Articolul 26 din Regulamentul (UE) 2024/1689 — Obligațiile utilizatorilor sistemelor de IA cu risc ridicat. Text oficial, interpretare practică, obligații esențiale și implicații de conformitate.
Rezumatul Textului Oficial
Articolul 26 din Regulamentul (UE) 2024/1689 stabilește obligațiile care revin utilizatorilor — cei care pun în funcțiune sisteme de IA cu risc ridicat — și se înscrie în Titlul III, Capitolul 3 al Legii. Articolul stabilește că utilizatorii trebuie să ia măsuri tehnice și organizatorice adecvate pentru a se asigura că utilizează astfel de sisteme în conformitate cu instrucțiunile de utilizare furnizate de furnizor (Articolul 26(1)). Utilizatorii sunt obligați să atribuie sarcina supravegherii umane unor persoane care dețin competența, formarea și autoritatea necesare pentru a o exercita eficient (Articolul 26(2)).
Atunci când utilizatorii determină scopul utilizării sau exercită o influență semnificativă asupra funcționării sistemului de IA, aceștia poartă responsabilități sporite, comparabile cu rolul unui furnizor. Utilizatorii trebuie să monitorizeze funcționarea sistemului de IA cu risc ridicat pe baza instrucțiunilor de utilizare și, unde este relevant, să informeze furnizorul cu privire la orice riscuri identificate (Articolul 26(5)). Aceștia nu trebuie să utilizeze sistemul în moduri care contravin instrucțiunilor respective sau să exercite presiuni asupra personalului care ar putea compromite supravegherea adecvată.
Articolul 26(7) impune utilizatorilor să păstreze jurnalele generate automat de sistemul de IA cu risc ridicat în măsura în care astfel de jurnale se află sub controlul lor, reținându-le pentru o perioadă adecvată scopului preconizat și normelor sectoriale aplicabile, dar nu mai puțin de șase luni. Articolul 26(9) impune o obligație utilizatorilor care sunt organisme publice și anumitor operatori privați de a efectua și documenta o evaluare a impactului asupra drepturilor fundamentale înainte de implementare și de a o înregistra în baza de date a UE stabilită în temeiul Art. 71.
Ce Înseamnă Aceasta în Practică
Articolul 26 afectează direct orice organizație care integrează un sistem de IA cu risc ridicat în operațiunile sale fără a fi dezvoltatorul sau furnizorul original al sistemului respectiv. Utilizatorii tipici includ spitalele care folosesc instrumente de diagnostic asistate de IA, angajatorii care utilizează IA pentru selectarea candidaților la recrutare, băncile care folosesc motoare de scoring al creditului bazate pe IA și autoritățile publice care utilizează IA pentru decizii privind eligibilitatea la prestații.
În termeni concreți, un utilizator trebuie să înceapă prin citirea și implementarea temeinică a instrucțiunilor de utilizare ale furnizorului — acestea devin o linie de bază pentru conformitate. Înainte de lansare, utilizatorul trebuie să identifice care membru al personalului sau echipă deține responsabilitatea de supraveghere și să se asigure că aceștia au formarea și autoritatea necesare pentru a interveni, a întrerupe sau a înlocui rezultatele sistemului. Presiunile de a ignora sau ocoli mecanismele de supraveghere sunt explicit interzise.
În timpul funcționării, utilizatorul trebuie să păstreze jurnalele generate de sistem. Pentru o bancă care implementează un model de risc de credit de la un terț, aceasta înseamnă păstrarea jurnalelor de decizii automatizate timp de cel puțin șase luni și asigurarea accesibilității lor pentru audit sau inspecție de reglementare. Dacă sistemul începe să producă rezultate neașteptate sau este implicat într-un incident care cauzează sau ar putea cauza prejudicii, utilizatorul trebuie să escaladeze imediat la furnizor și, dacă este necesar, la autoritatea de supraveghere națională.
Utilizatorii din sectorul public și companiile private care furnizează servicii publice se confruntă cu o etapă suplimentară: o evaluare formală a impactului asupra drepturilor fundamentale trebuie finalizată și înregistrată în baza de date a UE înainte de activarea sistemului. Această evaluare trebuie să identifice impacturile previzibile asupra drepturilor precum nediscriminarea, confidențialitatea și procesul echitabil și să documenteze măsurile de atenuare.
Utilizatorii care depășesc instrucțiunile lor — repurposând un sistem pentru un alt caz de utilizare sau modificând material configurația acestuia — riscă să fie reclasificați ca furnizori în temeiul Art. 25, atrăgând întreaga gamă de obligații ale furnizorului, inclusiv evaluarea conformității.
Obligații Esențiale
- Respectați instrucțiunile de utilizare: Implementați și operați sistemul de IA cu risc ridicat strict în conformitate cu instrucțiunile furnizorului; orice utilizare în afara scopului preconizat declanșează potențiala reclasificare ca furnizor.
- Asigurați supravegherea umană competentă: Desemnați persoane cu competența, formarea și autoritatea necesare pentru a exercita o supraveghere umană eficientă; nu instruiți și nici nu stimulați personalul să ocolească funcțiile de supraveghere.
- Monitorizați și raportați riscurile și incidentele: Monitorizați continuu performanța sistemului; notificați prompt furnizorul și, după caz, autoritatea relevantă de supraveghere a pieței cu privire la orice risc grav sau incident identificat în timpul utilizării.
