Az Európai Unió
Hivatalos Lapja
HU
Diario Oficial
de la Unión Europea
ES
AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2024/1689 RENDELETE
REGLAMENTO (UE) 2024/1689 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról, valamint a 300/2008/EK, a 167/2013/EU, a 168/2013/EU, az (EU) 2018/858, az (EU) 2018/1139 és az (EU) 2019/2144 rendelet, továbbá a 2014/90/EU, az (EU) 2016/797 és az (EU) 2020/1828 irányelv módosításáról (a mesterséges intelligenciáról szóló rendelet)
por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) n.o 300/2008, (UE) n.o 167/2013, (UE) n.o 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial)
(Texto pertinente a efectos del EEE)
AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 16. és 114. cikkére,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular sus artículos 16 y 114,
tekintettel az Európai Bizottság javaslatára,
Vista la propuesta de la Comisión Europea,
a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
tekintettel az Európai Gazdasági és Szociális Bizottság véleményére (1),
Visto el dictamen del Comité Económico y Social Europeo (1),
tekintettel az Európai Központi Bank véleményére (2),
Visto el dictamen del Banco Central Europeo (2),
tekintettel a Régiók Bizottságának véleményére (3),
Visto el dictamen del Comité de las Regiones (3),
rendes jogalkotási eljárás keretében (4),
De conformidad con el procedimiento legislativo ordinario (4),
Considerando lo siguiente:
(1)
E rendelet célja, hogy javítsa a belső piac működését azáltal, hogy egységes jogi keretet állapít meg különösen a mesterségesintelligencia-rendszereknek (MI-rendszerek) az uniós értékekkel összhangban történő, Unión belüli fejlesztésére, forgalomba hozatalára, üzembe helyezésére és használatára vonatkozóan, hogy előmozdítsa az emberközpontú és megbízható mesterséges intelligencia (MI) elterjedését, miközben biztosítja az Unióban az egészség, a biztonság és az Európai Unió Alapjogi Chartájában (a továbbiakban: a Charta) rögzített alapvető jogok – többek között a demokrácia, a jogállamiság és a környezetvédelem – magas szintű védelmét, hogy védelmet biztosítson az MI-rendszerek káros hatásaival szemben, továbbá, hogy támogassa az innovációt. E rendelet biztosítja a mesterséges intelligencián alapuló áruk és szolgáltatások határokon átnyúló szabad mozgását, ezáltal megakadályozva a tagállamokat abban, hogy korlátozásokat vezessenek be az MI-rendszerek fejlesztésére, piaci értékesítésére és használatára vonatkozóan, kivéve, ha ezt e rendelet kifejezetten engedélyezi.
(1)
El objetivo del presente Reglamento es mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme, en particular para el desarrollo, la introducción en el mercado, la puesta en servicio y la utilización de sistemas de inteligencia artificial (en lo sucesivo, «sistemas de IA») en la Unión, de conformidad con los valores de la Unión, a fin de promover la adopción de una inteligencia artificial (IA) centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, proteger frente a los efectos perjudiciales de los sistemas de IA en la Unión, así como brindar apoyo a la innovación. El presente Reglamento garantiza la libre circulación transfronteriza de mercancías y servicios basados en la IA, con lo que impide que los Estados miembros impongan restricciones al desarrollo, la comercialización y la utilización de sistemas de IA, a menos que el presente Reglamento lo autorice expresamente.
(2)
Ezt a rendeletet a Chartában rögzített uniós értékekkel összhangban kell alkalmazni, előmozdítva a természetes személyek, a vállalkozások, a demokrácia, a jogállamiság és a környezet védelmét, mindeközben fellendítve az innovációt és a foglalkoztatást, és az Uniót vezető szerephez juttatva a megbízható mesterséges intelligencia elterjedése terén.
(2)
El presente Reglamento debe aplicarse de conformidad con los valores de la Unión consagrados en la Carta, lo que facilitará la protección de las personas físicas, las empresas, la democracia, el Estado de Derecho y la protección del medio ambiente y, al mismo tiempo, impulsará la innovación y el empleo y convertirá a la Unión en líder en la adopción de una IA fiable.
(3)
Az MI-rendszerek könnyen alkalmazhatók számos különböző gazdasági ágazatban és a társadalom számos területén, többek között határokon átnyúlóan is, és könnyen mozoghatnak az egész Unión belül. Egyes tagállamok már fontolóra vették olyan nemzeti szabályok elfogadását, amelyek annak biztosítását célozzák, hogy a mesterséges intelligencia megbízható és biztonságos legyen, fejlesztésére és használatára pedig az alapvető jogokkal kapcsolatos kötelezettségekkel összhangban kerüljön sor. Az eltérő nemzeti szabályok a belső piac széttagoltságához vezethetnek, és csökkenthetik az MI-rendszereket fejlesztő, importáló vagy használó gazdasági szereplők jogbiztonságát. Ezért a megbízható MI megvalósítása érdekében az egész Unióban következetes és magas szintű védelmet kell biztosítani, ugyanakkor meg kell előzni az MI-rendszerek, valamint a kapcsolódó termékek és szolgáltatások belső piacon belüli szabad mozgását, innovációját, bevezetését és elterjedését akadályozó különbségeket, és ennek érdekében a gazdasági szereplők számára egységes kötelezettségeket kell megállapítani, valamint az Európai Unió működéséről szóló szerződés (EUMSZ) 114. cikke alapján garantálni kell a közérdeken alapuló kényszerítő indokok és a személyek jogainak egységes védelmét a belső piacon. Annyiban, amennyiben e rendelet különös szabályokat tartalmaz az egyéneknek a személyes adatok kezelése tekintetében való védelmére vonatkozóan az MI-rendszerek bűnüldözés céljából, távoli biometrikus azonosításra történő használatát, az MI-rendszerek bűnüldözés céljából, természetes személyekre vonatkozó kockázatértékelések elvégzésére történő használatát, valamint az MI-rendszerek bűnüldözés céljából, biometrikus kategorizálásra történő használatát érintő korlátozásokkal kapcsolatban, helyénvaló e rendeletet az említett különös szabályok tekintetében az EUMSZ 16. cikkére alapozni. E különös szabályokra és az EUMSZ 16. cikkének alkalmazására tekintettel helyénvaló konzultálni az Európai Adatvédelmi Testülettel.
(3)
Los sistemas de IA pueden desplegarse con facilidad en sectores muy diversos de la economía y en muchas partes de la sociedad, también a escala transfronteriza, y circular fácilmente por toda la Unión. Algunos Estados miembros ya han estudiado adopción de normas nacionales destinadas a garantizar que la IA sea fiable y segura y se desarrolle y utilice de conformidad con las obligaciones relativas a los derechos fundamentales. La existencia de normas nacionales divergentes puede dar lugar a la fragmentación del mercado interior y reducir la seguridad jurídica de los operadores que desarrollan, importan o utilizan sistemas de IA. Por lo tanto, es preciso garantizar un nivel elevado y coherente de protección en toda la Unión para lograr una IA fiable, así como evitar las divergencias que obstaculizan la libre circulación, la innovación, el despliegue y la adopción en el mercado interior de los sistemas de IA y los productos y servicios conexos mediante el establecimiento de obligaciones uniformes para los operadores y la garantía de una protección uniforme de los fines imperiosos de interés general y de los derechos de las personas en todo el mercado interior, sobre la base del artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE). En la medida en que el presente Reglamento contiene normas específicas para la protección de las personas en relación con el tratamiento de datos personales que restringen el uso de sistemas de IA para la identificación biométrica remota con fines de garantía del cumplimiento del Derecho, el uso de sistemas de IA para la realización de evaluaciones de riesgos de personas físicas con fines de garantía del cumplimiento del Derecho y el uso de sistemas de IA de categorización biométrica con fines de garantía del cumplimiento del Derecho, resulta adecuado basar este Reglamento, en lo que atañe a dichas normas específicas, en el artículo 16 del TFUE. A la luz de dichas normas específicas y del recurso al artículo 16 del TFUE, conviene consultar al Comité Europeo de Protección de Datos.
(4)
A mesterséges intelligencia gyorsan fejlődő technológiacsalád, amely az ágazatok és a társadalmi tevékenységek teljes spektrumában gazdasági, környezeti és társadalmi előnyök széles skálájához járul hozzá. Az előrejelzések javításával, a műveleteknek és az erőforrások elosztásának optimalizálásával, valamint az egyének és a szervezetek rendelkezésére álló digitális megoldások személyre szabásával az MI használata kulcsfontosságú versenyelőnyt biztosíthat a vállalkozások számára, és társadalmi és környezeti szempontból kedvező eredményeket hozhat, például az egészségügy, a mezőgazdaság, az élelmiszerbiztonság, az oktatás és képzés, a média, a sport, a kultúra, az infrastruktúra-működtetés, az energia, a közlekedés és a logisztika, a közszolgáltatások, a biztonság, az igazságszolgáltatás, az erőforrás- és energiahatékonyság, a környezetvédelmi monitoring, a biológiai sokféleség és az ökoszisztémák megőrzése és helyreállítása, valamint az éghajlatváltozás mérséklése és az ahhoz való alkalmazkodás terén.
(4)
La IA es un conjunto de tecnologías en rápida evolución que contribuye a generar beneficios económicos, medioambientales y sociales muy diversos en todos los sectores económicos y las actividades sociales. El uso de la IA puede proporcionar ventajas competitivas esenciales a las empresas y facilitar la obtención de resultados positivos desde el punto de vista social y medioambiental en los ámbitos de la asistencia sanitaria, la agricultura, la seguridad alimentaria, la educación y la formación, los medios de comunicación, el deporte, la cultura, la gestión de infraestructuras, la energía, el transporte y la logística, los servicios públicos, la seguridad, la justicia, la eficiencia de los recursos y la energía, el seguimiento ambiental, la conservación y restauración de la biodiversidad y los ecosistemas, y la mitigación del cambio climático y la adaptación a él, entre otros, al mejorar la predicción, optimizar las operaciones y la asignación de los recursos, y personalizar las soluciones digitales que se encuentran a disposición de la población y las organizaciones.
(5)
Ugyanakkor az MI – a konkrét alkalmazásával, használatával és technológiai fejlettségi szintjével kapcsolatos körülményektől függően – kockázatokat is generálhat, valamint sértheti a közérdeket és az uniós jog által védett alapvető jogokat. Az ilyen kár lehet vagyoni vagy nem vagyoni kár, ideértve a fizikai, pszichés, társadalmi vagy gazdasági kárt is.
(5)
Al mismo tiempo, dependiendo de las circunstancias relativas a su aplicación, utilización y nivel de desarrollo tecnológico concretos, la IA puede generar riesgos y menoscabar los intereses públicos y los derechos fundamentales que protege el Derecho de la Unión. Dicho menoscabo puede ser tangible o intangible e incluye los perjuicios físicos, psíquicos, sociales o económicos.
(6)
Tekintettel arra a jelentős hatásra, amelyet a mesterséges intelligencia a társadalomra gyakorolhat, valamint figyelemmel a bizalomépítés szükségességére, alapvető fontosságú, hogy a mesterséges intelligencia fejlesztése és szabályozási keretének kidolgozása az Európai Unióról szóló szerződés (EUSZ) 2. cikkében foglalt uniós értékekkel, a Szerződésekben rögzített alapvető jogokkal és szabadságokkal, valamint – az EUSZ 6. cikke értelmében – a Chartával összhangban történjen. Ennek előfeltétele, hogy a mesterséges intelligencia emberközpontú technológia legyen. A mesterséges intelligenciának eszközként kell szolgálnia az emberek számára, azzal a végső céllal, hogy növelje a jólétüket.
(6)
Dadas las importantes repercusiones que la IA puede tener en la sociedad y la necesidad de generar confianza, es fundamental que la IA y su marco reglamentario se desarrollen de conformidad con los valores de la Unión consagrados en el artículo 2 del Tratado de la Unión Europea (TUE), los derechos y libertades fundamentales consagrados en los Tratados y, de conformidad con el artículo 6 del TUE, la Carta. Como requisito previo, la IA debe ser una tecnología centrada en el ser humano. Además, debe ser una herramienta para las personas y tener por objetivo último aumentar el bienestar humano.
(7)
A közérdek következetes és magas szintű védelmének az egészség, a biztonság és az alapvető jogok tekintetében történő biztosítása érdekében közös szabályokat kell megállapítani valamennyi nagy kockázatú MI-rendszerre vonatkozóan. Az említett szabályoknak összhangban kell állniuk a Chartával, megkülönböztetéstől mentesnek kell lenniük, és meg kell felelniük az Unió nemzetközi kereskedelmi kötelezettségvállalásainak. Emellett figyelembe kell venniük a digitális évtizedben érvényre juttatandó digitális jogokról és elvekről szóló európai nyilatkozatot, valamint a mesterséges intelligenciával foglalkozó magas szintű szakértői csoport (a továbbiakban: magas szintű MI-szakértői csoport) megbízható mesterséges intelligenciára vonatkozó etikai iránymutatásait is.
(7)
Conviene establecer normas comunes para los sistemas de IA de alto riesgo al objeto de garantizar un nivel elevado y coherente de protección de los intereses públicos en lo que respecta a la salud, la seguridad y los derechos fundamentales. Estas normas deben ser coherentes con la Carta, no deben ser discriminatorias y deben estar en consonancia con los compromisos de la Unión en materia de comercio internacional. También deben tener en cuenta la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital y las Directrices éticas para una IA fiable del Grupo independiente de expertos de alto nivel sobre inteligencia artificial.
(8)
Ezért a mesterséges intelligencia belső piacon történő fejlesztésének, használatának és elterjedésének elősegítése érdekében szükség van a mesterséges intelligenciára vonatkozó harmonizált szabályokat meghatározó uniós jogi keretre, amely ugyanakkor garantálja az uniós jog által elismert és oltalmazott közérdek – például az egészség és a biztonság –, valamint az alapvető jogok – köztük a demokrácia, a jogállamiság és a környezetvédelem – magas szintű védelmét. E célkitűzés elérése érdekében szabályokat kell megállapítani bizonyos MI-rendszerek forgalomba hozatalára, üzembe helyezésére és használatára vonatkozóan, biztosítva ezáltal a belső piac zavartalan működését, és lehetővé téve, hogy e rendszerek élvezhessék az áruk és szolgáltatások szabad mozgásának elvéből származó előnyöket. Az említett szabályoknak egyértelműnek és robusztusnak kell lenniük az alapvető jogok védelmét illetően, segíteniük kell az új innovatív megoldásokat, támogatniuk kell az uniós értékekkel összhangban álló MI-rendszereket létrehozó köz- és magánszektorbeli szereplők európai ökoszisztémáját, valamint az Unió valamennyi régiójában ki kell bontakoztatniuk a digitális transzformációban rejlő potenciált. E szabályok megállapításával, valamint az innovációt támogató – a kis- és középvállalkozásokra (kkv-k) és köztük az induló innovatív vállalkozásokra kiemelt hangsúlyt helyező – intézkedések meghatározásával e rendelet egyfelől támogatja azt a célkitűzést, amelynek értelmében elő kell mozdítani a mesterséges intelligencia európai emberközpontú megközelítését, és amelynek értelmében – az Európai Tanács által megállapítottak szerint (5) – az EU-nak globális vezető szerepet kell betöltenie a biztonságos, megbízható és etikus MI fejlesztésében, másfelől pedig biztosítja az etikai elvek védelmét, amint azt az Európai Parlament kifejezetten kérte (6).
(8)
En consecuencia, se necesita un marco jurídico de la Unión que establezca unas normas armonizadas en materia de IA para impulsar el desarrollo, la utilización y la adopción en el mercado interior de la IA y que, al mismo tiempo, ofrezca un nivel elevado de protección de los intereses públicos, como la salud y la seguridad y la protección de los derechos fundamentales, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, reconocidos y protegidos por el Derecho de la Unión. Para alcanzar dicho objetivo, conviene establecer normas que regulen la introducción en el mercado, la puesta en servicio y la utilización de determinados sistemas de IA, lo que garantizará el buen funcionamiento del mercado interior y permitirá que dichos sistemas se beneficien del principio de libre circulación de mercancías y servicios. Esas normas deben ser claras y firmes por lo que respecta a proteger los derechos fundamentales, apoyar nuevas soluciones innovadoras, posibilitar un ecosistema europeo de agentes públicos y privados que creen sistemas de IA en consonancia con los valores de la Unión y liberar el potencial de la transformación digital en todas las regiones de la Unión. Al establecer tales normas, así como medidas en apoyo de la innovación que prestan especial atención a las pequeñas y medianas empresas (pymes), incluidas las empresas emergentes, el presente Reglamento respalda el objetivo de promover el enfoque europeo de la IA centrado en el ser humano y de ser un líder mundial en el desarrollo de IA segura, digna de confianza y ética, como indicó el Consejo Europeo (5), y garantiza la protección de los principios éticos, como solicitó específicamente el Parlamento Europeo (6).
(9)
A nagy kockázatú MI-rendszerek forgalomba hozatalára, üzembe helyezésére és használatára alkalmazandó harmonizált szabályokat a 765/2008/EK európai parlamenti és tanácsi rendelettel (7), a 768/2008/EK európai parlamenti és tanácsi határozattal (8), valamint az (EU) 2019/1020 európai parlamenti és tanácsi rendelettel (9) (a továbbiakban: az új jogszabályi keret) összhangban kell megállapítani. Az e rendeletben meghatározott harmonizált szabályokat ágazatokon átívelően kell alkalmazni, és azok – az új jogszabályi kerettel összhangban – nem érinthetik a meglévő uniós jogszabályokat, különösen az adatvédelemre, a fogyasztóvédelemre, az alapvető jogokra, a foglalkoztatásra és a munkavállalók védelmére, valamint a termékbiztonságra vonatkozó azon jogszabályokat, amelyeket e rendelet kiegészít. Következésképpen valamennyi jog és jogorvoslati lehetőség, amelyeket az ilyen uniós jog a fogyasztók és más olyan személyek számára biztosít, akikre az MI-rendszerek negatív hatást gyakorolhatnak, többek között az esetleges károknak a 85/374/EGK tanácsi irányelv (10) szerinti megtérítése tekintetében, változatlanok és teljes mértékben alkalmazandók maradnak. Továbbá, – a foglalkoztatással és a munkavállalók védelmével összefüggésben – e rendelet ezért nem érintheti a szociálpolitikára vonatkozó uniós jogot és az uniós jognak megfelelő, a foglalkoztatási és a munkafeltételekre vonatkozó nemzeti munkajogot, beleértve a munkahelyi egészségvédelmet és biztonságot, valamint a munkáltatók és munkavállalók közötti kapcsolatot. E rendelet nem érintheti a tagállamokban és uniós szinten elismert alapvető jogoknak – beleértve a sztrájkjognak vagy a sztrájk szabadságának, vagy a tagállamokban fennálló konkrét munkaügyi kapcsolatrendszerek keretébe tartozó egyéb fellépések megtétele jogának vagy szabadságának, valamint a kollektív megállapodásokkal kapcsolatos tárgyalásokhoz és e megállapodások megkötéséhez és érvényesítéséhez való jognak, illetve a kollektív fellépéshez való jognak – a nemzeti jog szerinti gyakorlását sem. E rendelet nem érintheti a platformalapú munkavégzés munkakörülményeinek javítását célzó, a platformalapú munkavégzés munkakörülményeinek javításáról szóló európai parlamenti és tanácsi irányelvben meghatározott rendelkezéseket. Ezen túlmenően e rendelet célja, hogy konkrét követelmények és kötelezettségek megállapításával megerősítse az ilyen meglévő jogok és jogorvoslati lehetőségek hatékonyságát, többek között az MI-rendszerek átláthatósága, műszaki dokumentációja és nyilvántartása tekintetében. Továbbá, az e rendelet alapján az MI-értékláncban részt vevő különböző gazdasági szereplőkre rótt kötelezettségeket, a bizonyos MI-rendszerek használatát korlátozó hatással járó, az uniós jognak megfelelő nemzeti jogszabályok sérelme nélkül kell alkalmazni, amennyiben az ilyen jogszabályok nem tartoznak e rendelet hatálya alá, vagy az e rendelet által elérni kívántaktól eltérő, legitim közérdekű célokat követnek. Például, e rendelet nem érintheti a nemzeti munkajogot és – figyelembe véve a gyermek jogairól szóló ENSZ-egyezménynek a gyermekek digitális környezetet érintő jogairól szóló, 25 (2021) sz. általános észrevételét – a kiskorúak (nevezetesen a 18 év alatti személyek) védelméről szóló jogszabályokat, amennyiben azok nem kifejezetten az MI-rendszerekre vonatkoznak, és más legitim közérdekű célokat követnek.
(9)
Deben establecerse normas armonizadas aplicables a la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA de alto riesgo en consonancia con el Reglamento (CE) n.o 765/2008 del Parlamento Europeo y del Consejo (7), la Decisión n.o 768/2008/CE del Parlamento Europeo y del Consejo (8) y el Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo (9) (en lo sucesivo, «nuevo marco legislativo»). Las normas armonizadas que se establecen en el presente Reglamento deben aplicarse en todos los sectores y, en consonancia con el nuevo marco legislativo, deben entenderse sin perjuicio del Derecho vigente de la Unión, en particular en materia de protección de datos, protección de los consumidores, derechos fundamentales, empleo, protección de los trabajadores y seguridad de los productos, al que complementa el presente Reglamento. En consecuencia, permanecen inalterados y siguen siendo plenamente aplicables todos los derechos y vías de recurso que el citado Derecho de la Unión otorga a los consumidores y demás personas que puedan verse afectados negativamente por los sistemas de IA, también en lo que respecta a la reparación de los posibles daños de conformidad con la Directiva 85/374/CEE del Consejo (10). Además, en el contexto del empleo y la protección de los trabajadores, el presente Reglamento no debe afectar, por tanto, al Derecho de la Unión en materia de política social ni al Derecho laboral nacional —de conformidad con el Derecho de la Unión— relativa a las condiciones de empleo y de trabajo, incluidas la salud y seguridad en el trabajo y la relación entre empleadores y trabajadores. El presente Reglamento tampoco debe afectar en modo alguno al ejercicio de los derechos fundamentales reconocidos en los Estados miembros y a escala de la Unión, incluidos el derecho o la libertad de huelga o de emprender otras acciones contempladas en los sistemas de relaciones laborales específicos de los Estados miembros y el derecho a negociar, concluir y hacer cumplir convenios colectivos o a llevar a cabo acciones colectivas conforme al Derecho nacional. El presente Reglamento no debe afectar a las disposiciones destinadas a mejorar las condiciones laborales en el trabajo en plataformas digitales establecidas en una Directiva del Parlamento Europeo y del Consejo relativa a la mejora de las condiciones laborales en el trabajo en plataformas digitales. Además, el presente Reglamento tiene por objeto reforzar la eficacia de tales derechos y vías de recurso vigentes mediante el establecimiento de requisitos y obligaciones específicos, también en lo que respecta a la transparencia, la documentación técnica y la conservación de registros de los sistemas de IA. Asimismo, las obligaciones impuestas a los distintos operadores que participan en la cadena de valor de la IA en virtud del presente Reglamento deben aplicarse sin perjuicio del Derecho nacional que, de conformidad con el Derecho de la Unión, tenga por efecto limitar el uso de determinados sistemas de IA cuando dicho Derecho quede fuera del ámbito de aplicación del presente Reglamento o persiga objetivos legítimos de interés público distintos de los perseguidos por el presente Reglamento. Así, por ejemplo, el presente Reglamento no debe afectar al Derecho laboral nacional ni al Derecho en materia de protección de menores, a saber, de personas de menos de dieciocho años, que tienen en cuenta la Observación general n.o 25 (2021) de la Convención sobre los Derechos del Niño de las Naciones Unidas relativa a los derechos de los niños en relación con el entorno digital, en la medida en que no son específicas a los sistemas de IA y persiguen otros objetivos legítimos de interés público.
(10)
A személyes adatok védelméhez való alapvető jog védelmét különösen az (EU) 2016/679 (11) és az (EU) 2018/1725 (12) európai parlamenti és tanácsi rendelet, valamint az (EU) 2016/680 európai parlamenti és tanácsi irányelv (13) biztosítja. Ezenfelül a 2002/58/EK európai parlamenti és tanácsi irányelv (14) védi a magánéletet és a közlések titkosságát, többek között a személyes és nem személyes adatok végberendezéseken való tárolására és az adatokhoz onnan történő hozzáférésre vonatkozó feltételek meghatározása révén. Az említett uniós jogi aktusok biztosítják a fenntartható és felelős adatkezelés alapját, ideértve azt az esetet is, amikor az adatállományok vegyesen tartalmaznak személyes és nem személyes adatokat. E rendeletnek nem célja, hogy befolyásolja a személyes adatok kezelésére vonatkozó meglévő uniós jogszabályok alkalmazását, az említett jogi eszközöknek való megfelelés ellenőrzéséért felelős független felügyeleti hatóságok feladatait és hatáskörét is beleértve. E rendelet nem érinti továbbá az MI-rendszerek szolgáltatóinak és alkalmazóinak – adatkezelői vagy adatfeldolgozói szerepkörükben fennálló – a személyes adatok védelmére vonatkozó uniós vagy nemzeti jogból fakadó kötelezettségeit, amennyiben az MI-rendszerek tervezése, fejlesztése vagy használata személyes adatok kezelésével jár. Helyénvaló továbbá egyértelművé tenni, hogy az érintetteket továbbra is megilleti az említett uniós jog által számukra biztosított valamennyi jog és garancia, beleértve az egyedi ügyekben történő, kizárólagosan automatizált döntéshozatalhoz, többek között a profilalkotáshoz kapcsolódó jogokat is. Az MI-rendszerek forgalomba hozatalára, üzembe helyezésére és használatára vonatkozó, e rendelettel megállapított harmonizált szabályoknak meg kell könnyíteniük, hogy az érintetteket a személyes adatok és egyéb alapvető jogok védelmére vonatkozó uniós jog értelmében megillető jogok és egyéb jogorvoslatok ténylegesen érvényesüljenek, illetve lehetővé kell tenniük az említett jogok és egyéb jogorvoslatok érintettek általi gyakorlását.
