Utilizarea sistemelor bazate pe inteligența artificială în contextul relațiilor de muncă; Implicații juridice pentru angajatori din perspectiva GDPR și a Regulamentului AI (Filip&Company)

Autori: Ioan Dumitrașcu (partner), Diana Gavra (senior associate), Christiana Bouleanu (associate) – Filip&Company

1. Regulamentul AI – obligații și pentru organizațiile care utilizează sistemele de AI

Regulamentul UE privind inteligența artificială (Regulamentul AI) stabilește un cadru normativ obligatoriu pentru operatorii economici implicați în furnizarea, implementarea, importul și distribuția sistemelor de AI. Deși acesta a intrat în vigoare încă de la 1 august 2024, majoritatea prevederilor vor deveni aplicabile începând cu data de 2 august 2026 (anumite aspecte urmând a fi deja aplicabile din 2025).

Sfera de aplicare a Regulamentului AI este una destul de extinsă. Acesta stabilește obligații specifice inclusiv pentru entitățile care utilizează un sistem de AI aflat sub autoritatea acestora și care au sediul sau se află pe teritoriul UE (denumiți „implementatori”). În concret, angajatorii care utilizează sisteme de AI în relația cu angajații sau candidații în procesul de recrutare vor trebui să țină cont de aceste cerințe atunci când au în vedere achiziționarea și implementarea unor astfel de sisteme.

Regulamentul AI clasifică anumite sisteme de AI utilizate în contextul resurselor umane și ocupării forței de muncă ca sisteme cu risc ridicat, care pot fi implementate, ca regulă, doar cu respectarea anumitor obligații specifice de transparență și responsabilitate, esențiale pentru respectarea cadrului legal în vigoare și protejarea drepturilor persoanelor vizate. Astfel de sisteme pot viza:

• Recrutarea sau selectarea candidaților (în special pentru a plasa anunțuri de angajare direcționate în mod specific, pentru a analiza și a filtra candidaturile pentru locuri de muncă și pentru a evalua candidații);
• Utilizarea pentru a lua decizii care afectează termenii relațiilor de muncă;
• Promovarea și încetarea relațiilor contractuale de muncă;
• Alocarea sarcinilor pe baza comportamentului individual sau a trăsăturilor ori caracteristicilor personale ale angajaților;
• Monitorizarea și evaluarea performanței și comportamentului angajaților.

Regulamentul AI stabilește și anumite situații de excepție, în care sistemele de AI menționate mai sus nu vor fi considerate ca prezentând un grad de risc ridicat, și anume dacă nu prezintă un risc semnificativ de a aduce prejudicii sănătății, siguranței sau drepturilor fundamentale ale persoanelor fizice, inclusiv prin faptul că nu influențează în mod semnificativ rezultatul procesului decizional.

Noutatea adusă de componenta de AI în sistemele și procesele automate utilizate până acum în contextul relațiilor de muncă poate fi componenta decizională în baza căreia, sistemul de AI poate aprecia rezultatul unui proces pe baza analizei informațiilor oferite.

Potrivit Regulamentului AI, aceste sisteme ar trebui clasificate ca prezentând un grad ridicat de risc întrucât ar putea avea un impact semnificativ asupra viitoarelor perspective de carieră, asupra mijloacelor de subzistență și asupra drepturilor angajaților. Astfel, în procesul de recrutare, precum și în evaluarea, promovarea sau menținerea persoanelor în relații contractuale de muncă, se consideră că există riscul ca sistemele de AI să perpetueze tipare istorice de discriminare, sau atunci când sunt utilizate pentru a monitoriza performanța și comportamentul persoanelor, ar putea conduce la afectarea drepturilor fundamentale la protecția datelor și la viața privată.

Menționăm pe scurt principalele obligații prevăzute de Regulamentul AI pentru implementatorii de sisteme de AI cu grad ridicat de risc (de exemplu angajatorii care utilizează astfel de sisteme):

