This article was first published on Juridice.ro
English Version
“The AI genie is out of the bottle […]. It is affecting all aspects of society. It’s the machine under everything”. This is the opinion of Cynthia Breazeal, MIT professor of media arts and sciences and, probably, one of the best ways to summarize the present impact of AI on all aspects of life. Such consequences require a reaction from the legal system, and, for EU Member States, this reaction was embodied in the AI Regulation, finally adopted on July 12, 2024. However, the first set of provisions only come into force on February 2, 2025, and it refers to AI literacy obligations and the prohibited AI practices, thus only creating the basis for the waves of provisions to come this year.
This article will provide a general outlook on the two provisions that enter into force starting February 2, 2025, while looking at implications generated by the AI literacy obligations on three main areas of practice of legal professionals – privacy and data protection, intellectual property and, finally, gambling which will be used as a catch-all domain in order to outline more general consequences of the requirement to adopt AI literacy measures in businesses. We chose not to address consequences of the entry into force of the prohibited practices due to their specific nature which can hardly be adapted in general advice for businesses.
General outlook on AI literacy requirements in the AI regulation
Article 4 of the AI Regulation provides that “Providers and deployers of AI systems shall take measures to ensure, to their best extent, a sufficient level of AI literacy of their staff and other persons dealing with the operation and use of AI systems on their behalf, taking into account their technical knowledge, experience, education and training and the context the AI systems are to be used in, and considering the persons or groups of persons on whom the AI systems are to be used.” In more concrete terms, AI literacy measures can be described as the knowledge and skills that allow humans to understand, evaluate and use AI systems and tools safely and ethically.
The AI Regulation defines in Article 3(56) AI literacy as “skills, knowledge and understanding that allow providers, deployers and affected persons, taking into account their respective rights and obligations in the context of this Regulation, to make an informed deployment of AI systems, as well as to gain awareness about the opportunities and risks of AI and possible harm it can cause”. This more hands-on approach to defining these obligations is also employed by the Recital 20 of the AI Regulation which states, in short, that all parties involved must have the necessary information to make conscious decision regarding AI and to ensure that they are compliant with all legal requirements.
Specifically, not only does AI literacy involve understanding basic principles about how it works, but it also involves comprehension of AI’s capabilities, such as the concepts of pattern recognition and language processing. Even more important is how one adapts its work behavior to the inherent limitations of AI such as the fact that an AI system is only as good as the data it was trained on and that hallucinations and biases are inescapable issues.
Besides the legal obligation imposed by the imminent entry into force on February 2, 2025, the implementation of AI literacy measures has already been identified as a necessity due to ever-growing use of all types of AI in corporate environments. For example, a study from February 2023 (before the Regulation was even adopted) shows that 68% of 5,067 respondents who used AI at work said they do not disclose usage to their bosses. This shows that the phenomenon cannot be fought by internal policies banning the use of AI – employees will still find ways to make their workflow more efficient through such system. That is why a vertical commitment within the organization is preferable to an outright ban or limiting the use of AI software at work. One way or another, employees are still going to use it and it is a more risk-free approach to focus on uniform development within the business, rather than neglecting change.
Such measures can be represented by initiatives such as continuous training on specific AI-related subjects, beginning to apply AI software to real-life situations of the organization (preferably lower risk problems at first), raising awareness about ethical consideration through internal policies or adopting a code of conduct on AI.
General outlook on prohibited practices provided by the AI regulation
The aim of the provision is to ban certain practices identified by the EU legislator as being in direct conflict with EU values or an outright threat to fundamental rights. It is very important to note that the list is exhaustive, but not final. Article 112 of the AI Regulation mentions that the Commission will reassess the list annually. This reassessment will be done by collaborating with national authorities who are bound to report annually to the Commission about the use of prohibited practices in their jurisdiction. The prohibitions were labelled as “operator-agnostic”, meaning that the prohibitions apply irrespective of where the operator is found on the supply chain of the AI system. Infringing these provisions is sanctionable by a fine of 7% of the total worldwide annual turnover of the preceding year or 35 mil. EUR, whichever is higher, similarly to EU’s approach in the GDPR or the DSA.