(10)
El derecho fundamental a la protección de los datos personales está garantizado, en particular, por los Reglamentos (UE) 2016/679 (11) y (UE) 2018/1725 (12) del Parlamento Europeo y del Consejo y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (13). Además, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (14) protege la vida privada y la confidencialidad de las comunicaciones, también estableciendo condiciones para cualquier almacenamiento de datos personales y no personales en los equipos terminales, y el acceso desde estos. Dichos actos legislativos de la Unión constituyen la base para un tratamiento de datos sostenible y responsable, también cuando los conjuntos de datos contengan una combinación de datos personales y no personales. El presente Reglamento no pretende afectar a la aplicación del Derecho de la Unión vigente que regula el tratamiento de datos personales, incluidas las funciones y competencias de las autoridades de supervisión independientes competentes para vigilar el cumplimiento de dichos instrumentos. Tampoco afecta a las obligaciones de los proveedores y los responsables del despliegue de sistemas de IA en su papel de responsables o encargados del tratamiento de datos derivadas del Derecho de la Unión o nacional en materia de protección de datos personales en la medida en que el diseño, el desarrollo o el uso de sistemas de IA impliquen el tratamiento de datos personales. También conviene aclarar que los interesados siguen disfrutando de todos los derechos y garantías que les confiere dicho Derecho de la Unión, incluidos los derechos relacionados con las decisiones individuales totalmente automatizadas, como la elaboración de perfiles. Unas normas armonizadas para la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA establecidas en virtud del presente Reglamento deben facilitar la aplicación efectiva y permitir el ejercicio de los derechos y otras vías de recurso de los interesados garantizados por el Derecho de la Unión en materia de protección de datos personales, así como de otros derechos fundamentales.
(11)
E rendelet nem sértheti a közvetítő szolgáltatók felelősségére vonatkozó, az (EU) 2022/2065 európai parlamenti és tanácsi rendeletben (15) meghatározott rendelkezéseket.
(11)
El presente Reglamento debe interpretarse sin perjuicio de las disposiciones del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo (15) relativas a la responsabilidad de los prestadores de servicios intermediarios.
(12)
Az „MI-rendszer” e rendeletben szereplő fogalmát egyértelműen kell meghatározni, és azt szorosan össze kell hangolni a mesterséges intelligenciával foglalkozó nemzetközi szervezetek munkájával a jogbiztonság szavatolása, valamint a nemzetközi konvergencia és a széles körű elfogadottság előmozdítása érdekében, mindeközben pedig rugalmasságot biztosítva az e téren végbemenő gyors technológiai fejlődéshez való alkalmazkodáshoz. Ezen túlmenően a fogalommeghatározásnak az MI-rendszerek azon alapvető jellemzőin kell alapulnia, amelyek megkülönböztetik azon egyszerűbb hagyományos szoftverrendszerektől vagy programozási megközelítésektől, és az nem terjedhet ki olyan rendszerekre, amelyek kizárólag természetes személyek által műveletek automatikus végrehajtása céljából meghatározott szabályokon alapulnak. Az MI-rendszerek alapvető jellemzői közé tartozik a következtetés képessége. A következtetés képessége egyfelől az olyan kimenetek – például előrejelzések, tartalom, ajánlások vagy döntések – előállításának folyamatára utal, amelyek befolyásolni tudnak fizikai és virtuális környezeteket, másfelől pedig az MI-rendszerek azon képességére, hogy bemenetekből vagy adatokból modelleket vagy algoritmusokat – vagy mindkettőt – tudnak levezetni. A következtetést az MI-rendszer egyidejű építésével együtt lehetővé tévő technikák közé tartoznak a gépi tanulási megközelítések, amelyek adatokból tanulják meg, hogy miként lehet elérni bizonyos célkitűzéseket, valamint a logikai és tudásalapú megközelítések, amelyek kódolt ismeretek vagy a megoldandó feladat szimbolikus ábrázolása alapján következtetnek. Valamely MI-rendszer következtetési kapacitása meghaladja az alapvető adatkezelés körét azáltal, hogy lehetővé teszi a tanulást, az érvelést vagy a modellezést. A „gépalapú” kifejezés arra a tényre utal, hogy az MI-rendszerek gépeken futnak. Az explicit vagy implicit célkitűzésekre való hivatkozás kiemeli, hogy az MI-rendszerek explicit módon meghatározott célkitűzések vagy implicit célkitűzések szerint működhetnek. Az MI-rendszer célkitűzései eltérhetnek az MI-rendszer adott konkrét kontextuson belüli rendeltetésétől. E rendelet alkalmazásában a környezetek alatt azok a környezetek értendők, amelyekben az MI-rendszerek működnek, míg az MI-rendszer által generált kimenetek az MI-rendszerek által ellátott különböző funkciókat tükrözik, és előrejelzéseket, tartalmat, ajánlásokat vagy döntéseket foglalnak magukban. Az MI-rendszereket úgy alakították ki, hogy eltérő szintű autonómiával működjenek, ami azt jelenti, hogy tevékenységeiket illetően bizonyos mértékben függetlenek az emberi közreműködéstől és bizonyos mértékben képesek emberi beavatkozás nélkül működni. Az MI-rendszerek a bevezetésüket követően alkalmazkodóképességet tanúsíthatnak, amely a rendszer használat közbeni változását lehetővé tévő öntanulási képességekre utal. Az MI-rendszerek önállóan vagy termék alkotóelemeként használhatók, függetlenül attól, hogy a rendszert fizikailag integrálták-e a termékbe (beágyazott rendszer), vagy hogy anélkül szolgálja-e a termék funkcionalitását, hogy abba beépítenék (nem beágyazott rendszer).
(12)
Debe definirse con claridad el concepto de «sistema de IA» en el presente Reglamento y armonizarlo estrechamente con los trabajos de las organizaciones internacionales que se ocupan de la IA, a fin de garantizar la seguridad jurídica y facilitar la convergencia a escala internacional y una amplia aceptación, al mismo tiempo que se prevé la flexibilidad necesaria para dar cabida a los rápidos avances tecnológicos en este ámbito. Además, la definición debe basarse en las principales características de los sistemas de IA que los distinguen de los sistemas de software o los planteamientos de programación tradicionales y más sencillos, y no debe incluir los sistemas basados en las normas definidas únicamente por personas físicas para ejecutar automáticamente operaciones. Una característica principal de los sistemas de IA es su capacidad de inferencia. Esta capacidad de inferencia se refiere al proceso de obtención de resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que puede influir en entornos físicos y virtuales, y a la capacidad de los sistemas de IA para deducir modelos o algoritmos, o ambos, a partir de información de entrada o datos. Las técnicas que permiten la inferencia al construir un sistema de IA incluyen estrategias de aprendizaje automático que aprenden de los datos cómo alcanzar determinados objetivos y estrategias basadas en la lógica y el conocimiento que infieren a partir de conocimientos codificados o de una representación simbólica de la tarea que debe resolverse. La capacidad de inferencia de un sistema de IA trasciende el tratamiento básico de datos, al permitir el aprendizaje, el razonamiento o la modelización. El término «basado en una máquina» se refiere al hecho de que los sistemas de IA se ejecutan en máquinas.La referencia a objetivos explícitos o implícitos subraya que los sistemas de IA pueden funcionar con arreglo a objetivos definidos explícitos o a objetivos implícitos. Los objetivos del sistema de IA pueden ser diferentes de la finalidad prevista del sistema de IA en un contexto específico. A los efectos del presente Reglamento, debe entenderse por entornos los contextos en los que funcionan los sistemas de IA, mientras que los resultados de salida generados por el sistema de IA reflejan las distintas funciones desempeñadas por los sistemas de IA e incluyen predicciones, contenidos, recomendaciones o decisiones. Los sistemas de IA están diseñados para funcionar con distintos niveles de autonomía, lo que significa que pueden actuar con cierto grado de independencia con respecto a la actuación humana y tienen ciertas capacidades para funcionar sin intervención humana. La capacidad de adaptación que un sistema de IA podría mostrar tras su despliegue se refiere a las capacidades de autoaprendizaje que permiten al sistema cambiar mientras está en uso. Los sistemas de IA pueden utilizarse de manera independiente o como componentes de un producto, con independencia de si el sistema forma parte físicamente del producto (integrado) o contribuye a la funcionalidad del producto sin formar parte de él (no integrado).
(13)
Az „alkalmazó” e rendeletben szereplő fogalmát úgy kell értelmezni, hogy az bármely olyan természetes vagy jogi személyt – többek között hatóságot, ügynökséget vagy egyéb szervet – jelöl, aki, illetve amely a felügyelete alá tartozó MI-rendszert használja, kivéve, ha az MI-rendszer használata személyes, nem szakmai jellegű tevékenység keretében történik. Az MI-rendszer típusától függően a rendszer használata az alkalmazótól eltérő személyeket is érinthet.
(13)
El concepto de «responsable del despliegue» a que hace referencia el presente Reglamento debe interpretarse como cualquier persona física o jurídica, incluida cualquier autoridad pública, órgano u organismo, que utilice un sistema de IA bajo su propia autoridad, salvo cuando su uso se enmarque en una actividad personal de carácter no profesional. Dependiendo del tipo de sistema de IA, el uso del sistema puede afectar a personas distintas del responsable del despliegue.
(14)
A „biometrikus adatok” e rendeletben használt fogalmát a biometrikus adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet 4. cikkének 14. pontjában, az (EU) 2018/1725 európai parlamenti és tanácsi rendelet 3. cikkének 18. pontjában és az (EU) 2016/680 európai parlamenti és tanácsi irányelv 3. cikkének 13. pontjában meghatározott fogalma tükrében kell értelmezni. A biometrikus adatok lehetővé tehetik természetes személyek hitelesítését, azonosítását vagy kategorizálását, valamint természetes személyek érzelmeinek felismerését.
(14)
El concepto de «datos biométricos» empleado en el presente Reglamento debe interpretarse a la luz del concepto de «datos biométricos» tal como se define en el artículo 4, punto 14, del Reglamento (UE) 2016/679, en el artículo 3, punto 18, del Reglamento (UE) 2018/1725, y en el artículo 3, punto 13, de la Directiva (UE) 2016/680. Los datos biométricos pueden permitir la autenticación, la identificación o la categorización de las personas físicas y el reconocimiento de las emociones de las personas físicas.
(15)
A „biometrikus azonosítás” e rendeletben szereplő fogalmát a következőképpen kell meghatározni: testi, fiziológiai és viselkedési emberi jellemzők – például az arc, a szemmozgás, a testalkat, a hang, a prozódia, a járás, a testtartás, a szívverés, a vérnyomás, a testszag és a billentyűleütések jellegzetességei – automatikus felismerése valamely egyén személyazonosságának megállapítása céljából az említett egyén biometrikus adatainak egyének referencia-adatbázisokban tárolt biometrikus adataival való összevetése révén, függetlenül attól, hogy az egyén hozzájárulását adta-e ehhez vagy sem. Ez kizárja az olyan biometrikus ellenőrzésre szánt MI-rendszereket, amely ellenőrzés magában foglalja a hitelesítést is abból a kizárólagos célból, hogy megerősítse, egy konkrét természetes személy valóban az a személy, akinek állítja magát, és kizárólag abból a célból erősíti meg egy természetes személy személyazonosságát, hogy az hozzáférhessen egy szolgáltatáshoz, feloldhassa egy eszköz zárolását vagy biztonsági hozzáférést kapjon helyiségekhez.
(15)
El concepto de «identificación biométrica» a que hace referencia el presente Reglamento debe definirse como el reconocimiento automatizado de características humanas de tipo físico, fisiológico o conductual, como la cara, el movimiento ocular, la forma del cuerpo, la voz, la entonación, el modo de andar, la postura, la frecuencia cardíaca, la presión arterial, el olor o las características de las pulsaciones de tecla, a fin de determinar la identidad de una persona comparando sus datos biométricos con los datos biométricos de personas almacenados en una base de datos de referencia, independientemente de que la persona haya dado o no su consentimiento. Quedan excluidos los sistemas de IA destinados a la verificación biométrica, que comprende la autenticación, cuyo único propósito es confirmar que una persona física concreta es la persona que dice ser, así como la identidad de una persona física con la finalidad exclusiva de que tenga acceso a un servicio, desbloquee un dispositivo o tenga acceso de seguridad a un local.
(16)
A „biometrikus kategorizálás” e rendeletben szereplő fogalmát a következőképpen kell meghatározni: természetes személyek meghatározott kategóriákba sorolása biometrikus adataik alapján. E meghatározott kategóriák olyan szempontokhoz kapcsolódhatnak, mint például a nem, életkor, hajszín, szemszín, tetoválások, viselkedés- vagy személyiségjegyek, nyelv, vallás, nemzeti kisebbséghez tartozás, szexuális vagy politikai irányultság. Ez a fogalommeghatározás nem foglalja magában az olyan biometrikus kategorizálási rendszereket, amelyek egy másik kereskedelmi szolgáltatáshoz szervesen kapcsolódó, kizárólag kiegészítő jellegű elemnek minősülnek, ami azt jelenti, hogy az elem – objektív technikai okokból – nem használható a fő szolgáltatás nélkül, és az említett elem vagy funkcionalitás integrációja nem az e rendelet szabályai alkalmazhatóságának elkerülésére szolgáló eszköz. Például az online piactereken használt, arc- vagy testjellemzőket kategorizáló szűrők ilyen kiegészítő jellegű elemnek minősülhetnek, mivel csak a fő szolgáltatással összefüggésben használhatók, mely fő szolgáltatás adott termék olyan értékesítéséből áll, amely lehetővé teszi a fogyasztó számára, hogy előzetesen megjeleníthesse magán a terméket, ezáltal segítve őt a vásárlási döntés meghozatalában. Az online közösségi hálózati szolgáltatások keretében használt szűrők, amelyek arc- vagy testjellemzőket kategorizálnak annak érdekében, hogy a felhasználók képeket vagy videókat tölthessenek fel vagy módosíthassanak, szintén kiegészítő jellegű elemnek minősülhetnek, mivel az ilyen szűrők nem használhatók a közösségi hálózati szolgáltatások által biztosított fő szolgáltatás nélkül, amely a tartalmak online megosztása.
(16)
El concepto de «categorización biométrica» a que hace referencia el presente Reglamento debe definirse como la inclusión de personas físicas en categorías específicas en función de sus datos biométricos. Estas categorías específicas pueden referirse a aspectos como el sexo, la edad, el color del pelo, el color de los ojos, los tatuajes, los rasgos conductuales o de la personalidad, la lengua, la religión, la pertenencia a una minoría nacional o la orientación sexual o política. No se incluyen los sistemas de categorización biométrica que sean una característica meramente accesoria intrínsecamente vinculada a otro servicio comercial, lo que significa que la característica no puede utilizarse, por razones técnicas objetivas, sin el servicio principal y que la integración de dicha característica o funcionalidad no es un medio para eludir la aplicabilidad de las normas del presente Reglamento. Por ejemplo, los filtros que clasifican las características faciales o corporales utilizados en los mercados en línea podrían constituir una característica accesoria de este tipo, ya que solo pueden utilizarse en relación con el servicio principal, que consiste en vender un producto permitiendo al consumidor previsualizar cómo le quedaría y ayudarlo a tomar una decisión de compra. Los filtros utilizados en los servicios de redes sociales que clasifican las características faciales o corporales a fin de que los usuarios puedan añadir o modificar imágenes o vídeos también podrían considerarse una característica accesoria, ya que dichos filtros no pueden utilizarse sin el servicio principal de las redes sociales, que consiste en compartir contenidos en línea.
(17)
A „távoli biometrikus azonosító rendszer” e rendeletben említett fogalmát funkcionális értelemben kell meghatározni, olyan MI-rendszerként, amelynek célja természetes személyek – aktív részvételük nélküli, jellemzően távolról történő – azonosítása valamely személy biometrikus adatainak egy referencia-adatbázisban található biometrikus adatokkal való összevetése révén, függetlenül az alkalmazott konkrét technológiától, folyamatoktól vagy biometrikusadat-típusoktól. Az ilyen távoli biometrikus azonosító rendszereket jellemzően több személy vagy viselkedésük egyidejű észlelésére használják annak érdekében, hogy jelentős mértékben megkönnyítsék a természetes személyek aktív közreműködésük nélkül történő azonosítását. Ez kizárja az olyan biometrikus ellenőrzésre szánt MI-rendszereket, amely ellenőrzés magában foglalja a hitelesítést is abból a kizárólagos célból, hogy megerősítse, egy konkrét természetes személy valóban az a személy, akinek állítja magát, és kizárólag abból a célból erősíti meg egy természetes személy személyazonosságát, hogy az hozzáférhessen egy szolgáltatáshoz, feloldhassa egy eszköz zárolását vagy biztonsági hozzáférést kapjon helyiségekhez. Az említett kizárást azon tény indokolja, hogy az ilyen rendszerek a nagy számú személy biometrikus adatainak – az aktív közreműködésük nélkül történő – kezelésére használható távoli biometrikus azonosító rendszerekhez képest valószínűleg csekély hatást gyakorolnak a természetes személyek alapvető jogaira. A „valós idejű” rendszerek esetében a biometrikus adatok rögzítése, az összehasonlítás és az azonosítás azonnal, majdnem azonnal, vagy mindenesetre jelentős késleltetés nélkül történik. E tekintetben nem nyílhat mozgástér az érintett MI-rendszerek „valós idejű” használatára vonatkozóan e rendeletben foglalt szabályok megkerülésére azáltal, hogy kisebb késleltetéseket alkalmaznak. A „valós idejű” rendszerek olyan „élő” vagy „megközelítőleg élő” anyagot – így például videofelvételt – használnak, amelyet kamera vagy hasonló funkciójú más eszköz készített. Az „utólagos” rendszerek esetében ezzel szemben a biometrikus adatokat már rögzítették, és az összevetésre és az azonosításra csak jelentős késleltetéssel kerül sor. Olyan anyagokról van szó, mint például a zártláncú televíziós kamerák vagy magánkészülékek által készített képek vagy videofelvételek, amelyek a rendszer érintett természetes személyek tekintetében történő használata előtt keletkeztek.
(17)
El concepto de «sistema de identificación biométrica remota» a que hace referencia el presente Reglamento debe definirse de manera funcional como un sistema de IA destinado a identificar a personas físicas sin su participación activa, generalmente a distancia, comparando sus datos biométricos con los que figuren en una base de datos de referencia, con independencia de la tecnología, los procesos o los tipos de datos biométricos concretos que se usen. Estos sistemas de identificación biométrica remota suelen utilizarse para detectar a varias personas o su comportamiento de forma simultánea, a fin de simplificar considerablemente la identificación de personas sin su participación activa. Quedan excluidos los sistemas de IA destinados a la verificación biométrica, que comprende la autenticación, cuyo único propósito es confirmar que una persona física concreta es la persona que dice ser, así como la identidad de una persona física con la finalidad exclusiva de que tenga acceso a un servicio, desbloquee un dispositivo o tenga acceso de seguridad a un local. Esa exclusión se justifica por el hecho de que tales sistemas probablemente tengan una repercusión menor en los derechos fundamentales de las personas físicas que los sistemas de identificación biométrica remota que puedan utilizarse para el tratamiento de los datos biométricos de un gran número de personas sin su participación activa. En el caso de los sistemas «en tiempo real», la recogida de los datos biométricos, la comparación y la identificación se producen de manera instantánea, casi instantánea o, en cualquier caso, sin una importante demora. En este sentido, no debe existir la posibilidad de eludir las normas contempladas en el presente Reglamento en relación con el uso «en tiempo real» de los sistemas de IA de que se trate generando demoras mínimas. Los sistemas «en tiempo real» implican el uso de materiales «en directo» o «casi en directo», como grabaciones de vídeo, generados por una cámara u otro dispositivo con funciones similares. En cambio, en los sistemas «en diferido» ya se han recabado los datos biométricos y la comparación e identificación se producen con una importante demora. A tal fin se utilizan materiales, como imágenes o grabaciones de vídeo captadas por cámaras de televisión en circuito cerrado o dispositivos privados, generados con anterioridad a la utilización del sistema en relación con las personas físicas afectadas.
(18)
Az „érzelemfelismerő rendszer” e rendeletben szereplő fogalmát olyan MI-rendszerként kell meghatározni, amely arra szolgál, hogy biometrikus adataik alapján azonosítsa vagy kikövetkeztesse természetes személyek érzelmeit vagy szándékait. A fogalom érzelemre vagy szándékra utal, mint például a következőkre: boldogság, szomorúság, düh, meglepettség, undor, zavar, izgatottság, szégyen, megvetés, elégedettség és derű. Nem foglalja magában a fizikai állapotokat, így például a fájdalmat vagy a kimerültséget, ideértve például az olyan rendszereket, amelyeket hivatásos pilóták vagy járművezetők kimerültségi állapotának detektálására használnak balesetek megelőzése céljából. Ez nem foglalja magában az egyértelműen nyilvánvaló kifejezések, gesztusok vagy mozdulatok puszta detektálását sem, kivéve, ha azokat érzelmek azonosítására vagy kikövetkeztetésére használják. Az említett kifejezések lehetnek alapvető arckifejezések, így például rosszalló tekintet vagy mosoly, vagy gesztusok, így például a kezek, a karok vagy a fej mozgatása, vagy egy személy hangjának jellemzői is, így például a felemelt hang vagy a suttogás.
(18)
El concepto de «sistema de reconocimiento de emociones» a que hace referencia el presente Reglamento debe definirse como un sistema de IA destinado a distinguir o deducir las emociones o las intenciones de las personas físicas a partir de sus datos biométricos. El concepto se refiere a emociones o intenciones como la felicidad, la tristeza, la indignación, la sorpresa, el asco, el apuro, el entusiasmo, la vergüenza, el desprecio, la satisfacción y la diversión. No incluye los estados físicos, como el dolor o el cansancio, como, por ejemplo, los sistemas utilizados para detectar el cansancio de los pilotos o conductores profesionales con el fin de evitar accidentes. Tampoco incluye la mera detección de expresiones, gestos o movimientos que resulten obvios, salvo que se utilicen para distinguir o deducir emociones. Esas expresiones pueden ser expresiones faciales básicas, como un ceño fruncido o una sonrisa; gestos como el movimiento de las manos, los brazos o la cabeza, o características de la voz de una persona, como una voz alzada o un susurro.
(19)
E rendelet alkalmazásában a „nyilvánosság számára hozzáférhető hely” fogalma alatt bármely olyan fizikai hely értendő, amely meghatározatlan számú természetes személy számára hozzáférhető, függetlenül attól, hogy a szóban forgó hely magán- vagy köztulajdonban van-e, és függetlenül attól a tevékenységtől, amelyre a hely használható, mint például kereskedelemre, például üzletek, éttermek, kávézók, szolgáltatásokra, például bankok, szakmai tevékenységek, vendéglátás, sportra például uszodák, edzőtermek, stadionok, közlekedésre, például busz-, metró- és vasútállomások, repülőterek, közlekedési eszközök, szórakoztatásra például mozik, színházak, múzeumok, koncert- és konferenciatermek, illetve szabadidőre vagy egyébre, például közutak és terek, parkok, erdők, játszóterek. Helyénvaló, hogy egy hely akkor is a nyilvánosság számára hozzáférhetőnek minősüljön, ha az esetleges kapacitási vagy biztonsági korlátozásoktól függetlenül a belépésre bizonyos előre meghatározott olyan feltételek vonatkoznak, amelyeket meghatározatlan számú személy teljesíthet, mint például jegy vagy vonaljegy megvásárlása, előzetes regisztráció vagy bizonyos életkori korlátozás. Ezzel szemben egy hely nem tekinthető a nyilvánosság számára hozzáférhetőnek, ha a hozzáférés a közbiztonsághoz vagy -védelemhez közvetlenül kapcsolódó uniós vagy nemzeti jog alapján vagy az adott helyen hatáskörrel rendelkező személy akaratának egyértelmű kinyilvánítása révén konkrét és meghatározott természetes személyekre korlátozódik. Önmagában a hozzáférés tényleges lehetősége, így például egy záratlan ajtó vagy egy kerítésben lévő nyitott kapu nem jelenti azt, hogy a hely a nyilvánosság számára hozzáférhető az ennek ellenkezőjére utaló jelölések vagy a körülmények, így például belépést tiltó vagy korlátozó táblák megléte esetén. A vállalati és gyárhelyiségek, valamint azok az irodák és munkahelyek, ahová csak az érintett munkavállalók és szolgáltatók léphetnek be, a nyilvánosság számára nem hozzáférhető helyek. Helyénvaló, hogy a börtönök és a határellenőrzési területek ne tartozzanak a nyilvánosság számára hozzáférhető helyek közé. Néhány más terület mind a nyilvánosság számára nem hozzáférhető területeket, mind a nyilvánosság számára hozzáférhető területeket is jelenthet, mint például egy magántulajdonú lakóház folyosója, amelyen keresztül egy orvosi rendelőt lehet megközelíteni, vagy egy repülőtér. Az online terek nem tartoznak ide, mivel nem fizikai helyek. Azt, hogy egy adott hely hozzáférhető-e a nyilvánosság számára, mindazonáltal eseti alapon kell meghatározni, figyelembe véve a szóban forgó egyedi helyzet sajátosságait.
