilite în prezentul regulament. Pentru a sprijini desfășurarea în mod eficace de către Oficiul pentru IA a monitorizării, acesta ar trebui să prevadă posibilitatea ca furnizorii din aval să depună plângeri cu privire la posibile încălcări ale normelor privind furnizorii de sisteme și modele de IA de uz general.

(163) În vederea completării sistemelor de guvernanță pentru modelele de IA de uz general, grupul științific ar trebui să sprijine activitățile de monitorizare ale Oficiului pentru IA și poate, în anumite cazuri, să furnizeze Oficiului pentru IA alerte calificate care declanșează acțiuni subsecvente, de exemplu investigații. Acest lucru ar trebui să fie valabil atunci când grupul științific are motive să suspecteze că un model de IA de uz general prezintă un risc concret și identificabil la nivelul Uniunii. În plus, acest lucru ar trebui să fie valabil atunci când grupul științific are motive să suspecteze că un model de IA de uz general îndeplinește criteriile care ar conduce la o clasificare ca model de IA de uz general cu risc sistemic. Pentru ca grupul științific să dispună de informațiile necesare în îndeplinirea sarcinilor respective, ar trebui să existe un mecanism prin care acesta să poată solicita Comisiei să impună furnizorilor să ofere documente sau informații.

(164) Oficiul pentru IA ar trebui să poată lua măsurile necesare pentru a monitoriza punerea în aplicare efectivă și respectarea obligațiilor furnizorilor de modele de IA de uz general prevăzute în prezentul regulament. Oficiul pentru IA ar trebui să fie în măsură să investigheze posibilele încălcări în conformitate cu competențele prevăzute în prezentul regulament, inclusiv prin solicitarea unor documente și informații, prin desfășurarea de evaluări, precum și prin solicitarea luării de măsuri de către furnizorii de modele de IA de uz general. În desfășurarea evaluărilor, pentru a utiliza cunoștințe de specialitate cu caracter independent, Oficiul pentru IA ar trebui să poată implica experți independenți pentru a desfășura evaluările în numele său. Respectarea obligațiilor ar trebui să fie asigurată, printre altele, prin cereri de a lua măsuri adecvate, inclusiv măsuri de atenuare a riscurilor în cazul unor riscuri sistemice identificate, precum și prin restricționarea punerii la dispoziție pe piață, retragerea sau rechemarea modelului. Ca o garanție, în cazul în care aceasta este necesară dincolo de drepturile procedurale prevăzute în prezentul regulament, furnizorii de modele de IA de uz general ar trebui să beneficieze de drepturile procedurale prevăzute la articolul 18 din Regulamentul (UE) 2019/1020, care ar trebui să se aplice mutatis mutandis, fără a aduce atingere drepturilor procedurale mai specifice prevăzute în prezentul regulament.

(165) Dezvoltarea altor sisteme de IA decât cele cu grad ridicat de risc în conformitate cu cerințele prezentului regulament poate duce la o utilizare pe scară mai largă a IA conform unor principii etice și fiabile în Uniune. Furnizorii de sisteme de IA care nu prezintă un grad ridicat de risc ar trebui să fie încurajați să creeze coduri de conduită, inclusiv mecanisme de guvernanță conexe, menite să promoveze aplicarea parțială sau integrală, în mod voluntar, a cerințelor obligatorii aplicabile sistemelor de IA cu grad ridicat de risc, adaptate în funcție de scopul preconizat al sistemelor și de riscul mai scăzut implicat și ținând seama de soluțiile tehnice disponibile și de bunele practici din industrie, cum ar fi modelele și cardurile de date. Furnizorii și, după caz, implementatorii tuturor modelelor de IA și sistemelor de IA cu sau fără grad ridicat de risc ar trebui, de asemenea, să fie încurajați să aplice în mod voluntar cerințe suplimentare legate, de exemplu, de elementele Orientărilor Uniunii în materie de etică pentru o IA fiabilă, de durabilitatea mediului, de măsuri de alfabetizare în domeniul IA, de proiectarea și dezvoltarea sistemelor de IA ținând seama de incluziune și diversitate, inclusiv acordând atenție persoanelor vulnerabile și accesibilității pentru persoanele cu dizabilități, de participarea părților interesate în proiectarea și dezvoltarea sistemelor de IA, cu implicarea, după caz, a părților interesate relevante, cum ar fi întreprinderi și organizații ale societății civile, mediul academic, organizații de cercetare, sindicate și organizații de protecție a consumatorilor, precum și de diversitatea în cadrul echipelor de dezvoltare, inclusiv echilibrul de gen. Pentru a se asigura eficacitatea lor, codurile de conduită voluntare ar trebui să se bazeze pe obiective clare și pe indicatori-cheie de performanță pentru a măsura îndeplinirea obiectivelor respective. Acestea ar trebui, de asemenea, să fie dezvoltate într-un mod incluziv, după caz, cu implicarea părților interesate relevante, cum ar fi întreprinderi și organizații ale societății civile, mediul academic, organizații de cercetare, sindicate și organizații de protecție a consumatorilor. Comisia poate elabora inițiative, inclusiv de natură sectorială, pentru a facilita reducerea barierelor tehnice care împiedică schimbul transfrontalier de date pentru dezvoltarea IA, inclusiv în ceea ce privește infrastructura de acces la date și interoperabilitatea semantică și tehnică a diferitelor tipuri de date.

