AI ACT – najważniejsze kroki do zgodności

3918

Nowe przepisy dotyczące sztucznej inteligencji wchodzą w życie – a AI Act to nie regulacja, którą można zignorować. Jeśli tworzysz lub wdrażasz systemy AI, sprawdź, jakie konkretne działania musisz podjąć, by Twoje rozwiązania były zgodne z prawem i gotowe na kontrolę. Artykuł powstał w ramach projektu Miesiąc Partnera Klastra, którego partnerem w marcu jest kancelaria IPSO LEGAL.


Wprowadzenie

Wraz z wejściem w życie AI Act (Akt o Sztucznej Inteligencji) dostawcy systemów AI, zwłaszcza tych uznanych za wysokiego ryzyka, będą musieli dostosować swoje produkty do nowych regulacji. To pierwsze na świecie tak kompleksowe prawo dotyczące sztucznej inteligencji, które narzuca rygorystyczne wymagania dotyczące zgodności, przejrzystości i bezpieczeństwa. Dla wielu firm – zwłaszcza startupów i dynamicznie rozwijających się organizacji technologicznych – wdrożenie AI Act może być sporym wyzwaniem.

Aby ułatwić ten proces, kancelaria IPSO LEGAL przygotowała checklistę zgodności z AI Act, która podpowie, na co zwrócić szczególną uwagę podczas dostosowywania systemów AI do nowych przepisów. Od analizy ryzyka, przez wdrożenie procedur zarządzania jakością, po monitorowanie systemu po wdrożeniu – oto kluczowe kroki, które powinien podjąć każdy dostawca AI.

5 kroków, które musisz mieć na uwadze

  1. Konieczność analizy ryzyka i klasyfikacji systemu: Pierwszym wyzwaniem dla dostawcy jest ustalenie, czy jego system AI podlega pod kategorię „wysokiego ryzyka”. AI Act zawiera definicje i listę takich systemów. W praktyce może to wymagać konsultacji prawnej lub eksperckiej analizy – niektóre zastosowania są oczywiste (np. AI służące do oceny ryzka ubezpieczenia zdrowotnego jest wprost wymieniona jako wysokiego ryzyka), ale inne mogą znajdować się na pograniczu. 

Zalecenie: Dostawcy powinni jak najwcześniej przeprowadzić ocenę, czy dany projekt AI będzie objęty tą kategorią. Dzięki temu już na starcie można zaplanować odpowiednie działania (np. wdrożenie systemu jakości, procedur testowych) zamiast dodawać je dopiero na końcu projektu pod presją czasu.

  1. Integracja wymogów w cykl rozwoju oprogramowania: Firmy tworzące AI często posługują się zwinnymi metodykami (Agile), skupiając się na szybkim prototypowaniu i iteracyjnym doskonaleniu modeli. Wymogi AI Act – takie jak obszerna dokumentacja, formalne testy i procedury jakości – mogą wydawać się z innej bajki niż startupowa kultura MVP. To oznacza potrzebę adaptacji do nowej rzeczywistości. Nie znaczy to, że innowacyjność musi zostać zastąpiona biurokracją; raczej należy wpleść elementy zgodności w istniejące ramy pracy. Przykładowo, warto wyznaczyć członka zespołu (lub delegować część zadań na zewnątrz) odpowiedzialnego za zgodność z regulacjami, który będzie na bieżąco tworzyć wymaganą dokumentację równolegle z rozwojem produktu. Można też skorzystać z narzędzi automatyzujących część zadań (np. generowanie logów, raportów z testów).

Zalecenie: Już na etapie planowania projektu AI uwzględnij w harmonogramie czas i zasoby na spełnienie wymogów prawnych – to zapobiegnie sytuacji, w której produkt jest gotowy technicznie, ale nie może zostać wydany z powodu braków formalnych.

  1. Wdrożenie systemu zarządzania jakością: Dla wielu firm programistycznych posiadanie formalnego systemu zarządzania jakością będzie nowością. Implementacja QMS wiąże się z opracowaniem dokumentacji wewnętrznej (polityk, procedur), przeszkoleniem personelu, a często także zmianą pewnych przyzwyczajeń (np. dokładniejszego dokumentowania prac czy wprowadzenia dodatkowych etapów kontroli jakości). Może to być czasochłonne i początkowo postrzegane jako obciążenie.

Zalecenie: Rozważ wdrożenie znanych standardów jakości, które mogą ułatwić spełnienie wymogów AI Act – np. ISO 9001 (ogólne zarządzanie jakością) czy nawet nowych standardów specyficznych dla AI np. ISO 42001. Skorzystaj z doświadczeń branż, które od lat działają w reżimach regulacyjnych (np. branża wyrobów medycznych czy farmaceutyczna) – być może współpraca z osobą z doświadczeniem w tych sektorach pomoże sprawnie zaadaptować dobre praktyki. Warto też stworzyć zespół ds. zgodności, który będzie czuwał nad wszystkimi aspektami wypełniania obowiązków (od dokumentacji po kontakt z organami).