(19)
A los efectos del presente Reglamento, debe entenderse que el concepto de «espacio de acceso público» se refiere a cualquier espacio físico al que pueda acceder un número indeterminado de personas físicas y con independencia de si es de propiedad privada o pública y de la actividad para la que pueda utilizarse el espacio, ya sean actividades comerciales, por ejemplo, tiendas, restaurantes, cafeterías; de prestación de servicios, por ejemplo, bancos, actividades profesionales, hostelería; deportivas, por ejemplo, piscinas, gimnasios, estadios; de transporte, por ejemplo, estaciones de autobús, metro y ferrocarril, aeropuertos, medios de transporte; de entretenimiento, por ejemplo, cines, teatros, museos, salas de conciertos, salas de conferencias; de ocio o de otro tipo, por ejemplo, vías y plazas públicas, parques, bosques, parques infantiles. Asimismo, debe considerarse que un espacio es de acceso público si, con independencia de posibles restricciones de capacidad o de seguridad, el acceso está sujeto a determinadas condiciones previamente definidas que puede satisfacer un número indeterminado de personas, como la adquisición de una entrada o un título de transporte, el registro previo o tener una determinada edad. Por el contrario, un espacio no debe considerarse de acceso público si únicamente pueden acceder a él determinadas personas físicas definidas, ya sea en virtud del Derecho de la Unión o del Derecho nacional directamente relacionado con la seguridad pública o en virtud de una clara manifestación de voluntad de la persona que ejerza la autoridad pertinente sobre dicho espacio. La posibilidad real de acceso, como una puerta no cerrada con llave o una verja abierta, no implica por sí sola que el espacio sea de acceso público si hay indicios o circunstancias que sugieran lo contrario, como señales que prohíban o restrinjan el acceso. Los locales de empresas y fábricas, así como las oficinas y lugares de trabajo a los que solo se pretende que accedan los empleados y proveedores de servicios pertinentes, no son espacios de acceso público. No deben incluirse en los espacios de acceso público las prisiones ni las zonas en que se realizan inspecciones fronterizas. Algunos espacios pueden incluir tanto zonas de acceso público como zonas que no son de acceso público, como los aeropuertos o el vestíbulo de un edificio residencial privado por el que se accede a una consulta médica. Los espacios en línea no son lugares de acceso público, ya que no son espacios físicos. No obstante, se debe determinar caso por caso si un espacio es de acceso público o no teniendo en cuenta las particularidades de la situación concreta.
(20)
Az MI-rendszerek lehető legnagyobb mértékű – és az alapvető jogok, az egészség és a biztonság védelme mellett megvalósuló – kiaknázása, valamint az MI-rendszerek feletti demokratikus ellenőrzés lehetővé tétele érdekében, az MI-jártasság részeként biztosítani kell a szolgáltatók, az alkalmazók és az érintett személyek számára az ahhoz szükséges ismereteket, hogy megalapozott döntéseket tudjanak hozni az MI-rendszerekkel kapcsolatban. Az említett ismeretek az adott kontextustól függően változhatnak, és magukban foglalhatják például a technikai elemek MI-rendszer fejlesztési szakasza alatti helyes alkalmazásának a megértését, az MI-rendszer használata során alkalmazandó intézkedéseket, az MI-rendszer kimenetének megfelelő értelmezési módjait, valamint – az érintett személyek esetében – az annak megértéséhez szükséges ismereteket, hogy az MI segítségével hozott döntések hogyan lesznek hatással rájuk. E rendelet alkalmazásával összefüggésben az MI-jártasságnak szavatolnia kell, hogy az MI-értékláncon belüli valamennyi releváns szereplő rendelkezzen e rendelet megfelelő betartásának és helyes érvényesítésének biztosításhoz szükséges tudással. Továbbá, az MI-jártassághoz kapcsolódó intézkedések széles körű végrehajtása és a megfelelő nyomonkövetési intézkedések bevezetése hozzájárulhatna a munkafeltételek javításához, és végső soron fenntarthatná a megbízható MI konszolidációját és innovációs pályáját az Unióban. A Mesterséges Intelligenciával Foglalkozó Európai Testületnek (a továbbiakban: a Testület) támogatnia kell a Bizottságot az MI-jártassághoz kapcsolódó eszközök népszerűsítésében, valamint az MI-rendszerek használatával kapcsolatos, a nyilvánosságot célzó figyelemfelkeltő tevékenységeknek és az MI-rendszerek használatával kapcsolatos előnyök, kockázatok, biztosítékok, jogok és kötelezettségek megértésének az előmozdításában. A Bizottságnak és a tagállamoknak – az érintett érdekelt felekkel együttműködésben – elő kell segíteniük olyan önkéntes magatartási kódexek kidolgozását, amelyek célja az MI-jártasság előmozdítása a mesterséges intelligencia fejlesztésével, működtetésével és használatával foglalkozó személyek körében.
(20)
Con el fin de obtener los mayores beneficios de los sistemas de IA, protegiendo al mismo tiempo los derechos fundamentales, la salud y la seguridad, y de posibilitar el control democrático, la alfabetización en materia de IA debe dotar a los proveedores, responsables del despliegue y personas afectadas de los conceptos necesarios para tomar decisiones con conocimiento de causa en relación con los sistemas de IA. Esos conceptos pueden variar en función del contexto pertinente e incluir el entendimiento de la correcta aplicación de los elementos técnicos durante la fase de desarrollo del sistema de IA, las medidas que deben aplicarse durante su uso, las formas adecuadas de interpretar los resultados de salida del sistema de IA y, en el caso de las personas afectadas, los conocimientos necesarios para comprender el modo en que las decisiones adoptadas con la ayuda de la IA tendrán repercusiones para ellas. En el contexto de la aplicación del presente Reglamento, la alfabetización en materia de IA debe proporcionar a todos los agentes pertinentes de la cadena de valor de la IA los conocimientos necesarios para garantizar el cumplimiento adecuado y la correcta ejecución. Además, la puesta en práctica general de medidas de alfabetización en materia de IA y la introducción de acciones de seguimiento adecuadas podrían contribuir a mejorar las condiciones de trabajo y, en última instancia, sostener la consolidación y la senda de innovación de una IA fiable en la Unión. El Consejo Europeo de Inteligencia Artificial (en lo sucesivo, «Consejo de IA») debe apoyar a la Comisión para promover las herramientas de alfabetización en materia de IA, la sensibilización pública y la comprensión de los beneficios, los riesgos, las salvaguardias, los derechos y las obligaciones en relación con el uso de sistemas de IA. En cooperación con las partes interesadas pertinentes, la Comisión y los Estados miembros deben facilitar la elaboración de códigos de conducta voluntarios para promover la alfabetización en materia de IA entre las personas que se ocupan del desarrollo, el manejo y el uso de la IA.
(21)
Az egyenlő versenyfeltételek biztosítása, valamint az egyének jogainak és szabadságainak Unió-szerte történő hatékony védelme érdekében az e rendeletben megállapított szabályokat megkülönböztetésmentes módon kell alkalmazni az MI-rendszerek szolgáltatóira, függetlenül attól, hogy az Unióban vagy harmadik országban letelepedett szolgáltatók-e, valamint az MI-rendszerek Unióban letelepedett alkalmazóira.
(21)
Con el objetivo de garantizar la igualdad de condiciones y la protección efectiva de los derechos y libertades de las personas en toda la Unión, las normas establecidas en el presente Reglamento deben aplicarse a los proveedores de sistemas de IA sin discriminación, con independencia de si están establecidos en la Unión o en un tercer país, y a los responsables del despliegue de sistemas de IA establecidos en la Unión.
(22)
Digitális jellegükre tekintettel egyes MI-rendszereknek akkor is e rendelet hatálya alá kell tartozniuk, ha azokat nem hozzák forgalomba, nem helyezik üzembe vagy nem használják az Unióban. Ez a helyzet például abban az esetben, amikor egy, az Unióban letelepedett gazdasági szereplő bizonyos szolgáltatásokra egy harmadik országban letelepedett gazdasági szereplővel köt szerződést egy olyan MI-rendszer által végzendő tevékenységgel kapcsolatban, amely nagy kockázatúnak minősülne. Ilyen körülmények között a gazdasági szereplő által egy harmadik országban használt MI-rendszer az Unióban jogszerűen gyűjtött és az Unióból továbbított adatokat kezelhet, és az említett MI-rendszer által az említett adatkezelés nyomán előállított adatokat az Unióban működő, vele szerződést kötött gazdasági szereplő rendelkezésére bocsáthatja, anélkül, hogy az említett MI-rendszert forgalomba hoznák, üzembe helyeznék vagy használnák az Unióban. E rendelet kijátszásának megelőzése és az Unióban tartózkodó természetes személyek hatékony védelmének biztosítása érdekében ezt a rendeletet MI-rendszerek harmadik országban letelepedett szolgáltatóira és alkalmazóira is alkalmazni kell, amennyiben az e rendszerek által előállított kimeneteket az Unión belüli használatra szánják. Mindazonáltal a meglévő megállapodások és az azon külföldi partnerekkel való jövőbeli együttműködés iránti különleges igény figyelembevétele érdekében, amelyekkel információ- és bizonyítékcserére kerül sor, e rendelet nem alkalmazandó a harmadik országok hatóságaira és nemzetközi szervezetekre, amennyiben azok együttműködési keretben vagy az Unióval vagy a tagállamokkal folytatott bűnüldözési és igazságügyi együttműködésre vonatkozó – uniós vagy nemzeti szinten kötött – nemzetközi megállapodások keretében járnak el, feltéve, hogy a releváns harmadik ország vagy nemzetközi szervezet megfelelő biztosítékokat nyújt az egyének alapvető jogainak és szabadságainak védelme tekintetében. Ez adott esetben a harmadik országok által az ilyen bűnüldözési és igazságügyi együttműködést támogató konkrét feladatok elvégzésével megbízott szervezetek tevékenységeire is kiterjedhet. Az ilyen együttműködési keret vagy megállapodások kétoldalúan jöttek létre a tagállamok és harmadik országok között, vagy az Európai Unió, az Europol és más uniós ügynökségek, valamint harmadik országok és nemzetközi szervezetek között. A bűnüldöző és igazságügyi hatóságok e rendelet szerinti felügyeletét ellátó illetékes hatóságoknak értékelniük kell, hogy az említett együttműködési keretek vagy nemzetközi megállapodások megfelelő biztosítékokat foglalnak-e magukban az egyének alapvető jogainak és szabadságainak védelme tekintetében. Azon fogadó nemzeti hatóságoknak, valamint azon uniós intézményeknek, szerveknek és hivataloknak, amelyek az Unióban ilyen kimeneteket használnak fel, továbbra is elszámoltathatóknak kell lenniük annak biztosítása tekintetében, hogy a kimenetek felhasználása megfeleljen az uniós jognak. Amikor az említett nemzetközi megállapodásokat a jövőben módosítják, vagy helyettük újakat kötnek, a szerződő feleknek minden tőlük telhetőt meg kell tenniük annak érdekében, hogy az említett megállapodásokat összhangba hozzák e rendelet követelményeivel.
(22)
Debido a su carácter digital, algunos sistemas de IA deben entrar en el ámbito de aplicación del presente Reglamento aunque no se introduzcan en el mercado, se pongan en servicio ni se utilicen en la Unión. Esto sucede, por ejemplo, cuando un operador establecido en la Unión firma con un operador establecido en un tercer país un contrato para la prestación de determinados servicios en relación con una actividad que llevará a cabo un sistema de IA que se consideraría de alto riesgo. En dichas circunstancias, el sistema de IA usado en un tercer país por el operador podría tratar datos recabados lícitamente en la Unión y transferidos desde su territorio, y proporcionar al operador contratante ubicado en la Unión los resultados de salida generados por dicho sistema de IA a raíz de este tratamiento sin que el sistema de IA de que se trate se introduzca en el mercado, se ponga en servicio o se utilice en la Unión. Para evitar la elusión de este Reglamento y garantizar la protección efectiva de las personas físicas ubicadas en la Unión, el presente Reglamento también debe aplicarse a los proveedores y responsables del despliegue de sistemas de IA establecidos en un tercer país, en la medida en que los resultados de salida generados por dichos sistemas estén destinados a utilizarse en la Unión. No obstante, con el objetivo de tener en cuenta los acuerdos existentes y las necesidades especiales de cooperación futura con socios extranjeros con los que se intercambian información y pruebas, el presente Reglamento no debe aplicarse a las autoridades públicas de un tercer país ni a organizaciones internacionales cuando actúen en el marco de acuerdos internacionales o de cooperación celebrados a escala nacional o de la Unión con fines de cooperación policial y judicial con la Unión o sus Estados miembros si el tercer país o la organización internacional correspondiente ofrece garantías suficientes con respecto a la protección de los derechos y libertades fundamentales de las personas. Cuando proceda, ello podrá incluir las actividades de entidades a las que los terceros países hayan encomendado tareas específicas en apoyo de dicha cooperación policial y judicial. Dichos marcos de cooperación o acuerdos se han establecido bilateralmente entre los Estados miembros y terceros países o entre la Unión Europea, Europol y otros órganos de la Unión y terceros países y organizaciones internacionales. Las autoridades competentes para la supervisión de las autoridades policiales y judiciales en virtud del presente Reglamento deben evaluar si dichos marcos de cooperación o acuerdos internacionales incluyen garantías suficientes con respecto a la protección de los derechos y libertades fundamentales de las personas. Las autoridades nacionales y las instituciones, órganos y organismos de la Unión que sean destinatarios de dichos resultados de salida y que la utilicen en la Unión siguen siendo responsables de garantizar que su utilización de la información está en consonancia con el Derecho de la Unión. Cuando, en el futuro, dichos acuerdos internacionales se revisen o se celebren otros nuevos, las partes contratantes deben hacer todo lo posible por que dichos acuerdos se ajusten a los requisitos del presente Reglamento.
(23)
Ezt a rendeletet az uniós intézményekre, szervekre és hivatalokra is alkalmazni kell, amennyiben azok MI-rendszer szolgáltatójaként vagy alkalmazójaként járnak el.
(23)
El presente Reglamento también debe aplicarse a las instituciones, órganos y organismos de la Unión cuando actúen como proveedores o responsables del despliegue de un sistema de IA.
(24)
Ha és amennyiben az MI-rendszereket katonai, védelmi vagy nemzetbiztonsági célokra hozzák forgalomba, helyezik üzembe vagy használják módosítással vagy anélkül, azokat ki kell zárni e rendelet hatálya alól, függetlenül attól, hogy az említett tevékenységeket milyen típusú szervezet végzi, így például attól, hogy közjogi vagy magánjogi szervezetről van-e szó. Ami a katonai és védelmi célokat illeti, az ilyen kizárást mind az EUSZ 4. cikkének (2) bekezdése, mind az EUSZ V. címe 2. fejezetének hatálya alá tartozó tagállami és közös uniós védelmi politikának a nemzetközi közjog hatálya alá tartozó sajátosságai indokolják; ez utóbbi tehát a megfelelőbb jogi keret az MI-rendszereknek a halálos erő alkalmazásával összefüggésben, valamint más MI-rendszereknek a katonai és védelmi tevékenységekkel összefüggésben történő szabályozásához. Ami a nemzetbiztonsági célokat illeti, a kizárást indokolja mind az a tény, hogy a nemzetbiztonság az EUSZ 4. cikke (2) bekezdésének megfelelően továbbra is a tagállamok kizárólagos felelőssége, mind a nemzetbiztonsági tevékenységek sajátos jellege és operatív szükségletei, valamint az e tevékenységekre alkalmazandó különös nemzeti szabályok. Mindazonáltal, ha egy katonai, védelmi vagy nemzetbiztonsági célokra kifejlesztett, forgalomba hozott, üzembe helyezett vagy használt MI-rendszert ideiglenesen vagy tartósan más – például polgári vagy humanitárius, bűnüldözési vagy közbiztonsági – célokra használnak, az ilyen rendszer e rendelet hatálya alá tartozik. Ebben az esetben az MI-rendszert nem katonai, védelmi vagy nemzetbiztonsági célokra használó szervezetnek biztosítania kell az MI-rendszer e rendeletnek való megfelelését, kivéve, ha a rendszer már megfelel e rendeletnek. A kizárt – nevezetesen katonai, védelmi vagy nemzetbiztonsági – célból és egy vagy több nem kizárt – például polgári vagy bűnüldözési – célból forgalomba hozott vagy üzembe helyezett MI-rendszerek e rendelet hatálya alá tartoznak, és e rendszerek szolgáltatóinak biztosítaniuk kell az e rendeletnek való megfelelést. Ezekben az esetekben az a tény, hogy egy MI-rendszer e rendelet hatálya alá tartozhat, nem érintheti azt a lehetőséget, hogy a nemzetbiztonsági, védelmi és katonai tevékenységeket végző szervezetek – az e tevékenységeket végző szervezet típusától függetlenül – olyan MI-rendszereket használjanak nemzetbiztonsági, katonai és védelmi célokra, amelyek használata nem tartozik e rendelet hatálya alá. Azon polgári vagy bűnüldözési célból forgalomba hozott MI-rendszerek, amelyeket módosítással vagy módosítás nélkül katonai, védelmi vagy nemzetbiztonsági célokra használnak, nem tartozhatnak e rendelet hatálya alá, függetlenül az említett tevékenységeket végző szervezet típusától.
(24)
En caso de que, y en la medida en que, los sistemas de IA se introduzcan en el mercado, se pongan en servicio o se utilicen, con o sin modificación, con fines militares, de defensa o de seguridad nacional, deben excluirse del ámbito de aplicación del presente Reglamento, independientemente del tipo de entidad que lleve a cabo esas actividades, por ejemplo, con independencia de que se trate de una entidad pública o de una entidad privada. Por lo que respecta a los fines militares y de defensa, dicha exclusión está justificada tanto por el artículo 4, apartado 2, del TUE como por las especificidades de la política de defensa de los Estados miembros y de la política común de defensa de la Unión a que se refiere el título V, capítulo 2, del TUE, que están sujetas al Derecho internacional público que, por lo tanto, es el marco jurídico más adecuado para la regulación de los sistemas de IA en el contexto del uso de la fuerza letal y de otros sistemas de IA en el contexto de las actividades militares y de defensa. Por lo que respecta a los fines de seguridad nacional, la exclusión está justificada tanto por el hecho de que la seguridad nacional sigue siendo responsabilidad exclusiva de los Estados miembros de conformidad con el artículo 4, apartado 2, del TUE, como por la naturaleza específica y las necesidades operativas de las actividades de seguridad nacional y por las normas nacionales específicas aplicables a dichas actividades. No obstante, si un sistema de IA desarrollado, introducido en el mercado, puesto en servicio o utilizado con fines militares, de defensa o de seguridad nacional se utilizara temporal o permanentemente fuera de estos ámbitos con otros fines (por ejemplo, con fines civiles o humanitarios, de garantía del cumplimiento del Derecho o de seguridad pública), dicho sistema entraría en el ámbito de aplicación del presente Reglamento. En tal caso, la entidad que utilice el sistema de IA con fines que no sean militares, de defensa o de seguridad nacional debe garantizar que el sistema de IA cumple lo dispuesto en el presente Reglamento, a menos que el sistema ya lo haga. Los sistemas de IA introducidos en el mercado o puestos en servicio para un fin excluido, a saber, militar, de defensa o de seguridad nacional, y uno o varios fines no excluidos, como fines civiles o de garantía del cumplimiento del Derecho, entran en el ámbito de aplicación del presente Reglamento y los proveedores de dichos sistemas deben garantizar el cumplimiento del presente Reglamento. En esos casos, el hecho de que un sistema de IA pueda entrar en el ámbito de aplicación del presente Reglamento no debe afectar a la posibilidad de que las entidades que llevan a cabo actividades militares, de defensa y de seguridad nacional, independientemente del tipo de entidad que lleve a cabo estas actividades, utilicen sistemas de IA con fines de seguridad nacional, militares y de defensa, cuyo uso está excluido del ámbito de aplicación del presente Reglamento. Un sistema de IA introducido en el mercado con fines civiles o de garantía del cumplimiento del Derecho que se utilice, con o sin modificaciones, con fines militares, de defensa o de seguridad nacional no debe entrar en el ámbito de aplicación del presente Reglamento, independientemente del tipo de entidad que lleve a cabo esas actividades.
(25)
E rendeletnek támogatnia kell az innovációt, tiszteletben kell tartania a tudomány szabadságát, és nem szabad aláásnia a kutatás-fejlesztési tevékenységeket. Ezért ki kell zárni a hatálya alól a kifejezetten és kizárólag tudományos kutatás-fejlesztés céljából kifejlesztett és üzembe helyezett MI-rendszereket. Továbbá biztosítani kell, hogy e rendelet egyéb módon se befolyásolja az MI-rendszerekre vagy -modellekre irányulóan végzett tudományos kutatás-fejlesztési tevékenységet azok forgalomba hozatalát vagy üzembe helyezését megelőzően. Ami az MI-rendszerekkel vagy -modellekkel kapcsolatos termékorientált kutatási, tesztelési és fejlesztési tevékenységeket illeti, e rendelet rendelkezései szintén nem alkalmazandók az említett rendszerek és modellek forgalomba hozatalát vagy üzembe helyezését megelőzően. Az említett kizárás nem érinti az e rendeletnek való megfelelésre vonatkozó kötelezettséget, amennyiben az e rendelet hatálya alá tartozó MI-rendszert ilyen kutatás-fejlesztési tevékenység eredményeként hozzák forgalomba vagy helyezik üzembe, valamint nem érinti az MI szabályozói tesztkörnyezetekre és a valós körülmények közötti tesztelésre vonatkozó rendelkezések alkalmazását. Továbbá, a kifejezetten tudományos kutatás-fejlesztés céljából kifejlesztett és üzembe helyezett MI-rendszerek kizárásának sérelme nélkül, minden egyéb olyan MI-rendszerre, amely kutatás-fejlesztési tevékenység végzésére használható, továbbra is e rendelet rendelkezéseinek kell vonatkozniuk. Mindenesetre bármely kutatás-fejlesztési tevékenységet a tudományos kutatásra vonatkozó elismert etikai és szakmai normáknak megfelelően kell végezni, és az alkalmazandó uniós jognak megfelelően kell folytatni.
(25)
El presente Reglamento debe apoyar la innovación, respetar la libertad de ciencia y no socavar la actividad de investigación y desarrollo. Por consiguiente, es necesario excluir de su ámbito de aplicación los sistemas y modelos de IA desarrollados específicamente y puestos en servicio únicamente con fines de investigación y desarrollo científicos. Además, es necesario garantizar que el presente Reglamento no afecte de otro modo a la actividad de investigación y desarrollo científicos sobre sistemas o modelos de IA antes de su introducción en el mercado o su puesta en servicio. Por lo que se refiere a la actividad de investigación, prueba y desarrollo orientada a productos en relación con sistemas o modelos de IA, las disposiciones del presente Reglamento tampoco deben aplicarse antes de que dichos sistemas y modelos se pongan en servicio o se introduzcan en el mercado. Esa exclusión se entiende sin perjuicio de la obligación de cumplir el presente Reglamento cuando se introduzca en el mercado o se ponga en servicio como resultado de dicha actividad de investigación y desarrollo un sistema de IA que entre en el ámbito de aplicación del presente Reglamento, así como de la aplicación de disposiciones sobre espacios controlados de pruebas para la IA y pruebas en condiciones reales. Además, sin perjuicio de la exclusión de los sistemas de IA desarrollados específicamente y puestos en servicio únicamente con fines de investigación y desarrollo científicos, cualquier otro sistema de IA que pueda utilizarse para llevar a cabo cualquier actividad de investigación y desarrollo debe seguir estando sujeto a las disposiciones del presente Reglamento. En cualquier caso, toda actividad de investigación y desarrollo debe llevarse a cabo de conformidad con normas éticas y profesionales reconocidas para la investigación científica y con el Derecho aplicable de la Unión.
(26)
Az MI-rendszerekre vonatkozó, kötelező erejű szabályok arányos és hatékony rendszerének bevezetése érdekében egyértelműen meghatározott, kockázatalapú megközelítést kell alkalmazni. E megközelítés keretében az ilyen szabályok típusát és tartalmát hozzá kell igazítani az MI-rendszerek által keltett kockázatok intenzitásához és nagyságrendjéhez. Ezért meg kell tiltani bizonyos elfogadhatatlan MI-gyakorlatokat, míg a nagy kockázatú MI-rendszerekre vonatkozóan követelményeket, az érintett gazdasági szereplőkre vonatkozóan pedig kötelezettségeket kell megállapítani, valamint átláthatósági kötelezettségeket kell előírni bizonyos MI-rendszerek tekintetében.
(26)
Con el fin de establecer un conjunto proporcionado y eficaz de normas vinculantes para los sistemas de IA, es preciso aplicar un enfoque basado en los riesgos claramente definido, que adapte el tipo y contenido de las normas a la intensidad y el alcance de los riesgos que puedan generar los sistemas de IA de que se trate. Por consiguiente, es necesario prohibir determinadas prácticas de IA que no son aceptables, definir los requisitos que deben cumplir los sistemas de IA de alto riesgo y las obligaciones aplicables a los operadores pertinentes, así como imponer obligaciones de transparencia a determinados sistemas de IA.