- Păstrați jurnalele generate automat: Conservați jurnalele produse de sistemul de IA pentru minimum șase luni sau mai mult, acolo unde o impune legea aplicabilă sau normele sectoriale, în măsura în care acele jurnale se află sub controlul utilizatorului.
- Efectuați și înregistrați o evaluare a impactului asupra drepturilor fundamentale: Utilizatorii care sunt organisme de drept public și operatorii privați care furnizează servicii publice trebuie să finalizeze o evaluare documentată a impactului asupra drepturilor fundamentale și să o înregistreze în baza de date a UE înainte de implementare.
- Informați și protejați lucrătorii afectați: Atunci când sistemul este utilizat în contexte de angajare, utilizatorii trebuie să informeze reprezentanții lucrătorilor și persoanele afectate în conformitate cu dreptul aplicabil al Uniunii și dreptul național înainte de implementare.
Relația cu Alte Articole
Articolul 26 trebuie citit împreună cu mai multe dispoziții interconectate. Art. 25 definește momentul în care un utilizator este reclasificat ca furnizor — un prag pe care utilizatorii trebuie să îl monitorizeze activ ori de câte ori modifică sau repurposează un sistem. Art. 13 (Transparență și furnizarea de informații utilizatorilor) reglementează ceea ce furnizorul trebuie să comunice prin instrucțiunile de utilizare, modelând direct aspectul conformității cu Articolul 26(1). Art. 14 (Supravegherea umană) elaborează cerințele tehnice pe care furnizorii trebuie să le integreze în sisteme pentru a permite utilizatorilor să își îndeplinească obligațiile de supraveghere în temeiul Articolului 26(2).
Art. 71 (Baza de date a UE) susține cerința de înregistrare impusă utilizatorilor publici prin Articolul 26(9). Art. 73 (Raportarea incidentelor grave) completează Articolul 26(5) prin detalierea cadrului procedural pentru notificările de incidente. În contextele de angajare, Articolul 26(6) se intersectează cu Directiva 2002/14/CE privind informarea și consultarea lucrătorilor. Pentru utilizatorii din sectoare reglementate — finanțe, sănătate, transport — dreptul sectorial al Uniunii poate impune obligații suplimentare sau suprapuse care interacționează cu linia de bază a Articolului 26.
Calendarul de Conformitate
Legea UE privind IA a intrat în vigoare la 1 august 2024, cu obligații aplicabile conform unui calendar etapizat. Dispozițiile privind practicile de IA interzise au devenit aplicabile la 2 februarie 2025. Obligațiile referitoare la modelele de IA de uz general au devenit aplicabile la 2 august 2025.
Articolul 26, ca obligație aplicabilă sistemelor de IA cu risc ridicat enumerate în Anexa III, devine aplicabil la 2 august 2026 pentru majoritatea sistemelor cu risc ridicat, cu un termen extins de 2 august 2027 pentru sistemele de IA cu risc ridicat în domeniile ocupării forței de muncă, educației și accesului la servicii esențiale, unde se aplică legislația de armonizare a Uniunii existentă (sistemele enumerate în Anexa I). Utilizatorii ar trebui, prin urmare, să trateze 2 august 2026 drept termenul principal de conformitate pentru pregătirea operațională, desemnarea supravegherii umane, infrastructura de păstrare a jurnalelor și procedurile de evaluare a impactului asupra drepturilor fundamentale, în timp ce încep lucrările pregătitoare imediat pentru a permite timp suficient pentru guvernanță, revizuirea achizițiilor și formarea personalului.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Un utilizator este orice persoană fizică sau juridică, autoritate publică, agenție sau alt organism care folosește un sistem de IA cu risc ridicat sub propria autoritate, cu excepția cazului în care sistemul este utilizat în cadrul unei activități pur personale, neprofesionale. Aceasta include întreprinderi, instituții publice și operatori care integrează IA cu risc ridicat de la terți în fluxurile lor de lucru.
Utilizatorii trebuie să implementeze măsuri tehnice și organizatorice adecvate pentru a se asigura că utilizează sistemele de IA cu risc ridicat în conformitate cu instrucțiunile de utilizare furnizate de furnizor. De asemenea, trebuie să atribuie supravegherea umană unor persoane calificate, să monitorizeze performanța și să suspende utilizarea dacă identifică riscuri.
Da. Articolul 26(9) impune utilizatorilor care sunt organisme reglementate de dreptul public sau operatori privați care furnizează servicii publice să efectueze o evaluare a impactului asupra drepturilor fundamentale înainte de punerea în funcțiune a anumitor sisteme de IA cu risc ridicat. Această evaluare trebuie înregistrată în baza de date a UE înainte de implementare.
În temeiul Articolului 26(5), utilizatorii trebuie să informeze imediat furnizorul și, după caz, autoritatea relevantă de supraveghere a pieței. Dacă utilizatorul nu poate contacta furnizorul, trebuie să notifice autoritatea direct. Obligația se aplică atunci când utilizatorul are motive să creadă că sistemul prezintă un risc sau a cauzat un incident grav.
Nu. Evaluarea conformității este responsabilitatea furnizorului în temeiul Art. 43. Utilizatorii sunt responsabili pentru utilizarea corectă conform instrucțiunilor furnizorului, supravegherea umană adecvată, guvernanța datelor pentru intrările pe care le controlează și obligațiile de raportare. Cu toate acestea, utilizatorii care modifică substanțial un sistem pot dobândi obligații de furnizor.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.