Utilizarea sistemelor bazate pe inteligența artificială în contextul relațiilor de muncă
19 Noiembrie 2024
Ioan Dumitrașcu (partner), Diana Gavra (senior associate), Christiana Bouleanu (associate) - Filip & CompanyImplicații juridice pentru angajatori din perspectiva GDPR și a Regulamentului AI
1. Regulamentul AI – obligații și pentru organizațiile care utilizează sistemele de AI
Regulamentul UE privind inteligența artificială (Regulamentul AI) stabilește un cadru normativ obligatoriu pentru operatorii economici implicați în furnizarea, implementarea, importul și distribuția sistemelor de AI. Deși acesta a intrat în vigoare încă de la 1 august 2024, majoritatea prevederilor vor deveni aplicabile începând cu data de 2 august 2026 (anumite aspecte urmând a fi deja aplicabile din 2025).
Sfera de aplicare a Regulamentului AI este una destul de extinsă. Acesta stabilește obligații specifice inclusiv pentru entitățile care utilizează un sistem de AI aflat sub autoritatea acestora și care au sediul sau se află pe teritoriul UE (denumiți „implementatori”). În concret, angajatorii care utilizează sisteme de AI în relația cu angajații sau candidații în procesul de recrutare vor trebui să țină cont de aceste cerințe atunci când au în vedere achiziționarea și implementarea unor astfel de sisteme.
Regulamentul UE privind inteligența artificială (Regulamentul AI) stabilește un cadru normativ obligatoriu pentru operatorii economici implicați în furnizarea, implementarea, importul și distribuția sistemelor de AI. Deși acesta a intrat în vigoare încă de la 1 august 2024, majoritatea prevederilor vor deveni aplicabile începând cu data de 2 august 2026 (anumite aspecte urmând a fi deja aplicabile din 2025).
Sfera de aplicare a Regulamentului AI este una destul de extinsă. Acesta stabilește obligații specifice inclusiv pentru entitățile care utilizează un sistem de AI aflat sub autoritatea acestora și care au sediul sau se află pe teritoriul UE (denumiți „implementatori”). În concret, angajatorii care utilizează sisteme de AI în relația cu angajații sau candidații în procesul de recrutare vor trebui să țină cont de aceste cerințe atunci când au în vedere achiziționarea și implementarea unor astfel de sisteme.
Regulamentul AI clasifică anumite sisteme de AI utilizate în contextul resurselor umane și ocupării forței de muncă ca sisteme cu risc ridicat, care pot fi implementate, ca regulă, doar cu respectarea anumitor obligații specifice de transparență și responsabilitate, esențiale pentru respectarea cadrului legal în vigoare și protejarea drepturilor persoanelor vizate.
Astfel de sisteme pot viza:
• Recrutarea sau selectarea candidaților (în special pentru a plasa anunțuri de angajare direcționate în mod specific, pentru a analiza și a filtra candidaturile pentru locuri de muncă și pentru a evalua candidații);
• Utilizarea pentru a lua decizii care afectează termenii relațiilor de muncă;
• Promovarea și încetarea relațiilor contractuale de muncă;
• Alocarea sarcinilor pe baza comportamentului individual sau a trăsăturilor ori caracteristicilor personale ale angajaților;
• Monitorizarea și evaluarea performanței și comportamentului angajaților.
• Utilizarea pentru a lua decizii care afectează termenii relațiilor de muncă;
• Promovarea și încetarea relațiilor contractuale de muncă;
• Alocarea sarcinilor pe baza comportamentului individual sau a trăsăturilor ori caracteristicilor personale ale angajaților;
• Monitorizarea și evaluarea performanței și comportamentului angajaților.
Regulamentul AI stabilește și anumite situații de excepție, în care sistemele de AI menționate mai sus nu vor fi considerate ca prezentând un grad de risc ridicat, și anume dacă nu prezintă un risc semnificativ de a aduce prejudicii sănătății, siguranței sau drepturilor fundamentale ale persoanelor fizice, inclusiv prin faptul că nu influențează în mod semnificativ rezultatul procesului decizional.
Noutatea adusă de componenta de AI în sistemele și procesele automate utilizate până acum în contextul relațiilor de muncă poate fi componenta decizională în baza căreia, sistemul de AI poate aprecia rezultatul unui proces pe baza analizei informațiilor oferite.
Potrivit Regulamentului AI, aceste sisteme ar trebui clasificate ca prezentând un grad ridicat de risc întrucât ar putea avea un impact semnificativ asupra viitoarelor perspective de carieră, asupra mijloacelor de subzistență și asupra drepturilor angajaților. Astfel, în procesul de recrutare, precum și în evaluarea, promovarea sau menținerea persoanelor în relații contractuale de muncă, se consideră că există riscul ca sistemele de AI să perpetueze tipare istorice de discriminare, sau atunci când sunt utilizate pentru a monitoriza performanța și comportamentul persoanelor, ar putea conduce la afectarea drepturilor fundamentale la protecția datelor și la viața privată.
Menționăm pe scurt principalele obligații prevăzute de Regulamentul AI pentru implementatorii de sisteme de AI cu grad ridicat de risc (de exemplu angajatorii care utilizează astfel de sisteme):
• Informarea persoanelor fizice că fac obiectul utilizării sistemului de AI cu grad ridicat de risc, atunci când sistemul ia decizii sau contribuie la luarea deciziilor referitoare la persoane fizice;
• Informarea reprezentanților angajaților și angajaților afectați că vor face obiectul utilizării sistemului de AI, înainte de punerea în funcțiune sau de utilizarea unui sistem de AI cu grad ridicat de risc la locul de muncă, de către implementatorii care sunt angajatori;
• Implementarea de măsuri tehnice și organizatorice corespunzătoare pentru a se asigura că utilizează astfel de sisteme în conformitate cu instrucțiunile de utilizare;
• Asigurarea unei supravegheri umane încredințate unor persoane fizice care au competența, formarea, autoritatea și sprijinul necesar;
• Asigurarea faptului că datele de intrare sunt relevante și suficient de reprezentative în raport cu scopul preconizat al sistemului de AI (dacă implementatorul are control asupra datelor respective);
• Păstrarea fișierelor de jurnalizare generate automat de respectivele sisteme de AI (logs), în măsura în care fișierele se află sub controlul implementatorilor, pentru o perioadă adecvată scopului preconizat al sistemului de AI, de cel puțin șase luni, dacă nu se prevede altfel în lege;
• Monitorizarea funcționării sistemului de AI pe baza instrucțiunilor de utilizare, precum și anumite obligații de notificare față de furnizor, importator, distribuitor sau autoritatea competentă.
• Informarea reprezentanților angajaților și angajaților afectați că vor face obiectul utilizării sistemului de AI, înainte de punerea în funcțiune sau de utilizarea unui sistem de AI cu grad ridicat de risc la locul de muncă, de către implementatorii care sunt angajatori;
• Implementarea de măsuri tehnice și organizatorice corespunzătoare pentru a se asigura că utilizează astfel de sisteme în conformitate cu instrucțiunile de utilizare;
• Asigurarea unei supravegheri umane încredințate unor persoane fizice care au competența, formarea, autoritatea și sprijinul necesar;
• Asigurarea faptului că datele de intrare sunt relevante și suficient de reprezentative în raport cu scopul preconizat al sistemului de AI (dacă implementatorul are control asupra datelor respective);
• Păstrarea fișierelor de jurnalizare generate automat de respectivele sisteme de AI (logs), în măsura în care fișierele se află sub controlul implementatorilor, pentru o perioadă adecvată scopului preconizat al sistemului de AI, de cel puțin șase luni, dacă nu se prevede altfel în lege;
• Monitorizarea funcționării sistemului de AI pe baza instrucțiunilor de utilizare, precum și anumite obligații de notificare față de furnizor, importator, distribuitor sau autoritatea competentă.
De asemenea, Regulamentul AI prevede și anumite practici interzise în domeniul AI, printre care și utilizarea unor sisteme de AI pentru a deduce emoțiile unei persoane fizice în sfera locului de muncă.
2. GDPR în continuare un punct important pe agendă.
Implementarea cerințelor GDPR ar trebui să fie în continuare un punct important pe agenda organizațiilor care utilizează sisteme de AI care implică prelucrarea datelor cu caracter personal, GDPR fiind aplicabil alături de Regulamentul AI. Recent, autoritatea de protecție a datelor din UK (ICO) a publicat un material util cu recomandări pentru entitățile care desfășoară activități de recrutare cu utilizarea sistemelor de AI (Instrumente AI în recrutare. Raportul rezultatelor auditului – Noiembrie 2024).
Astfel, pe lângă obligațiile prevăzute de Regulamentul AI, înainte de implementarea unui sistem de AI, angajatorii ar trebui să aibă în vedere și măsurile necesare pentru conformarea cu GDPR, cum ar fi:
• Stabilirea clară a scopurilor și temeiurilor pentru datele prelucrate prin intermediul sistemului de AI. ICO menționează de exemplu ca posibile temeiuri consimțământul sau interesul legitim, însă acesta va trebui determinat de la caz la caz, ținând cont și de posibila calificare a activității ca proces decizional individual automatizat în sensul GDPR;
De asemenea, este important ca organizația să înțeleagă modul de funcționare a sistemului de AI, pentru a putea interpreta și utiliza rezultatul în mod corespunzător, și să țină cont de cerința minimizării datelor prelucrate;
• Actualizarea notelor de informare a persoanelor vizate cu privire la prelucrarea datelor prin intermediul sistemelor de AI;
• Analiza relației cu furnizorul sistemului de AI din perspectiva rolurilor avute în activitatea de prelucrare (operator/persoană împuternicită) și documentarea acesteia, inclusiv din perspectiva garanțiilor de securitate a datelor;
De exemplu, ICO menționează că atunci când furnizorul AI utilizează datele personale primite de la mai mulți angajatori pentru a dezvolta, testa sau antrena un model central AI pe care să îl pună la dispoziția tuturor angajatorilor, ar putea fi considerat ca operator de date. În schimb, dacă furnizorul AI antrenează sistemul de AI sau algoritmul doar cu datele unui anumit angajator, și doar pentru uzul respectivului angajator, în baza unor instrucțiuni explicite, acesta ar putea acționa de fapt ca o persoană împuternicită în sensul GDPR.
• Dacă utilizarea sistemelor de AI implică monitorizarea angajaților pe baza interesului legitim, trebuie avute în vedere și cerințele prevăzute de Legea 190/2018 (de exemplu, posibilitatea de a demonstra că alte modalități mai puțin intruzive pentru atingerea scopului urmărit nu și-au dovedit anterior eficiența, întocmirea unei analize a interesului legitim, consultarea sindicatului sau a reprezentanților angajaților, durata limitată de stocare);
• Efectuarea unei evaluări a impactului asupra protecției datelor, atunci când utilizarea sistemelor de AI poate crea un risc ridicat față de persoanele vizate;
• Întocmirea unei politici interne de utilizare a sistemelor de AI poate fi de asemenea un instrument util care să ajute organizația în procesul de conformare.
De asemenea, este important ca organizația să înțeleagă modul de funcționare a sistemului de AI, pentru a putea interpreta și utiliza rezultatul în mod corespunzător, și să țină cont de cerința minimizării datelor prelucrate;
• Actualizarea notelor de informare a persoanelor vizate cu privire la prelucrarea datelor prin intermediul sistemelor de AI;
• Analiza relației cu furnizorul sistemului de AI din perspectiva rolurilor avute în activitatea de prelucrare (operator/persoană împuternicită) și documentarea acesteia, inclusiv din perspectiva garanțiilor de securitate a datelor;
De exemplu, ICO menționează că atunci când furnizorul AI utilizează datele personale primite de la mai mulți angajatori pentru a dezvolta, testa sau antrena un model central AI pe care să îl pună la dispoziția tuturor angajatorilor, ar putea fi considerat ca operator de date. În schimb, dacă furnizorul AI antrenează sistemul de AI sau algoritmul doar cu datele unui anumit angajator, și doar pentru uzul respectivului angajator, în baza unor instrucțiuni explicite, acesta ar putea acționa de fapt ca o persoană împuternicită în sensul GDPR.
• Dacă utilizarea sistemelor de AI implică monitorizarea angajaților pe baza interesului legitim, trebuie avute în vedere și cerințele prevăzute de Legea 190/2018 (de exemplu, posibilitatea de a demonstra că alte modalități mai puțin intruzive pentru atingerea scopului urmărit nu și-au dovedit anterior eficiența, întocmirea unei analize a interesului legitim, consultarea sindicatului sau a reprezentanților angajaților, durata limitată de stocare);
• Efectuarea unei evaluări a impactului asupra protecției datelor, atunci când utilizarea sistemelor de AI poate crea un risc ridicat față de persoanele vizate;
• Întocmirea unei politici interne de utilizare a sistemelor de AI poate fi de asemenea un instrument util care să ajute organizația în procesul de conformare.
