Consiliul de Miniștri a prezentat proiectul de lege privind utilizarea corectă și guvernarea inteligenței artificiale (IA)

Consiliul de Miniștri a prezentat marți proiectul de lege privind utilizarea corectă și guvernarea inteligenței artificiale (IA), care reglementează aplicarea practică a acestei tehnologii. Documentul dezvoltă prevederile Regulamentului European privind Inteligența Artificială, convenit de instituțiile comunitare pe 8 decembrie 2023 și aprobat de Parlamentul European pe 13 martie anul trecut.

Textul proiectului de lege, deschis consultării publice începând de marți după-amiază, concretizează unele dintre aspectele incluse în regulament și le adaptează la ordinea juridică spaniolă. Stabilește ce aplicații IA sunt interzise, ​​care pot fi utilizate cu permisiune și care nu trebuie supravegheate. În cazul sistemelor de recunoaștere biometrică în timp real, care au stârnit cele mai multe controverse în timpul negocierilor regulamentului, se indică în ce cazuri excepționale autoritățile pot autoriza utilizarea acestora.

De asemenea, se stabilește un regim de sancțiuni și o schemă de sancțiuni, pe lângă specificarea organismelor responsabile de asigurarea respectării reglementărilor și va trebui să identifice conținutul generat cu IA.

Ce va obliga exact noua reglementare? Când va fi aplicabilă? Ce amenzi sunt prevăzute pentru cei care încalcă legea? Acestea sunt noutățile pe care proiectul de lege privind IA le va introduce în legislația spaniolă, odată ce va fi aprobat definitiv.

Când va începe să se aplice?

Proiectul de lege pentru utilizarea corectă și guvernarea inteligenței artificiale, care va fi procesat de urgență, trebuie să revină în Consiliul de Miniștri după perioada de consultare publică prealabilă, care se încheie pe 26 martie (va dura doar opt zile) și, ulterior, să treacă prin Parlament pentru a primi undă verde. Textul ar putea fi modificat în timpul procesului, deși cu greu o va face în mod substanțial. Ar trebui să intre în vigoare în prima jumătate a acestui an, deoarece sunt stabilite unele obligații, cum ar fi elaborarea de rapoarte, pentru august 2025.

Ce obligații stabilește?

Noua reglementare dezvoltă Regulamentul European privind IA, care, la rândul său, a stabilit o abordare a clasificării aplicațiilor IA în funcție de riscul pe care îl prezintă pentru societate. Astfel, sistemele care depășesc conștiința unei persoane sau tehnicile deliberat manipulatoare, cele care exploatează vulnerabilitățile sau cele care deduc emoții, rasa sau opiniile politice ale oamenilor, sunt de “risc inacceptabil” și, prin urmare, sunt interzise.

Sistemele de identificare biometrică la distanță amânată, sistemele de clasificare biometrică sau recunoașterea emoțiilor sunt încadrate în categoria “risc ridicat”, ceea ce implică o supraveghere constantă din partea autorităților. De asemenea, sistemele care afectează securitatea infrastructurilor critice și cele legate de educație (evaluarea comportamentelor, sistemele de admitere și examene), ocuparea forței de muncă (selecția personalului) și furnizarea de servicii publice esențiale, aplicarea legii sau gestionarea migrației.

Restul aplicațiilor sunt considerate cu “risc scăzut” și pot fi gestionate fără restricții. Reglementările prevăd crearea unui registru național al sistemelor IA în care vor fi referențiate cele cu “risc ridicat”.

Când se poate folosi recunoașterea facială în timp real?

Sistemele automate de recunoaștere facială pot fi utilizate în Spania în unele cazuri și numai dacă există consimțământul cetățenilor afectați. Poliția, de exemplu, folosește această tehnologie pentru a avansa în unele investigații. Cu o nuanță importantă: nu pot fi utilizate în spații publice în timp real (de exemplu, pentru a identifica sau a căuta pe cineva care trece pe stradă).

Proiectul de lege dedică un capitol întreg sistemelor de identificare biometrică (un termen care include recunoașterea facială și alte tehnologii) la distanță în timp real, care “sunt interzise, ​​cu excepția cazului în care utilizarea lor este strict necesară”. Anexa II la proiectul de lege stabilește aceste motive care ar justifica utilizarea lor: “căutarea selectivă a victimelor concrete ale răpirii, traficului de persoane sau exploatării sexuale”, precum și “persoanele dispărute”, “prevenirea unei amenințări specifice, importante și iminente la viața sau siguranța fizică a persoanelor fizice sau a unei amenințări reale și actuale sau reale și previzibile a unui atac terorist” și “localizarea sau identificarea unei persoane suspectate că a săvârșit o infracțiune” gravă, cum ar fi terorismul, traficul de persoane, exploatarea sexuală a minorilor, omuciderea, răpirea sau violul.

Autoritatea interesată să utilizeze aceste sisteme trebuie să formuleze o autorizație “pentru fiecare caz de utilizare” în care să specifice motivele urgenței, ce persoană sau persoane se dorește identificarea, în ce domeniu geografic și temporal și pe ce fapte se bazează cererea. Trebuie să se răspundă la aceasta în maximum 48 de ore. În cazul în care autorizația este respinsă, “utilizarea va fi întreruptă imediat și toate rezultatele obținute vor fi aruncate și suprimate imediat”.

Cei responsabili de autorizarea sau nu a utilizării sistemelor biometrice la distanță în timp real vor fi instanțele de contencios administrativ.

Cine va controla respectarea reglementărilor?

Agenția Spaniolă de Supraveghere a Inteligenței Artificiale (Aesia) va centraliza supravegherea algoritmilor. Cu toate acestea, gestionarea și prelucrarea datelor biometrice vor fi responsabilitatea Agenției Spaniole de Protecție a Datelor (AEPD); sistemele IA care pot afecta democrația vor fi de competența Consiliului Electoral Central; și Consiliul General al Puterii Judiciare va depinde de cele care pot afecta aplicarea justiției.

Atunci când autoritatea de supraveghere consideră că un sistem IA neclasificat ca fiind de risc ridicat ar putea fi, se va iniția un proces de revizuire care trebuie soluționat în 72 de ore. De asemenea, “orice cetățean, printr-o informație anonimă, poate da naștere inițierii dosarului sancționator”, Aesia fiind responsabilă de centralizarea acestor denunțuri.

Primele rapoarte anuale privind utilizarea sistemelor de identificare biometrică la distanță în timp real sau amânat trebuie publicate înainte de 31 decembrie a acestui an. De asemenea, Aesia trebuie să publice un prim raport înainte de 2 august “cu privire la stadiul resurselor financiare și umane” ale autorităților naționale competente.

Noul președinte al AEPD, Lorenzo Cotino, a declarat săptămâna trecută într-o întâlnire cu jurnaliștii la care a participat această publicație că, pentru a face față noilor sarcini încredințate de acest proiect de lege, Agenția va avea nevoie de o creștere a personalului.

Cum trebuie etichetat conținutul generat de IA?

Proiectul de lege stabilește că, “atunci când sistemele IA generează conținut sintetic audio, imagine, video sau text”, trebuie “marcate rezultatele de ieșire astfel încât să poată fi detectată natura lor artificială”. Nu se specifică cum ar trebui să fie această etichetare, dar se specifică sancțiunile pe care le poate implica nerespectarea acesteia (vezi secțiunea următoare).

Va fi, de asemenea, obligatoriu să se informeze persoanele fizice cu privire la expunerea lor la un sistem de recunoaștere a emoțiilor sau de clasificare biometrică.

Cum se penalizează nerespectarea?

Încălcările “foarte grave” vor atrage o amendă cuprinsă între 7,5 și 35 de milioane de euro sau între 2% și 7% din cifra de afaceri anuală globală. În această ipoteză intră utilizarea tehnologiilor interzise, ​​a sistemelor de identificare biometrică la distanță în timp real neautorizate, neeliminarea datelor de identificare dacă autoritățile o cer sau neanunțarea utilizării acestei tehnologii.

Încălcările “grave” sunt sancționate cu amenzi cuprinse între 7,5 și 15 milioane de euro sau între 2% și 3% din cifra de afaceri anuală globală. Nepunerea unui filigran pe un conținut generat de IA, rezistența la aplicarea măsurilor provizorii impuse de autorități sau introducerea pe piață a aplicațiilor cu “risc ridicat” fără a le înregistra în prealabil intră în această categorie.

Pe o a treia treaptă se află încălcările “ușoare”, care atrag amenzi cuprinse între 6.000 și 500.000 de euro sau între 0,5% și 1% din cifra de afaceri anuală globală și care, practic, vor fi impuse în cazul furnizării de informații “incomplete, inexacte sau înșelătoare” atunci când autoritățile o cer.

Lucrurile se schimbă atunci când infracțiunile sunt comise de autorități: în acest caz, pedepsele sunt mult mai blânde. Atât de mult, încât unii juriști, precum Borja Adsuara, consideră că este scandalos. “De ce să includem în anexă utilizări interzise de Administrație dacă nu există nicio consecință? Nu cunosc nicio sancțiune și nicio mustrare pentru un funcționar sau o autoritate pentru o gestionare defectuoasă a datelor personale. Același lucru se va întâmpla și cu IA”, se plânge acest expert în drept digital.

Astfel, proiectul de lege stabilește că entitatea care acționează va fi avertizată și se pot stabili “măsurile care trebuie adoptate pentru ca comportamentul să înceteze sau efectele infracțiunii comise să fie corectate, excluzând impunerea de amenzi administrative”. În afara acestui fapt, sunt luate în considerare “acțiuni disciplinare atunci când există indicii suficiente în acest sens”. În cazul în care o autoritate publică face o utilizare greșită a IA, nerespectând rapoartele tehnice anterioare, responsabilii vor fi avertizați.