(166) Este important ca sistemele de IA legate de produse care nu prezintă un risc ridicat în conformitate cu prezentul regulament și care, prin urmare, nu sunt obligate să respecte cerințele prevăzute pentru sistemele de IA cu grad ridicat de risc să fie totuși sigure atunci când sunt introduse pe piață sau puse în funcțiune. Pentru a contribui la acest obiectiv, Regulamentul (UE) 2023/988 al Parlamentului European și a Consiliului (53) ar fi aplicat ca o „plasă de siguranță”.

(167) Pentru a asigura o cooperare de încredere și constructivă a autorităților competente la nivelul Uniunii și la nivel național, toate părțile implicate în aplicarea prezentului regulament ar trebui să respecte confidențialitatea informațiilor și a datelor obținute în cursul îndeplinirii sarcinilor lor, în conformitate cu dreptul Uniunii sau cu dreptul intern. Acestea ar trebui să își îndeplinească sarcinile și activitățile astfel încât să protejeze, în special, drepturile de proprietate intelectuală, informațiile comerciale confidențiale și secretele comerciale, punerea în aplicare efectivă a prezentului regulament, interesele de securitate publică și națională, integritatea procedurilor penale și administrative și integritatea informațiilor clasificate.

(168) Respectarea prezentului regulament ar trebui să fie asigurată prin impunerea de sancțiuni și alte măsuri de executare. Statele membre ar trebui să ia toate măsurile necesare pentru a se asigura că sunt puse în aplicare dispozițiile prezentului regulament, inclusiv prin stabilirea unor sancțiuni efective, proporționale și cu efect de descurajare în cazul încălcării acestora, și pentru a respecta principiul ne bis in idem. În scopul de a consolida și armoniza sancțiunile administrative pentru încălcarea prezentului regulament, ar trebui să fie definite limitele superioare pentru stabilirea amenzilor administrative pentru anumite încălcări specifice. Atunci când evaluează cuantumul amenzilor, statele membre ar trebui, în fiecare caz în parte, să țină seama de toate circumstanțele relevante ale situației specifice, acordând atenția cuvenită, în special, naturii, gravității și duratei încălcării și consecințelor acesteia, precum și dimensiunii furnizorului, în special în cazul în care furnizorul este un IMM, inclusiv o întreprindere nou-înființată. Autoritatea Europeană pentru Protecția Datelor ar trebui să aibă competența de a impune amenzi instituțiilor, agențiilor și organelor Uniunii care intră în domeniul de aplicare al prezentului regulament.

(169) Respectarea obligațiilor impuse furnizorilor de modele de IA de uz general în temeiul prezentului regulament ar trebui să fie asigurată, printre altele, prin amenzi. În acest scop, ar trebui să fie stabilite, de asemenea, niveluri adecvate ale amenzilor pentru încălcarea obligațiilor respective, inclusiv pentru nerespectarea măsurilor impuse de Comisie în conformitate cu prezentul regulament, sub rezerva unor termene de prescripție adecvate, în conformitate cu principiul proporționalității. Toate deciziile luate de Comisie în temeiul prezentului regulament fac obiectul controlului jurisdicțional al Curții de Justiție a Uniunii Europene în conformitate cu TFUE, incluzând competența nelimitată a Curții de Justiție cu privire la sancțiuni în temeiul articolului 261 din TFUE.

(170) Dreptul Uniunii și dreptul intern prevăd deja căi de atac efective pentru persoanele fizice și juridice ale căror drepturi și libertăți sunt afectate în mod negativ de utilizarea sistemelor de IA. Fără a aduce atingere căilor de atac respective, orice persoană fizică sau juridică care are motive să considere că a avut loc o încălcare a prezentului regulament ar trebui să aibă dreptul de a depune o plângere la autoritatea relevantă de supraveghere a pieței.