În concluzie, implementarea sistemelor de inteligență artificială în contextul relațiilor de muncă necesită o abordare atentă și riguroasă din partea angajatorilor în calitatea acestora de implementatori și operatori, atât din perspectiva obligațiilor impuse de Regulamentul AI, cât și a celor legate de protecția datelor cu caracter personal.
Publicitate pe BizLawyer? |
Articol 3 / 9035 | Următorul articol |
Publicitate pe BizLawyer? |
BREAKING NEWS
ESENTIAL
BeeFast primește o nouă finanțare în valoare de 450.000 USD pentru extinderea internațională și dezvoltare. Avocații Baciu Partners, în tranzacție, cu o echipă coordonată de Corina Roman (Partener)
LegiTeam: Lawyer - Corporate M&A | Reff & Associates
Managing Partner | Din vorbă în vorbă cu Vasile Băiculescu, unul dintre avocații noii generații și coordonator al firmei Băiculescu & Asociații, despre managementul unei firme de avocatură, strategii de creștere și performanță: ”Planul strategic trebuie să fie aliniat cu valorile și viziunea echipei, astfel încât strategia de dezvoltare să pornească din interiorul firmei și să fie susținută de expertiza externă. De-a lungul timpului, am colaborat frecvent cu experți din diverse domenii pentru a ne asigura că adoptăm cele mai bune practici”
LegiTeam | MITEL & ASOCIAȚII recrutează avocat cu experiență (Real Estate)
(VIDEO) INTERVIURI ESENȚIALE | Horea Popescu, Managing Partner CMS România: ”Am avut privilegiul de a fi implicați în câteva dintre tranzacțiile esențiale din economie. Cifrele arată foarte bine, am învățat ce trebuie să facem pentru a merge odată cu curentul, dar și împotriva acestuia, când este cazul”
LegiTeam: Voicu & Asociații is looking for business lawyers
2024 a fost un an aglomerat pentru Departamentul juridic al Farmexim & Help Net | De vorbă cu Mihaela Scărlătescu, Head of Legal and Compliance Director despre actele normative cu impact în activitatea companiei, modificările legislative așteptate și proiectele interesante în care a fost implicată echipa de avocați interni
GDPR | Echipa Mitel & Asociații a fost implicată în mai multe proiecte complexe, printre cele mai solicitante fiind cele legate de tranzacții de tip M&A, dezvoltarea unor aplicații și implementarea unor soluții de conformitate la scară largă, în industrii cu volume mari de date cu caracter personal. Mădălina Mitel, Partener: ”Anticipăm o creștere semnificativă a cererii pentru servicii de consultanță în domenii emergente precum AI, procese automatizate și date biometrice, pe măsură ce reglementările devin mai stricte și aplicarea normelor devine mai riguroasă”
Cine sunt și cum gândesc profesioniștii evidențiați de Legal 500 în GC Powerlist Romania | De vorbă cu Iulian Gânju, Head of Legal - Iulius Group: „Mi-a plăcut foarte mult această zonă de ‘in-house’ deoarece presupune o centrare pe respectarea legislației și corectitudine în procesele de business, idee care rezonează foarte mult și cu principiile și valorile la care mă raportez în fiecare zi”
GDPR | Avocații specializați în practica de Data Protection de la Reff & Asociații - Deloitte Legal spun că preocuparea pentru conformare excedează domeniul protecției datelor. Silvia Axinescu, Senior Managing Associate: ”Abordăm fiecare proiect într-o manieră holistică și recunoaștem că protecția datelor, deși foarte importantă, este doar o piesă a puzzle-ului”
GDPR | Respectarea legislației în domeniu pare că este mai degrabă formală, lipsind măsurile concrete capabile să asigure o protecție adecvată volumului foarte mare de date prelucrate, spun avocații D&B David și Baias. Daniel Vinerean, coordonatorul practicii de Protecția Datelor: De cele mai multe ori este mai ieftin sa plătești o amendă de până la 3.000 € decât să stabilești un plan concret, să achiziționezi tehnologie sau să angajezi un consultant capabil să conceapă și să implementeze măsuri adecvate
Arbitrajul ICSID cerut de Petrochemical Holding GmbH, legat de rafinări RAFO din Onești, a ajuns la final | Statul român așteaptă decizia, după ce Tribunalul a declarat închisă procedura în litigiul în care pretențiile se ridică la cca. 836 milioane USD. Ce onorarii au fost plătite firmelor de avocați care au asigurat apărarea
Citeste pe SeeNews Digital Network
-
BizBanker
-
BizLeader
- in curand...
-
SeeNews
in curand...