Articolul 10 din Regulamentul (UE) 2024/1689 — Date și guvernanța datelor. Text oficial, interpretare practică, obligații cheie și implicații pentru conformitate.
Rezumatul Textului Oficial
Articolul 10 din Regulamentul (UE) 2024/1689 (Regulamentul UE privind IA), situat în Titlul III, Capitolul 2, stabilește cerințe obligatorii de guvernanță a datelor pentru furnizorii de sisteme de IA cu risc ridicat. Articolul se aplică seturilor de date de antrenament, validare și testare utilizate în dezvoltarea unor astfel de sisteme.
În temeiul Articolului 10(2), practicile de guvernanță a datelor trebuie să abordeze: alegerile de proiectare din spatele colectării datelor; operațiunile de pregătire a datelor, inclusiv adnotarea, etichetarea, curățarea, îmbogățirea și agregarea; formularea ipotezelor relevante privind utilizarea preconizată; și examinarea posibilelor prejudecăți susceptibile să afecteze sănătatea, siguranța sau drepturile fundamentale.
Articolul 10(3) impune ca seturile de date de antrenament, validare și testare să fie supuse unor practici adecvate de gestionare a datelor și să fie relevante, reprezentative, lipsite de erori și complete în lumina scopului preconizat. Atunci când libertatea totală de erori nu este realizabilă, furnizorii trebuie să documenteze erorile reziduale și impactul lor potențial.
Articolul 10(4) abordează prelucrarea categoriilor speciale de date cu caracter personal — astfel cum sunt definite la Articolul 9 din Regulamentul (UE) 2016/679 (RGPD) și la Articolul 10 din Regulamentul (UE) 2018/1725 — limitând strict această prelucrare la monitorizarea și corectarea prejudecăților, sub rezerva unor garanții adecvate. Articolul 10(5) prevede că statele membre pot stabili condiții specifice pentru prelucrarea datelor personale sensibile în interes public în scopul dezvoltării IA, sub rezerva unor condiții stricte. Articolul 10(6) clarifică faptul că cerințele privind seturile de date se aplică proporțional furnizorilor care utilizează seturi de date preexistente pe care nu le-au colectat inițial, în măsura în care o astfel de examinare este fezabilă din punct de vedere tehnic.
Ce înseamnă aceasta în practică
Articolul 10 impune obligații concrete oricărei organizații care dezvoltă sau implementează un sistem de IA cu risc ridicat în UE. În practică, conformitatea necesită stabilirea și menținerea unui program structurat de guvernanță a datelor care să acopere întregul ciclu de viață al dezvoltării.
Pentru un furnizor care dezvoltă un instrument de screening de recrutare asistat de IA (un sistem din Anexa III, punctul 4), Articolul 10 impune documentarea motivelor pentru care au fost alese anumite seturi de date, a etapelor de preprocesare aplicate și a modului în care seturile de date acoperă diversitatea demografică a grupului preconizat de candidați. Dacă datele de antrenament subreprezintă candidații din anumite medii regionale sau etnice, furnizorul trebuie să identifice această lacună, să evalueze riscul de prejudecată față de egalitatea de tratament și să corecteze fie setul de date, fie să implementeze măsuri de atenuare tehnice — toate trasabile în documentația tehnică cerută de Articolul 11.
Pentru un furnizor care integrează un model de IA sau un set de date de la o terță parte, Articolul 10(6) impune în continuare o examinare de bune eforturi a proprietăților datelor precompilate în raport cu cazul de utilizare preconizat. A se baza exclusiv pe fișa de date a furnizorului din amonte nu este suficient; furnizorii din aval trebuie să valideze că proprietățile datelor se aliniază cu contextul lor specific de implementare.
În practică, echipele de conformitate ar trebui să: mențină un plan de gestionare a datelor per sistem; instituie registre de origine a datelor; efectueze evaluări documentate ale prejudecăților și reprezentativității în fazele de antrenament, validare și testare; și să asigure că orice utilizare a datelor personale sensibile pentru corectarea prejudecăților este acoperită de o bază juridică și de controale de acces adecvate. Aceste registre fac parte din documentația tehnică care trebuie să fie disponibilă autorităților naționale competente la cerere.
Obligații Cheie
- Cadru de guvernanță a datelor: Stabilirea unor practici documentate de guvernanță și gestionare a datelor care să acopere toate etapele — antrenament, validare și testare — înainte de introducerea pe piață a unui sistem de IA cu risc ridicat.
- Criterii de calitate ale seturilor de date: Asigurarea că seturile de date îndeplinesc patru criterii cumulative de calitate: relevanță față de scopul preconizat, reprezentativitate a contextului de implementare, absența erorilor (sau rate de eroare reziduală documentate) și exhaustivitate.
- Examinarea prejudecăților: Efectuarea și documentarea unei examinări a seturilor de date pentru prejudecăți care ar putea conduce la discriminare sau riscuri pentru sănătate, siguranță sau drepturi fundamentale, aplicând măsuri corective acolo unde sunt identificate prejudecăți.
- Documentarea pregătirii datelor: Înregistrarea tuturor operațiunilor de pregătire a datelor — adnotare, etichetare, curățare, îmbogățire și agregare — împreună cu ipotezele și alegerile de proiectare care le-au modelat.
- Utilizarea restricționată a datelor sensibile: Prelucrarea categoriilor speciale de date cu caracter personal exclusiv pentru detectarea și corectarea prejudecăților, sub rezerva unor garanții echivalente RGPD, și numai atunci când este strict necesar și proporțional.
- Seturi de date de la terți și preexistente: Efectuarea unei examinări proporționate și fezabile din punct de vedere tehnic a oricăror seturi de date preexistente sau de la terți pentru a verifica dacă îndeplinesc cerințele relevante pentru cazul specific de utilizare al furnizorului.