  1. Zabezpieczenie odpowiednich zasobów i kompetencji: Wymagania AI Act nie ograniczają się do samego działu IT czy R&D. Potrzebne będzie zaangażowanie multidyscyplinarne – prawników (do interpretacji przepisów, komunikacji z organami, przygotowania formalnych deklaracji), inżynierów oprogramowania (do implementacji funkcji takich jak logging, mechanizmy bezpieczeństwa), specjalistów od bezpieczeństwa informacji (cyberbezpieczeństwo jest jednym z elementów „solidności” systemu), a nawet ekspertów od etyki AI czy zarządzania danymi (by zadbać o kwestię nienacechowanych uprzedzeniami danych treningowych). Dla mniejszych firm skompletowanie tak szerokich kompetencji wewnętrznie może być trudne.

Zalecenie: Nie bój się sięgać po wsparcie zewnętrzne – konsultantów, kancelarie prawne specjalizujące się w nowych technologiach, firmy doradcze od compliance czy audytorów IT. W dłuższej perspektywie rozważ zatrudnienie (lub wyznaczenie) osoby odpowiedzialnej za compliance AI w swojej organizacji, który będzie na bieżąco śledził zmiany regulacyjne i standardy, a także koordynował działania różnych działów firmy w zakresie spełniania wymogów.

  1. Planowanie monitorowania i reagowania po wdrożeniu: Zgodność z AI Act to nie jednorazowy akt w momencie wypuszczenia produktu. To proces ciągły, trwający przez cały czas obecności systemu na rynku. Oznacza to, że dostawca musi prowadzić monitoring działania AI, zbierać opinie użytkowników, śledzić ewentualne incydenty czy błędy i doskonalić system. Trzeba też pamiętać o obowiązkach raportowania poważnych incydentów do organów (AI Act przewiduje np. zgłaszanie poważnych naruszeń bezpieczeństwa związanych z AI w określonych terminach). To wszystko wymaga ustanowienia wewnętrznych procedur i gotowości do reakcji.

Zalecenie: Przygotuj plan monitorowania swojego systemu po wprowadzeniu na rynek. Zdefiniuj, jakie dane będą zbierane (np. statystyki działania, przypadki błędnych wyników), kto będzie je analizował i jak często. Stwórz też plan awaryjny na wypadek wykrycia poważnego problemu – z góry określ, kto decyduje o ewentualnym wycofaniu produktu, jak przebiega komunikacja z klientami i organami nadzoru. Mając taki plan, w sytuacji kryzysowej zareagujesz szybko i zgodnie z prawem, minimalizując negatywne skutki.

Podsumowanie

Dostosowanie się do wymogów AI Act nie jest jednorazowym procesem, lecz długofalowym zobowiązaniem obejmującym całość cyklu życia systemu AI. Firmy, które podejdą do tego strategicznie, zyskują nie tylko zgodność z regulacjami, ale także przewagę konkurencyjną – większe zaufanie użytkowników, lepszą jakość systemów i zmniejszone ryzyko prawne.

Największym błędem, jaki można popełnić, jest odkładanie dostosowania do AI Act na ostatnią chwilę. Wczesna analiza ryzyka, integracja wymogów prawnych w proces tworzenia AI, wdrożenie systemu zarządzania jakością i planowanie monitorowania działania systemu po wdrożeniu – to kluczowe elementy, które pozwolą uniknąć problemów i potencjalnych kar.

Warto również pamiętać, że maksymalne sankcje za nieprzestrzeganie AI Act mogą wynosić nawet 30 milionów euro lub 6% globalnego rocznego obrotu firmy. Dlatego lepiej wcześniej zadbać o zgodność i traktować ją jako element strategii rozwoju, a nie tylko biurokratyczny obowiązek.

Masz wątpliwości, czy system AI nad którym pracujesz spełnia wymagania AI Act? Zastanawiasz się, jak skutecznie wdrożyć procedury zgodne z nowymi przepisami? Kancelaria IPSO LEGAL specjalizuje się w doradztwie prawnym dla branży lifescience. Wsparcie obejmuje m.in.:

  • doradztwo w zakresie odpowiedzialności prawnej za AI
  • opracowanie polityki compliance i dokumentacji związanej z systemami AI
  • weryfikację regulaminów i polityk wewnętrznych
  • wdrożenie systemów zarządzania jakością,
  • doradztwo w zakresie działań naprawczych i post-market monitoring.

Jak możesz się skontaktować z IPSO LEGAL? Wyślij wiadomość na: office@ipsolegal.pl lub odwiedź stronę: www.ipsolegal.pl.

Materiały do powyższego artykułu zostały dostarczone przez firmę IPSO LEGAL.

Poprzedni artykułAI ACT – zakazane praktyki w kontekście branży Life Science
Następny artykułPoznaj swój mikrobiom – razem zadbacie o jakość twojego życia