Obligatiile implementatorilor: ghid practic pentru echipe SaaS

Obligatiile implementatorilor din EU AI Act se aplica atunci cand o organizatie foloseste un sistem AI sub autoritatea sa. Pentru echipele SaaS, intrebarea nu este doar daca sistemul a fost construit intern sau cumparat de la un furnizor. Intrebarea operationala este cine controleaza folosirea, daca sistemul este high-risk, ce instructiuni trebuie urmate, cine face supravegherea umana si ce dovezi exista pentru loguri, monitorizare si incidente.

Articolul 26 cere implementatorilor de sisteme AI high-risk sa foloseasca sistemul conform instructiunilor, sa aloce supraveghere umana competenta, sa gestioneze datele de intrare atunci cand le controleaza, sa monitorizeze operarea, sa pastreze logurile generate automat sub controlul lor si sa actioneze in caz de risc sau incident grav. Uneori se adauga informari ale lucratorilor, verificari de inregistrare, suport DPIA sau evaluare de impact asupra drepturilor fundamentale.

Cand conteaza

O companie SaaS poate fi provider pentru o functie de client si implementator pentru un instrument intern sau third-party. Exemplele includ support triage, HR, scoring de risc, frauda, fluxuri financiare, reclamatii sau decizii care afecteaza clienti si angajati.

Analiza trebuie facuta pe workflow. Un document general despre AI in companie ascunde roluri diferite. Separati obligatiile implementatorului, provider obligations, transparenta, privacy, security, vendor risk si documentatia pentru clienti.

Registru operational

Creati un registru pentru fiecare workflow relevant. Includeti sistemul, furnizorul, procesul, scopul, utilizatorii, persoanele afectate, categoriile de date, geografia, statusul lansarii, instructiunile providerului si documentatia interna.

Apoi documentati rolul si clasificarea: de ce echipa este implementator, daca use case-ul este high-risk, ce traseu AI Act se aplica si ce intrebari blocheaza lansarea. Fiecare obligatie trebuie tradusa intr-un control: instructiuni, supraveghere, date de intrare, loguri, monitorizare, suspendare si escaladare.

Checklist

• Numeste sistemul, furnizorul, workflowul, scopul, utilizatorii si persoanele afectate.
• Decide daca firma este implementator, provider sau ambele.
• Verifica high-risk sau alt traseu AI Act.
• Transforma instructiunile providerului in SOP-uri, tickete, criterii de acceptare si training.
• Aloca supraveghere umana cu competenta, autoritate si suport.
• Defineste controale pentru datele de intrare.
• Clarifica logurile, retentia, accesul si exportul.
• Monitorizeaza erori, reclamatii, schimbari de furnizor, utilizari gresite si tipare neasteptate.
• Pregateste ruta de incident, suspendare, contact provider si escaladare.
• Pastreaza dovezi cu owner, data, decizie si urmatorul review.

Greseli comune

Prima greseala este presupunerea ca furnizorul acopera tot. Documentele ajuta, dar implementatorul controleaza folosirea reala. A doua este pastrarea instructiunilor fara pasi operationali. A treia este supravegherea umana fara autoritate. A patra este descoperirea tarzie ca logurile nu exista sau nu pot fi exportate.

FAQ

Care este scopul practic?

Sa arati ca echipa urmeaza instructiuni, aloca supraveghere competenta, controleaza datele de intrare, pastreaza loguri, monitorizeaza utilizarea, gestioneaza incidente si reevalueaza workflowul cand se schimba faptele.

Cine ar trebui sa detina procesul?

Product sau operations detin faptele workflowului, engineering integrarea si logurile, security dovezile vendor si monitorizarea, legal/compliance interpretarea si standardele de evidenta.

Surse

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission AI Act Service Desk, Article 26: Obligations of deployers of high-risk AI systems.
• European Commission AI Act Service Desk, Article 27: Fundamental rights impact assessment for high-risk AI systems.
• European Commission AI Act Service Desk, Article 13: Transparency and provision of information to deployers.