Relația cu Alte Articole
Articolul 10 se află în centrul cadrului de cerințe pentru sistemele de IA cu risc ridicat și se conectează direct la mai multe alte dispoziții. Articolul 9 (sistemul de gestionare a riscurilor) alimentează Articolul 10: riscurile identificate prin guvernanța datelor — cum ar fi prejudecata seturilor de date — trebuie gestionate prin procesul iterativ de gestionare a riscurilor. Articolul 11 (documentația tehnică) și Anexa IV impun furnizorilor să înregistreze alegerile privind guvernanța datelor și caracteristicile seturilor de date ca parte a documentației de conformitate revizuite de organismele notificate sau autoevaluate.
Articolul 13 (transparență și furnizarea de informații) se bazează pe documentarea datelor pentru a permite instrucțiuni de utilizare semnificative, în special în ceea ce privește limitările cunoscute care decurg din lacunele calității datelor. Articolul 17 (sistemul de management al calității) impune ca guvernanța datelor să fie instituționalizată în cadrul proceselor mai ample de calitate ale furnizorului.
Pentru sistemele care prelucrează date cu caracter personal, Articolul 10 se intersectează cu obligațiile RGPD — Articolul 5 (principiile calității datelor) și Articolul 25 (protecția datelor prin proiectare) sunt cerințe complementare pe care furnizorii trebuie să le îndeplinească în paralel. Articolul 10(4) face trimitere explicită la Regulamentul (UE) 2016/679 și la Regulamentul (UE) 2018/1725 pentru a delimita prelucrarea permisă a datelor sensibile.
Calendar de Conformitate
Regulamentul UE privind IA a intrat în vigoare la 1 august 2024, la douăzeci de zile după publicarea în Jurnalul Oficial al UE (JO L 2024/1689, 12 iulie 2024). Articolul 10 urmează calendarul de aplicare etapizată aplicabil sistemelor de IA cu risc ridicat:
- 2 februarie 2025: Interdicțiile privind practicile de IA cu risc inacceptabil (Articolul 5) au devenit executorii; nicio obligație directă în temeiul Articolului 10 în această etapă.
- 2 august 2025: Cerințele privind modelele GPAI (Titlul VIII) au devenit aplicabile; autoritățile naționale de supraveghere a pieței și-au asumat responsabilitatea operațională pentru supravegherea sistemelor cu risc ridicat.
- 2 august 2026: Articolul 10 devine pe deplin executabil pentru sistemele de IA cu risc ridicat enumerate în Anexa III (aplicații cu risc ridicat de uz general, inclusiv identificarea biometrică, infrastructura critică, educația, ocuparea forței de muncă, serviciile esențiale, aplicarea legii, migrația și justiția). Furnizorii trebuie să aibă guvernanța datelor documentată și conformă la această dată.
- 2 august 2027: Articolul 10 devine executabil pentru sistemele de IA cu risc ridicat reglementate în temeiul Anexei I (legislația privind siguranța produselor, inclusiv mașini, dispozitive medicale, vehicule și aviație). Aceste sisteme trebuie să îndeplinească toate cerințele de guvernanță a datelor în cadrul evaluărilor conformității produselor până la acest termen extins.
Furnizorii sunt sfătuiți cu tărie să înceapă evaluările lacunelor de guvernanță a datelor cu mult înaintea termenului aplicabil, deoarece remedierea seturilor de date de antrenament și achiziționarea de date conforme de la terți pot necesita un timp considerabil de pregătire.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Articolul 10 impune furnizorilor de sisteme de IA cu risc ridicat să implementeze practici de guvernanță și gestionare a datelor care să acopere seturile de date de antrenament, validare și testare. Aceasta include asigurarea că seturile de date sunt relevante, reprezentative, lipsite de erori și complete în raport cu scopul preconizat. Furnizorii trebuie, de asemenea, să examineze datele pentru potențiale prejudecăți și să documenteze alegerile privind colectarea și prelucrarea datelor.
Articolul 10 se aplică furnizorilor — persoane juridice sau fizice care dezvoltă sau comandă dezvoltarea de sisteme de IA cu risc ridicat în vederea introducerii pe piață sau punerii în funcțiune sub propriul nume sau marcă comercială. Acesta acoperă orice sistem de IA cu risc ridicat enumerat în Anexa III sau în anexele sectoriale reglementate, indiferent dacă furnizorul este stabilit în interiorul sau în exteriorul UE.
Există excepții limitate pentru modelele cu sursă deschisă, dar furnizorii care introduc sisteme de IA cu risc ridicat pe piața UE utilizând componente cu sursă deschisă rămân responsabili pentru conformitatea cu Articolul 10 în ceea ce privește datele de antrenament, validare și testare pe care le utilizează sau le curatoriează pentru acel sistem.
Articolul 10 se aplică sistemelor de IA cu risc ridicat din Anexa III (excluzând instituțiile de credit) începând cu 2 august 2026. Pentru sistemele de IA cu risc ridicat reglementate în temeiul legislației specifice de armonizare a Uniunii enumerate în Anexa I, termenul se extinde până la 2 august 2027. Autoritățile naționale de supraveghere a pieței și-au asumat responsabilitățile de supraveghere la 2 august 2025.
Regulamentul nu definește un prag statistic fix. Furnizorii trebuie să demonstreze, printr-o analiză documentată, că datele de antrenament acoperă condițiile geografice, demografice, contextuale și operaționale de implementare preconizate. Lacunele de reprezentare trebuie identificate, evaluate din perspectiva riscului de prejudecată și atenuate prin măsuri tehnice sau garanții compensatorii documentate în dosarul tehnic.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.