(27)
Bár a kötelező erejű szabályok arányos és hatékony rendszerének alapját a kockázatalapú megközelítés képezi, fontos emlékeztetni a Bizottság által kinevezett független magas szintű MI-szakértői csoport által a megbízható mesterséges intelligenciára vonatkozóan 2019-ben kidolgozott etikai iránymutatásokra. A magas szintű MI-szakértői csoport ezekben az iránymutatásokban hét nem kötelező erejű etikai elvet dolgozott ki a mesterséges intelligenciára vonatkozóan, amelyek célja, hogy segítsék biztosítani a mesterséges intelligencia megbízhatóságát és etikai megalapozottságát. A hét elv a következő: emberi cselekvőképesség és felügyelet; műszaki stabilitás és biztonság; a magánélet védelme és adatkormányzás; átláthatóság; sokszínűség, a megkülönböztetés tilalma és méltányosság; társadalmi és környezeti jóllét; valamint elszámoltathatóság. Az említett iránymutatások – e rendelet jogilag kötelező érvényű követelményeinek és bármely egyéb alkalmazandó uniós jognak a sérelme nélkül – hozzájárulnak a koherens, megbízható és emberközpontú mesterséges intelligenciának a Chartával és az Unió alapját képező értékekkel összhangban történő kidolgozásához. A magas szintű MI-szakértői csoport iránymutatásai szerint az emberi cselekvőképesség és felügyelet azt jelenti, hogy az MI-rendszereket olyan eszközként kell fejleszteni és használni, amely az embereket szolgálja, tiszteletben tartja az emberi méltóságot és a személyes autonómiát, és amely úgy működik, hogy ember által megfelelő módon ellenőrizhető és felügyelhető legyen. A műszaki stabilitás és biztonság azt jelenti, hogy az MI-rendszereket úgy kell fejleszteni és használni, ami lehetővé teszi a stabilitást a problémák esetén, és a rezilienciát az MI-rendszer használatának vagy teljesítményének a harmadik felek általi jogellenes felhasználás lehetővé tétele érdekében történő megváltoztatására irányuló kísérletekkel szemben, továbbá a nem szándékos károkozás minimálisra csökkentését. A magánélet védelme és az adatkormányzás azt jelenti, hogy az MI-rendszereket a magánélet védelmére vonatkozó és az adatvédelmi szabályokkal összhangban kell fejleszteni és használni, miközben az adatok kezelésének magas szintű minőségi és integritási standardoknak kell megfelelnie. Az átláthatóság azt jelenti, hogy az MI-rendszereket olyan módon kell fejleszteni és használni, amely lehetővé teszi a megfelelő nyomonkövethetőséget és megmagyarázhatóságot, miközben tudatosítja az emberekben, hogy MI-rendszerrel kommunikálnak vagy lépnek kapcsolatba, valamint megfelelően tájékoztatja az alkalmazókat az MI-rendszer képességeiről és korlátairól, az érintett személyeket pedig jogaikról. A sokszínűség, a megkülönböztetés tilalma és a méltányosság azt jelenti, hogy az MI-rendszereket úgy kell fejleszteni és használni, hogy abba bevonják a különböző szereplőket, valamint hogy annak során előmozdítják az egyenlő hozzáférést, a nemek közötti egyenlőséget és a kulturális sokszínűséget, elkerülve mindeközben az uniós vagy a nemzeti jog által tiltott diszkriminatív hatásokat és méltánytalan torzításokat. A társadalmi és környezeti jóllét azt jelenti, hogy az MI-rendszereket fenntartható és környezetbarát módon kell fejleszteni és használni, valamint úgy, hogy az minden ember javát szolgálja, figyelemmel kísérve és felmérve mindeközben az egyénre, a társadalomra és a demokráciára gyakorolt hosszú távú hatásokat. Az említett elvek alkalmazását lehetőség szerint át kell ültetni az MI-modellek tervezésébe és használatába. Azoknak minden esetben alapul kell szolgálniuk az e rendelet szerinti magatartási kódexek kidolgozásához. Valamennyi érdekelt fél – ideértve az ipart, a tudományos köröket, a civil társadalmat és a szabványügyi szervezeteket is – ösztönözve van arra, hogy az önkéntes legjobb gyakorlatok és szabványok kidolgozásához adott esetben vegye figyelembe az etikai elveket.
(27)
Si bien el enfoque basado en el riesgo es la base de un conjunto proporcionado y eficaz de normas vinculantes, es importante recordar las Directrices éticas para una IA fiable, de 2019, elaboradas por el Grupo independiente de expertos de alto nivel sobre IA creado por la Comisión. En dichas directrices, el Grupo independiente de expertos de alto nivel sobre IA desarrolló siete principios éticos no vinculantes para la IA que tienen por objeto contribuir a garantizar la fiabilidad y el fundamento ético de la IA. Los siete principios son: acción y supervisión humanas; solidez técnica y seguridad; gestión de la privacidad y de los datos; transparencia; diversidad, no discriminación y equidad; bienestar social y ambiental, y rendición de cuentas. Sin perjuicio de los requisitos jurídicamente vinculantes del presente Reglamento y de cualquier otro acto aplicable del Derecho de la Unión, esas directrices contribuyen al diseño de una IA coherente, fiable y centrada en el ser humano, en consonancia con la Carta y con los valores en los que se fundamenta la Unión. De acuerdo con las directrices del Grupo independiente de expertos de alto nivel sobre IA, por «acción y supervisión humanas» se entiende que los sistemas de IA se desarrollan y utilizan como herramienta al servicio de las personas, que respeta la dignidad humana y la autonomía personal, y que funciona de manera que pueda ser controlada y vigilada adecuadamente por seres humanos. Por «solidez técnica y seguridad» se entiende que los sistemas de IA se desarrollan y utilizan de manera que sean sólidos en caso de problemas y resilientes frente a los intentos de alterar el uso o el funcionamiento del sistema de IA para permitir su uso ilícito por terceros y reducir al mínimo los daños no deseados. Por «gestión de la privacidad y de los datos» se entiende que los sistemas de IA se desarrollan y utilizan de conformidad con normas en materia de protección de la intimidad y de los datos, al tiempo que tratan datos que cumplen normas estrictas en términos de calidad e integridad. Por «transparencia» se entiende que los sistemas de IA se desarrollan y utilizan de un modo que permita una trazabilidad y explicabilidad adecuadas, y que, al mismo tiempo, haga que las personas sean conscientes de que se comunican o interactúan con un sistema de IA e informe debidamente a los responsables del despliegue acerca de las capacidades y limitaciones de dicho sistema de IA y a las personas afectadas acerca de sus derechos. Por «diversidad, no discriminación y equidad» se entiende que los sistemas de IA se desarrollan y utilizan de un modo que incluya a diversos agentes y promueve la igualdad de acceso, la igualdad de género y la diversidad cultural, al tiempo que se evitan los efectos discriminatorios y los sesgos injustos prohibidos por el Derecho nacional o de la Unión. Por «bienestar social y ambiental» se entiende que los sistemas de IA se desarrollan y utilizan de manera sostenible y respetuosa con el medio ambiente, así como en beneficio de todos los seres humanos, al tiempo que se supervisan y evalúan los efectos a largo plazo en las personas, la sociedad y la democracia. La aplicación de esos principios debe traducirse, cuando sea posible, en el diseño y el uso de modelos de IA. En cualquier caso, deben servir de base para la elaboración de códigos de conducta en virtud del presente Reglamento. Se anima a todas las partes interesadas, incluidos la industria, el mundo académico, la sociedad civil y las organizaciones de normalización, a que tengan en cuenta, según proceda, los principios éticos para el desarrollo de normas y mejores prácticas voluntarias.
(28)
A mesterséges intelligencia számos hasznos felhasználási módja mellett, azt rendellenesen is fel lehet használni, valamint új és hatékony eszközöket biztosíthat manipulatív, kizsákmányoló és társadalmi ellenőrzési gyakorlatokhoz. Az ilyen gyakorlatok különösen károsak és visszaélésszerűek, és meg kell tiltani őket, mivel ellentétesek az emberi méltóság tiszteletben tartása, a szabadság, az egyenlőség, a demokrácia és a jogállamiság uniós értékeivel, továbbá a Chartában rögzített alapvető jogokkal, ideértve a megkülönböztetésmentességhez, az adatvédelemhez és a magánélet tiszteletben tartásához való jogot, valamint a gyermek jogait is.
(28)
Al margen de los múltiples usos beneficiosos de la IA, esta también puede utilizarse indebidamente y proporcionar nuevas y poderosas herramientas para llevar a cabo prácticas de manipulación, explotación y control social. Dichas prácticas son sumamente perjudiciales e incorrectas y deben estar prohibidas, pues van en contra de los valores de la Unión de respeto de la dignidad humana, la libertad, la igualdad, la democracia y el Estado de Derecho y de los derechos fundamentales consagrados en la Carta, como el derecho a la no discriminación, a la protección de datos y a la intimidad y los derechos del niño.
(29)
Az MI-n alapuló manipulatív technikák felhasználhatók arra, hogy nem kívánt magatartásformákra vegyék rá az embereket, vagy megtévesszék őket azáltal, hogy oly módon ösztönzik őket döntésekre, amely aláássa és csorbítja autonómiájukat, döntéshozatalukat és szabad választásukat. Az olyan MI-rendszerek forgalomba hozatala, üzembe helyezése vagy használata, amelyek célja vagy hatása az emberi magatartás jelentős mértékű olyan torzítása, amely valószínűleg jelentős károkkal, így különösen a testi, pszichológiai egészségre vagy a pénzügyi érdekekre nézve kellően jelentős kedvezőtlen hatásokkal jár, rendkívül veszélyes, és ezért azt be kell tiltani. Az ilyen MI-rendszerek olyan szubliminális alkotóelemeket – például hang-, képi és videoingereket – alkalmaznak, amelyeket a személyek nem képesek észlelni, mivel az említett ingerek túlmutatnak az emberi észlelésen, vagy más olyan manipulatív vagy megtévesztő technikákat használnak, amelyek úgy ássák alá vagy csorbítják a személy autonómiáját, döntéshozatalát vagy szabad választását, hogy az említett technikáknak az emberek nincsenek tudatában, vagy ha tudatában vannak is azoknak, az embereket mégis megtéveszthetik, vagy nem képesek azokat irányítani, vagy azoknak ellenállni. Ezt elősegíthetik például a gép–agy interfészek vagy a virtuális valóság, mivel azok nagyobb fokú ellenőrzést tesznek lehetővé afelett, hogy milyen ingerek kerüljenek megjelenítésre a személyeknek, amennyiben ezek az ingerek érdemben és jelentősen káros módon torzíthatják viselkedésüket. Emellett az MI-rendszerek más módon is kihasználhatják adott személynek vagy személyek egy adott csoportjának az életkoruk, az (EU) 2019/882 európai parlamenti és tanácsi irányelv (16) értelmében vett fogyatékosságuk vagy olyan sajátos társadalmi vagy gazdasági helyzetük miatti sebezhetőségét, amely valószínűleg kiszolgáltatottabbá teszi őket – például a mélyszegénységben élőket, az etnikai vagy vallási kisebbségeket – a kizsákmányolással szemben. Az ilyen MI-rendszerek forgalomba hozhatók, üzembe helyezhetők vagy felhasználhatók azzal a céllal vagy azzal a hatással, hogy jelentősen torzítsák egy személy viselkedését, és oly módon, hogy az az említett személynek vagy egy másik személynek vagy személyek csoportjainak jelentős kárt okoz, vagy észszerű valószínűséggel okozhat jelentős kárt, ideértve az idővel esetlegesen felhalmozódó károkat is, és ezért azt be kell tiltani. Előfordulhat, hogy nem lehetséges a magatartás torzítására irányuló szándék vélelmezése, amikor a torzulás az MI-rendszeren kívüli olyan tényezőkből ered, amelyek kívül esnek a szolgáltató vagy az alkalmazó befolyásán, nevezetesen olyan tényezőkből, amelyek észszerűen nem előreláthatóak, és amelyeket ezért az MI-rendszer szolgáltatója vagy alkalmazója nem tud mérsékelni. Mindenesetre nem szükséges, hogy a szolgáltató vagy az alkalmazó szándékosan okozzon jelentős kárt, feltéve, hogy az ilyen kár a manipulatív vagy kizsákmányoló MI-n alapuló gyakorlatokból ered. Az ilyen MI-gyakorlatokra vonatkozó tilalmak kiegészítik a 2005/29/EK európai parlamenti és tanácsi irányelvben (17) foglalt rendelkezéseket, különösen azt, hogy a fogyasztóknak gazdasági vagy pénzügyi kárt okozó tisztességtelen kereskedelmi gyakorlatok minden körülmények között tilosak, függetlenül attól, hogy azokat MI-rendszereken keresztül vagy más módon valósítják-e meg. A manipulatív és kizsákmányoló gyakorlatok e rendeletben foglalt tilalmai nem érinthetik a gyógykezelés – így például egy mentális betegség pszichológiai kezelése vagy a fizikai rehabilitáció – során alkalmazott jogszerű gyakorlatokat, amennyiben az említett gyakorlatokat az alkalmazandó joggal és orvosi normákkal – például az egyének vagy jogi képviselőik kifejezett hozzájárulásával – összhangban végzik. Emellett az alkalmazandó jognak megfelelő, általános és jogszerű kereskedelmi gyakorlatok – például a reklámok területén – önmagukban nem tekintendők káros manipulatív MI-n alapuló gyakorlatoknak.
(29)
Las técnicas de manipulación que posibilita la IA pueden utilizarse para persuadir a las personas de que adopten comportamientos no deseados o para engañarlas empujándolas a tomar decisiones de una manera que socava y perjudica su autonomía, su toma de decisiones y su capacidad de elegir libremente. Son especialmente peligrosos y, por tanto, deben prohibirse la introducción en el mercado, la puesta en servicio o la utilización de determinados sistemas de IA con el objetivo o al efecto de alterar de manera sustancial el comportamiento humano, con la consiguiente probabilidad de que se produzcan perjuicios considerables, en particular perjuicios con efectos adversos suficientemente importantes en la salud física o mental o en los intereses financieros. Esos sistemas de IA utilizan componentes subliminales, como estímulos de audio, imagen o vídeo que las personas no pueden percibir —ya que dichos estímulos trascienden la percepción humana—, u otras técnicas manipulativas o engañosas que socavan o perjudican la autonomía, la toma de decisiones o la capacidad de elegir libremente de las personas de maneras de las que estas no son realmente conscientes de dichas técnicas o, cuando lo son, pueden seguir siendo engañadas o no pueden controlarlas u oponerles resistencia. Esto podría facilitarse, por ejemplo, mediante interfaces cerebro-máquina o realidad virtual, dado que permiten un mayor grado de control acerca de qué estímulos se presentan a las personas, en la medida en que pueden alterar sustancialmente su comportamiento de un modo que suponga un perjuicio considerable. Además, los sistemas de IA también pueden explotar de otras maneras las vulnerabilidades de una persona o un colectivo específico de personas derivadas de su edad, su discapacidad en el sentido de lo dispuesto en la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (16) o de una situación social o económica concreta que probablemente aumente su vulnerabilidad a la explotación, como vivir en condiciones de pobreza extrema o pertenecer a minorías étnicas o religiosas. Estos sistemas de IA pueden introducirse en el mercado, ponerse en servicio o utilizarse con el objetivo de alterar de manera sustancial el comportamiento de una persona, o tener ese efecto, y de un modo que provoque, o sea razonablemente probable que provoque, perjuicios considerables a esa persona o a otra persona o colectivo de personas, incluidos perjuicios que pueden acumularse a lo largo del tiempo y que, por tanto, deben prohibirse. No puede presuponerse que existe la intención de alterar el comportamiento si la alteración es el resultado de factores externos al sistema de IA que escapan al control del proveedor o del responsable del despliegue, a saber, factores que no es lógico prever y que, por tanto, el proveedor o el responsable del despliegue del sistema de IA no pueden mitigar. En cualquier caso, no es necesario que el proveedor o el responsable del despliegue tengan la intención de causar un perjuicio considerable, siempre que dicho perjuicio se derive de las prácticas de manipulación o explotación que posibilita la IA. La prohibición de tales prácticas de IA complementa lo dispuesto en la Directiva 2005/29/CE del Parlamento Europeo y del Consejo (17), en particular la prohibición, en cualquier circunstancia, de las prácticas comerciales desleales que causan perjuicios económicos o financieros a los consumidores, hayan sido establecidas mediante de sistemas de IA o de otra manera. La prohibición de las prácticas de manipulación y explotación establecida en el presente Reglamento no debe afectar a prácticas lícitas en el contexto de un tratamiento médico, como el tratamiento psicológico de una enfermedad mental o la rehabilitación física, cuando dichas prácticas se lleven a cabo de conformidad con el Derecho y las normas médicas aplicables, por ejemplo, con el consentimiento expreso de las personas o de sus representantes legales. Asimismo, no debe considerarse que las prácticas comerciales comunes y legítimas (por ejemplo, en el campo de la publicidad) que cumplan el Derecho aplicable son, en sí mismas, prácticas de manipulación perjudiciales que posibilita la IA.
(30)
Be kell tiltani a természetes személyek biometrikus adatain – például adott személy arcán vagy ujjnyomatán – alapuló olyan biometrikus kategorizálási rendszereket, amelyek célja, hogy levezessék vagy kikövetkeztessék adott egyének politikai véleményét, szakszervezeti tagságát, vallási vagy világnézeti meggyőződését, faji hovatartozását, szexuális életét vagy szexuális irányultságát. Az említett tilalom nem terjedhet ki az uniós vagy nemzeti joggal összhangban beszerzett biometrikus adatkészletek biometrikus adatok szerint történő jogszerű címkézésére, szűrésére vagy kategorizálására, például képek hajszín vagy szemszín szerinti válogatására, ami felhasználható például a bűnüldözés területén.
(30)
Deben prohibirse los sistemas de categorización biométrica basados en datos biométricos de las personas físicas, como la cara o las impresiones dactilares de una persona física, para deducir o inferir las opiniones políticas, la afiliación sindical, las convicciones religiosas o filosóficas, la raza, la vida sexual o la orientación sexual de una persona física. Dicha prohibición no debe aplicarse al etiquetado, al filtrado ni a la categorización lícitos de conjuntos de datos biométricos adquiridos de conformidad con el Derecho nacional o de la Unión en función de datos biométricos, como la clasificación de imágenes en función del color del pelo o del color de ojos, que pueden utilizarse, por ejemplo, en el ámbito de la garantía del cumplimiento del Derecho.
(31)
A természetes személyek állami vagy magánszereplők általi társadalmi pontozását végző MI-rendszerek diszkriminatív eredményekhez és bizonyos csoportok kirekesztéséhez vezethetnek. Az ilyen rendszerek sérthetik a méltósághoz való jogot és a megkülönböztetés tilalmát, valamint az egyenlőség és az igazságosság értékeit. Az ilyen MI-rendszerek a természetes személyeket vagy azok csoportjait a különböző körülmények között tanúsított közösségi magatartásukhoz, illetve ismert, kikövetkeztetett vagy előre jelzett személyes tulajdonságaikhoz vagy személyiségjegyeikhez társított több adatpont alapján értékelik vagy osztályozzák bizonyos időszakokon keresztül. Az ilyen MI-rendszerek által adott társadalmi pontszám a természetes személyekkel vagy azok egész csoportjával szembeni hátrányos vagy kedvezőtlen bánásmódhoz vezethet olyan társadalmi kontextusokban, amelyek nem függenek össze azzal a kontextussal, amelyben az adatok létrehozása vagy gyűjtése történt, vagy olyan hátrányos bánásmódot okozhat, amely az adott személyek közösségi magatartásának súlyosságához képest aránytalan vagy indokolatlan. Az ilyen elfogadhatatlan pontozási gyakorlatokat alkalmazó és ilyen hátrányos vagy kedvezőtlen eredményekhez vezető MI-rendszereket ezért be kell tiltani. Az említett tilalom nem érintheti a természetes személyek azon jogszerű értékelési gyakorlatát, amelyet konkrét célból, az uniós és a nemzeti joggal összhangban végeznek.
(31)
Los sistemas de IA que permiten a agentes públicos o privados llevar a cabo una puntuación ciudadana de las personas físicas pueden tener resultados discriminatorios y abocar a la exclusión a determinados colectivos. Pueden menoscabar el derecho a la dignidad y a la no discriminación y los valores de igualdad y justicia. Dichos sistemas de IA evalúan o clasifican a las personas físicas o a grupos de estas sobre la base de varios puntos de datos relacionados con su comportamiento social en múltiples contextos o de características personales o de su personalidad conocidas, inferidas o predichas durante determinados períodos de tiempo. La puntuación ciudadana resultante de dichos sistemas de IA puede dar lugar a un trato perjudicial o desfavorable de determinadas personas físicas o colectivos enteros en contextos sociales que no guardan relación con el contexto donde se generaron o recabaron los datos originalmente, o a un trato perjudicial desproporcionado o injustificado en relación con la gravedad de su comportamiento social. Por lo tanto, deben prohibirse los sistemas de IA que impliquen esas prácticas inaceptables de puntuación y den lugar a esos resultados perjudiciales o desfavorables. Esa prohibición no debe afectar a prácticas lícitas de evaluación de las personas físicas que se efectúen para un fin específico de conformidad con el Derecho de la Unión y nacional.
(32)
Az MI-rendszereknek természetes személyek „valós idejű” távoli biometrikus azonosítására, a nyilvánosság számára hozzáférhető helyeken, bűnüldözés céljából történő használata különösen tolakodó az érintett személyek jogaira és szabadságaira nézve, mivel hatással lehet a lakosság nagy részének magánéletére, az állandó megfigyelés érzetét keltheti, és közvetve visszatarthat a gyülekezési szabadság és más alapvető jogok gyakorlásától. A természetes személyek távoli biometrikus azonosítására szolgáló MI-rendszerek technikai pontatlansága torzított eredményekhez vezethet, és diszkriminatív hatásokat eredményezhet. Az ilyen torzított eredmények és diszkriminatív hatások különösen relevánsak az életkor, az etnikai és a faji hovatartozás, a nem vagy a fogyatékosságok tekintetében. Ezenkívül a hatás azonnali jellege és az ilyen „valós időben” működő rendszerek használatával kapcsolatos további ellenőrzések vagy korrekciók korlátozott lehetőségei fokozott kockázatot jelentenek az érintett személyek jogaira és szabadságaira nézve a bűnüldözési tevékenységekkel összefüggésben vagy azok hatása miatt.
(32)
El uso de sistemas de IA para la identificación biométrica remota «en tiempo real» de personas físicas en espacios de acceso público con fines de garantía del cumplimiento del Derecho invade de forma especialmente grave los derechos y las libertades de las personas afectadas, en la medida en que puede afectar a la vida privada de una gran parte de la población, provocar la sensación de estar bajo una vigilancia constante y disuadir indirectamente a los ciudadanos de ejercer su libertad de reunión y otros derechos fundamentales. Las imprecisiones técnicas de los sistemas de IA destinados a la identificación biométrica remota de las personas físicas pueden dar lugar a resultados sesgados y tener efectos discriminatorios. Tales posibles resultados sesgados y efectos discriminatorios son especialmente pertinentes por lo que respecta a la edad, la etnia, la raza, el sexo o la discapacidad. Además, la inmediatez de las consecuencias y las escasas oportunidades para realizar comprobaciones o correcciones adicionales en relación con el uso de sistemas que operan «en tiempo real» acrecientan el riesgo que estos conllevan para los derechos y las libertades de las personas afectadas en el contexto de actividades de garantía del cumplimiento del Derecho, o afectadas por estas.
(33)
E rendszerek bűnüldözési célú használatát ezért meg kell tiltani, kivéve az olyan, kimerítő jelleggel felsorolt és szűken meghatározott helyzeteket, amelyekben a használat feltétlenül szükséges egy olyan jelentős közérdek érvényesítéséhez, amelynek fontossága meghaladja a kockázatokat. Az említett helyzetek közé tartozik a bűncselekmények bizonyos áldozatainak, köztük az eltűnt személyeknek a felkutatása; a természetes személyek életét vagy fizikai biztonságát fenyegető bizonyos veszélyek vagy a terrortámadás veszélye; valamint az e rendelet egyik mellékletében felsorolt bűncselekmények elkövetőinek vagy gyanúsítottjainak a lokalizálása vagy azonosítása, amennyiben az említett bűncselekmények esetében az érintett tagállamban a büntetési tétel felső határa legalább négyévi szabadságvesztés vagy szabadságelvonással járó intézkedés, és ahogyan az említett bűncselekményeket az említett tagállam joga meghatározza. A szabadságvesztés vagy szabadságelvonással járó intézkedés nemzeti joggal összhangban álló e küszöbértéke hozzájárul annak biztosításához, hogy a bűncselekmény kellően súlyos legyen ahhoz, hogy potenciálisan indokolhassa a „valós idejű” távoli biometrikus azonosító rendszerek használatát. Ezenfelül az e rendelet egyik mellékletében foglalt bűncselekménylista a 2002/584/IB tanácsi kerethatározatban (18) felsorolt 32 bűncselekményen alapul, figyelembe véve azt, hogy az említett bűncselekmények közül néhány a gyakorlatban valószínűleg relevánsabb, mint mások, azaz a „valós idejű” távoli biometrikus azonosítás alkalmazása előreláthatóan rendkívül eltérő mértékben szükséges és arányos eszköz lehet a felsorolt különböző bűncselekmények elkövetőinek vagy gyanúsítottjainak lokalizálására vagy azonosítására irányuló gyakorlati lépések tekintetében, továbbá figyelemmel a kár vagy az esetleges negatív következmények súlyossága, valószínűsége és mértéke terén fennálló valószínűsíthető különbségekre. Természetes személyek életét vagy testi biztonságát fenyegető közvetlen veszély az (EU) 2022/2557 európai parlamenti és tanácsi irányelv (19) 2. cikkének 4. pontjában meghatározottak szerinti kritikus infrastruktúrát érintő súlyos zavarokból is fakadhat, amennyiben az ilyen kritikus infrastruktúra megzavarása vagy megsemmisítése közvetlen veszélyt jelentene egy személy életére vagy testi biztonságára, többek között az alapvető ellátások lakosság számára történő biztosítására vagy az állam alapvető funkciói gyakorlására gyakorolt súlyos kár révén. Emellett e rendeletnek fenn kell tartania a bűnüldöző, határellenőrzési, bevándorlási vagy menekültügyi hatóságok azon képességét, hogy az érintett személy jelenlétében személyazonosság-ellenőrzést végezzenek az ilyen ellenőrzésekre vonatkozóan az uniós és a nemzeti jogban meghatározott feltételekkel összhangban. Így különösen, lehetővé kell tenni a bűnüldöző, határellenőrzési, bevándorlási vagy menekültügyi hatóságok számára, hogy – anélkül, hogy e rendelet előzetes engedély beszerzésére kötelezné őket –, az uniós vagy a nemzeti joggal összhangban információs rendszereket használjanak azon személyek azonosítására, akik a személyazonosság-ellenőrzés során vagy megtagadják az azonosítást, vagy képtelenek nyilatkozni személyazonosságukról vagy igazolni azt. Ez lehet például olyan, bűncselekményben érintett személy, aki a bűnüldöző hatóságoknak nem hajlandó felfedni a személyazonosságát, vagy aki baleset vagy egészségi állapota miatt képtelen erre.
(33)
En consecuencia, debe prohibirse el uso de dichos sistemas con fines de garantía del cumplimiento del Derecho, salvo en situaciones enumeradas de manera limitativa y definidas con precisión en las que su utilización sea estrictamente necesaria para lograr un interés público esencial cuya importancia compense los riesgos. Esas situaciones son la búsqueda de determinadas víctimas de un delito, incluidas personas desaparecidas; determinadas amenazas para la vida o para la seguridad física de las personas físicas o amenazas de atentado terrorista; y la localización o identificación de los autores o sospechosos de los delitos enumerados en un anexo del presente Reglamento, cuando dichas infracciones se castiguen en el Estado miembro de que se trate con una pena o una medida de seguridad privativas de libertad cuya duración máxima sea de al menos cuatro años, y como se definan en el Derecho de dicho Estado miembro. Fijar ese umbral para la pena o la medida de seguridad privativas de libertad con arreglo al Derecho nacional contribuye a garantizar que la infracción sea lo suficientemente grave como para llegar a justificar el uso de sistemas de identificación biométrica remota «en tiempo real». Por otro lado, la lista de delitos proporcionada en un anexo del presente Reglamento se basa en los treinta y dos delitos enumerados en la Decisión Marco 2002/584/JAI del Consejo (18), si bien es preciso tener en cuenta que, en la práctica, es probable que algunas sean más relevantes que otras en el sentido de que es previsible que recurrir a la identificación biométrica remota «en tiempo real» podría ser necesario y proporcionado en grados muy distintos para llevar a cabo la localización o la identificación de los autores o sospechosos de las distintas infracciones enumeradas, y que es probable que haya diferencias en la gravedad, la probabilidad y la magnitud de los perjuicios o las posibles consecuencias negativas. Una amenaza inminente para la vida o la seguridad física de las personas físicas también podría derivarse de una perturbación grave de infraestructuras críticas, tal como se definen en el artículo 2, punto 4, de la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo (19), cuando la perturbación o destrucción de dichas infraestructuras críticas suponga una amenaza inminente para la vida o la seguridad física de una persona, también al perjudicar gravemente el suministro de productos básicos a la población o el ejercicio de la función esencial del Estado. Además, el presente Reglamento debe preservar la capacidad de las autoridades garantes del cumplimiento del Derecho, de control fronterizo, de la inmigración o del asilo para llevar a cabo controles de identidad en presencia de la persona afectada, de conformidad con las condiciones establecidas en el Derecho de la Unión y en el Derecho nacional para estos controles. En particular, las autoridades garantes del cumplimiento del Derecho, del control fronterizo, de la inmigración o del asilo deben poder utilizar sistemas de información, de conformidad con el Derecho de la Unión o el Derecho nacional, para identificar a las personas que, durante un control de identidad, se nieguen a ser identificadas o no puedan declarar o demostrar su identidad, sin que el presente Reglamento exija que se obtenga una autorización previa. Puede tratarse, por ejemplo, de una persona implicada en un delito que no quiera revelar su identidad a las autoridades garantes del cumplimiento del Derecho, o que no pueda hacerlo debido a un accidente o a una afección médica.
(34)
Annak érdekében, hogy e rendszerek használata felelős és arányos módon történjen, azt is fontos megállapítani, hogy e kimerítő jelleggel felsorolt és szűken meghatározott helyzetek mindegyikében figyelembe kell venni bizonyos tényezőket, különösen a kérelem alapjául szolgáló helyzet jellegét és a használat valamennyi érintett személy jogaira és szabadságaira gyakorolt következményeit, valamint a használathoz előírt biztosítékokat és feltételeket. Ezen túlmenően a „valós idejű” távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözés céljából történő használata kizárólag a konkrét célszemély személyazonosságának megerősítése érdekében indítható el, és azt az időtartam, valamint a földrajzi és személyi hatály tekintetében a feltétlenül szükséges mértékre kell korlátozni, különös tekintettel a fenyegetésekkel, az áldozattokkal vagy az elkövetőkkel kapcsolatos bizonyítékokra vagy jelzésekre. A valós idejű távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken történő használata csak akkor engedélyezhető, ha a releváns bűnüldöző hatóság elvégezte az alapvetőjogi hatásvizsgálatot, és – amennyiben e rendelet másként nem rendelkezik – nyilvántartásba vette a rendszert az e rendeletben meghatározott adatbázisban. A személyek referencia-adatbázisának a fent említett helyzetek mindegyikében megfelelőnek kell lennie minden egyes felhasználási eset vonatkozásában.
(34)
Para velar por que dichos sistemas se utilicen de manera responsable y proporcionada, también es importante establecer que, en esas situaciones enumeradas de manera limitativa y definidas con precisión, se tengan en cuenta determinados elementos, en particular en lo que se refiere a la naturaleza de la situación que dé lugar a la solicitud, a las consecuencias que su uso puede tener sobre los derechos y las libertades de todas las personas implicadas, y a las garantías y condiciones que acompañen a su uso. Además, el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho debe llevarse a cabo únicamente para confirmar la identidad de la persona que constituya el objetivo específico y limitarse a lo estrictamente necesario en lo que se refiere al período de tiempo, así como al ámbito geográfico y personal, teniendo en cuenta, en particular, las pruebas o indicios relativos a las amenazas, las víctimas o los autores. El uso del sistema de identificación biométrica remota en tiempo real en espacios de acceso público solo debe autorizarse si la correspondiente autoridad garante del cumplimiento del Derecho ha llevado a cabo una evaluación de impacto relativa a los derechos fundamentales y, salvo que se disponga otra cosa en el presente Reglamento, si ha registrado el sistema en la base de datos establecida en el presente Reglamento. La base de datos de personas de referencia debe ser adecuada para cada supuesto de uso en cada una de las situaciones antes mencionadas.
(35)
A „valós idejű” távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözés céljából történő használatához minden esetben valamely tagállam igazságügyi hatóságának vagy független közigazgatási hatóságának kifejezett és egyedi engedélye szükséges, amelynek határozata kötelező érvényű. Az ilyen engedélyt elvben az MI-rendszer egy vagy több személy azonosítása céljából történő használata előtt kell beszerezni. Az említett szabály alól sürgősségi alapon kivételt lehet tenni kellően indokolt esetekben, nevezetesen olyan esetekben, amikor az érintett rendszerek használatának szükségessége ténylegesen és objektíve lehetetlenné teszi az engedély megszerzését az MI-rendszer használatának megkezdése előtt. Az ilyen sürgős helyzetekben az MI-rendszer használatát a feltétlenül szükséges minimumra kell korlátozni, és arra a nemzeti jogban megállapított és maga a bűnüldöző hatóság által az egyes sürgős felhasználási esetek kapcsán meghatározott megfelelő biztosítékokat és feltételeket kell alkalmazni. Ezen túlmenően a bűnüldöző hatóságnak ilyen helyzetekben indokolatlan késedelem nélkül és legkésőbb 24 órán belül kérelmeznie kell az engedélyt, és egyúttal meg kell indokolnia, hogy miért nem volt lehetősége arra, hogy azt korábban megkérje. Ilyen engedély megtagadása esetén a valós idejű biometrikus azonosító rendszereknek az adott engedélyhez kapcsolódó használatát azonnali hatállyal le kell állítani, és az e használathoz kapcsolódó valamennyi adatot el kell vetni és törölni kell. Az ilyen adatok magukban foglalják a valamely MI-rendszer által az említett rendszer használata során közvetlenül szerzett bemeneti adatokat, valamint az említett engedélyhez kapcsolódó használat eredményeit és kimeneteit. Nem foglalják magukban a valamely más uniós vagy nemzeti jogszabállyal összhangban jogszerűen szerzett bemeneteket. Kizárólag a távoli biometrikus azonosító rendszer kimenete alapján semmi esetre sem hozható olyan döntés, amely egy személyre nézve kedvezőtlen joghatással jár.
(35)
Todo uso de un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho debe haber sido autorizado de manera expresa y específica por una autoridad judicial o por una autoridad administrativa independiente de un Estado miembro y cuya decisión sea vinculante. En principio, dicha autorización debe obtenerse antes de utilizar el sistema de IA con el fin de identificar a una o varias personas. Deben permitirse excepciones a esa norma en situaciones debidamente justificadas por motivos de urgencia, a saber, en aquellas en las que la necesidad de utilizar los sistemas de que se trate sea tan imperiosa que resulte efectiva y objetivamente imposible obtener una autorización antes de iniciar el uso del sistema de IA. En tales situaciones de urgencia, el uso debe limitarse al mínimo imprescindible y satisfacer las garantías y condiciones oportunas, conforme a lo dispuesto en el Derecho nacional y según corresponda en cada supuesto concreto de uso urgente por parte de la propia autoridad garante del cumplimiento del Derecho. Además, en esas situaciones las autoridades garantes del cumplimiento del Derecho deben solicitar dicha autorización e indicar los motivos por los que no han podido hacerlo antes, sin demora indebida y, como máximo, en un plazo de veinticuatro horas. Si se rechaza dicha autorización, el uso de sistemas de identificación biométrica en tiempo real vinculados a la autorización debe interrumpirse con efecto inmediato y todos los datos relacionados con dicho uso deben desecharse y suprimirse. Entre esos datos se incluyen los datos de entrada directamente adquiridos por un sistema de IA durante el uso de dicho sistema, así como los resultados y la información de salida del uso vinculados a dicha autorización. No debe incluir la información de entrada adquirida legalmente de conformidad con otro acto del Derecho nacional o de la Unión. En cualquier caso, no debe adoptarse ninguna decisión que produzca efectos jurídicos adversos para una persona exclusivamente sobre la base de los resultados de salida del sistema de identificación biométrica remota.
(36)
Annak érdekében, hogy az érintett piacfelügyeleti hatóság és a nemzeti adatvédelmi hatóság az e rendeletben meghatározott követelményekkel és a nemzeti szabályokkal összhangban elláthassa feladatait, e hatóságokat értesíteni kell a valós idejű biometrikus azonosító rendszer minden egyes használatáról. Azon piacfelügyeleti hatóságoknak és nemzeti adatvédelmi hatóságoknak, amelyek értesítést kaptak, évente jelentést kell benyújtaniuk a Bizottságnak a valós idejű biometrikus azonosító rendszerek használatáról.
(36)
A fin de desempeñar sus funciones de conformidad con los requisitos establecidos en el presente Reglamento, así como en las normas nacionales, debe notificarse a la autoridad de vigilancia del mercado pertinente y a la autoridad nacional de protección de datos cada uso del sistema de identificación biométrica en tiempo real. Las autoridades de vigilancia del mercado y las autoridades nacionales de protección de datos que hayan recibido una notificación deben presentar a la Comisión un informe anual sobre el uso de sistemas de identificación biométrica en tiempo real.
(37)
Továbbá, helyénvaló – az e rendeletben meghatározott kimerítő keretek között – előírni, hogy az ilyen használat egy tagállam területén e rendelettel összhangban csak akkor és annyiban legyen lehetséges, ha és amennyiben az érintett tagállam úgy határozott, hogy nemzeti jogának részletes szabályaiban kifejezetten rendelkezik az ilyen használat engedélyezésének lehetőségéről. Következésképpen a tagállamok e rendelet értelmében továbbra is szabadon dönthetnek arról, hogy egyáltalán nem, vagy csak az e rendeletben meghatározott engedélyezett használat indokolására alkalmas bizonyos célkitűzések tekintetében rendelkeznek ilyen lehetőségről. Az ilyen nemzeti szabályokról az elfogadásuktól számított 30 napon belül értesíteni kell a Bizottságot.
(37)
Por otro lado, conviene disponer, en el marco exhaustivo que establece este Reglamento, que dicho uso en el territorio de un Estado miembro conforme a lo dispuesto en el presente Reglamento solo debe ser posible cuando el Estado miembro de que se trate haya decidido contemplar expresamente la posibilidad de autorizarlo en las normas detalladas de su Derecho nacional, y en la medida en que lo haya contemplado. En consecuencia, con arreglo al presente Reglamento los Estados miembros siguen teniendo la libertad de no ofrecer esta posibilidad en absoluto o de ofrecerla únicamente en relación con algunos de los objetivos que pueden justificar un uso autorizado conforme al presente Reglamento. Dichas normas nacionales deben notificarse a la Comisión en un plazo de treinta días a partir de su adopción.
(38)
Az MI-rendszerek természetes személyek valós idejű távoli biometrikus azonosítására, a nyilvánosság számára hozzáférhető helyeken, bűnüldözés céljából történő használata szükségszerűen magában foglalja biometrikus adatok feldolgozását. E rendelet azon, az EUMSZ 16. cikkén alapuló szabályait, amelyek – bizonyos kivételekre is figyelemmel – tiltják az ilyen használatot, lex specialis-ként kell alkalmazni az (EU) 2016/680 irányelv 10. cikkében foglalt, a biometrikus adatok kezelésére vonatkozó szabályok tekintetében, ennélfogva ezek kimerítően szabályozzák az ilyen használatot és az érintett biometrikus adatok kezelését. Ezért az ilyen használat és adatkezelés csak annyiban lehetséges, amennyiben összeegyeztethető az e rendeletben meghatározott kerettel, és nincs lehetőség arra, hogy e kereten kívül az illetékes hatóságok – amennyiben bűnüldözési célból járnak el – az (EU) 2016/680 irányelv 10. cikkében felsorolt okokból használják az ilyen rendszereket és kezeljék a kapcsolódó adatokat. Ebben az összefüggésben e rendeletnek nem célja, hogy jogalapot biztosítson a személyes adatoknak az (EU) 2016/680 irányelv 8. cikke szerinti kezeléséhez. A valós idejű távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözési céloktól eltérő célokra történő, többek között az illetékes hatóságok általi használatára azonban nem terjedhet ki az e rendeletben meghatározott, a bűnüldözési célú használatra vonatkozó különös keret. Az ilyen, nem bűnüldözési célú használat ezért nem köthető az e rendelet szerinti, engedéllyel kapcsolatos követelményhez és a nemzeti jog azon alkalmazandó, részletes szabályaihoz, amelyek az említett engedélyt érvényre juttathatják.
(38)
La utilización de sistemas de IA para la identificación biométrica remota en tiempo real de personas físicas en espacios de acceso público con fines de garantía del cumplimiento del Derecho implica, necesariamente, el tratamiento de datos biométricos. Las normas del presente Reglamento que prohíben, con algunas excepciones, ese uso, basadas en el artículo 16 del TFUE, deben aplicarse como lex specialis con respecto a las normas sobre el tratamiento de datos biométricos que figuran en el artículo 10 de la Directiva (UE) 2016/680, con lo que se regula de manera exhaustiva dicho uso y el tratamiento de los correspondientes datos biométricos. Por lo tanto, ese uso y tratamiento deben ser posibles únicamente en la medida en que sean compatibles con el marco establecido por el presente Reglamento, sin que haya margen, fuera de dicho marco, para que las autoridades competentes, cuando actúen con fines de garantía del cumplimiento del Derecho, utilicen tales sistemas y traten dichos datos en los supuestos previstos en el artículo 10 de la Directiva (UE) 2016/680. En ese sentido, el presente Reglamento no tiene por objeto proporcionar la base jurídica para el tratamiento de datos personales en virtud del artículo 8 de la Directiva (UE) 2016/680. Sin embargo, el uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines distintos de la garantía del cumplimiento del Derecho, también por parte de las autoridades competentes, no debe estar sujeto al marco específico establecido por el presente Reglamento en lo que respecta al uso de dichos sistemas con fines de garantía del cumplimiento del Derecho. Por consiguiente, su uso con fines distintos de la garantía del cumplimiento del Derecho no debe estar sujeto al requisito de obtener una autorización previsto en el presente Reglamento ni a las normas de desarrollo aplicables del Derecho nacional que puedan hacer efectiva dicha autorización.
(39)
A biometrikus adatok és az MI-rendszerek biometrikus azonosítás céljából történő használatával érintett egyéb személyes adatok kezelésének – a valós idejű távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözési célból történő, e rendeletben szabályozott használatával összefüggő adatkezelés kivételével – továbbra is meg kell felelnie az (EU) 2016/680 irányelv 10. cikkéből eredő valamennyi követelménynek. A bűnüldözéstől eltérő célok esetében az (EU) 2016/679 rendelet 9. cikkének (1) bekezdése és az (EU) 2018/1725 rendelet 10. cikkének (1) bekezdése az említett cikkekben meghatározott korlátozott körű kivételek mellett tiltja a biometrikus adatok kezelését. Az (EU) 2016/679 rendelet 9. cikke (1) bekezdésének alkalmazásában nemzeti adatvédelmi hatóságok már hoztak a távoli biometrikus azonosítás bűnüldözéstől eltérő célokra történő használatának tiltására vonatkozó határozatokat.
(39)
Todo tratamiento de datos biométricos y de datos personales de otra índole asociado al uso de sistemas de IA para la identificación biométrica, salvo el asociado al uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho regulado por el presente Reglamento, debe seguir cumpliendo todos los requisitos derivados del artículo 10 de la Directiva (UE) 2016/680. El artículo 9, apartado 1, del Reglamento (UE) 2016/679 y el artículo 10, apartado 1, del Reglamento (UE) 2018/1725 prohíben el tratamiento de datos biométricos con fines distintos de la garantía del cumplimiento del Derecho, con las excepciones limitadas previstas en dichos artículos. En la aplicación del artículo 9, apartado 1, del Reglamento (UE) 2016/679, el uso de la identificación biométrica remota para fines distintos de la garantía del cumplimiento del Derecho ya ha sido objeto de decisiones de prohibición por parte de las autoridades nacionales de protección de datos.
(40)
Az EUSZ-hez és az EUMSZ-hez csatolt, az Egyesült Királyságnak és Írországnak a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség tekintetében fennálló helyzetéről szóló 21. jegyzőkönyv 6a. cikkével összhangban Írországot nem kötelezik az EUMSZ 16. cikke alapján elfogadott, az e rendelet 5. cikke (1) bekezdése első albekezdésének g) pontjában – amennyiben az a biometrikus kategorizálási rendszereknek a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén végzett tevékenységek céljára történő használatára alkalmazandó –, 5. cikke (1) bekezdése első albekezdésének d) pontjában – amennyiben az az említett rendelkezés hatálya alá tartozó MI-rendszerek használatára alkalmazandó –, 5. cikke (1) bekezdése, első albekezdésének h) pontjában, 5. cikkének (2)–(6) bekezdésében és 26. cikkének (10) bekezdésében meghatározott azon szabályok, amelyek a személyes adatoknak a tagállamok által, az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének alkalmazási körébe tartozó tevékenységek során végzett kezelésére vonatkoznak, amennyiben Írországot nem kötelezik a büntetőügyekben folytatott igazságügyi együttműködés vagy rendőrségi együttműködés formáira vonatkozó olyan szabályok, amelyek megkívánják az EUMSZ 16. cikke alapján meghatározott rendelkezések betartását.
(40)
De conformidad con el artículo 6 bis del Protocolo n.o 21 sobre la Posición del Reino Unido y de Irlanda respecto del Espacio de Libertad, Seguridad y Justicia, anejo al TUE y al TFUE, las normas establecidas en el artículo 5, apartado 1, párrafo primero, letra g), en la medida en que se aplica al uso de sistemas de categorización biométrica para actividades en el ámbito de la cooperación policial y la cooperación judicial en materia penal, el artículo 5, apartado 1, párrafo primero, letra d), en la medida en que se aplica al uso de sistemas de IA comprendidos en el ámbito de aplicación de dicho artículo, el artículo 5, apartado 1, párrafo primero, letra h), y apartados 2 a 6, y el artículo 26, apartado 10, del presente Reglamento, adoptadas basándose en el artículo 16 del TFUE que se refieran al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación de la tercera parte, título V, capítulos 4 o 5, de dicho Tratado solo serán vinculantes para Irlanda en la medida en que sean vinculantes para este Estado normas de la Unión que regulen formas de cooperación judicial en materia penal y de cooperación policial en cuyo marco deban respetarse las disposiciones establecidas basándose en el artículo 16 del TFUE.
(41)
Az EUSZ-hez és az EUMSZ-hez csatolt, Dánia helyzetéről szóló 22. jegyzőkönyv 2. és 2a. cikkével összhangban Dániára nézve nem kötelezőek és nem alkalmazandók az EUMSZ 16. cikke alapján elfogadott, az e rendelet 5. cikke (1) bekezdése első albekezdésének g) pontjában – amennyiben az a biometrikus kategorizálási rendszereknek a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén végzett tevékenységek céljára történő használatára alkalmazandó –, 5. cikke (1) bekezdése első albekezdésének d) pontjában – amennyiben az az említett rendelkezés hatálya alá tartozó MI-rendszerek használatára alkalmazandó –, 5. cikke (1) bekezdése első albekezdésének h) pontjában, 5. cikkének (2)–(6) bekezdésében és 26. cikkének (10) bekezdésében meghatározott azon szabályok, amelyek a személyes adatoknak a tagállamok által, az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének alkalmazási körébe tartozó tevékenységek során végzett kezelésére vonatkoznak.
(41)
De conformidad con lo dispuesto en los artículos 2 y 2 bis del Protocolo n.o 22 sobre la Posición de Dinamarca, anejo al TUE y al TFUE, las normas establecidas en el artículo 5, apartado 1, párrafo primero, letra g), en la medida en que se aplica al uso de sistemas de categorización biométrica para actividades en el ámbito de la cooperación policial y la cooperación judicial en materia penal, el artículo 5, apartado 1, párrafo primero, letra d), en la medida en que se aplican al uso de sistemas de IA comprendidos en el ámbito de aplicación de dicho artículo, el artículo 5, apartado 1, párrafo primero, letra h), y apartados 2 a 6, y el artículo 26, apartado 10, del presente Reglamento, adoptadas sobre la base del artículo 16 del TFUE que se refieran al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación de la tercera parte, título V, capítulos 4 o 5, de dicho Tratado, no vincularán a Dinamarca ni le serán aplicables.
(42)
Az ártatlanság vélelmével összhangban az Unióban természetes személyekre vonatkozó döntés minden esetben kizárólag e személyek tényleges magatartása alapján hozható. Természetes személyekre vonatkozó döntés soha nem hozható kizárólag a rájuk vonatkozó profilalkotás, személyiségjegyek vagy tulajdonságok – mint például állampolgárság, születési hely, tartózkodási hely, gyermekek száma, adósságszint vagy gépjármű típusa – alapján MI által előre jelzett magatartás alapján, az adott személy bűncselekményben való részvételére vonatkozó, objektív és ellenőrizhető tényeken nyugvó alapos gyanú nélkül, valamint ezek ember általi értékelése nélkül. Ezért meg kell tiltani a természetes személyekre vonatkozó olyan kockázatértékeléseket, amelyek célja az általuk történő elkövetés valószínűségének értékelése vagy egy tényleges vagy potenciális bűncselekmény bekövetkezésének az előrejelzése kizárólag az e személyekre vonatkozó profilalkotás vagy személyiségjegyeik vagy tulajdonságaik értékelése alapján. Ez a tilalom semmi esetre sem vonatkozik az olyan kockázatelemzésekre, illetve nem érinti azokat, amelyek nem az egyénekre vonatkozó profilalkotáson vagy egyének személyiségjegyein vagy tulajdonságain alapulnak, így például azon MI-rendszerekre, amelyek kockázatelemzést használnak a vállalkozások általi pénzügyi csalás valószínűségének gyanús tranzakciók alapján történő értékelésére, vagy az olyan kockázatelemzési eszközökre, amelyekkel például az ismert csempészútvonalak alapján előre jelezhető, hogy a vámhatóságok milyen valószínűséggel tudják meghatározni kábítószerek vagy tiltott áruk helyét.
(42)
En consonancia con la presunción de inocencia, las personas físicas de la Unión siempre deben ser juzgadas basándose en su comportamiento real. Las personas físicas nunca deben ser juzgadas a partir de comportamientos predichos por una IA basados únicamente en la elaboración de sus perfiles, en los rasgos o características de su personalidad, como la nacionalidad, el lugar de nacimiento, el lugar de residencia, el número de hijos, el nivel de endeudamiento o el tipo de vehículo, sin una valoración humana y sin que exista una sospecha razonable, basada en hechos objetivos comprobables, de que dicha persona está implicada en una actividad delictiva. Por lo tanto, deben prohibirse las evaluaciones de riesgos realizadas con respecto a personas físicas para evaluar la probabilidad de que cometan un delito o para predecir la comisión de un delito real o potencial basándose únicamente en la elaboración de perfiles de esas personas físicas o la evaluación de los rasgos y características de su personalidad. En cualquier caso, dicha prohibición no se refiere o atañe a los análisis de riesgos que no estén basados en la elaboración de perfiles de personas o en los rasgos y características de la personalidad de las personas, como los sistemas de IA que utilizan los análisis de riesgos para evaluar la probabilidad de fraude financiero por parte de empresas sobre la base de transacciones sospechosas o las herramientas de análisis de riesgo para predecir la probabilidad de localización de estupefacientes y mercancías ilícitas por parte de las autoridades aduaneras, por ejemplo basándose en las rutas de tráfico conocidas.
(43)
Az arcképek internetről vagy zártláncú televízió-felvételekből való, nem célzott lekérdezésével arcfelismerő adatbázisokat létrehozó vagy ilyeneket bővítő MI-rendszerek forgalomba hozatalát, e konkrét célra történő üzembe helyezését vagy használatát tiltani kell, mivel e gyakorlat növeli a tömeges megfigyelés érzését, és az alapvető jogok, többek között a magánélet tiszteletben tartásához való jog súlyos megsértéséhez vezethet.
(43)
La introducción en el mercado, la puesta en servicio para ese fin concreto o la utilización de sistemas de IA que creen o amplíen bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales a partir de internet o de imágenes de circuito cerrado de televisión deben estar prohibidas, pues esas prácticas agravan el sentimiento de vigilancia masiva y pueden dar lugar a graves violaciones de los derechos fundamentales, incluido el derecho a la intimidad.
(44)
Az érzelmek azonosítását vagy az azokra való következtetést célzó MI-rendszerek tudományos alapjával kapcsolatban komoly aggályok merültek fel, különösen azért, mert az érzelmek kifejezése jelentősen eltér egymástól kultúránként és helyzetenként, sőt akár egyetlen személy esetében is. Az ilyen rendszerek fő hiányosságai közé tartozik a korlátozott megbízhatóság, a specifikusság hiánya, valamint a korlátozott általánosíthatóság. Ezért az olyan MI-rendszerek, amelyek természetes személyek biometrikus adatai alapján azonosítják a természetes személyek érzelmeit vagy szándékait, illetve következtetnek azokra, diszkriminatív eredményekhez vezethetnek és tolakodóak lehetnek az érintett személyek jogaira és szabadságaira nézve. Tekintettel arra, hogy a munka vagy az oktatás területén az erőviszonyok kiegyensúlyozatlanok, amihez e rendszerek tolakodó jellege társul, az ilyen rendszerek bizonyos természetes személyekkel vagy azok egész csoportjával szemben hátrányos vagy kedvezőtlen bánásmódhoz vezethetnek. Ezért a munkahelyhez és az oktatáshoz kapcsolódó helyzetek összefüggésében meg kell tiltani az egyének érzelmi állapotának felderítésére szánt MI-rendszerek forgalomba hozatalát, üzembe helyezését, illetve használatát. Ez a tilalom nem terjedhet ki a szigorúan orvosi vagy biztonsági okokból forgalomba hozott, például a terápiás használatra szánt MI-rendszerekre.
(44)
Existe una gran preocupación respecto a la base científica de los sistemas de IA que procuran detectar o deducir las emociones, especialmente porque la expresión de las emociones varía de forma considerable entre culturas y situaciones, e incluso en una misma persona. Algunas de las deficiencias principales de estos sistemas son la fiabilidad limitada, la falta de especificidad y la limitada posibilidad de generalizar. Por consiguiente, los sistemas de IA que detectan o deducen las emociones o las intenciones de las personas físicas a partir de sus datos biométricos pueden tener resultados discriminatorios y pueden invadir los derechos y las libertades de las personas afectadas. Teniendo en cuenta el desequilibrio de poder en el contexto laboral o educativo, unido al carácter intrusivo de estos sistemas, dichos sistemas podrían dar lugar a un trato perjudicial o desfavorable de determinadas personas físicas o colectivos enteros. Por tanto, debe prohibirse la introducción en el mercado, la puesta en servicio y el uso de sistemas de IA destinados a ser utilizados para detectar el estado emocional de las personas en situaciones relacionadas con el lugar de trabajo y el ámbito educativo. Dicha prohibición no debe aplicarse a los sistemas de IA introducidos en el mercado estrictamente con fines médicos o de seguridad, como los sistemas destinados a un uso terapéutico.
(45)
E rendelet nem érintheti azon gyakorlatokat, amelyeket az uniós jog – többek között az adatvédelmi jog, a megkülönböztetésmentességre vonatkozó jog, a fogyasztóvédelmi jog és a versenyjog – tilt.
(45)
El presente Reglamento no debe afectar a las prácticas prohibidas por el Derecho de la Unión, incluido el Derecho de la Unión en materia de protección de datos, de no discriminación, de protección de los consumidores y sobre competencia.
(46)
A nagy kockázatú MI-rendszerek csak akkor hozhatók forgalomba az Unión belül, helyezhetők üzembe vagy használhatók, ha megfelelnek bizonyos kötelező követelményeknek. E követelményeknek biztosítaniuk kell, hogy azon nagy kockázatú MI-rendszerek, amelyek az Unióban rendelkezésre állnak vagy amelyek kimenetét más módon felhasználják az Unióban, ne jelentsenek elfogadhatatlan kockázatot az uniós jog által elismert és védett fontos uniós közérdekekre nézve. Az új jogszabályi keret alapján, amint azt a termékekre vonatkozó uniós szabályozásról szóló, 2022. évi bizottsági útmutató – „A kék útmutató” (20) – kifejti, főszabály szerint az uniós harmonizációs jogalkotás több jogi aktusa – így például az (EU) 2017/745 (21) és az (EU) 2017/746 európai parlamenti és tanácsi rendelet (22) vagy a 2006/42/EK európai parlamenti és tanácsi irányelv (23) – is alkalmazható egyetlen termékre, mivel a forgalmazásra vagy az üzembe helyezésre csak akkor kerülhet sor, ha a termék megfelel valamennyi alkalmazandó uniós harmonizációs jogszabálynak. A következetesség biztosítása és a szükségtelen adminisztratív terhek vagy költségek elkerülése érdekében az olyan termék szolgáltatóinak, amely egy vagy több olyan, nagy kockázatú MI-rendszert tartalmaz, amelyre az e rendeletben és az e rendelet egyik mellékletében felsorolt uniós harmonizációs jogszabályokban foglalt követelmények alkalmazandók, rugalmassággal kell rendelkezniük azon működési döntések tekintetében, hogy miként biztosítsák optimális módon az egy vagy több MI-rendszert tartalmazó termék megfelelését az uniós harmonizációs jogszabályokban foglalt valamennyi alkalmazandó követelménynek. A nagy kockázatúként azonosított MI-rendszereket azon rendszerekre kell limitálni, amelyek jelentős káros hatást gyakorolnak az Unióban élő személyek egészségére, biztonságára és alapvető jogaira, és az ilyen limitálásnak minimálisra kell csökkentenie a nemzetközi kereskedelem potenciális korlátozását.
(46)
La introducción en el mercado de la Unión, la puesta en servicio o la utilización de sistemas de IA de alto riesgo debe supeditarse al cumplimiento por su parte de determinados requisitos obligatorios, los cuales deben garantizar que los sistemas de IA de alto riesgo disponibles en la Unión o cuyos resultados de salida se utilicen en la Unión no planteen riesgos inaceptables para intereses públicos importantes de la Unión, reconocidos y protegidos por el Derecho de la Unión. Sobre la base del nuevo marco legislativo, tal como se aclara en la Comunicación de la Comisión titulada «“Guía azul” sobre la aplicación de la normativa europea relativa a los productos, de 2022» (20), la norma general es que más de un acto jurídico de la legislación de armonización de la Unión, como los Reglamentos (UE) 2017/745 (21) y (UE) 2017/746 (22) del Parlamento Europeo y del Consejo o la Directiva 2006/42/CE del Parlamento Europeo y del Consejo (23) puedan aplicarse a un producto, dado que la introducción en el mercado o la puesta en servicio solo pueden tener lugar cuando el producto cumple toda la legislación de armonización de la Unión aplicable. A fin de garantizar la coherencia y evitar cargas administrativas o costes innecesarios, los proveedores de un producto que contenga uno o varios sistemas de IA de alto riesgo, a los que se apliquen los requisitos del presente Reglamento y de la legislación de armonización de la Unión incluida en una lista de un anexo del presente Reglamento, deben ser flexibles en lo que respecta a las decisiones operativas relativas a la manera de garantizar la conformidad de un producto que contenga uno o varios sistemas de IA con todos los requisitos aplicables de la legislación de armonización de la Unión de manera óptima. La clasificación de un sistema de IA como «de alto riesgo» debe limitarse a aquellos sistemas de IA que tengan un efecto perjudicial considerable en la salud, la seguridad y los derechos fundamentales de las personas de la Unión, y dicha limitación debe reducir al mínimo cualquier posible restricción del comercio internacional.
(47)
Az MI-rendszerek kedvezőtlen hatással lehetnek a személyek egészségére és biztonságára, különösen akkor, ha az ilyen rendszerek termékek biztonsági alkotórészeiként működnek. Az uniós harmonizációs jogszabályok azon célkitűzéseivel összhangban, hogy megkönnyítsék a termékek belső piacon való szabad mozgását, valamint biztosítsák, hogy csak biztonságos és más tekintetben megfelelő termékek kerüljenek a piacra, fontos a termék egésze által a digitális alkotóelemei, többek között az MI-rendszerek miatt esetlegesen előidézett biztonsági kockázatok megfelelő megelőzése és enyhítése. Például az – akár gyártással, akár személyes segítségnyújtással és gondozással összefüggésben használt – egyre önállóbb robotoknak képeseknek kell lenniük arra, hogy biztonságosan működjenek és funkcióikat összetett környezetben lássák el. Hasonlóképpen az egészségügyi ágazatban, ahol az élet és az egészség tekintetében különösen nagy a tét, az egyre kifinomultabb diagnosztikai rendszereknek és az emberi döntéseket támogató rendszereknek megbízhatónak és pontosnak kell lenniük.
(47)
Los sistemas de IA pueden tener un efecto adverso para la salud y la seguridad de las personas, en particular cuando funcionan como componentes de seguridad de productos. En consonancia con los objetivos de la legislación de armonización de la Unión de facilitar la libre circulación de productos en el mercado interior y de velar por que solo lleguen al mercado aquellos productos que sean seguros y conformes, es importante prevenir y mitigar debidamente los riesgos de seguridad que pueda generar un producto en su conjunto debido a sus componentes digitales, entre los que pueden figurar los sistemas de IA. Por ejemplo, los robots cada vez más autónomos que se utilizan en las fábricas o con fines de asistencia y atención personal deben poder funcionar y desempeñar sus funciones de manera segura en entornos complejos. Del mismo modo, en el sector sanitario, donde puede haber repercusiones especialmente importantes en la vida y la salud, los sistemas de diagnóstico y de apoyo a las decisiones humanas, cuya sofisticación es cada vez mayor, deben ser fiables y precisos.
(48)
A Charta által védett alapvető jogokra az MI-rendszer által gyakorolt kedvezőtlen hatás mértéke különösen fontos egy adott MI-rendszer nagy kockázatúként való besorolásakor. Az említett jogok közé tartozik az emberi méltósághoz való jog, a magán- és családi élet tiszteletben tartása, a személyes adatok védelme, a véleménynyilvánítás és a tájékozódás szabadsága, a gyülekezés és az egyesülés szabadsága, a megkülönböztetésmentességhez való jog, az oktatáshoz való jog, a fogyasztóvédelem, a munkavállalók jogai, a fogyatékossággal élő személyek jogai, a nemek közötti egyenlőség, a szellemitulajdon-jogok, a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jog, a védelemhez való jog és az ártatlanság vélelme, valamint a megfelelő ügyintézéshez való jog. Az említett jogok mellett fontos kiemelni azon tényt, hogy a gyermekek a Charta 24. cikkében és az Egyesült Nemzetek Szervezetének a gyermekek jogairól szóló egyezményében foglalt – a gyermek jogairól szóló ENSZ-egyezmény digitális környezetre vonatkozó 25. sz. általános észrevételében részletesebben kifejtett – különös jogokkal rendelkeznek; mindkét okmány előírja a gyermekek sebezhetőségének figyelembevételét, valamint a jóllétükhöz szükséges védelem és gondoskodás biztosítását. Azon kár súlyosságának értékelésekor, amelyet egy MI-rendszer tud okozni, figyelembe kell venni a magas szintű környezetvédelemhez való, a Chartában rögzített és az uniós szakpolitikákban végrehajtott alapvető jogot is, többek között a személyek egészségével és biztonságával kapcsolatban.
(48)
La magnitud de las consecuencias adversas de un sistema de IA para los derechos fundamentales protegidos por la Carta es especialmente importante a la hora de clasificar un sistema de IA como de alto riesgo. Entre dichos derechos se incluyen el derecho a la dignidad humana, el respeto de la vida privada y familiar, la protección de datos de carácter personal, la libertad de expresión y de información, la libertad de reunión y de asociación, el derecho a la no discriminación, el derecho a la educación, la protección de los consumidores, los derechos de los trabajadores, los derechos de las personas discapacitadas, la igualdad entre hombres y mujeres, los derechos de propiedad intelectual, el derecho a la tutela judicial efectiva y a un juez imparcial, los derechos de la defensa y la presunción de inocencia, y el derecho a una buena administración. Además de esos derechos, conviene poner de relieve el hecho de que los menores poseen unos derechos específicos consagrados en el artículo 24 de la Carta y en la Convención sobre los Derechos del Niño de las Naciones Unidas, que se desarrollan con más detalle en la observación general n.o 25 de la Convención sobre los Derechos del Niño de Naciones Unidas relativa a los derechos de los niños en relación con el entorno digital. Ambos instrumentos exigen que se tengan en consideración las vulnerabilidades de los menores y que se les brinde la protección y la asistencia necesarias para su bienestar. Cuando se evalúe la gravedad del perjuicio que puede ocasionar un sistema de IA, también en lo que respecta a la salud y la seguridad de las personas, también se debe tener en cuenta el derecho fundamental a un nivel elevado de protección del medio ambiente consagrado en la Carta y aplicado en las políticas de la Unión.
(49)
Azon nagy kockázatú MI-rendszerek tekintetében, amelyek a 300/2008/EK európai parlamenti és tanácsi rendelet (24), a 167/2013/EU európai parlamenti és tanácsi rendelet (25), a 168/2013/EU európai parlamenti és tanácsi rendelet (26), a 2014/90/EU európai parlamenti és tanácsi irányelv (27), az (EU) 2016/797 európai parlamenti és tanácsi irányelv (28), az (EU) 2018/858 európai parlamenti és tanácsi rendelet (29), az (EU) 2018/1139 európai parlamenti és tanácsi rendelet (30), valamint az (EU) 2019/2144 európai parlamenti és tanácsi rendelet (31) hatálya alá tartozó termékek vagy rendszerek biztonsági alkotórészei, vagy amelyek maguk ilyen termékek vagy rendszerek, helyénvaló e jogi aktusokat módosítani annak érdekében, hogy a Bizottság – az egyes ágazatok műszaki és szabályozási sajátosságai alapján, és anélkül, hogy beavatkozna az említett jogszabályokkal létrehozott meglévő irányítási, megfelelőségértékelési és végrehajtási mechanizmusokba és hatóságok működésébe – figyelembe vegye a nagy kockázatú MI-rendszerekre e rendeletben megállapított kötelező követelményeket, amikor ezen jogi aktusok alapján releváns, felhatalmazáson alapuló vagy végrehajtási jogi aktusokat fogad el.
(49)
En relación con los sistemas de IA de alto riesgo que son componentes de seguridad de productos o sistemas, o que son en sí mismos productos o sistemas que entran en el ámbito de aplicación del Reglamento (CE) n.o 300/2008 del Parlamento Europeo y del Consejo (24), el Reglamento (UE) n.o 167/2013 del Parlamento Europeo y del Consejo (25), el Reglamento (UE) n.o 168/2013 del Parlamento Europeo y del Consejo (26), la Directiva 2014/90/UE del Parlamento Europeo y del Consejo (27), la Directiva (UE) 2016/797 del Parlamento Europeo y del Consejo (28), el Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo (29), el Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo (30), y el Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo (31), procede modificar dichos actos para garantizar que, cuando la Comisión adopte actos delegados o de ejecución pertinentes basados en ellos, tenga en cuenta los requisitos obligatorios para los sistemas de IA de alto riesgo previstos en el presente Reglamento, atendiendo a las particularidades técnicas y reglamentarias de los distintos sectores y sin interferir con los mecanismos y las autoridades de gobernanza, evaluación de la conformidad y control del cumplimiento vigentes establecidos en dichos actos.
(50)
Az olyan MI-rendszereket, amelyek az e rendelet egyik mellékletében felsorolt egyes uniós harmonizációs jogszabályok hatálya alá tartozó termékek biztonsági alkotórészei, vagy amelyek maguk ilyen jogszabályok hatálya alá tartozó termékek, helyénvaló e rendelet értelmében nagy kockázatúnak minősíteni, ha az érintett terméket a vonatkozó uniós harmonizációs jogszabály értelmében valamely harmadik félnek minősülő megfelelőségértékelő szervezet által lefolytatott megfelelőségértékelési eljárás alá vonják. Így különösen, ilyen termékek a gépek, a játékok, a felvonók, a robbanásveszélyes légkörben való használatra szánt felszerelések és a védelmi rendszerek, a rádióberendezések, a nyomástartó berendezések, a kedvtelési célú vízi járművek berendezései, a kötélpálya-létesítmények, a gázüzemű berendezések, az orvostechnikai eszközök, az in vitro diagnosztikai orvostechnikai eszközök, a gépjárművek és a légi járművek.
(50)
En cuanto a los sistemas de IA que son componentes de seguridad de productos, o que son productos en sí mismos, y entran dentro del ámbito de aplicación de determinados actos legislativos de armonización de la Unión enumerados en un anexo del presente Reglamento, procede clasificarlos como de alto riesgo en virtud del presente Reglamento si el producto de que se trate es sometido a un procedimiento de evaluación de la conformidad con un organismo de evaluación de la conformidad de terceros de acuerdo con dichos actos legislativos de armonización de la Unión. Esos productos son, en concreto, máquinas, juguetes, ascensores, equipo y sistemas de protección para uso en atmósferas potencialmente explosivas, equipos radioeléctricos, equipos a presión, equipos de embarcaciones de recreo, instalaciones de transporte por cable, aparatos que queman combustibles gaseosos, productos sanitarios, productos sanitarios para diagnóstico in vitro, automoción y aviación.
(51)
Az MI-rendszerek e rendelet szerint nagy kockázatú rendszerként való besorolása nem feltétlenül jelenti azt, hogy azon termék, amelynek biztonsági alkotórésze az MI-rendszer vagy maga az MI-rendszer mint termék, a termékre alkalmazandó vonatkozó uniós harmonizációs jogszabályokban megállapított kritériumok alapján nagy kockázatúnak minősül. Ez különösen igaz az (EU) 2017/745 és az (EU) 2017/746 európai parlamenti és tanácsi rendeletre, amelyek a közepes és a nagy kockázatú termékek tekintetében írnak elő harmadik fél általi megfelelőségértékelést.
(51)
Que un sistema de IA se clasifique como de alto riesgo en virtud del presente Reglamento no significa necesariamente que el producto del que sea componente de seguridad, o el propio sistema de IA como producto, se considere de «alto riesgo» conforme a los criterios establecidos en la correspondiente legislación de armonización de la Unión que se aplique al producto. Tal es el caso, en particular, de los Reglamentos (UE) 2017/745 y (UE) 2017/746, que prevén una evaluación de la conformidad de terceros de los productos de riesgo medio y alto.
(52)
Az önálló MI-rendszereket, nevezetesen azon nagy kockázatú MI-rendszereket, amelyek nem termékek biztonsági alkotórészei, vagy amelyek nem maguk is termékek, helyénvaló nagy kockázatúnak minősíteni, ha rendeltetésük fényében nagy károkozó kockázatot jelentenek a személyek egészségére és biztonságára vagy alapvető jogaira nézve, figyelembe véve a lehetséges kár súlyosságát és bekövetkezési valószínűségét, és ha azokat számos, az e rendeletben megadott, kifejezetten előre meghatározott területen használják. E rendszerek azonosítása ugyanazon módszertanon és kritériumokon alapul, amelyeket előirányoztak a nagy kockázatú MI-rendszerek listájának azon jövőbeli módosításaira is, amelyeknek a technológiai fejlődés gyors üteme, valamint az MI-rendszerek használatában bekövetkező lehetséges változások figyelembevétele érdekében történő, felhatalmazáson alapuló jogi aktusok révén való elfogadására a Bizottságot fel kell hatalmazni.
(52)
En cuanto a los sistemas de IA independientes, a saber, aquellos sistemas de IA de alto riesgo que no son componentes de seguridad de productos, o que son productos en sí mismos, deben clasificarse como de alto riesgo si, a la luz de su finalidad prevista, presentan un alto riesgo de ser perjudiciales para la salud y la seguridad o los derechos fundamentales de las personas, teniendo en cuenta tanto la gravedad del posible perjuicio como la probabilidad de que se produzca, y se utilizan en varios ámbitos predefinidos especificados en el presente Reglamento. Para identificar dichos sistemas, se emplean la misma metodología y los mismos criterios previstos para la posible modificación futura de la lista de sistemas de IA de alto riesgo, que la Comisión debe estar facultada para adoptar, mediante actos delegados, a fin de tener en cuenta el rápido ritmo del desarrollo tecnológico, así como los posibles cambios en el uso de los sistemas de IA.
(53)
Azt is fontos tisztázni, hogy lehetnek olyan konkrét esetek, amikor az e rendeletben megadott előre meghatározott területeket érintő MI-rendszerek nem járnak a kár jelentős kockázatával az említett területeken védett jogi érdekekre nézve, mert nem befolyásolják jelentősen a döntéshozatalt, vagy nem sértik érdemben az említett érdekeket. E rendelet alkalmazásában a döntéshozatal kimenetelét jelentősen nem befolyásoló MI-rendszerek alatt olyan MI-rendszereket kell érteni, amelyek nem gyakorolnak hatást az – akár emberi, akár automatizált – döntéshozatal érdemére és ezáltal kimenetelére nézve. A döntéshozatal kimenetelét jelentősen nem befolyásoló MI-rendszerek olyan helyzeteket foglalhatnak magukban, amelyekben a következő feltételek közül egy vagy több teljesül. Az első ilyen feltétel az, hogy az MI-rendszer rendeltetése jól körülhatárolt eljárási feladat ellátása legyen, mint például az olyan MI-rendszerek esetében, amelyek a strukturálatlan adatokat strukturált adatokká alakítják át, amelyek kategóriákba rendezik a beérkező dokumentumokat vagy amelyeket nagyszámú beérkező dokumentum közötti ismétlődések kiszűrésére használnak. Az említett feladatok jellege olyan szűk és korlátozott, hogy csak korlátozott kockázatokat jelentenek, amelyeket nem súlyosbít egy MI-rendszernek az e rendelet egyik mellékletében nagy kockázatú felhasználásként felsorolt összefüggésben történő használata. A második feltétel az, hogy az MI-rendszer által ellátott feladat az e rendelet egyik mellékletében felsorolt nagy kockázatú felhasználások céljai szempontjából esetlegesen releváns, korábban elvégzett emberi tevékenység eredményének a javítását célozza. Tekintettel e jellemzőkre, az MI-rendszer kizárólag egy további réteget biztosít az emberi tevékenységhez, ami következésképpen csökkenti a kockázatot. Az említett feltétel volna alkalmazandó például az olyan MI-rendszerekre, amelyek rendeltetése korábban megszövegezett dokumentumok nyelvezetének javítása például a professzionális hangnem, a tudományos nyelvi regiszter vagy a szövegnek egy bizonyos márkaüzenettel való összehangolása tekintetében. A harmadik feltétel az, hogy az MI-rendszer rendeltetése döntéshozatali minták vagy korábbi döntéshozatali mintáktól való eltérések észlelése legyen. A kockázat azért csökkenne, mert az MI-rendszer használata korábban elvégzett emberi értékelést követne, és nem lenne a célja annak kiváltása vagy befolyásolása megfelelő emberi felülvizsgálat nélkül. Az ilyen MI-rendszerek közé tartoznak például azok, amelyek használhatók lennének arra, hogy egy tanár osztályozási szokásaiban fennálló minta alapján utólagosan ellenőrizzék, hogy a tanár eltért-e az osztályozási mintájától, és jelezzék az esetleges következetlenségeket vagy eltéréseket. A negyedik feltétel az, hogy az MI-rendszer rendeltetése olyan feladat ellátása legyen, amely pusztán az e rendelet egyik mellékletében felsorolt MI-rendszerek céljai szempontjából releváns értékelés előkészítését szolgálja, aminél fogva a rendszer kimenetére gyakorolt lehetséges hatás az elvégzendő értékelésre nézve jelentett kockázat tekintetében nagyon alacsony. Az említett feltétel kiterjed többek között a fájlkezelést szolgáló intelligens megoldásokra, amelyek az indexeléstől kezdve a keresésen, valamint a szöveg- és beszédfeldolgozáson keresztül adatok más adatforrásokkal való összekapcsolásáig számos különféle funkciót magukban foglalnak, vagy az eredeti dokumentumok fordítására szolgáló MI-rendszerekre. Mindenesetre az e rendelet egyik mellékletében felsorolt nagy kockázatú felhasználási esetekben használt MI-rendszereket úgy kell tekinteni, hogy jelentős károkozó kockázatokat jelentenek az egészségre, a biztonságra vagy az alapvető jogokra nézve, ha az MI-rendszer az (EU) 2016/679 rendelet 4. cikkének 4. pontja vagy az (EU) 2016/680 irányelv 3. cikkének 4. pontja vagy az (EU) 2018/1725 rendelet 3. cikkének 5. pontja értelmében vett profilalkotással jár. A nyomonkövethetőség és az átláthatóság biztosítása érdekében amennyiben egy szolgáltató megítélése szerint egy MI-rendszer a fent említett feltételek alapján nem nagy kockázatú, az említett rendszer forgalomba hozatalát vagy üzembe helyezését megelőzően dokumentációt kell készítenie az értékelésről, és az említett dokumentációt kérésre az illetékes nemzeti hatóságok rendelkezésére kell bocsátania. Az ilyen szolgáltatót kötelezni kell arra, hogy nyilvántartásba vegye az MI-rendszert az e rendelet alapján létrehozott uniós adatbázisban. Annak érdekében, hogy további iránymutatást nyújtson azon feltételek gyakorlati végrehajtásával kapcsolatban, amelyek mellett az e rendelet egyik mellékletében felsorolt MI-rendszerek kivételesen nem minősülnek nagy kockázatúnak, a Bizottságnak a Testülettel folytatott konzultációt követően iránymutatásokat kell biztosítania, amelyekben meghatározza az említett gyakorlati végrehajtást, mellékelve az MI-rendszerek olyan felhasználási eseteire vonatkozó gyakorlati példák átfogó listáját, amelyek nagy kockázatúak és az olyan felhasználási esetekre vonatkozókat, amelyek nem.
(53)
También es importante aclarar que pueden existir casos específicos en los que los sistemas de IA referidos en ámbitos predefinidos especificados en el presente Reglamento no entrañen un riesgo considerable de causar un perjuicio a los intereses jurídicos amparados por dichos ámbitos, dado que no influyen sustancialmente en la toma de decisiones o no perjudican dichos intereses sustancialmente. A efectos del presente Reglamento, por sistema de IA que no influye sustancialmente en el resultado de la toma de decisiones debe entenderse un sistema de IA que no afecta al fondo, ni por consiguiente al resultado, de la toma de decisiones, ya sea humana o automatizada. Un sistema de IA que no influye sustancialmente en el resultado de la toma de decisiones podría incluir situaciones en las que se cumplen una o varias de las siguientes condiciones. La primera de dichas condiciones debe ser que el sistema de IA esté destinado a realizar una tarea de procedimiento delimitada, como un sistema de IA que transforme datos no estructurados en datos estructurados, un sistema de IA que clasifique en categorías los documentos recibidos o un sistema de IA que se utilice para detectar duplicados entre un gran número de aplicaciones. La naturaleza de esas tareas es tan restringida y limitada que solo presentan riesgos limitados que no aumentan por la utilización de un sistema de IA en un contexto que un anexo al presente Reglamento recoja como uso de alto riesgo. La segunda condición debe ser que la tarea realizada por el sistema de IA esté destinada a mejorar el resultado de una actividad previa llevada a cabo por un ser humano, que pudiera ser pertinente a efectos de las utilizaciones de alto riesgo enumeradas en un anexo del presente Reglamento. Teniendo en cuenta esas características, el sistema de IA solo añade un nivel adicional a la actividad humana, entrañando por consiguiente un riesgo menor. Esa condición se aplicaría, por ejemplo, a los sistemas de IA destinados a mejorar el lenguaje utilizado en documentos ya redactados, por ejemplo, en lo referente al empleo de un tono profesional o de un registro lingüístico académico o a la adaptación del texto a una determinada comunicación de marca. La tercera condición debe ser que el sistema de IA esté destinado a detectar patrones de toma de decisiones o desviaciones respecto de patrones de toma de decisiones anteriores. El riesgo sería menor debido a que el sistema de IA se utiliza tras una valoración humana previamente realizada y no pretende sustituirla o influir en ella sin una revisión adecuada por parte de un ser humano. Por ejemplo, entre los sistemas de IA de este tipo, se incluyen aquellos que pueden utilizarse para comprobar a posteriori si un profesor puede haberse desviado de su patrón de calificación determinado, a fin de llamar la atención sobre posibles incoherencias o anomalías. La cuarta condición debe ser que el sistema de IA esté destinado a realizar una tarea que solo sea preparatoria de cara a una evaluación pertinente a efectos de los sistemas de IA enumerados en el anexo del presente Reglamento, con lo que la posible repercusión de los resultados de salida del sistema sería muy escasa en términos de representar un riesgo para la subsiguiente evaluación. Esa condición comprende, entre otras cosas, soluciones inteligentes para la gestión de archivos, lo que incluye funciones diversas tales como la indexación, la búsqueda, el tratamiento de texto y del habla o la vinculación de datos a otras fuentes de datos, o bien los sistemas de IA utilizados para la traducción de los documentos iniciales. En cualquier caso, debe considerarse que los sistemas de IA utilizados en casos de alto riesgo enumerados en un anexo del presente Reglamento presentan un riesgo significativo de menoscabar la salud y la seguridad o los derechos fundamentales si el sistema de IA conlleva la elaboración de perfiles en el sentido del artículo 4, punto 4, del Reglamento (UE) 2016/679, del artículo 3, punto 4, de la Directiva (UE) 2016/680 o del artículo 3, punto 5, del Reglamento (UE) 2018/1725. Para garantizar la trazabilidad y la transparencia, los proveedores que, basándose en las condiciones antes citadas, consideren que un sistema de IA no es de alto riesgo, deben elaborar la documentación de la evaluación previamente a la introducción en el mercado o la entrada en servicio de dicho sistema de IA y facilitarla a las autoridades nacionales competentes cuando estas lo soliciten. Dichos proveedores deben tener la obligación de registrar el sistema en la base de datos de la UE creada en virtud del presente Reglamento. Con el fin de proporcionar orientaciones adicionales sobre la aplicación práctica de las condiciones con arreglo a las cuales los sistemas de IA enumerados en un anexo del presente Reglamento no se consideran, con carácter excepcional, de alto riesgo, la Comisión debe, previa consulta al Consejo de IA, proporcionar directrices que especifiquen dicha aplicación práctica, completadas por una lista exhaustiva de ejemplos prácticos de casos de uso de sistemas de IA que sean de alto riesgo y de casos de uso que no lo sean.
(54)
Mivel a biometrikus adatok a személyes adatok egy különleges kategóriáját képezik, helyénvaló a biometrikus rendszerek számos kritikus felhasználási esetét nagy kockázatúnak minősíteni, amennyiben azok használatát a releváns uniós és nemzeti jog megengedi. A természetes személyek távoli biometrikus azonosítására szolgáló MI-rendszerek technikai pontatlansága torzított eredményekhez vezethet, és diszkriminatív hatásokat eredményezhet. Az ilyen torzított eredmények és diszkriminatív hatások kockázata különösen releváns az életkor, az etnikai és a faji hovatartozás, a nem vagy a fogyatékosságok tekintetében. A távoli biometrikus azonosító rendszereket ezért az általuk jelentett kockázatokra tekintettel nagy kockázatúnak kell minősíteni. Az ilyen besorolás kizárja az olyan biometrikus ellenőrzésre – többek között hitelesítésre – szánt MI-rendszereket, amelynek kizárólagos célja, hogy megerősítse, egy konkrét természetes személy az, akinek az említett személy állítja magát, és kizárólag abból a célból erősítse meg egy természetes személy személyazonosságát, hogy az hozzáférhessen egy szolgáltatáshoz, feloldhassa egy eszköz zárolását vagy biztonságos hozzáférést kapjon helyiségekhez. Ezenkívül, az érzékeny jellemzők vagy az (EU) 2016/679 rendelet 9. cikkének (1) bekezdése alapján védett tulajdonságok szerint, biometrikus adatok alapján történő biometrikus kategorizálásra szánt MI-rendszereket – amennyiben azokat e rendelet nem tiltja –, valamint az e rendelet értelmében nem tiltott érzelemfelismerő rendszereket nagy kockázatúnak kell minősíteni. Azon biometrikus rendszerek, amelyeknek kizárólagos célja kiberbiztonsági és személyesadat-védelmi intézkedések lehetővé tétele, nem tekintendők nagy kockázatú MI-rendszereknek.
(54)
Dado que los datos biométricos constituyen una categoría de datos personales sensibles, procede clasificar como de alto riesgo varios casos de uso críticos de sistemas biométricos, en la medida que su utilización esté permitida con arreglo al Derecho de la Unión y nacional pertinente. Las imprecisiones técnicas de los sistemas de IA destinados a la identificación biométrica remota de las personas físicas pueden dar lugar a resultados sesgados y tener efectos discriminatorios. El riesgo de dichos resultados sesgados y efectos discriminatorios es especialmente pertinente por lo que respecta a la edad, la etnia, la raza, el sexo o la discapacidad. Por lo tanto, los sistemas de identificación biométrica remota deben clasificarse como de alto riesgo debido a los riesgos que entrañan. Quedan excluidos de dicha clasificación los sistemas de IA destinados a la verificación biométrica, que incluye la autenticación, cuyo único propósito es confirmar que una persona física concreta es quien dicha persona dice ser, así como confirmar la identidad de una persona física con la finalidad exclusiva de que tenga acceso a un servicio, desbloquee un dispositivo o tenga un acceso seguro a un local. Además, deben clasificarse como de alto riesgo los sistemas de IA destinados a ser utilizados para la categorización biométrica conforme a atributos o características sensibles protegidos en virtud del artículo 9, apartado 1, del Reglamento (UE) 2016/679 sobre la base de datos biométricos, en la medida en que no estén prohibidos en virtud del presente Reglamento, así como los sistemas de reconocimiento de emociones que no estén prohibidos con arreglo al presente Reglamento. Los sistemas biométricos destinados a ser utilizados exclusivamente a efectos de posibilitar la ciberseguridad y las medidas de protección de los datos personales no deben considerarse sistemas de IA de alto riesgo.
(55)
Ami a kritikus infrastruktúrák irányítását és üzemeltetését illeti, az (EU) 2022/2557 irányelv mellékletének 8. pontjában felsorolt kritikus digitális infrastruktúrák és a közúti forgalom irányításában és üzemeltetésében, valamint a víz-, gáz-, fűtés- és villamosenergia-ellátásban biztonsági alkotórészekként használni kívánt MI-rendszereket indokolt nagy kockázatúnak minősíteni, mivel meghibásodásuk vagy hibás működésük nagymértékben veszélyeztetheti az emberek életét és egészségét, és érzékelhető zavarokhoz vezethet a társadalmi és gazdasági tevékenységek szokásos végzésében. A kritikus infrastruktúrák – és ezen belül a kritikus digitális infrastruktúrák – biztonsági alkotórészei olyan rendszerek, amelyeket a kritikus infrastruktúra fizikai épségének, vagy a személyek egészségének és biztonságának, valamint vagyontárgyaknak a közvetlen védelmére használnak, de amelyek nem szükségesek a rendszer működéséhez. Az ilyen alkotórészek meghibásodása vagy hibás működése közvetlenül veszélyeztetheti a kritikus infrastruktúrák fizikai épségét, és ezáltal veszélyt jelent a személyek egészségére és biztonságára, valamint a vagyontárgyakra. A kizárólag kiberbiztonsági célokra szánt alkotórészek nem minősülnek biztonsági alkotórészeknek. Az ilyen kritikus infrastruktúra biztonsági alkotórészei közé tartozhatnak például a felhőszolgáltatási központok víznyomás-vezérlő vagy tűzjelző rendszerei.
(55)
Por lo que respecta a la gestión y el funcionamiento de infraestructuras críticas, procede clasificar como de alto riesgo los sistemas de IA destinados a ser utilizados como componentes de seguridad en la gestión y el funcionamiento de las infraestructuras digitales críticas que se enumeran en el anexo, punto 8, de la Directiva (UE) 2022/2557; del tráfico rodado y del suministro de agua, gas, calefacción y electricidad, pues un fallo o un defecto de funcionamiento de estos componentes puede poner en peligro la vida y la salud de las personas a gran escala y alterar de manera considerable el desarrollo habitual de las actividades sociales y económicas. Los componentes de seguridad de las infraestructuras críticas, como las infraestructuras digitales críticas, son sistemas utilizados para proteger directamente la integridad física de las infraestructuras críticas o la salud y la seguridad de las personas y los bienes, pero que no son necesarios para el funcionamiento del sistema. El fallo o el defecto de funcionamiento de estos componentes podría dar lugar directamente a riesgos para la integridad física de las infraestructuras críticas y, por tanto, a riesgos para la salud y la seguridad de las personas y los bienes. Los componentes destinados a ser utilizados exclusivamente con fines de ciberseguridad no deben considerarse componentes de seguridad. Entre los componentes de seguridad de esas infraestructuras críticas cabe citar los sistemas de control de la presión del agua o los sistemas de control de las alarmas contra incendios en los centros de computación en la nube.
(56)
Az MI-rendszerek oktatásban való bevezetése fontos a magas színvonalú digitális oktatás és képzés előmozdítása szempontjából, valamint annak lehetővé tétele érdekében, hogy valamennyi tanuló és tanár elsajátítsa és megossza a szükséges digitális készségeket és kompetenciákat, beleértve a médiajártasságot, valamint a kritikai gondolkodást, és így aktív részt vállalhasson a gazdaságban, a társadalomban és a demokratikus folyamatokban. Azonban az oktatásban vagy szakképzésben – különösen minden szinten a személyek oktatási és szakképzési intézményekbe vagy programokba való bejutásáról, felvételéről és az intézményekhez vagy programokhoz való hozzárendeléséről való döntéshozatalra, a személyek tanulási eredményeinek értékelésére, az egyén megfelelő oktatási szintjének felmérésére, érdemi hatást gyakorolva az adott egyén által kapott vagy elérhető oktatás vagy képzés szintjére, vagy vizsgák során a tiltott tanulói magatartás figyelemmel követésére és észlelésére – használt MI-rendszereket nagy kockázatú MI-rendszernek kell minősíteni, mivel meghatározhatják egy személy életének oktatási és szakmai pályáját, és ezáltal hatással lehetnek az említett személy azon képességére, hogy megélhetéséről gondoskodjon. Helytelen tervezés és használat esetén az ilyen rendszerek különösen betolakodóak lehetnek és sérthetik az oktatáshoz és képzéshez való jogot, valamint a megkülönböztetésmentességhez való jogot, és állandósíthatják a megkülönböztetés korábban meglévő mintázatait, például a nőkkel, egyes korcsoportokkal, a fogyatékossággal élőkkel, illetve egyes faji vagy etnikai származású vagy szexuális irányultságú személyekkel szemben.
(56)
El despliegue de sistemas de IA en el ámbito educativo es importante para fomentar una educación y formación digitales de alta calidad y para que todos los estudiantes y profesores puedan adquirir y compartir las capacidades y competencias digitales necesarias, incluidos la alfabetización mediática, y el pensamiento crítico, para participar activamente en la economía, la sociedad y los procesos democráticos. No obstante, deben clasificarse como de alto riesgo los sistemas de IA que se utilizan en la educación o la formación profesional, y en particular aquellos que determinan el acceso o la admisión, distribuyen a las personas entre distintas instituciones educativas y de formación profesional o programas de todos los niveles, evalúan los resultados del aprendizaje de las personas, evalúan el nivel apropiado de educación de una persona e influyen sustancialmente en el nivel de educación y formación que las personas recibirán o al que podrán acceder, o supervisan y detectan comportamientos prohibidos de los estudiantes durante las pruebas, ya que pueden decidir la trayectoria formativa y profesional de una persona y, en consecuencia, puede afectar a su capacidad para asegurar su subsistencia. Cuando no se diseñan y utilizan correctamente, estos sistemas pueden invadir especialmente y violar el derecho a la educación y la formación, y el derecho a no sufrir discriminación, además de perpetuar patrones históricos de discriminación, por ejemplo contra las mujeres, determinados grupos de edad, las personas con discapacidad o las personas de cierto origen racial o étnico o con una determinada orientación sexual.
(57)
Nagy kockázatúnak kell tekinteni azon MI-rendszereket is, amelyeket a foglalkoztatás, a munkavállalók irányítása és az önfoglalkoztatáshoz való hozzáférés, különösen személyek felvétele és kiválasztása, a munkával kapcsolatos jogviszony feltételeit érintő döntések, az előléptetéssel és a munkával kapcsolatos szerződéses jogviszonyok megszüntetésével kapcsolatos döntések meghozatala, az egyéni viselkedésen, személyes vonásokon vagy jellemzőkön alapuló feladatkiosztás, valamint a munkával kapcsolatos szerződéses jogviszonyokban álló személyek figyelemmel követése vagy értékelése során használnak, mivel az említett rendszerek érzékelhetően befolyásolhatják e személyek jövőbeli karrierlehetőségeit és megélhetését, valamint a munkavállalói jogokat. A releváns, munkával kapcsolatos szerződéses jogviszonyoknak érdemi módon magukban kell foglalniuk a munkavállalókat és a Bizottság 2021. évi munkaprogramjában említettek szerint a platformokon keresztül szolgáltatásokat nyújtó személyeket. Az ilyen rendszerek a munkaerő-felvételi folyamat egészében, valamint a munkával kapcsolatos szerződéses jogviszonyokban álló személyek értékelése, előléptetése vagy megtartása során állandósíthatják a megkülönböztetés régóta fennálló mintázatait, például a nőkkel, bizonyos korcsoportokkal, a fogyatékossággal élő személyekkel, illetve bizonyos faji vagy etnikai származású, vagy szexuális irányultságú személyekkel szemben. Az ilyen személyek teljesítményének és magatartásának nyomon követésére használt MI-rendszerek alááshatják a személyek adatvédelemhez és a magánélethez való alapvető jogait is.
(57)
También deben clasificarse como de alto riesgo los sistemas de IA que se utilizan en los ámbitos del empleo, la gestión de los trabajadores y el acceso al autoempleo, en particular para la contratación y la selección de personal, para la toma de decisiones que afecten a las condiciones de las relaciones de índole laboral, la promoción y la rescisión de relaciones contractuales de índole laboral, para la asignación de tareas a partir de comportamientos individuales o rasgos o características personales y para la supervisión o evaluación de las personas en el marco de las relaciones contractuales de índole laboral, dado que pueden afectar de un modo considerable a las futuras perspectivas laborales, a los medios de subsistencia de dichas personas y a los derechos de los trabajadores. Las relaciones contractuales de índole laboral deben incluir, de manera significativa, a los empleados y las personas que prestan servicios a través de plataformas, como indica el programa de trabajo de la Comisión para 2021. Dichos sistemas pueden perpetuar patrones históricos de discriminación, por ejemplo contra las mujeres, determinados grupos de edad, las personas con discapacidad o las personas de orígenes raciales o étnicos concretos o con una orientación sexual determinada, durante todo el proceso de contratación y en la evaluación, promoción o retención de personas en las relaciones contractuales de índole laboral. Los sistemas de IA empleados para controlar el rendimiento y el comportamiento de estas personas también pueden socavar sus derechos fundamentales a la protección de los datos personales y a la intimidad.
(58)
Egy másik olyan terület, ahol az MI-rendszerek használata különös figyelmet érdemel, az egyes olyan alapvető magán- és közszolgáltatások és ellátások elérhetősége és igénybevétele, amelyek ahhoz szükségesek, hogy az emberek teljes mértékben részt vehessenek a társadalomban vagy javítsák életszínvonalukat. Így különösen, azon természetes személyek, akik alapvető állami alapellátásokért és -szolgáltatásokért – nevezetesen egészségügyi szolgáltatásokért, szociális biztonsági ellátásokért, az olyan esetekben védelmet nyújtó szociális szolgáltatásokért, mint az anyaság, a betegség, az ipari balesetek, a függőség vagy az időskor és a munkahely elvesztése, valamint szociális és lakhatási támogatásért – folyamodnak a hatóságokhoz, vagy akik a hatóságoktól ilyenben részesülnek, jellemzően függenek az említett ellátásoktól és szolgáltatásoktól, és kiszolgáltatott helyzetben vannak a felelős hatóságokkal szemben. Ha MI-rendszerek igénybevételével döntik el, hogy a hatóságok megadják, megtagadják, csökkentsék, visszavonják vagy visszaigényeljék-e az ilyen ellátásokat és szolgáltatásokat – ideértve azt is, hogy a kedvezményezettek jogszerűen jogosultak-e az ilyen ellátásokra vagy szolgáltatásokra –, az említett rendszerek jelentős hatást gyakorolhatnak a személyek megélhetésére, és sérthetik az alapvető jogaikat, így például a szociális védelemhez, a megkülönböztetésmentességhez, az emberi méltósághoz vagy a hatékony jogorvoslathoz való jogot, és ezért nagy kockázatúnak kell azokat minősíteni. Mindazonáltal e rendelet nem akadályozhatja az innovatív megközelítések fejlesztését és alkalmazását a közigazgatásban, amely számára előnyös lenne az előírásoknak megfelelő és biztonságos MI-rendszerek szélesebb körű használata, feltéve, hogy az említett rendszerek nem jelentenek nagy kockázatot a természetes és jogi személyekre nézve. Ezenfelül, a természetes személyek hitelpontszámának vagy hitelképességének értékelésére használt MI-rendszereket nagy kockázatú MI-rendszereknek kell minősíteni, mivel ezek határozzák meg e személyek pénzügyi erőforrásokhoz vagy olyan alapvető szolgáltatásokhoz való hozzáférését, mint a lakhatás, a villamos energia és a távközlési szolgáltatások. Az e célokra használt MI-rendszerek személyek vagy csoportok hátrányos megkülönböztetéséhez vezethetnek, és állandósíthatják a – például faji vagy etnikai származáson, nemen, fogyatékosságon, életkoron vagy szexuális irányultságon alapuló – megkülönböztetés régóta fennálló mintázatait, vagy a diszkriminatív hatások új formáit teremthetik meg. Az uniós jog által a pénzügyi szolgáltatások nyújtása terén a csalások felderítése céljából, valamint a prudenciális célokra, a hitelintézetek és biztosítók tőkekövetelményeinek kiszámítása céljából előírt MI-rendszerek azonban e rendelet értelmében nem tekintendők nagy kockázatúnak. Ezenkívül a természetes személyek vonatkozásában egészség- és életbiztosítás esetén a kockázatértékeléshez és az árképzéshez való használatra szánt MI-rendszerek is jelentős hatást gyakorolhatnak a személyek megélhetésére, és ha nem megfelelően tervezik meg, fejlesztik és használják őket, sérthetik a személyek alapvető jogait és súlyos következményekkel járhatnak az emberek életére és egészségére nézve, ideértve a pénzügyi szolgáltatásokból való kirekesztést és a hátrányos megkülönböztetést is. Végül, a természetes személyek segélyhívásainak értékeléséhez és osztályozásához vagy a sürgősségi segélyszolgálatok – többek között a rendőrség és a tűzoltók által biztosított ilyen szolgáltatások és orvosi segítségnyújtás – kirendeléséhez vagy a kirendelési prioritás megállapításához használt MI-rendszereket, valamint a sürgősségi egészségügyi ellátásban alkalmazott betegosztályozási rendszerekhez használt MI-rendszereket szintén nagy kockázatúnak kell tekinteni, mivel nagyon kritikus helyzetekben hoznak döntéseket az emberek élete és egészsége, valamint tulajdona szempontjából.
(58)
El acceso a determinados servicios y prestaciones esenciales, de carácter público y privado, necesarios para que las personas puedan participar plenamente en la sociedad o mejorar su nivel de vida, y el disfrute de dichos servicios y prestaciones, es otro ámbito en el que conviene prestar especial atención a la utilización de sistemas de IA. En particular, las personas físicas que solicitan a las autoridades públicas o reciben de estas prestaciones y servicios esenciales de asistencia pública, a saber, servicios de asistencia sanitaria, prestaciones de seguridad social, servicios sociales que garantizan una protección en casos como la maternidad, la enfermedad, los accidentes laborales, la dependencia o la vejez y la pérdida de empleo, asistencia social y ayudas a la vivienda, suelen depender de dichas prestaciones y servicios y, por lo general, se encuentran en una posición de vulnerabilidad respecto de las autoridades responsables. La utilización de sistemas de IA para decidir si las autoridades deben conceder, denegar, reducir o revocar dichas prestaciones y servicios o reclamar su devolución, lo que incluye decidir, por ejemplo, si los beneficiarios tienen legítimamente derecho a dichas prestaciones y servicios, podría tener un efecto considerable en los medios de subsistencia de las personas y vulnerar sus derechos fundamentales, como el derecho a la protección social, a la no discriminación, a la dignidad humana o a la tutela judicial efectiva y, por lo tanto, deben clasificarse como de alto riesgo. No obstante, el presente Reglamento no debe obstaculizar el desarrollo y el uso de enfoques innovadores en la Administración, que podrían beneficiarse de una mayor utilización de sistemas de IA conformes y seguros, siempre y cuando dichos sistemas no supongan un alto riesgo para las personas jurídicas y físicas. Además, deben clasificarse como de alto riesgo los sistemas de IA usados para evaluar la calificación crediticia o solvencia de las personas físicas, ya que deciden si dichas personas pueden acceder a recursos financieros o servicios esenciales como la vivienda, la electricidad y los servicios de telecomunicaciones. Los sistemas de IA usados con esos fines pueden discriminar a determinadas personas o colectivos y perpetuar patrones históricos de discriminación, como por motivos de origen racial o étnico, género, discapacidad, edad u orientación sexual, o generar nuevas formas de discriminación. No obstante, los sistemas de IA previstos por el Derecho de la Unión con vistas a detectar fraudes en la oferta de servicios financieros y, a efectos prudenciales, para calcular los requisitos de capital de las entidades de crédito y las empresas de seguros no deben considerarse de alto riesgo en virtud del presente Reglamento. Además, los sistemas de IA destinados a ser utilizados para la evaluación de riesgos y la fijación de precios en relación con las personas físicas en el caso de los seguros de vida y de salud también pueden afectar de un modo considerable a los medios de subsistencia de las personas y, si no se diseñan, desarrollan y utilizan debidamente, pueden vulnerar sus derechos fundamentales y pueden tener graves consecuencias para la vida y la salud de las personas, como la exclusión financiera y la discriminación. Por último, los sistemas de IA empleados para evaluar y clasificar llamadas de emergencia de personas físicas o el envío o el establecimiento de prioridades en el envío de servicios de primera intervención en situaciones de emergencia, incluidos policía, bomberos y servicios de asistencia médica, así como sistemas de triaje de pacientes para la asistencia sanitaria de emergencia, también deben considerarse de alto riesgo, dado que adoptan decisiones en situaciones sumamente críticas para la vida y la salud de las personas y de sus bienes.