The bans regard the following practices through the employment of AI systems: (1) subliminal, manipulative or deceptive techniques, (2) exploitation of vulnerabilities (age disability, specific social or economic situations) (both of them offering a broad approach to the concept of harm), (3) social scoring (not applicable to governments and only regarding unfavourable treatment which is unjustified or disproportionate when collecting data), (4) profiling for criminal risk assessment (only prohibiting preventive profiling and providing certain exceptions), (5) facial recognition databases (for untargeted scraping of facial data; a result of privacy fines applied to Clearview AI before the adoption of the Regulation), (6) inference of emotions in working life and education (exceptions provided for safety and medical reasons), (7) biometric categorisation (in relation to Article 9 of GDPR regarding special personal data), (8) real-time remote biometric identification in public spaces (exceptions provided for verification systems, such as security checks in airports).
Specific implications of AI literacy obligations on different law branches
Privacy and data protection
As a general rule, privacy should be one of the main topics approached in training programmes irrespective of the area of expertise of the company, due to the many concerns raised by AI systems in this matter. More specific measures could range from practical discussions about how everyday ‘smart’ objects may be employed in order to collect training data for AI systems to how agreeing to T&Cs can lead to one’s likeness being stored in a training database for AI.
Employees should be made aware about how their data is usually processed by an AI system that they use and, generally, about AI systems can do profiling, how can they be subject of automated decision making etc. There are also consequences for the employer seen as a controller under the GDPR – the privacy notice should now include references to how the company uses AI and how it will process data for this purpose. Also, internal documents such as regulations, policies should also take this into account if employee data is also processed this way. Because employees are the main recipients of this provisions, their rights to information and to object are also impacted by the AI literacy obligation.
AI literacy purposes may become, depending on the case, a new reason by themselves for processing data, thus leading to further analysis on whether controllers can base their new processing on the previous legal basis or if a new one is needed, such as consent from the data subject. For example, personal data may be processed in relation to AI literacy obligations in order to personalise the explanations given (making them more age appropriate or tailoring them for individuals with disabilities like reading impediments) or controllers may process further data in order to assess the effectiveness of the training (such as time spent on educational content or surveys that require personal data input). However, despite this possibility, it is highly advisable that literacy programs should not be based on personal data.
Although it is evident that no practice is crystallized at this point, we do not exclude the risk of national DPAs and AI national authorities under the AI Act to ask how the controller / processor (GDPR) or the deployer / provider (AI Regulation) has implemented in its business the AI literacy obligation, mainly in relation to the fairness and transparency principles under the GDPR. It is also possible that DPAs will take this obligation into account when assessing the value of a Data Processing Impact Assessment (DPIA), despite that this is evidently an analysis that will be done on a case-by-case basis. All of the above should be taken into account as the authorities under both the GDPR and the AI act can and most likely will cooperate in order to audit business’ compliance from both points of view.
Intellectual property
Similarly to privacy concerns, the impact of AI on intellectual property protection should be one of the discussed topics even if the business does not have a creative aim. This is because organisations and their employees should always be aware of licensing policies of AI providers and they should make a habit out of properly reading and analysing T&Cs of services before using them, especially in the case of free versions. This is particularly important to do in order to properly evaluate what is the IP regime of outputs generated by AI.
Even more so, AI literacy is important on IP because obligations that will enter into force in the future refer directly to deployers and how they must properly assess TDM-compliance of the AI systems they want to use. This refers to the Text and Data Mining exception provided by the DSM Directive, which, in short, allows website hosts to employ restrictions on their content being scraped through automatic means, scraping being one of the main ways through which training databases for AI are set up. This means that especially people in creative roles should be made aware of the TDM reference in the AI Regulation and that an AI literacy program should explain how the opting-out mechanism works and what this means for the use of AI in creative endeavours.