• Informarea persoanelor fizice că fac obiectul utilizării sistemului de AI cu grad ridicat de risc, atunci când sistemul ia decizii sau contribuie la luarea deciziilor referitoare la persoane fizice;
• Informarea reprezentanților angajaților și angajaților afectați că vor face obiectul utilizării sistemului de AI, înainte de punerea în funcțiune sau de utilizarea unui sistem de AI cu grad ridicat de risc la locul de muncă, de către implementatorii care sunt angajatori;
• Implementarea de măsuri tehnice și organizatorice corespunzătoare pentru a se asigura că utilizează astfel de sisteme în conformitate cu instrucțiunile de utilizare;
• Asigurarea unei supravegheri umane încredințate unor persoane fizice care au competența, formarea, autoritatea și sprijinul necesar;
• Asigurarea faptului că datele de intrare sunt relevante și suficient de reprezentative în raport cu scopul preconizat al sistemului de AI (dacă implementatorul are control asupra datelor respective);
• Păstrarea fișierelor de jurnalizare generate automat de respectivele sisteme de AI (logs), în măsura în care fișierele se află sub controlul implementatorilor, pentru o perioadă adecvată scopului preconizat al sistemului de AI, de cel puțin șase luni, dacă nu se prevede altfel în lege;
• Monitorizarea funcționării sistemului de AI pe baza instrucțiunilor de utilizare, precum și anumite obligații de notificare față de furnizor, importator, distribuitor sau autoritatea competentă.

De asemenea, Regulamentul AI prevede și anumite practici interzise în domeniul AI, printre care și utilizarea unor sisteme de AI pentru a deduce emoțiile unei persoane fizice în sfera locului de muncă.

2. GDPR în continuare un punct important pe agendă.

Implementarea cerințelor GDPR ar trebui să fie în continuare un punct important pe agenda organizațiilor care utilizează sisteme de AI care implică prelucrarea datelor cu caracter personal, GDPR fiind aplicabil alături de Regulamentul AI. Recent, autoritatea de protecție a datelor din UK (ICO) a publicat un material util cu recomandări pentru entitățile care desfășoară activități de recrutare cu utilizarea sistemelor de AI (Instrumente AI în recrutare. Raportul rezultatelor auditului – Noiembrie 2024).

Astfel, pe lângă obligațiile prevăzute de Regulamentul AI, înainte de implementarea unui sistem de AI, angajatorii ar trebui să aibă în vedere și măsurile necesare pentru conformarea cu GDPR, cum ar fi:

• Stabilirea clară a scopurilor și temeiurilor pentru datele prelucrate prin intermediul sistemului de AI. ICO menționează de exemplu ca posibile temeiuri consimțământul sau interesul legitim, însă acesta va trebui determinat de la caz la caz, ținând cont și de posibila calificare a activității ca proces decizional individual automatizat în sensul GDPR;

De asemenea, este important ca organizația să înțeleagă modul de funcționare a sistemului de AI, pentru a putea interpreta și utiliza rezultatul în mod corespunzător, și să țină cont de cerința minimizării datelor prelucrate;

• Actualizarea notelor de informare a persoanelor vizate cu privire la prelucrarea datelor prin intermediul sistemelor de AI;
• Analiza relației cu furnizorul sistemului de AI din perspectiva rolurilor avute în activitatea de prelucrare (operator/persoană împuternicită) și documentarea acesteia, inclusiv din perspectiva garanțiilor de securitate a datelor;

De exemplu, ICO menționează că atunci când furnizorul AI utilizează datele personale primite de la mai mulți angajatori pentru a dezvolta, testa sau antrena un model central AI pe care să îl pună la dispoziția tuturor angajatorilor, ar putea fi considerat ca operator de date. În schimb, dacă furnizorul AI antrenează sistemul de AI sau algoritmul doar cu datele unui anumit angajator, și doar pentru uzul respectivului angajator, în baza unor instrucțiuni explicite, acesta ar putea acționa de fapt ca o persoană împuternicită în sensul GDPR.

• Dacă utilizarea sistemelor de AI implică monitorizarea angajaților pe baza interesului legitim, trebuie avute în vedere și cerințele prevăzute de Legea 190/2018 (de exemplu, posibilitatea de a demonstra că alte modalități mai puțin intruzive pentru atingerea scopului urmărit nu și-au dovedit anterior eficiența, întocmirea unei analize a interesului legitim, consultarea sindicatului sau a reprezentanților angajaților, durata limitată de stocare);
• Efectuarea unei evaluări a impactului asupra protecției datelor, atunci când utilizarea sistemelor de AI poate crea un risc ridicat față de persoanele vizate;
• Întocmirea unei politici interne de utilizare a sistemelor de AI poate fi de asemenea un instrument util care să ajute organizația în procesul de conformare.

În concluzie, implementarea sistemelor de inteligență artificială în contextul relațiilor de muncă necesită o abordare atentă și riguroasă din partea angajatorilor în calitatea acestora de implementatori și operatori, atât din perspectiva obligațiilor impuse de Regulamentul AI, cât și a celor legate de protecția datelor cu caracter personal.