Implicatii juridice pentru angajatori din perspectiva GDPR si a Regulamentului AI
1. Regulamentul AI – obligatii si pentru organizatiile care utilizeaza sistemele de AI
Regulamentul UE privind inteligenta artificiala (Regulamentul AI) stabileste un cadru normativ obligatoriu pentru operatorii economici implicati in furnizarea, implementarea, importul si distributia sistemelor de AI. Desi acesta a intrat in vigoare inca de la 1 august 2024, majoritatea prevederilor vor deveni aplicabile incepand cu data de 2 august 2026 (anumite aspecte urmand a fi deja aplicabile din 2025).
Sfera de aplicare a Regulamentului AI este una destul de extinsa. Acesta stabileste obligatii specifice inclusiv pentru entitatile care utilizeaza un sistem de AI aflat sub autoritatea acestora si care au sediul sau se afla pe teritoriul UE (denumiti „implementatori”). In concret, angajatorii care utilizeaza sisteme de AI in relatia cu angajatii sau candidatii in procesul de recrutare vor trebui sa tina cont de aceste cerinte atunci cand au in vedere achizitionarea si implementarea unor astfel de sisteme.
Regulamentul AI clasifica anumite sisteme de AI utilizate in contextul resurselor umane si ocuparii fortei de munca ca sisteme cu risc ridicat, care pot fi implementate, ca regula, doar cu respectarea anumitor obligatii specifice de transparenta si responsabilitate, esentiale pentru respectarea cadrului legal in vigoare si protejarea drepturilor persoanelor vizate. Astfel de sisteme pot viza:
- Recrutarea sau selectarea candidatilor (in special pentru a plasa anunturi de angajare directionate in mod specific, pentru a analiza si a filtra candidaturile pentru locuri de munca si pentru a evalua candidatii);
- Utilizarea pentru a lua decizii care afecteaza termenii relatiilor de munca;
- Promovarea si incetarea relatiilor contractuale de munca;
- Alocarea sarcinilor pe baza comportamentului individual sau a trasaturilor ori caracteristicilor personale ale angajatilor;
- Monitorizarea si evaluarea performantei si comportamentului angajatilor.
Regulamentul AI stabileste si anumite situatii de exceptie, in care sistemele de AI mentionate mai sus nu vor fi considerate ca prezentand un grad de risc ridicat, si anume daca nu prezinta un risc semnificativ de a aduce prejudicii sanatatii, sigurantei sau drepturilor fundamentale ale persoanelor fizice, inclusiv prin faptul ca nu influenteaza in mod semnificativ rezultatul procesului decizional.
Noutatea adusa de componenta de AI in sistemele si procesele automate utilizate pana acum in contextul relatiilor de munca poate fi componenta decizionala in baza careia, sistemul de AI poate aprecia rezultatul unui proces pe baza analizei informatiilor oferite.
Potrivit Regulamentului AI, aceste sisteme ar trebui clasificate ca prezentand un grad ridicat de risc intrucat ar putea avea un impact semnificativ asupra viitoarelor perspective de cariera, asupra mijloacelor de subzistenta si asupra drepturilor angajatilor. Astfel, in procesul de recrutare, precum si in evaluarea, promovarea sau mentinerea persoanelor in relatii contractuale de munca, se considera ca exista riscul ca sistemele de AI sa perpetueze tipare istorice de discriminare, sau atunci cand sunt utilizate pentru a monitoriza performanta si comportamentul persoanelor, ar putea conduce la afectarea drepturilor fundamentale la protectia datelor si la viata privata.
Mentionam pe scurt principalele obligatii prevazute de Regulamentul AI pentru implementatorii de sisteme de AI cu grad ridicat de risc (de exemplu angajatorii care utilizeaza astfel de sisteme):
- Informarea persoanelor fizice ca fac obiectul utilizarii sistemului de AI cu grad ridicat de risc, atunci cand sistemul ia decizii sau contribuie la luarea deciziilor referitoare la persoane fizice;
- Informarea reprezentantilor angajatilor si angajatilor afectati ca vor face obiectul utilizarii sistemului de AI, inainte de punerea in functiune sau de utilizarea unui sistem de AI cu grad ridicat de risc la locul de munca, de catre implementatorii care sunt angajatori;
- Implementarea de masuri tehnice si organizatorice corespunzatoare pentru a se asigura ca utilizeaza astfel de sisteme in conformitate cu instructiunile de utilizare;
- Asigurarea unei supravegheri umane incredintate unor persoane fizice care au competenta, formarea, autoritatea si sprijinul necesar;
- Asigurarea faptului ca datele de intrare sunt relevante si suficient de reprezentative in raport cu scopul preconizat al sistemului de AI (daca implementatorul are control asupra datelor respective);
- Pastrarea fisierelor de jurnalizare generate automat de respectivele sisteme de AI (logs), in masura in care fisierele se afla sub controlul implementatorilor, pentru o perioada adecvata scopului preconizat al sistemului de AI, de cel putin sase luni, daca nu se prevede altfel in lege;
- Monitorizarea functionarii sistemului de AI pe baza instructiunilor de utilizare, precum si anumite obligatii de notificare fata de furnizor, importator, distribuitor sau autoritatea competenta.