The need for transparency under the AI act should not preclude trade secret protection, therefore whenever disclosing information in order to comply with the provisions of the AI act, special care should be taken in order to properly balance the protection of IP assets. Proper confidentiality policies on an internal level are mandatory for this purpose. This balance is more important to keep in mind for disclosure of training content. Although not mandatory, publicly sharing educational content on AI literacy should be seen in an appreciative manner by authorities when assessing compliance with transparency requirements under the AI act.
If the company uses open-source licenses for AI models, further care should be addressed to fully comply with the licensing requirements. Therefore, an analysis of all used software should be undertaken, and the training should be personalized with the requirements imposed by the licensing agreements in force.
Gambling
While no area-focused consequences are immediately obvious, gambling can be used as the general example for AI literacy implications. Obviously, the heaviest impact will be felt by creative departments like marketing, but also data-heavy departments will also need proper training – HR should be made aware of privacy-related concerns, of biases in training databases when judging candidates for a position. Same care should be addressed by customer-oriented departments. Despite these particular cases, all departments should benefit from general training on how AI’s work, risks and methods to ethically implement it in one’s workflow. In relation to gambling marketing particularly, training should outline the risks involved: a more personalized experience of players enhanced by AI can lead to issues related to addiction, thus focus should also be on mitigating measures such as deposit limits or time restrictions for players on losing streaks.
Employees should be made aware of how AIs work, mainly those already used, or which are planned to be used by the gambling company in areas such as marketing, fraud detection or finding responsible gaming measures. This training should prioritize a simple and clear language which should be the goal for all kinds of programs related to AI literacy. Moreover, AI literacy advice should be integrated with existing policies where possible in order to avoid clustering information.
Similarly to privacy concerns, we cannot omit the risk of thematic controls employed by gambling national regulators, in collaboration with the AI national authority, in order to assess the role of AI in the organization, its ethical and regulatory implications etc. Furthermore, another possible effect on the gambling industry may be the need to transparently disclose to players how the gambling operator uses AI in relation to them. Of course, in the Romanian gambling legislation in force, this obligation does not exist at this moment. Furthermore, this should already be done where the operator processes personal data for AI-related purposes, under the GDPR information obligations.
Key takeaways
While AI literacy requirements enter into force starting February 2, 2025, all entities involved on the AI supply chain still have some breathing room because Member States have until August 2025 to appoint national authorities capable to control and sanction the applicability of these provisions. However, this does not mean that measures such as the ones listed above should not already be implemented.
Although there is no fine linked to the breach of Article 4 of the AI Regulation, authorities are likely to assess this obligation as part of their evaluation process regarding the implementation of other provisions in the Regulation. As we have seen, there is a need for both general training on how AI works, its opportunities and risks, but also on specific needs and limitations of the systems that are employed by the company. In brief, AI literacy should not be an end goal, but an ongoing process, part of a much larger, coherent internal policy on the use of AI.
Romanian Version
Primul val de prevederi privind IA are un impact mai mare decât pare – obligații de alfabetizare în domeniul IA, practici interzise și de ce afacerea dumneavoastră ar trebui deja să respecte aceste prevederi
Rezumat: Regulamentul privind Inteligența Artificială (IA) al Uniunii Europene introduce, începând cu 2 februarie 2025, primele obligații concrete pentru entitățile implicate în utilizarea IA, dintre care cea mai importantă este obligația de alfabetizare în materie de IA. Acest articol analizează implicațiile acestor obligații asupra a două domenii principale de practică juridică – protecția datelor personale și proprietatea intelectuală – și explorează impactul general asupra companiilor. În contextul creșterii utilizării IA în mediul corporativ, alfabetizarea în IA este esențială pentru conformitate și gestionarea riscurilor asociate. Studiul subliniază necesitatea instruirii continue și a integrării măsurilor de alfabetizare în politicile interne, în vederea unei abordări proactive în ceea ce privește reglementarea IA.