(171) Persoanele afectate ar trebui să aibă dreptul de a obține o explicație atunci când decizia implementatorului este bazată în principal pe rezultatele anumitor sisteme de IA cu grad ridicat de risc care intră în domeniul de aplicare al prezentului regulament și în cazul în care decizia respectivă produce efecte juridice sau afectează în mod similar în mod semnificativ persoanele respective într-o manieră pe care acestea o consideră ca având un impact negativ asupra sănătății, siguranței sau drepturilor fundamentale ale acestora. Explicația respectivă ar trebui să fie clară și semnificativă și să ofere un temei pentru exercitarea drepturilor de către persoanele afectate. Dreptul de a obține o explicație nu ar trebui să se aplice în cazul utilizării unor sisteme de IA care fac obiectul unor excepții sau restricții care decurg din dreptul Uniunii sau din dreptul intern și ar trebui să se aplice numai în măsura în care acest drept nu este deja prevăzut în dreptul Uniunii.

(172) Persoanele care acționează în calitate de avertizori de integritate cu privire la încălcările prezentului regulament ar trebui să fie protejate în temeiul dreptului Uniunii. În ceea ce privește raportarea încălcărilor prezentului regulament și protecția persoanelor care raportează astfel de încălcări ar trebui, prin urmare, să se aplice Directiva (UE) 2019/1937 a Parlamentului European și a Consiliului (54).

(173) Pentru a se asigura posibilitatea de adaptare a cadrului de reglementare atunci când este necesar, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui să fie delegată Comisiei pentru a modifica condițiile în care un sistem de IA nu este considerat ca având un grad ridicat de risc, lista sistemelor de IA cu grad ridicat de risc, dispozițiile privind documentația tehnică, conținutul declarației de conformitate UE, dispozițiile privind procedurile de evaluare a conformității, dispozițiile de stabilire a sistemelor de IA cu grad ridicat de risc cărora ar trebui să li se aplice procedura de evaluare a conformității bazată pe evaluarea sistemului de management al calității și pe evaluarea documentației tehnice, pragul, valorile de referință și indicatorii din cadrul normelor pentru clasificarea modelelor de IA de uz general cu risc sistemic, inclusiv prin completarea valorilor de referință și indicatorilor respectivi, criteriile pentru desemnarea modelelor de IA de uz general cu risc sistemic, documentația tehnică pentru furnizorii de modele de IA de uz general și informațiile privind transparența pentru furnizorii de modele de IA de uz general. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare (55). În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.
(174) Având în vedere evoluțiile tehnologice rapide și cunoștințele de specialitate tehnice necesare pentru aplicarea eficientă a prezentului regulament, Comisia ar trebui să evalueze și să revizuiască prezentul regulament până la 2 august 2029 și, ulterior, o dată la patru ani și să raporteze Parlamentului European și Consiliului în acest sens. În plus, ținând seama de implicațiile pentru domeniul de aplicare al prezentului regulament, Comisia ar trebui să efectueze o evaluare a necesității de a modifica, o dată pe an, lista sistemelor de IA cu grad ridicat de risc și lista practicilor interzise. În plus, până la 2 august 2028 și, ulterior, o dată la patru ani, Comisia ar trebui să evalueze necesitatea de a modifica lista rubricilor de domeniu cu grad ridicat de risc din anexa la prezentul regulament, sistemele de IA care intră în domeniul de aplicare al obligațiilor de transparență, eficacitatea sistemului de supraveghere și de guvernanță și progresele înregistrate în ceea ce privește elaborarea de documente de standardizare privind dezvoltarea eficientă din punct de vedere energetic a modelelor de IA de uz general, inclusiv necesitatea unor măsuri sau acțiuni suplimentare și să raporteze Parlamentului European și Consiliului în acest sens. În cele din urmă, până la 2 august 2028 și, ulterior, o dată la trei ani, Comisia ar trebui să evalueze impactul și eficacitatea codurilor de conduită voluntare în ceea ce privește încurajarea aplicării cerințelor prevăzute pentru sistemele de IA cu grad ridicat de risc în cazul altor sisteme de IA decât cele cu grad ridicat de risc și, eventual, a altor cerințe suplimentare pentru sistemele de IA respective.

(175) În vederea asigurării unor condiții uniforme pentru punerea în aplicare a prezentului regulament, ar trebui să fie conferite competențe de executare Comisiei. Respectivele competențe ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (56).

