Articolul 27 din Regulamentul (UE) 2024/1689 — Evaluarea impactului asupra drepturilor fundamentale pentru sistemele de IA cu risc ridicat. Text oficial, interpretare practică, obligații esențiale și implicații pentru conformitate.
Rezumatul Textului Oficial
Articolul 27 din Regulamentul (UE) 2024/1689 stabilește o obligație pentru anumiți operatori de sisteme de IA cu risc ridicat de a efectua o evaluare a impactului asupra drepturilor fundamentale (FRIA) înainte de punerea în funcțiune a unor astfel de sisteme. Obligația se aplică operatorilor care sunt organisme de drept public astfel cum sunt definite în Directiva 2014/24/UE, și operatorilor care sunt entități private care furnizează servicii de natură publică — în special în domeniile serviciilor bancare, asigurărilor, asistenței medicale, educației și formării profesionale, gestionării angajării și a lucrătorilor, și administrării infrastructurii critice.
Evaluarea trebuie efectuată înainte de implementare și trebuie să cuprindă următoarele elemente: o descriere a proceselor operatorului în care va fi utilizat sistemul de IA cu risc ridicat și a scopului acestora; categoriile de persoane fizice și grupurile susceptibile de a fi afectate; riscurile specifice pentru drepturile fundamentale care pot rezulta din utilizare; măsurile concrete pe care operatorul intenționează să le implementeze pentru a atenua aceste riscuri; o indicație privind existența mecanismelor de reclamație sau de contestare; și, după caz, o descriere a impactului asupra copiilor.
Operatorii vizați de obligație trebuie, de asemenea, să notifice autoritatea de supraveghere a pieței relevantă înainte de implementarea anumitor categorii de sisteme de IA cu risc ridicat enumerate în Anexa III. Evaluarea trebuie să se bazeze pe informațiile furnizate de furnizor în temeiul Articolului 13 și trebuie documentată și păstrată la dispoziția autorităților competente.
Ce Înseamnă Aceasta în Practică
Pentru organizațiile din domeniul de aplicare, Articolul 27 impune un proces structurat și documentat înainte ca orice sistem de IA cu risc ridicat să intre în funcțiune. Nu este vorba de un exercițiu de bifare o singură dată — FRIA trebuie să reflecte contextul real de implementare și să fie revizuită atunci când acel context se modifică semnificativ.
Un spital public care implementează un sistem de diagnostic sau triaj asistat de IA trebuie să evalueze care grupuri de pacienți ar putea fi afectate în mod disproporționat, ce drepturi sunt în joc (demnitate, nediscriminare, acces la asistență medicală) și ce garanții există dacă sistemul produce recomandări incorecte. O autoritate locală care utilizează un sistem de IA pentru verificarea eligibilității la prestații sociale trebuie să identifice riscurile la adresa dreptului la protecție socială și a procesului echitabil, și să documenteze modul în care supravegherea umană va funcționa în practică.
Entitățile private care furnizează servicii financiare publicului — cum ar fi platformele de scoring al creditelor sau de subscriere a asigurărilor — intră în domeniul de aplicare dacă se califică drept operatori ai sistemelor cu risc ridicat din Anexa III. O companie fintech care utilizează un model de IA pentru evaluarea cererilor de împrumut trebuie să cartografieze grupurile demografice expuse la decizii algoritmice, să evalueze riscul unor rezultate discriminatorii și să stabilească o cale de contestare documentată.
Practic, operatorii ar trebui să integreze FRIA în fluxurile de lucru existente privind evaluarea impactului asupra protecției datelor (DPIA) în temeiul RGPD, acolo unde este relevant, deoarece Articolul 27(4) permite în mod explicit ca cele două evaluări să fie efectuate în comun. Organizațiile ar trebui să desemneze un responsabil pentru evaluare, să utilizeze documentația tehnică și instrucțiunile de utilizare ale furnizorului ca elemente de intrare și să creeze un dosar versional care să poată fi prezentat autorităților de supraveghere la cerere.
Obligații Esențiale
- Efectuarea unei evaluări a impactului asupra drepturilor fundamentale înainte de implementarea oricărui sistem de IA cu risc ridicat în domeniul de aplicare al operatorului, acoperind utilizarea prevăzută, persoanele afectate, riscurile identificate și măsurile de atenuare planificate.
- Documentarea evaluării în scris și păstrarea acesteia pentru inspecție de către autoritățile competente și autoritățile de supraveghere a pieței la cerere.
- Notificarea autorității de supraveghere a pieței relevante înainte de implementare, acolo unde este impusă de categoria specifică de sistem de IA cu risc ridicat listată în Anexa III.
- Utilizarea informațiilor și instrucțiunilor de utilizare furnizate de furnizorul sistemului de IA în temeiul Articolului 13 ca element de intrare obligatoriu pentru evaluare.
- Actualizarea evaluării atunci când contextul de implementare se modifică semnificativ, inclusiv modificări ale categoriilor de persoane afectate, ale scopului de utilizare sau ale profilului de risc al sistemului.
- Acolo unde este necesară și o evaluare a impactului asupra protecției datelor în temeiul Articolului 35 din RGPD, cele două evaluări pot fi efectuate în comun pentru a reduce sarcina administrativă, cu condiția ca toate elementele ambelor să fie acoperite.