„Duhul IA a ieșit din lampă […]. Afectează toate aspectele societății. Este mașinăria de sub toate”[1]. Aceasta este opinia lui Cynthia Breazeal, profesor de arte și științe media la MIT și, probabil, una dintre cele mai bune modalități de a rezuma impactul actual al IA asupra tuturor aspectelor vieții. Astfel de consecințe necesită o reacție din partea sistemului juridic, iar pentru statele membre ale UE, această reacție a fost încorporată în Regulamentul privind IA[2], adoptat în cele din urmă la 12 iulie 2024. Cu toate acestea, primul set de prevederi intră în vigoare pe 2 februarie 2025 și se referă la obligațiile de alfabetizare în materie de IA și la practicile interzise de IA, creând astfel doar baza pentru valurile de prevederi care vor veni în acest an.
Din acest motiv, acest articol va oferi o perspectivă generală asupra celor două prevederi care intră în vigoare începând cu 2 februarie 2025, analizând în același timp implicațiile generate de obligațiile de alfabetizare în IA asupra a două domenii principale de practică a profesioniștilor din domeniul juridic – confidențialitatea și protecția datelor și proprietatea intelectuală iar, în cele din urmă, am acordat o privire și asupra unor consecințelor generale ale cerinței de a adopta măsuri de alfabetizare în IA în întreprinderi. Am ales să nu abordăm consecințele specifice ale intrării în vigoare a practicilor interzise din cauza naturii lor specifice, care cu greu pot fi adaptate în consilierea generală pentru afaceri.
I. Perspective generale privind cerințele de alfabetizare în materie de IA din Regulamentul privind IA
Articolul 4 din Regulamentul privind IA prevede că „Furnizorii și implementatorii de sisteme de IA iau măsuri pentru a asigura, în cea mai mare măsură posibilă, un nivel suficient de alfabetizare în domeniul IA a personalului lor și a altor persoane care se ocupă cu operarea și utilizarea sistemelor de IA în numele lor, ținând seama de cunoștințele tehnice, experiența, educația și formarea lor și de contextul în care urmează să fie folosite sistemele de IA și luând în considerare persoanele sau grupurile de persoane în legătură cu care urmează să fie folosite sistemele de IA.” În termeni mai concreți, măsurile de alfabetizare IA pot fi descrise ca cunoștințe și abilități care permit oamenilor să înțeleagă, să evalueze și să utilizeze sistemele și instrumentele IA în siguranță și etic[3].
Regulamentul privind IA definește, la articolul 3 punctul 56, alfabetizarea în IA ca fiind „competențele, cunoștințele și înțelegerea care le permit furnizorilor, implementatorilor și persoanelor afectate, ținând seama de drepturile și obligațiile lor respective în contextul prezentului regulament, să implementeze sistemele de IA în cunoștință de cauză și să conștientizeze oportunitățile și riscurile pe care le implică IA, precum și prejudiciile pe care le pot aduce”. Această abordare mai practică pentru definirea acestor obligații este, de asemenea, utilizată de considerentul 20 din Regulamentul privind IA, care prevede, pe scurt, că toate părțile implicate trebuie să aibă informațiile necesare pentru a lua decizii conștiente cu privire la IA și pentru a se asigura că respectă toate cerințele legale.
Mai exact, alfabetizarea IA nu implică doar înțelegerea principiilor de bază despre modul în care funcționează, dar implică și înțelegerea capacităților IA, cum ar fi conceptele de recunoaștere a modelelor și procesarea limbajului. Și mai important este modul în care cineva își adaptează comportamentul de lucru la limitările inerente ale IA, cum ar fi faptul că un sistem IA este la fel de bun ca și datele pe care a fost antrenat și că halucinațiile[4] și prejudecățile[5] sunt probleme inevitabile.
Pe lângă obligația legală impusă de intrarea iminentă în vigoare la 2 februarie 2025, implementarea măsurilor de alfabetizare IA a fost deja identificată ca o necesitate din cauza utilizării tot mai mari a tuturor tipurilor de AI în mediile corporative. De exemplu, un studiu din februarie 2023 (înainte de adoptarea regulamentului) arată că 68% dintre cei 5.067 de respondenți care au folosit IA la locul de muncă au spus că nu dezvăluie utilizarea șefilor lor[6]. Acest lucru arată că fenomenul nu poate fi combătut prin politici interne care interzic utilizarea IA – angajații vor găsi în continuare modalități de a-și eficientiza fluxul de lucru prin astfel de sisteme. De aceea, un angajament vertical în cadrul organizației este de preferat unei interdicții totale sau limitării utilizării software-ului IA la locul de muncă. Într-un fel sau altul, angajații îl vor folosi în continuare și este o abordare mai lipsită de riscuri să te concentrezi pe dezvoltarea uniformă în cadrul afacerii, mai degrabă decât să neglijezi schimbarea.
Astfel de măsuri pot fi reprezentate prin inițiative precum formarea continuă pe subiecte specifice legate de IA, începerea aplicării software-ului IA în situații reale ale organizației (de preferat probleme cu risc mai mic la început), creșterea gradului de conștientizare cu privire la considerația etică prin politici interne sau adoptarea unui cod de conduită privind IA.
II. Perspectiva generală privind practicile interzise prevăzute de Regulamentul privind IA
Scopul dispoziției este de a interzice anumite practici identificate de legiuitorul UE ca fiind în conflict direct cu valorile UE sau ca fiind o amenințare directă la adresa drepturilor fundamentale. Este foarte important de reținut că lista este exhaustivă, dar nu finală. Articolul 112 din Regulamentul privind IA menționează că Comisia va reevalua lista anual. Această reevaluare se va realiza prin colaborarea cu autoritățile naționale care sunt obligate să raporteze anual Comisiei cu privire la utilizarea practicilor interzise în jurisdicția lor. Interdicțiile au fost etichetate ca fiind „independente de operator”[7], ceea ce înseamnă că interdicțiile se aplică indiferent de locul în care se află operatorul în lanțul de aprovizionare al sistemului de IA. Încălcarea acestor prevederi este sancționată cu o amendă de 7% din cifra de afaceri anuală totală la nivel mondial din anul precedent sau 35 mil. EUR, oricare dintre acestea este mai mare, în mod similar cu abordarea UE în GDPR[8] sau DSA[9].
Interdicțiile se referă la următoarele practici prin utilizarea sistemelor de IA: (1) tehnici subliminale, manipulatoare sau înșelătoare, (2) exploatarea vulnerabilităților (vârstă, handicap, situații sociale sau economice specifice) (ambele oferind o abordare largă a conceptului de prejudiciu), (3) evaluarea socială (nu se aplică guvernelor și numai în ceea ce privește tratamentul nefavorabil care este nejustificat sau disproporționat la colectarea datelor); (4) crearea de profiluri pentru evaluarea riscurilor penale (interzicând doar crearea de profiluri preventive și oferind anumite excepții), (5) bazele de date de recunoaștere facială (pentru colectarea nedirecționată a datelor faciale; ca urmare a amenzilor privind protecția datelor persoale aplicate Clearview AI[10] înainte de adoptarea regulamentului), (6) deducerea emoțiilor în viața profesională și educațională (excepții prevăzute din motive medicale și de siguranță), (7) clasificarea biometrică (în legătură cu articolul 9 din GDPR privind datele personale speciale), (8) identificarea biometrică la distanță în timp real în spațiile publice (excepții prevăzute pentru sistemele de verificare, cum ar fi controalele de securitate în aeroporturi).
III. Implicațiile specifice ale obligațiilor de alfabetizare în materie de IA asupra diferitelor ramuri ale dreptului
A. Confidențialitate și protecția datelor
Ca regulă generală, confidențialitatea ar trebui să fie unul dintre principalele subiecte abordate în programele de formare, indiferent de domeniul de expertiză al companiei, din cauza numeroaselor preocupări ridicate de sistemele de IA în această privință. Măsuri mai specifice ar putea varia de la discuții practice despre modul în care obiectele „inteligente” de zi cu zi pot fi utilizate pentru a colecta date de antrenament pentru sistemele de IA până la modul în care consimțământul pentru T&C poate duce la stocarea imaginii cuiva într-o bază de date de antrenament pentru IA.
Angajații ar trebui să fie conștienți de modul în care datele lor sunt de obicei procesate de un sistem IA pe care îl folosesc și, în general, despre modul în care sistemele IA pot face profilare, cum pot deveni subiectul unui proces decizional automat etc. Există, de asemenea, consecințe pentru angajatorul care este văzut ca operator în conformitate cu GDPR – politica de confidențialitate ar trebui să includă acum referințe la modul în care compania folosește IA și modul în care va procesa datele în acest scop. De asemenea, documentele interne, cum ar fi reglementările, politicile, ar trebui să țină cont de acest lucru dacă datele angajaților sunt prelucrate și în acest fel. Deoarece angajații sunt principalii destinatari ai acestor prevederi, drepturile lor la informare și la obiectare sunt, de asemenea, afectate de obligația de alfabetizare în IA.
Scopurile de alfabetizare în IA pot deveni, în funcție de caz, un nou motiv în sine pentru prelucrarea datelor, ceea ce duce la o analiză suplimentară dacă operatorii își pot baza noua prelucrare pe temeiul juridic anterior sau dacă este necesar unul nou, cum ar fi consimțământul persoanei vizate. De exemplu, datele cu caracter personal pot fi prelucrate în legătură cu obligațiile de alfabetizare în materie de IA pentru a personaliza explicațiile oferite (făcându-le mai adecvate vârstei sau adaptându-le pentru persoanele cu dizabilități, cum ar fi deficiențele de citire) sau operatorii pot prelucra date suplimentare pentru a evalua eficacitatea formării (cum ar fi timpul petrecut pe conținutul educațional sau sondaje care necesită introducerea datelor cu caracter personal). Cu toate acestea, în ciuda acestei posibilități, este recomandabil ca programele de alfabetizare să nu se bazeze pe date personale.
Deși este evident că nicio practică nu este cristalizată în acest moment, nu excludem riscul ca autoritățile naționale în domeniul protecției datelor personale și autoritățile naționale în IA în temeiul Regulamentului IA să întrebe cum a implementat operatorul/persoana împuternicită (GDPR) sau implementatorul/furnizorul (Regulamentul IA) în activitatea sa obligația de alfabetizare IA, în principal în legătură cu principiile de corectitudine și transparență din GDPR. De asemenea, este posibil ca autoritățile de protecție a datelor să țină seama de această obligație atunci când evaluează valoarea unei evaluări a impactului prelucrării datelor (DPIA), în ciuda faptului că aceasta este în mod evident o analiză care va fi efectuată de la caz la caz. Toate cele de mai sus ar trebui luate în considerare, deoarece autoritățile în temeiul GDPR și al Regulamentului privind IA pot și cel mai probabil vor coopera pentru a audita conformitatea afacerilor din ambele puncte de vedere.
B. Proprietate intelectuală
La fel ca preocupările legate de confidențialitate, impactul IA asupra protecției proprietății intelectuale ar trebui să fie unul dintre subiectele discutate, chiar dacă afacerea nu are un scop creativ. Acest lucru se datorează faptului că organizațiile și angajații lor ar trebui să fie întotdeauna conștienți de politicile de licențiere ale furnizorilor de IA și ar trebui să își facă un obicei din citirea și analizarea corectă a termenilor și condițiilor serviciilor înainte de a le utiliza, în special în cazul versiunilor gratuite. Acest lucru este deosebit de important pentru a evalua în mod corespunzător care este regimul de PI al rezultatelor generate de IA.
Cu atât mai mult, alfabetizarea IA este importantă în ceea ce privește PI, deoarece obligațiile care vor intra în vigoare în viitor se referă direct la implementatori și la modul în care aceștia trebuie să evalueze în mod corespunzător conformitatea TDM a sistemelor IA pe care doresc să le utilizeze. Aceasta se referă la excepția privind extragerea textului și a datelor prevăzută de Directiva DSM[11], care, pe scurt, permite gazdelor de site-uri web să utilizeze restricții privind extragerea conținutului lor prin mijloace automate, extragerea („scraping”) fiind una dintre principalele modalități prin care sunt create bazele de date de antrenament pentru IA. Aceasta înseamnă că în special persoanele cu roluri creative ar trebui să fie informate cu privire la referința TDM din Regulamentul privind IA și că un program de alfabetizare în IA ar trebui să explice modul în care funcționează mecanismul de renunțare și ce înseamnă acest lucru pentru utilizarea IA în eforturile creative.
Nevoia de transparență în temeiul Legii privind IA nu ar trebui să excludă protecția secretului comercial, prin urmare, ori de câte ori se divulgă informații pentru a respecta dispozițiile Regulamentului privind IA, ar trebui să se acorde o atenție deosebită pentru a echilibra în mod corespunzător protecția activelor de proprietate intelectuală. În acest scop, politicile adecvate de confidențialitate la nivel intern sunt obligatorii. Acest echilibru este mai important de reținut pentru dezvăluirea conținutului de instruire. Deși nu este obligatorie, partajarea publică a conținutului educațional privind alfabetizarea IA ar trebui privită într-o manieră apreciativă de către autorități atunci când evaluează respectarea cerințelor de transparență prevăzute de Regulamentul privind IA.
Dacă compania folosește licențe open-source pentru modele IA, ar trebui să se acorde atenție suplimentară pentru a respecta pe deplin cerințele de licențiere. Prin urmare, ar trebui efectuată o analiză a tuturor programelor software utilizate, iar instruirea ar trebui să fie personalizată cu cerințele impuse de acordurile de licență în vigoare.
C. Implicații generale independente de aria de practică
În mod evident, cel mai mare impact va fi resimțit de departamentele creative, cum ar fi marketingul, dar și departamentele cu multe date vor avea nevoie și de o pregătire adecvată – HR-ul ar trebui să fie conștient de preocupările legate de confidențialitate, de prejudecățile din bazele de date de formare atunci când jurizează candidații pentru o poziție. Aceeași grijă ar trebui să fie abordată de departamentele orientate spre client. În ciuda acestor cazuri particulare, toate departamentele dintr-o companie ar trebui să beneficieze de instruire generală cu privire la modul în care funcționează IA, riscurile și metodele de a o implementa etic în fluxul de lucru.
Angajații ar trebui să fie informați cu privire la modul în care funcționează IA, în special cele deja utilizate sau care sunt planificate să fie utilizate de companie în domenii precum marketingul, resurse umane sau departamentul financiar. Această instruire ar trebui să acorde prioritate unui limbaj simplu și clar, care ar trebui să fie obiectivul pentru toate tipurile de programe legate de alfabetizarea IA. În plus, educația în materie de IA ar trebui să fie integrată cu politicile existente, acolo unde este posibil, pentru a evita separarea informațiilor. La fel ca în ceea ce privește confidențialitatea, nu putem omite riscul controalelor tematice utilizate de autoritățile naționale competente în funcție de domeniul de activitate al companiei, în colaborare cu autoritatea națională IA, pentru a evalua rolul IA în organizație, implicațiile sale etice și de reglementare etc.
Principalele concluzii
Deși cerințele de alfabetizare în materie de IA intră în vigoare începând cu 2 februarie 2025, toate entitățile implicate în lanțul de aprovizionare cu IA au încă o anumită marjă de manevră, deoarece statele membre au termen până în august 2025 să numească autorități naționale capabile să controleze și să sancționeze aplicabilitatea acestor dispoziții. Cu toate acestea, acest lucru nu înseamnă că măsuri precum cele enumerate mai sus nu ar trebui să fie deja puse în aplicare.
Deși nu există nicio amendă legată de încălcarea articolului 4 din Regulamentul privind IA, este probabil ca autoritățile să evalueze această obligație ca parte a procesului lor de evaluare în ceea ce privește punerea în aplicare a altor dispoziții din regulament. După cum am văzut, este nevoie atât de o instruire generală despre modul în care funcționează IA, oportunitățile și riscurile acesteia, dar și despre nevoile și limitările specifice ale sistemelor care sunt utilizate de companie[12]. Pe scurt, alfabetizarea IA nu ar trebui să fie un obiectiv final, ci un proces continuu, parte a unei politici interne mult mai ample și coerente privind utilizarea IA.
[1] Cynthia Breazeal în Alyson Klein, AI Literacy, Explained (EducationWeek, 10 mai 2023) <aici> accesat la 3 ianuarie 2025.
[2] Regulamentul (UE) 2024/1689 al Parlamentului European și al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligența artificială și de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 și (UE) 2019/2144 și a Directivelor 2014/90/UE, (UE) 2016/797 și (UE) 2020/1828 (Regulamentul privind inteligența artificială).
[3] Lindauer S, „AI Literacy: A Framework to Understand, Evaluate, and Use Emerging Technology” (Digital Promise, 20 iunie 2024) <aici> accesat la 8 ianuarie 2025.
[4] “AI hallucination is a phenomenon wherein a large language model (LLM)—often a generative AI chatbot or computer vision tool—perceives patterns or objects that are nonexistent or imperceptible to human observers, creating outputs that are nonsensical or altogether inaccurate.” IBM, ‘What Are AI Hallucinations?’ (IBM, 19 decembrie 2024) <aici> accesat la 8 ianuarie 2025.
[5] “AI bias, also called machine learning bias or algorithm bias, refers to the occurrence of biased results due to human biases that skew the original training data or AI algorithm—leading to distorted outputs and potentially harmful outcomes.” IBM, ‘What Is AI Bias?’ (IBM, 19 decembrie 2024) <aici> accesat la 8 ianuarie 2025.
[6] Alex Christian, „The Employees Secretly Using AI at Work” (3 noiembrie 2023) <aici> accesat la 3 ianuarie 2025.
[7] Bird&Bird, „European Union Artificial Intelligence Act: a guide” (6 noiembrie 2024) <aici> accesat la 8 ianuarie 2025.
[8] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).
[9] Regulamentul (UE) 2022/2065 al Parlamentului European și al Consiliului din 19 octombrie 2022 privind o piață unică a serviciilor digitale și de modificare a Directivei 2000/31/CE (Regulamentul privind serviciile digitale).
[10] Robert Hart, “ClearView AI—Controversial Facial Recognition Firm—Fined $33 Million for ‘Illegal Database’” Forbes (4 septembrie 2024) <aici> accesat pe 8 ianuarie 2025.
[11] Directiva (UE) 2019/790 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind dreptul de autor și drepturile conexe pe piața unică digitală și de modificare a Directivelor 96/9/CE și 2001/29/CE.
[12] Erica Werneman Root, Nils Müller, Monica Mahay, „Understanding AI literacy” (15 ianuarie 2025) IAPP <aici> accesat la 16 ianuarie 2025.