(176) Întrucât obiectivul prezentului regulament, și anume de a îmbunătăți funcționarea pieței interne și de a promova adoptarea IA centrate pe factorul uman și fiabile, asigurând în același timp un nivel ridicat de protecție a sănătății, a siguranței și a drepturilor fundamentale consacrate în cartă, inclusiv a democrației, a statului de drept și a mediului împotriva efectelor dăunătoare ale sistemelor de IA din Uniune, și sprijinind inovarea, nu poate fi realizat în mod satisfăcător de către statele membre și, având în vedere amploarea sau efectele acțiunii sale, poate fi realizat mai bine la nivelul Uniunii, aceasta din urmă poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum se prevede la articolul 5 din TUE. În conformitate cu principiul proporționalității, astfel cum este definit la articolul respectiv, prezentul regulament nu depășește ceea ce este necesar pentru realizarea obiectivului menționat.

(177) Pentru a asigura securitatea juridică, a asigura o perioadă de adaptare adecvată pentru operatori și a evita perturbarea pieței, inclusiv prin asigurarea continuității utilizării sistemelor de IA, este oportun ca prezentul regulament să se aplice sistemelor de IA cu grad ridicat de risc care au fost introduse pe piață sau puse în funcțiune înainte de data generală de aplicare a acestuia, numai dacă, de la data respectivă, sistemele respective fac obiectul unor modificări semnificative în ceea ce privește proiectarea sau scopul lor preconizat. Este oportun să se clarifice că, în acest sens, conceptul de modificare semnificativă ar trebui să fie înțeles ca fiind echivalent în esență cu noțiunea de modificare substanțială, care este utilizată numai în ceea ce privește sistemele de IA cu grad ridicat de risc, în temeiul prezentului regulament. În mod excepțional și având în vedere răspunderea publică, operatorii de sisteme de IA care fac parte din sistemele informatice la scară largă instituite prin actele juridice care sunt enumerate într-o anexă la prezentul regulament și operatorii de sisteme de IA cu grad ridicat de risc care sunt destinate a fi utilizate de autoritățile publice ar trebui să ia măsurile necesare pentru a se conforma cerințelor prezentului regulament până la sfârșitul anului 2030 și, respectiv, până la 2 august 2030.
(178) Furnizorii de sisteme de IA cu grad ridicat de risc sunt încurajați să înceapă să se conformeze, în mod voluntar, obligațiilor relevante aferente prezentului regulament încă din perioada de tranziție.

(179) Prezentul regulament ar trebui să se aplice de la 2 august 2026. Cu toate acestea, ținând seama de riscul inacceptabil asociat utilizării IA în anumite moduri, interdicțiile și dispozițiile cu caracter general din prezentul regulament ar trebui să se aplice deja de la 2 februarie 2025. Deși efectul deplin al interdicțiilor respective este corelat cu instituirea guvernanței și cu aplicarea prezentului regulament, aplicarea anticipată a interdicțiilor este importantă pentru a se ține seama de riscurile inacceptabile și pentru a produce efecte asupra altor proceduri, cum ar fi în dreptul civil. În plus, infrastructura legată de guvernanță și de sistemul de evaluare a conformității ar trebui să fie operațională înainte de 2 august 2026; prin urmare, dispozițiile privind organismele notificate și structura de guvernanță ar trebui să se aplice de la 2 august 2025. Având în vedere ritmul rapid al progreselor tehnologice și al adoptării modelelor de IA de uz general, ar trebui ca obligațiile furnizorilor de modele de IA de uz general să se aplice de la 2 august 2025. Codurile de bune practici ar trebui să fie gata până la 2 mai 2025, pentru a permite furnizorilor să demonstreze conformitatea în timp util. Oficiul pentru IA ar trebui să se asigure că normele și procedurile de clasificare sunt actualizate în funcție de evoluțiile tehnologice. În plus, statele membre ar trebui să stabilească și să notifice Comisiei normele privind sancțiunile, inclusiv amenzile administrative, și să se asigure că acestea sunt puse în aplicare în mod corespunzător și efectiv până la data aplicării prezentului regulament. Prin urmare, dispozițiile privind sancțiunile ar trebui să se aplice de la 2 august 2025.

(180) Autoritatea Europeană pentru Protecția Datelor și Comitetul european pentru protecția datelor au fost consultate în conformitate cu articolul 42 alineatele (1) și (2) din Regulamentul (UE) 2018/1725 și au emis avizul lor comun la 18 iunie 2021,
ADOPTĂ PREZENTUL REGULAMENT: