Articolul 12 din Regulamentul (UE) 2024/1689 — Păstrarea înregistrărilor. Text oficial, interpretare practică, obligații cheie și implicații pentru conformitate.
Rezumatul Textului Oficial
Articolul 12 din Regulamentul (UE) 2024/1689 stabilește cerințe obligatorii de păstrare a înregistrărilor pentru sistemele de IA cu risc ridicat. Articolul se află în Titlul III, Capitolul 2, care stabilește cerințele tehnice și de guvernanță pe care sistemele de IA cu risc ridicat trebuie să le îndeplinească înainte de a fi plasate pe piața UE sau puse în funcțiune.
Obligația de bază este că sistemele de IA cu risc ridicat trebuie să fie proiectate și dezvoltate cu capacități de înregistrare care să permită înregistrarea automată a evenimentelor — denumite în mod obișnuit jurnale — pe durata de viață operațională a sistemului. Aceste jurnale servesc unui dublu scop: sprijinirea monitorizării post-comercializare de către furnizor în temeiul Articolului 72 și permiterea autorităților naționale competente să își exercite funcțiile de supraveghere și investigare.
Articolul 12(2) specifică că capacitățile de înregistrare trebuie, cel puțin, să consemneze perioada fiecărei utilizări a sistemului (data și ora de început și de sfârșit), baza de date de referință față de care au fost verificate datele de intrare, acolo unde este cazul, datele de intrare care au condus la un anumit rezultat și — în cazul sistemelor de identificare biometrică — identitatea persoanelor fizice implicate în verificarea rezultatelor.
Articolul plasează în mod clar obligația de concepere în sarcina furnizorilor. Înregistrarea trebuie să fie integrată în sistem prin construcție, nu adăugată retrospectiv. Aceasta reflectă filosofia mai largă de concepere prin design a Regulamentului. Operatorii care implementează aceste sisteme au obligații complementare în temeiul Articolului 26 de a păstra jurnalele generate în timpul utilizării sistemului, în măsura în care astfel de jurnale se află sub controlul lor.
Ce Înseamnă Aceasta în Practică
Pentru furnizorii care dezvoltă sau plasează pe piața UE sisteme de IA cu risc ridicat, Articolul 12 impune ca deciziile la nivel de inginerie să fie luate în faza de concepere, nu după implementare. Înregistrarea trebuie să fie o caracteristică arhitecturală a produsului.
Părți afectate. Orice organizație care dezvoltă, plasează pe piață sau pune în funcțiune un sistem de IA cu risc ridicat, astfel cum este definit în temeiul Articolului 6 și al Anexei III, face obiectul Articolului 12. Aceasta include sisteme utilizate în selecția angajaților, scoringul creditelor, identificarea biometrică, gestionarea infrastructurii critice, evaluarea educațională, aplicarea legii, controlul frontierelor și administrarea justiției, printre altele. Operatorii — organizații care implementează un sistem de IA cu risc ridicat al unui furnizor în propriul context — au obligații secundare de menținere a jurnalelor pe care le controlează.
Acțiuni concrete necesare. Un furnizor trebuie să implementeze înregistrare automată care să capteze punctele de date necesare fără intervenție manuală. De exemplu, un furnizor al unui instrument de selecție CV asistat de IA trebuie să se asigure că sistemul înregistrează fiecare sesiune de recrutare, versiunea setului de date utilizat pentru antrenarea sau calibrarea modelului și datele de intrare (profilurile candidaților) care au generat fiecare rezultat (clasament sau recomandare). Un operator care implementează acel instrument trebuie să păstreze aceste jurnale și să le pună la dispoziția autorităților la cerere.
Utilitate investigativă. Jurnalele există în primul rând pentru a permite analiza retrospectivă. Dacă un sistem produce un rezultat discriminatoriu sau cauzează prejudicii, autoritățile de reglementare trebuie să poată reconstrui ceea ce s-a întâmplat. Jurnalele incomplete, suprascrise sau inaccesibile subminează acest scop și expun atât furnizorul, cât și operatorul la riscul aplicării de sancțiuni.
Proporționalitate. Domeniul de aplicare specific al ceea ce trebuie înregistrat este calibrat în funcție de tipul de sistem. Sistemele biometrice se confruntă cu cele mai detaliate cerințe. Furnizorii ar trebui să documenteze deciziile de concepere a înregistrării în documentația tehnică prevăzută de Articolul 11.
Obligații Cheie
- Înregistrare prin concepție. Sistemele de IA cu risc ridicat trebuie să fie proiectate și dezvoltate cu capacități automate de înregistrare a evenimentelor integrate în arhitectura sistemului înainte de plasarea pe piață sau implementare.
- Conținut minim al jurnalelor. Jurnalele trebuie să capteze, cel puțin: perioada operațională a fiecărei sesiuni de utilizare, baza de date de referință utilizată pentru verificarea datelor de intrare, acolo unde este cazul, datele de intrare care au produs fiecare rezultat sau decizie și — pentru sistemele de identificare biometrică — identitățile persoanelor fizice care au verificat rezultatele.
- Păstrarea jurnalelor de către operatori. Operatorii trebuie să păstreze jurnalele generate în timpul utilizării unui sistem de IA cu risc ridicat pe perioada necesară conform legislației aplicabile și, cel puțin, pe durata necesară pentru a sprijini monitorizarea post-comercializare și investigațiile de reglementare.
- Accesibilitate pentru autorități. Jurnalele trebuie să fie disponibile autorităților naționale competente la cerere pentru a facilita supravegherea de reglementare, investigarea incidentelor și activitățile de supraveghere a pieței.
- Trasabilitatea rezultatelor. Sistemul de înregistrare trebuie să permită reconstruirea unui lanț cauzal de la o intrare specifică la o ieșire specifică, sprijinind responsabilitatea și dreptul la explicație acolo unde acesta se aplică.
- Aliniere cu documentația tehnică. Arhitectura de înregistrare și domeniul de aplicare al acesteia trebuie descrise în documentația tehnică menținută în temeiul Articolului 11, asigurând coerența între sistemul astfel cum a fost conceput și sistemul astfel cum este monitorizat.
Relația cu Alte Articole
Articolul 12 nu poate fi citit în mod izolat. Acesta funcționează ca parte a unei rețele de cerințe interconectate din Titlul III, Capitolul 2.
Articolul 9 (Sistemul de gestionare a riscurilor) stabilește cadrul general în care se înscrie înregistrarea — jurnalele generează datele operaționale necesare pentru identificarea și evaluarea riscurilor în implementarea din lumea reală.
Articolul 11 (Documentația tehnică) impune furnizorilor să documenteze arhitectura de înregistrare și capacitățile sale ca parte a dosarului tehnic mai amplu transmis organismelor notificate sau păstrat pentru inspecția de reglementare.
Articolul 17 (Sistemul de management al calității) impune furnizorilor să mențină un sistem de management al calității care integrează înregistrarea în controalele operaționale mai ample și procedurile de acțiune corectivă.
Articolul 26 (Obligațiile operatorilor) atribuie operatorilor obligația de a păstra jurnalele aflate sub controlul lor și de a coopera cu furnizorii și autoritățile, făcând din Articolul 12 o responsabilitate partajată de-a lungul lanțului de aprovizionare.
Articolul 72 (Monitorizarea post-comercializare) este consumatorul din aval al jurnalelor de la Articolul 12 — sistemul de monitorizare se bazează pe jurnalele operaționale pentru a detecta degradarea performanței, rezultatele neașteptate și riscurile emergente după implementare.
Articolul 73 (Raportarea incidentelor grave) utilizează datele din jurnale ca probe primare atunci când furnizorii sunt obligați să raporteze defecțiuni sau incidente grave autorităților de supraveghere a pieței.
Calendarul de Conformitate
Legea UE privind IA (Regulamentul 2024/1689) a intrat în vigoare la 1 august 2024, la douăzeci de zile de la publicarea în Jurnalul Oficial al Uniunii Europene.
Aplicarea Regulamentului este etapizată:
- 2 februarie 2025 — Interdicțiile privind practicile de IA cu risc inacceptabil (Titlul II, Articolul 5) au devenit aplicabile.
- 2 august 2025 — Normele privind modelele de IA de uz general (Titlul VIII) și obligațiile de guvernanță (Titlul III, Capitolul 4 privind organismele notificate; Titlul VI privind guvernanța) au devenit aplicabile.
- 2 august 2026 — Obligațiile pentru sistemele de IA cu risc ridicat enumerate în Anexa III încep să se aplice pentru majoritatea categoriilor. Articolul 12 se încadrează în această fază. Furnizorii și operatorii de sisteme de IA cu risc ridicat trebuie să aibă capacități de înregistrare conforme în vigoare până la această dată.
- 2 august 2027 — Termen extins pentru sistemele de IA cu risc ridicat reglementate de legislația de armonizare sectorială a Uniunii existentă, enumerate în Anexa I (de exemplu, mașini, dispozitive medicale), oferind acelor sectoare timp suplimentar pentru a adapta cadrele de evaluare a conformității existente.
Organizațiile care dezvoltă sisteme de IA cu risc ridicat ar trebui să trateze 2 august 2026 ca termenul limită de conformitate pentru cerințele de înregistrare ale Articolului 12, cu conceperea și testarea infrastructurii de înregistrare finalizate cu mult timp înainte pentru a permite procedurile de evaluare a conformității în temeiul Articolului 43.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Articolul 12 prevede că sistemele de IA cu risc ridicat trebuie să fie proiectate și construite cu capacități care să permită înregistrarea automată a evenimentelor — jurnale — pe parcursul întregii lor durate de viață operaționale. Aceste jurnale trebuie să permită monitorizarea post-comercializare și să faciliteze investigarea incidentelor sau a defecțiunilor grave.
Obligația principală revine furnizorilor de sisteme de IA cu risc ridicat. Furnizorii trebuie să se asigure că capacitatea de înregistrare este integrată în sistem prin concepție, înainte ca sistemul să fie plasat pe piață sau pus în funcțiune.
Jurnalele trebuie să capteze, cel puțin, evenimentele relevante pentru identificarea riscurilor pentru sănătate, siguranță sau drepturi fundamentale în timpul utilizării sistemului. Aceasta include perioada fiecărei utilizări, baza de date de referință față de care au fost verificate datele de intrare, datele de intrare care au condus la un anumit rezultat și identitatea persoanelor fizice implicate în verificarea rezultatelor.
Regulamentul nu specifică o perioadă de păstrare universală unică în Articolul 12 în sine, dar jurnalele trebuie păstrate pe perioada necesară îndeplinirii obligațiilor din Regulament, inclusiv monitorizarea post-comercializare prevăzută la Articolul 72. Regulile sectoriale pot impune cerințe suplimentare de păstrare.
Nu. Articolul 12 se aplică în mod specific sistemelor de IA cu risc ridicat, astfel cum sunt definite la Articolul 6 și enumerate în Anexa III la Regulamentul (UE) 2024/1689. Sistemele de IA de uz general și sistemele cu risc mai scăzut nu fac obiectul acestui articol, cu excepția cazului în care se califică și ca sisteme cu risc ridicat.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.