De asemenea, Regulamentul AI prevede si anumite practici interzise in domeniul AI, printre care si utilizarea unor sisteme de AI pentru a deduce emotiile unei persoane fizice in sfera locului de munca.
2. GDPR in continuare un punct important pe agenda.
Implementarea cerintelor GDPR ar trebui sa fie in continuare un punct important pe agenda organizatiilor care utilizeaza sisteme de AI care implica prelucrarea datelor cu caracter personal, GDPR fiind aplicabil alaturi de Regulamentul AI. Recent, autoritatea de protectie a datelor din UK (ICO) a publicat un material util cu recomandari pentru entitatile care desfasoara activitati de recrutare cu utilizarea sistemelor de AI (Instrumente AI in recrutare. Raportul rezultatelor auditului – Noiembrie 2024).
Astfel, pe langa obligatiile prevazute de Regulamentul AI, inainte de implementarea unui sistem de AI, angajatorii ar trebui sa aiba in vedere si masurile necesare pentru conformarea cu GDPR, cum ar fi:
- Stabilirea clara a scopurilor si temeiurilor pentru datele prelucrate prin intermediul sistemului de AI. ICO mentioneaza de exemplu ca posibile temeiuri consimtamantul sau interesul legitim, insa acesta va trebui determinat de la caz la caz, tinand cont si de posibila calificare a activitatii ca proces decizional individual automatizat in sensul GDPR;
De asemenea, este important ca organizatia sa inteleaga modul de functionare a sistemului de AI, pentru a putea interpreta si utiliza rezultatul in mod corespunzator, si sa tina cont de cerinta minimizarii datelor prelucrate;
- Actualizarea notelor de informare a persoanelor vizate cu privire la prelucrarea datelor prin intermediul sistemelor de AI;
- Analiza relatiei cu furnizorul sistemului de AI din perspectiva rolurilor avute in activitatea de prelucrare (operator/persoana imputernicita) si documentarea acesteia, inclusiv din perspectiva garantiilor de securitate a datelor;
De exemplu, ICO mentioneaza ca atunci cand furnizorul AI utilizeaza datele personale primite de la mai multi angajatori pentru a dezvolta, testa sau antrena un model central AI pe care sa il puna la dispozitia tuturor angajatorilor, ar putea fi considerat ca operator de date. In schimb, daca furnizorul AI antreneaza sistemul de AI sau algoritmul doar cu datele unui anumit angajator, si doar pentru uzul respectivului angajator, in baza unor instructiuni explicite, acesta ar putea actiona de fapt ca o persoana imputernicita in sensul GDPR.
- Daca utilizarea sistemelor de AI implica monitorizarea angajatilor pe baza interesului legitim, trebuie avute in vedere si cerintele prevazute de Legea 190/2018 (de exemplu, posibilitatea de a demonstra ca alte modalitati mai putin intruzive pentru atingerea scopului urmarit nu si-au dovedit anterior eficienta, intocmirea unei analize a interesului legitim, consultarea sindicatului sau a reprezentantilor angajatilor, durata limitata de stocare);
- Efectuarea unei evaluari a impactului asupra protectiei datelor, atunci cand utilizarea sistemelor de AI poate crea un risc ridicat fata de persoanele vizate;
- Intocmirea unei politici interne de utilizare a sistemelor de AI poate fi de asemenea un instrument util care sa ajute organizatia in procesul de conformare.
In concluzie, implementarea sistemelor de inteligenta artificiala in contextul relatiilor de munca necesita o abordare atenta si riguroasa din partea angajatorilor in calitatea acestora de implementatori si operatori, atat din perspectiva obligatiilor impuse de Regulamentul AI, cat si a celor legate de protectia datelor cu caracter personal.