Articolul 19 din Regulamentul (UE) 2024/1689 — Jurnale generate automat. Text oficial, interpretare practică, obligații cheie și implicații de conformitate.
Rezumatul Textului Oficial
Articolul 19 din Regulamentul (UE) 2024/1689 stabilește o obligație de jurnalizare care funcționează pe două niveluri: o obligație de proiectare pentru furnizori și o obligație operațională pentru operatori.
De partea furnizorului, Articolul 19(1) impune ca sistemele de IA cu risc ridicat să fie capabile din punct de vedere tehnic să genereze automat jurnale ale funcționării lor pe toată durata de viață. Furnizorii trebuie să integreze această capacitate în sistem în măsura în care este fezabil din punct de vedere tehnic, asigurând că evenimentele pot fi înregistrate fără intervenție manuală. Aceasta se conectează direct la cadrul mai larg de transparență și trasabilitate din Titlul III.
De partea operatorului, Articolul 19(2) impune operatorilor să păstreze jurnalele generate automat de sistemele de IA cu risc ridicat pe care le operează. Perioada minimă de păstrare este de șase luni, cu excepția cazului în care dreptul Uniunii sau dreptul aplicabil al statului membru prevede o perioadă mai lungă. Reglementările sectoriale — de exemplu în finanțe, asistență medicală sau infrastructuri critice — vor înlocui frecvent acest minim implicit.
Jurnalele avute în vedere de Articolul 19 servesc mai multor scopuri de conformitate: sprijină monitorizarea post-comercializare în temeiul Articolului 72, facilitează raportarea incidentelor în temeiul Articolului 73 și furnizează baza probatorie necesară autorităților naționale competente atunci când efectuează supravegherea pieței în temeiul Capitolului VI. Articolul nu prescrie în sine formatul tehnic precis sau granularitatea jurnalelor, lăsând aceste detalii să fie abordate prin standarde armonizate și cerințele de documentare tehnică ale Articolului 11 și Anexei IV.
Ce Înseamnă Aceasta în Practică
Pentru organizațiile care operează sisteme de IA cu risc ridicat, Articolul 19 introduce o obligație concretă de păstrare a datelor care trebuie integrată în procesele operaționale încă din prima zi de implementare.
Operatorii trebuie să verifice mai întâi că sistemul de IA pe care îl utilizează este capabil din punct de vedere tehnic să genereze jurnale automat. Dacă un furnizor livrează un sistem care nu are această capacitate acolo unde este fezabil din punct de vedere tehnic, furnizorul încalcă propriile obligații — dar operatorul are în continuare responsabilitatea de a efectua o diligență adecvată înainte de implementare, conform cerințelor Articolului 26.
În practică, aceasta înseamnă că operatorii ar trebui să solicite furnizorilor documentație clară care confirmă că funcționalitatea de jurnalizare este prezentă, descriind ce evenimente sunt înregistrate și specificând formatul jurnalului. Această documentație ar trebui să facă parte din acordurile contractuale dintre furnizor și operator.
Odată operaționali, operatorii trebuie să implementeze o politică de păstrare a jurnalelor care să acopere cel puțin șase luni. Pentru organizațiile care operează în sectoare reglementate, această valoare de bază este aproape întotdeauna extinsă: un spital care implementează un instrument de diagnostic asistat de IA va trebui să alinieze păstrarea jurnalelor cu legislația privind dosarele medicale; o bancă care implementează un sistem de scoring al creditelor bazat pe IA trebuie să țină cont de regulile de păstrare a evidențelor serviciilor financiare, care necesită adesea câțiva ani de păstrare.
Pașii operaționali concreți includ: desemnarea responsabilității pentru stocarea jurnalelor și controalele de acces, asigurarea că jurnalele sunt protejate împotriva manipulării și stocate în siguranță, stabilirea proceselor pentru recuperarea promptă a jurnalelor ca răspuns la o solicitare de reglementare sau o investigație a incidentelor și documentarea politicii de păstrare în cadrul mai larg de guvernanță IA al organizației.
Jurnalele ar trebui să capteze informații suficiente pentru a reconstrui datele de intrare furnizate sistemului, datele de ieșire generate, versiunea modelului utilizat și calendarul operațiunilor — permițând o revizuire post-hoc semnificativă.
Obligații Cheie
- Furnizorii trebuie să proiecteze și să construiască sisteme de IA cu risc ridicat astfel încât acestea să fie capabile din punct de vedere tehnic să genereze automat jurnale ale funcționării lor, în măsura în care este fezabil din punct de vedere tehnic, pe toată durata de viață operațională a sistemului.
- Operatorii trebuie să păstreze jurnalele generate automat produse de sistemele de IA cu risc ridicat pe care le operează pentru minimum șase luni de la data generării, sau mai mult dacă este impus de dreptul aplicabil al Uniunii sau al statului membru.
- Operatorii trebuie să se asigure că jurnalele păstrate sunt accesibile, sigure și pot fi furnizate autorităților naționale competente la cerere în timpul supravegherii pieței sau al investigațiilor privind incidentele.
- Furnizorii trebuie să documenteze capacitatea de jurnalizare a sistemului lor — inclusiv ce este înregistrat, formatul jurnalului și orice limitări tehnice cunoscute — ca parte a documentației tehnice impuse de Articolul 11 și Anexa IV.
- Acolo unde reglementarea sectorială impune cerințe de păstrare mai stricte sau mai lungi, operatorii trebuie să aplice aceste cerințe în plus față de, și în locul, valorii de bază de șase luni.