Relația cu Alte Articole
Articolul 27 se află în Capitolul 3 al Titlului III, care distribuie obligațiile între furnizori și operatori. Trebuie citit împreună cu Articolul 26 (obligațiile operatorilor în general), care stabilește obligația mai largă a operatorilor de a utiliza sistemele cu risc ridicat în conformitate cu instrucțiunile furnizorului și de a implementa supravegherea umană. FRIA se bazează direct pe informațiile pe care furnizorul este obligat să le furnizeze în temeiul Articolului 13 (transparență și furnizare de informații operatorilor) și al Articolului 16(d) (obligația furnizorului de a întocmi documentația tehnică).
Articolul 27(4) creează o legătură procedurală directă cu RGPD: acolo unde este necesară și o DPIA în temeiul Articolului 35 din Regulamentul (UE) 2016/679, cele două evaluări pot fi contopite. Această conexiune este deosebit de relevantă pentru operatorii care prelucrează date cu caracter personal, ceea ce va fi cazul în majoritatea contextelor reglementate acoperite de Anexa III.
Articolul 27 se conectează, de asemenea, cu Articolul 72 (supravegherea pieței) și Articolul 74 (accesul la date), deoarece evaluarea finalizată trebuie să fie disponibilă autorităților competente care exercită funcții de supraveghere.
Calendarul de Conformitate
Regulamentul UE privind IA a intrat în vigoare la 1 august 2024 (douăzeci de zile după publicarea în Jurnalul Oficial la 12 iulie 2024). Dispozițiile sale se aplică în etape:
- 2 februarie 2025 — Interdicțiile privind practicile de IA cu risc inacceptabil (Articolul 5) au devenit aplicabile.
- 2 august 2025 — Obligațiile privind modelele de IA de uz general (Titlul VIII, Capitolul 2) și dispozițiile de guvernanță au devenit aplicabile.
- 2 decembrie 2026 — Obligațiile pentru sistemele de IA cu risc ridicat listate în Anexa I (legislația privind siguranța produselor) devin aplicabile.
- 2 august 2027 — Obligațiile pentru sistemele de IA cu risc ridicat listate în Anexa III (sisteme autonome cu risc ridicat, inclusiv cele mai susceptibile de a declanșa FRIA în temeiul Articolului 27 în domenii precum ocuparea forței de muncă, educația, identificarea biometrică și accesul la servicii publice) devin aplicabile.
Articolul 27 se încadrează în regimul obligațiilor operatorilor cu risc ridicat și, prin urmare, devine executoriu la 2 august 2027 pentru sistemele din Anexa III și la 2 decembrie 2026 pentru sistemele din Anexa I. Operatorii nu ar trebui să aștepte până la aceste termene: construirea proceselor FRIA acum permite organizațiilor să identifice și să remedieze riscurile la adresa drepturilor fundamentale înainte de începerea aplicării și să alinieze evaluările cu programele DPIA în curs în temeiul RGPD.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Articolul 27 se aplică în mod specific operatorilor de sisteme de IA cu risc ridicat care sunt organisme de drept public, astfel cum sunt definite în Directiva 2014/24/UE, sau entităților private care furnizează servicii de natură publică, cum ar fi servicii bancare, asigurări, asistență medicală sau educație. Nu toți operatorii sunt vizați — companiile private care operează exclusiv în contexte comerciale fără o dimensiune de serviciu public sunt, în general, în afara domeniului de aplicare al acestei obligații specifice, deși rămân supuse altor obligații ale operatorilor în temeiul Regulamentului IA.
Evaluarea trebuie efectuată înainte de implementarea sistemului de IA cu risc ridicat. Este o obligație pre-implementare, ceea ce înseamnă că operatorul trebuie să efectueze și să documenteze evaluarea înainte de punerea în funcțiune a sistemului. Evaluarea trebuie actualizată atunci când există modificări semnificative ale contextului de implementare sau ale utilizării sistemului.
Evaluarea conformității în temeiul Articolului 43 este efectuată de furnizor sau în numele acestuia pentru a verifica că sistemul de IA îndeplinește cerințele tehnice ale Capitolului 2 înainte de introducerea pe piață. FRIA în temeiul Articolului 27 este efectuată de operator pentru a evalua impactul concret asupra drepturilor fundamentale în contextul specific de implementare. Sunt complementare: evaluarea conformității abordează conformitatea intrinsecă a sistemului, în timp ce FRIA abordează impactul real asupra persoanelor fizice într-un anumit caz de utilizare.
Articolul 27 nu impune explicit auditul extern. Evaluarea poate fi finalizată intern de operator. Cu toate acestea, operatorii trebuie să notifice autoritatea de supraveghere a pieței relevantă înainte de implementare în anumite cazuri, iar evaluarea documentată trebuie pusă la dispoziția autorităților competente la cerere. Implicarea expertizei externe este o bună practică, în special pentru contexte de implementare complexe sau sensibile.
Operatorii trebuie să utilizeze informațiile puse la dispoziție de furnizor în temeiul Articolului 13 (transparență și furnizare de informații) și instrucțiunile de utilizare. Furnizorii sunt obligați să furnizeze informații suficiente despre scopul intenționat, capacitățile, limitările și riscurile sistemului, pentru a permite operatorilor să efectueze o evaluare semnificativă a impacturilor asupra drepturilor fundamentale.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.