- Operatorii trebuie să se asigure că infrastructura de jurnalizare este menținută pe toată perioada de utilizare a sistemului de IA cu risc ridicat și că integritatea jurnalelor este protejată împotriva manipulării sau ștergerii accidentale.
Relația cu Alte Articole
Articolul 19 se află în Capitolul 3 din Titlul III și trebuie citit ca parte a unui cadru integrat de trasabilitate, nu ca o obligație izolată.
Se conectează direct la Articolul 12 (Păstrarea evidențelor), care impune ca sistemele de IA cu risc ridicat să fie proiectate pentru a permite păstrarea evidențelor funcționării lor, și la Articolul 11 și Anexa IV, care specifică documentația tehnică pe care furnizorii trebuie să o mențină, inclusiv descrieri ale capacității de jurnalizare.
Articolul 19 alimentează Articolul 72 (Monitorizarea post-comercializare), care impune furnizorilor să monitorizeze activ performanța sistemului în teren — jurnalele sunt sursa principală de date pentru această monitorizare. Susține, de asemenea, Articolul 73 (Raportarea incidentelor grave), unde jurnalele furnizează baza probatorie pentru înțelegerea celor întâmplate în timpul unui incident.
Jurnalele păstrate în temeiul Articolului 19 se numără printre evidențele pe care autoritățile naționale competente le pot solicita atunci când exercită competențele de supraveghere a pieței în temeiul Articolelor 74 și 75. În cele din urmă, alocarea responsabilităților între furnizori și operatori, articulată în Articolul 19, reflectă cadrul mai larg stabilit de Articolul 25 (Responsabilități de-a lungul lanțului valoric) și Articolul 26 (Obligațiile operatorilor).
Calendarul de Conformitate
Legea IA a UE a intrat în vigoare la 1 august 2024, inițiind un calendar de aplicare etapizat.
Articolul 19 se încadrează în Titlul III, Capitolul 3, care reglementează obligațiile furnizorilor și operatorilor de sisteme de IA cu risc ridicat. Data generală de aplicare a obligațiilor pentru sistemele de IA cu risc ridicat — inclusiv Articolul 19 — este 2 august 2026 pentru sistemele enumerate în Anexa III (aplicații cu risc ridicat în domenii precum educația, ocuparea forței de muncă, serviciile esențiale și aplicarea legii). Pentru sistemele de IA cu risc ridicat acoperite de Anexa I (componente de siguranță ale produselor reglementate de legislația de armonizare a Uniunii existentă), obligațiile se aplică începând cu 2 august 2027, aliniate cu reînnoirea sau prima emitere a evaluărilor de conformitate a produselor relevante.
Reperele anterioare de aplicare includ interzicerea practicilor de IA cu risc inacceptabil (Articolul 5), care s-a aplicat de la 2 februarie 2025, și obligațiile referitoare la modelele de IA de uz general (Titlul VII), care s-au aplicat de la 2 august 2025.
Organizațiile care operează sisteme de IA cu risc ridicat ar trebui să trateze data de 2 august 2026 ca termenul limită de conformitate pentru obligațiile din Articolul 19, dar ar trebui să înceapă din timp să proiecteze politici de păstrare a jurnalelor, să revizuiască contractele cu furnizorii și să se alinieze cu legile sectoriale de păstrare — complexitatea guvernanței datelor la nivel de întreprindere face ca respectarea conformității în ultimul moment să fie structural dificilă.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Jurnalele generate automat sunt înregistrări produse de sistemele de IA cu risc ridicat care captează evenimente, date de intrare, date de ieșire și date operaționale pe parcursul ciclului de viață al sistemului. Articolul 19 impune furnizorilor să se asigure că sistemele lor de IA cu risc ridicat generează automat astfel de jurnale în măsura în care este fezabil din punct de vedere tehnic, permițând trasabilitatea și monitorizarea post-comercializare.
Obligația principală revine operatorilor, care trebuie să păstreze jurnalele generate automat pentru o perioadă minimă definită de legislația aplicabilă sau, în absența unei astfel de legislații, pentru cel puțin șase luni. Furnizorii trebuie să proiecteze și să integreze funcționalitatea de jurnalizare în sistemul însuși. Ambele părți au responsabilități distincte, dar complementare.
Nu. Articolul 19 se aplică în mod specific sistemelor de IA cu risc ridicat, astfel cum sunt definite la Articolul 6 și enumerate în Anexa III la Legea IA a UE. Sistemele de IA de uz general și sistemele de IA care nu se încadrează în clasificarea cu risc ridicat nu sunt supuse acestei cerințe specifice de jurnalizare, deși pot fi aplicabile alte obligații.
Operatorii trebuie să păstreze jurnalele generate automat pentru cel puțin șase luni, cu excepția cazului în care dreptul Uniunii sau dreptul statului membru aplicabil operatorului sau cazului de utilizare prevede o altă perioadă de păstrare, de obicei mai lungă. Operatorii ar trebui să verifice întotdeauna reglementările sectoriale — cum ar fi cele care acoperă asistența medicală, finanțele sau infrastructura critică — deoarece acestea pot impune cerințe mai stricte.
Nerespectarea obligației de păstrare a jurnalelor conform Articolului 19 poate constitui o încălcare a Legii IA a UE și poate expune operatorii la măsuri de supraveghere și amenzi administrative. Jurnalele reprezintă, de asemenea, dovezi esențiale în cazul unui incident, al unei investigații privind siguranța sau al unui audit de reglementare, astfel încât absența lor poate agrava semnificativ răspunderea.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.