(59)
A bűnüldöző hatóságok szerepére és felelősségi körére tekintettel e hatóságoknak az MI-rendszerek bizonyos használatával járó fellépéseit az erőviszonyok jelentős mértékű kiegyensúlyozatlansága jellemzi, és egy természetes személy megfigyeléséhez, letartóztatásához vagy szabadságának elvonásához, valamint a Chartában garantált alapvető jogokra gyakorolt egyéb kedvezőtlen hatásokhoz vezethetnek. Így különösen, ha az MI-rendszert nem tanítják jó minőségű adatokkal, nem felel meg a teljesítménye, pontossága vagy stabilitása tekintetében támasztott megfelelő követelményeknek, vagy a forgalomba hozatalt vagy a más módon történő üzembe helyezést megelőzően nem megfelelően tervezték és tesztelték, akkor diszkriminatív vagy más tekintetben helytelen vagy igazságtalan módon válaszhat ki embereket. Továbbá, akadályozhatja a fontos alapvető eljárási jogoknak – például a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jognak, valamint a védelemhez való jognak és az ártatlanság vélelmének – az érvényre juttatását, különösen akkor, ha az ilyen MI-rendszerek nem kellően átláthatók, megmagyarázhatók és dokumentálhatók. Ezért amennyiben azok használatát a releváns uniós és nemzeti jog megengedi, helyénvaló nagy kockázatúnak minősíteni számos olyan, a bűnüldözéssel összefüggésben használni kívánt MI-rendszert, amelyek pontossága, megbízhatósága és átláthatósága különösen fontos a kedvezőtlen hatások elkerülése, a közvélemény bizalmának megőrzése, valamint az elszámoltathatóság és a hatékony jogorvoslat biztosítása szempontjából. Tekintettel a tevékenységek jellegére és az azokkal kapcsolatos kockázatokra, az említett nagy kockázatú MI-rendszereknek magukban kell foglalniuk különösen azon MI-rendszereket, amelyeket a bűnüldöző hatóságok által vagy nevében, vagy a bűnüldöző hatóságok támogatása érdekében uniós intézmények, szervek, hivatalok vagy ügynökségek által való használatra terveznek természetes személyekre vonatkozó, bűncselekmények áldozatává válás kockázatának értékelésére poligráfként és hasonló eszközként, bűncselekményekkel kapcsolatos nyomozások során vagy büntetőeljárásokban a bizonyítékok megbízhatóságának értékelésére, továbbá amennyiben e rendelet alapján nem tiltott, annak értékelésére, hogy egy természetes személy esetében fennáll-e bűncselekmény elkövetésének vagy ismételt elkövetésének kockázata, nem kizárólag egy természetes személyre vonatkozó profilalkotás vagy természetes személyek vagy csoportok személyiségjegyeinek és személyes jellemzőinek, illetve múltbeli bűnözői magatartásának értékelése alapján, valamint bűncselekmények felderítése, nyomozása vagy büntetőeljárás alá vonása során alkalmazott profilalkotásra . A kifejezetten adó- és vámhatóságok, valamint a pénzmosás elleni uniós jogszabályok szerinti információelemzést végző, igazgatási feladatokat ellátó pénzügyi hírszerző egységek általi, közigazgatási eljárásokban történő használatra szánt MI-rendszerek, nem minősítendők a bűnüldöző hatóságok által bűncselekmények megelőzése, felderítése, nyomozása és büntetőeljárás alá vonása céljából használt nagy kockázatú MI-rendszereknek. Az MI-eszközök bűnüldöző és egyéb releváns hatóságok általi használata nem idézhet elő egyenlőtlenséget vagy kirekesztést. Nem szabad figyelmen kívül hagyni az MI-eszközök használatának a gyanúsítottak védelemhez való jogára gyakorolt hatását, különösen az e rendszerek működésére vonatkozó érdemi információk beszerzésének nehézségét, valamint a kapott eredmények bíróság előtti vitatásának ebből eredő nehézségeit, főként a vizsgálat alatt álló természetes személyek esetében.
(59)
Dado su papel y su responsabilidad, las actuaciones de las autoridades garantes del cumplimiento del Derecho que implican determinados usos de los sistemas de IA se caracterizan por un importante desequilibrio de poder y pueden dar lugar a la vigilancia, la detención o la privación de libertad de una persona física, así como tener otros efectos negativos sobre los derechos fundamentales consagrados en la Carta. En particular, si el sistema de IA no está entrenado con datos de buena calidad, no cumple los requisitos adecuados en términos de rendimiento, de precisión o de solidez, o no se diseña y prueba debidamente antes de introducirlo en el mercado o ponerlo en servicio, es posible que señale a personas de manera discriminatoria, incorrecta o injusta. Además, podría impedir el ejercicio de importantes derechos procesales fundamentales, como el derecho a la tutela judicial efectiva y a un juez imparcial, así como el derecho a la defensa y a la presunción de inocencia, sobre todo cuando dichos sistemas de IA no sean lo suficientemente transparentes y explicables ni estén suficientemente bien documentados. Por consiguiente, en la medida en que su uso esté permitido conforme al Derecho de la Unión y nacional pertinente, procede clasificar como de alto riesgo varios sistemas de IA destinados a ser utilizados con fines de garantía del cumplimiento del Derecho cuando su precisión, fiabilidad y transparencia sean especialmente importantes para evitar consecuencias adversas, conservar la confianza de la población y garantizar la rendición de cuentas y unas vías de recurso efectivas. En vista de la naturaleza de las actividades y de los riesgos conexos, entre dichos sistemas de IA de alto riesgo deben incluirse, en particular, los sistemas de IA destinados a ser utilizados por las autoridades garantes del cumplimiento del Derecho, o en nombre de estas, o por las instituciones, órganos u organismos de la Unión en apoyo de las primeras, para evaluar el riesgo de que una persona física sea víctima de delitos, como los polígrafos y otras herramientas similares, para evaluar la fiabilidad de las pruebas durante la investigación o el enjuiciamiento de delitos y, en la medida en que no esté prohibido conforme al presente Reglamento, para evaluar el riesgo de que una persona física cometa un delito o reincida, no solo sobre la base de la elaboración de perfiles de personas físicas o la evaluación de rasgos y características de la personalidad o comportamientos delictivos pasados de personas físicas o grupos de personas, o para elaborar perfiles durante la detección, la investigación o el enjuiciamiento de delitos. Los sistemas de IA destinados específicamente a ser utilizados en procesos administrativos por las autoridades fiscales y aduaneras y las unidades de inteligencia financiera que desempeñan tareas administrativas de análisis de información de conformidad con el Derecho de la Unión en materia de lucha contra el blanqueo de capitales no deben clasificarse como sistemas de IA de alto riesgo usados por las autoridades garantes del cumplimiento del Derecho con el fin de prevenir, detectar, investigar y enjuiciar delitos. El uso de herramientas de IA por parte de las autoridades garantes del cumplimiento del Derecho y otras autoridades pertinentes no debe convertirse en un factor de desigualdad o exclusión. No debe ignorarse el impacto del uso de herramientas de IA en los derechos de defensa de los sospechosos, en particular la dificultad para obtener información significativa sobre el funcionamiento de dichos sistemas y la consiguiente dificultad para impugnar sus resultados ante los tribunales, en particular por parte de las personas físicas investigadas.
(60)
A migrációkezelésben, a menekültügyben és a határigazgatásban használt MI-rendszerek olyan személyeket érintenek, akik gyakran különösen kiszolgáltatott helyzetben vannak, és akiknek életét befolyásolja az illetékes hatóságok intézkedéseinek kimenetele. Az ilyen összefüggésben használt MI-rendszerek pontossága, megkülönböztetésmentes jellege és átláthatósága ezért különösen fontos az érintett személyek alapvető jogai, különösen a szabad mozgáshoz, a megkülönböztetésmentességhez, a magánélet és a személyes adatok védelméhez, a nemzetközi védelemhez és a megfelelő ügyintézéshez való jogaik tiszteletben tartásának biztosítása szempontjából. Ezért helyénvaló nagy kockázatúnak minősíteni a migráció, a menekültügy és a határigazgatás területén feladatokat ellátó illetékes hatóságok által vagy nevükben, vagy uniós intézmények, szervek, hivatalok vagy ügynökségek által, poligráfként és hasonló eszközként, vagy olyan célokra használni kívánt MI-rendszereket – amennyiben azok használatát a releváns uniós és nemzeti jog megengedi –, mint a tagállamok területére belépő, illetve vízumot vagy menedékjogot kérelmező természetes személyek által jelentett bizonyos kockázatok felmérése, az illetékes hatóságoknak történő segítségnyújtás a menedékjog, vízum és tartózkodási engedély iránti kérelmek és a kapcsolódó panaszok vizsgálatához, beleértve a bizonyítékok megbízhatóságának kapcsolódó értékelését a jogállást kérelmező természetes személyek jogosultságának megállapítására irányuló célkitűzés tekintetében, természetes személyek felderítése, felismerése vagy azonosítása a migráció, a menekültügy és a határigazgatás összefüggésében, az úti okmányok ellenőrzésének kivételével. Az e rendelet hatálya alá tartozó, a migráció, a menekültügy és a határigazgatás területén működő MI-rendszereknek meg kell felelniük a 810/2009/EK európai parlamenti és tanácsi rendeletben (32), a 2013/32/EU európai parlamenti és tanácsi irányelvben (33) és más vonatkozó jogszabályokban meghatározott vonatkozó eljárási követelményeknek. A tagállamok vagy az uniós intézmények, szervek, hivatalok vagy ügynökségek a migráció, a menekültügy és a határellenőrzés során alkalmazott MI-rendszereket semmilyen körülmények között nem használhatják fel az 1967. január 31-i jegyzőkönyvvel módosított, a menekültek helyzetére vonatkozó 1951. július 28-i genfi ENSZ-egyezmény szerinti nemzetközi kötelezettségeik megkerülésére. Semmilyen módon nem sérthetik meg továbbá a visszaküldés tilalmának elvét, illetve nem tagadhatják meg az Unió területére való belépés biztonságos és eredményes, legális csatornáit, ideértve a nemzetközi védelemhez való jogot is.
(60)
Los sistemas de IA empleados en la migración, el asilo y la gestión del control fronterizo afectan a personas que con frecuencia se encuentran en una situación especialmente vulnerable y que dependen del resultado de las actuaciones de las autoridades públicas competentes. Por este motivo, es sumamente importante que los sistemas de IA que se utilicen en estos contextos sean precisos, no discriminatorios y transparentes, a fin de garantizar que se respeten los derechos fundamentales de las personas afectadas y, en particular, su derecho a la libre circulación, a la no discriminación, a la intimidad personal y la protección de los datos personales, a la protección internacional y a una buena administración. Por lo tanto, procede clasificar como de alto riesgo, en la medida en que su utilización esté permitida en virtud del Derecho de la Unión y nacional, aquellos sistemas de IA destinados a ser utilizados por las autoridades públicas competentes, o en su nombre, o por las instituciones, órganos u organismos de la Unión que realizan tareas en el ámbito de la migración, el asilo y la gestión del control fronterizo como polígrafos y herramientas similares, para evaluar determinados riesgos que presenten las personas físicas que entren en el territorio de un Estado miembro o que soliciten un visado o asilo, para ayudar a las autoridades públicas competentes a examinar, con inclusión de la evaluación conexa de la fiabilidad de las pruebas, las solicitudes de asilo, visado y permiso de residencia, así como las reclamaciones conexas en relación con el objetivo de determinar si las personas físicas solicitantes reúnen los requisitos necesarios para que se conceda su solicitud, a efectos de detectar, reconocer o identificar a las personas físicas en el contexto de la migración, el asilo y la gestión del control fronterizo, con excepción de la verificación de los documentos de viaje. Los sistemas de IA en el ámbito de la migración, el asilo y la gestión del control fronterizo sujetos al presente Reglamento deben cumplir los requisitos procedimentales pertinentes establecidos por el Reglamento (CE) n.o 810/2009 del Parlamento Europeo y del Consejo (32), la Directiva 2013/32/UE del Parlamento Europeo y del Consejo (33) y otro Derecho de la Unión pertinente. El empleo de los sistemas de IA en la migración, el asilo y la gestión del control fronterizo no debe, en ningún caso, ser utilizado por los Estados miembros o las instituciones, órganos u organismos de la Unión como medio para eludir sus obligaciones internacionales en virtud de la Convención de las Naciones Unidas sobre el Estatuto de los Refugiados, hecha en Ginebra el 28 de julio de 1951, modificada por el Protocolo de 31 de enero de 1967. Tampoco debe ser utilizado para infringir en modo alguno el principio de no devolución, ni para negar unas vías jurídicas seguras y efectivas de acceso al territorio de la Unión, incluido el derecho a la protección internacional.
(61)
Az igazságszolgáltatásra és a demokratikus folyamatok irányítására szánt egyes MI-rendszereket nagy kockázatúnak kell tekinteni, figyelembe véve a demokráciára, a jogállamiságra, az egyéni szabadságokra, valamint a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jogra gyakorolt potenciálisan jelentős hatásukat. Így különösen, az esetleges torzítások, hibák és átláthatatlanság kockázatának kezelése érdekében indokolt nagy kockázatúnak minősíteni az igazságügyi hatóságok által vagy nevében történő használatra szánt azon MI-rendszereket, amelyek célja, hogy segítsék az igazságügyi hatóságokat a ténybeli és a jogi elemek kutatásában és értelmezésében, valamint a jog konkrét tényekre történő alkalmazásában. Az alternatív vitarendezési testületek által e célokra történő használatra szánt MI-rendszereket szintén nagy kockázatúnak kell tekinteni, ha az alternatív vitarendezési eljárás a felekre nézve joghatással jár. Az MI-eszközök alkalmazása támogathatja a bírák döntéshozatali hatáskörét vagy a bírói függetlenséget, de nem válthatja azt fel, mivel a végső döntéshozatalnak ember által irányított tevékenységnek kell maradnia. Az MI-rendszerek nagy kockázatúként való besorolása azonban nem terjedhet ki azokra az MI-rendszerekre, amelyek olyan, tisztán járulékos adminisztratív tevékenységek elvégzésére szolgálnak, amelyek nem befolyásolják a tényleges igazságszolgáltatást az egyedi ügyekben, mint például a bírósági határozatok, dokumentumok vagy adatok anonimizálása vagy álnevesítése, a személyzet közötti kommunikáció, adminisztratív feladatok ellátása.
(61)
Deben clasificarse como de alto riesgo determinados sistemas de IA destinados a la administración de justicia y los procesos democráticos, dado que pueden tener efectos potencialmente importantes para la democracia, el Estado de Derecho, las libertades individuales y el derecho a la tutela judicial efectiva y a un juez imparcial. En particular, a fin de hacer frente al riesgo de posibles sesgos, errores y opacidades, procede clasificar como de alto riesgo aquellos sistemas de IA destinados a ser utilizados por una autoridad judicial o en su nombre para ayudar a las autoridades judiciales a investigar e interpretar los hechos y el Derecho y a aplicar la ley a unos hechos concretos. También deben considerarse de alto riesgo los sistemas de IA destinados a ser utilizados por los organismos de resolución alternativa de litigios con esos fines, cuando los resultados de los procedimientos de resolución alternativa de litigios surtan efectos jurídicos para las partes. La utilización de herramientas de IA puede apoyar el poder de decisión de los jueces o la independencia judicial, pero no debe substituirlas: la toma de decisiones finales debe seguir siendo una actividad humana. No obstante, la clasificación de los sistemas de IA como de alto riesgo no debe hacerse extensiva a los sistemas de IA destinados a actividades administrativas meramente accesorias que no afectan a la administración de justicia propiamente dicha en casos concretos, como la anonimización o seudonimización de resoluciones judiciales, documentos o datos, la comunicación entre los miembros del personal o las tareas administrativas.
(62)
Az (EU) 2024/900 európai parlamenti és tanácsi rendeletben (34) előírt szabályok sérelme nélkül, és a Charta 39. cikkében rögzített szavazati jogot érintő indokolatlan külső beavatkozás, valamint a demokráciára és a jogállamiságra gyakorolt kedvezőtlen hatások kockázatának kezelése érdekében a választások vagy népszavazások eredményének vagy a természetes személyek választásokon vagy népszavazásokon tanúsított szavazási magatartásának befolyásolására tervezett MI-rendszereket nagy kockázatú MI-rendszereknek kell minősíteni, kivéve azon MI-rendszereket – így például a politikai kampányok adminisztratív és logisztikai szempontból történő szervezésére, optimalizálására és strukturálására használt eszközöket –, amelyek kimenetének nincsenek természetes személyek közvetlenül kitéve.
(62)
Sin perjuicio de las normas previstas en el Reglamento (UE) 2024/900 del Parlamento Europeo y del Consejo (34), y a fin de hacer frente a los riesgos de injerencia externa indebida en el derecho de voto consagrado en el artículo 39 de la Carta, y de efectos adversos sobre la democracia y el Estado de Derecho, deben clasificarse como sistemas de IA de alto riesgo los sistemas de IA destinados a ser utilizados para influir en el resultado de una elección o un referéndum, o en el comportamiento electoral de las personas físicas en el ejercicio de su voto en elecciones o referendos, con excepción de los sistemas de IA a cuyos resultados de salida las personas físicas no están directamente expuestas, como las herramientas utilizadas para organizar, optimizar y estructurar campañas políticas desde un punto de vista administrativo y logístico.
(63)
Az, hogy egy MI-rendszer e rendelet értelmében nagy kockázatú MI-rendszernek minősül, nem értelmezhető úgy, mint ami azt jelzi, hogy a rendszer használata jogszerű az uniós jog más jogi aktusai vagy az uniós joggal összeegyeztethető nemzeti jogszabályok, így például a személyes adatok védelmére, illetve a poligráfok, vagy a természetes személyek érzelmi állapotának felderítését szolgáló hasonló eszközök és rendszerek használatára vonatkozó jogi aktusok és jogszabályok alapján. Az ilyen használatra továbbra is kizárólag a Chartából, valamint a másodlagos uniós jog alkalmazandó jogi aktusaiból és a nemzeti jogból eredő alkalmazandó követelményekkel összhangban kerülhet sor. E rendelet nem értelmezhető úgy, mint amely jogalapot teremt személyes adatok kezelésére, ideértve adott esetben a személyes adatok különleges kategóriáit is, kivéve, ha e rendelet kifejezetten másként rendelkezik.
(63)
El hecho de que un sistema de IA sea clasificado como un sistema de IA de alto riesgo en virtud del presente Reglamento no debe interpretarse como indicador de que su uso sea lícito con arreglo a otros actos del Derecho de la Unión o del Derecho nacional compatible con el Derecho de la Unión, por ejemplo, en materia de protección de los datos personales o la utilización de polígrafos y herramientas similares u otros sistemas para detectar el estado emocional de las personas físicas. Todo uso de ese tipo debe seguir realizándose exclusivamente en consonancia con los requisitos oportunos derivados de la Carta y de los actos aplicables del Derecho derivado de la Unión y del Derecho nacional. No debe entenderse que el presente Reglamento constituye un fundamento jurídico para el tratamiento de datos personales, incluidas las categorías especiales de datos personales, en su caso, salvo que el presente Reglamento disponga específicamente otra cosa.
(64)
A forgalomba hozott vagy más módon üzembe helyezett, nagy kockázatú MI-rendszerekből eredő kockázatok enyhítése és a magas szintű megbízhatóság biztosítása érdekében bizonyos kötelező követelményeket kell alkalmazni a nagy kockázatú MI-rendszerekre vonatkozóan, figyelembe véve az MI-rendszer rendeltetését és felhasználási kontextusát, továbbá összhangban a szolgáltató által létrehozandó kockázatkezelési rendszerrel. A szolgáltatók által e rendelet kötelező követelményeinek való megfelelés céljából elfogadott intézkedéseknek figyelembe kell venniük az MI-vel kapcsolatos technika általánosan elfogadott, mindenkori állását, arányosnak és hatékonynak kell lenniük e rendelet célkitűzéseinek elérése érdekében. Az új jogszabályi keret alapján, amint azt a termékekre vonatkozó uniós szabályozásról szóló, 2022. évi bizottsági útmutató – „A kék útmutató” – kifejti, főszabály szerint az uniós harmonizációs jogalkotás több jogi aktusa is alkalmazható egyetlen termékre, mivel a forgalmazásra vagy az üzembe helyezésre csak akkor kerülhet sor, ha a termék megfelel valamennyi alkalmazandó uniós harmonizációs jogszabálynak. Az e rendelet szerinti követelmények hatálya alá tartozó MI-rendszerek veszélyei más vonatkozásokat érintenek, mint a meglévő uniós harmonizációs jogszabályok, ezért az e rendelet szerinti követelmények kiegészítenék a meglévő uniós harmonizációs jogszabályokat. Például az MI-rendszert tartalmazó gépek vagy orvostechnikai eszközök jelenthetnek olyan kockázatokat, amelyekre a vonatkozó uniós harmonizációs jogszabályokban meghatározott alapvető egészségvédelmi és biztonsági követelmények nem terjednek ki, mivel az adott ágazati jogszabályok nem foglalkoznak az MI-rendszerekkel összefüggő sajátos kockázatokkal. Ez a különböző jogalkotási aktusok egyidejű és egymást kiegészítő alkalmazását teszi szükségessé. A következetesség biztosítása, valamint a szükségtelen adminisztratív terhek és a szükségtelen költségek elkerülése érdekében az olyan termékek szolgáltatóinak, amelyek egy vagy több olyan, nagy kockázatú MI-rendszert tartalmaznak, amelyre az e rendeletben vagy az új jogszabályi kereten alapuló és az e rendelet egyik mellékletében felsorolt uniós harmonizációs jogszabályokban foglalt követelmények alkalmazandók, rugalmassággal kell rendelkezniük azon működési döntések tekintetében, hogy miként biztosítsák optimális módon az egy vagy több MI-rendszert tartalmazó termék megfelelését az említett uniós harmonizációs jogszabályokban foglalt valamennyi alkalmazandó követelménynek. Az említett rugalmasság jelentheti például a szolgáltató azon döntését, hogy az a rendelet értelmében kötelező szükséges tesztelési és jelentéstételi folyamatok, információk és dokumentáció egy részét az új jogszabályi kereten alapuló és az e rendelet egyik mellékletében felsorolt, meglévő uniós harmonizációs jogszabályok alapján előírt, már meglévő dokumentációba és eljárásokba építi be. Ez semmilyen módon nem gyengítheti a szolgáltató azon kötelezettségét, hogy megfeleljen valamennyi alkalmazandó követelménynek.
(64)
Con el objetivo de mitigar los riesgos que presentan los sistemas de IA de alto riesgo que se introducen en el mercado o se ponen en servicio, y para garantizar un alto nivel de fiabilidad, deben aplicarse a los sistemas de IA de alto riesgo ciertos requisitos obligatorios que tengan en cuenta la finalidad prevista y el contexto del uso del sistema de IA y estén en consonancia con el sistema de gestión de riesgos que debe establecer el proveedor. Las medidas adoptadas por los proveedores para cumplir los requisitos obligatorios del presente Reglamento deben tener en cuenta el estado actual de la técnica generalmente reconocido en materia de IA, ser proporcionadas y eficaces para alcanzar los objetivos del presente Reglamento. Sobre la base del nuevo marco legislativo, como se aclara en la Comunicación de la Comisión titulada «“Guía azul” sobre la aplicación de la normativa europea relativa a los productos, de 2022», la norma general es que más de un acto jurídico de la legislación de armonización de la Unión puede ser aplicable a un producto, ya que la comercialización o la puesta en servicio solamente puede producirse cuando el producto cumple toda la legislación de armonización de la Unión aplicable. Los peligros de los sistemas de IA cubiertos por los requisitos del presente Reglamento se refieren a aspectos diferentes de los contemplados en la legislación de armonización de la Unión existente y, por consiguiente, los requisitos del presente Reglamento completarían el conjunto existente de legislación de armonización de la Unión. Por ejemplo, las máquinas o los productos sanitarios que incorporan un sistema de IA pueden presentar riesgos de los que no se ocupan los requisitos esenciales de salud y seguridad establecidos en la legislación armonizada de la Unión pertinente, ya que esa legislación sectorial no aborda los riesgos específicos de los sistemas de IA. Esto exige una aplicación simultánea y complementaria de diversos actos legislativos. A fin de garantizar la coherencia y evitar una carga administrativa innecesaria y costes innecesarios, los proveedores de un producto que contenga uno o varios sistemas de IA de alto riesgo, a los que se apliquen los requisitos del presente Reglamento y de los actos legislativos de armonización de la Unión basados en el nuevo marco legislativo y enumerados en un anexo del presente Reglamento, deben ser flexibles en lo que respecta a las decisiones operativas relativas a la manera de garantizar la conformidad de un producto que contenga uno o varios sistemas de IA con todos los requisitos aplicables de la legislación armonizada de la Unión de manera óptima. Esa flexibilidad podría significar, por ejemplo, la decisión del proveedor de integrar una parte de los procesos de prueba y notificación necesarios, así como la información y la documentación exigidas en virtud del presente Reglamento, en la documentación y los procedimientos ya existentes exigidos en virtud de los actos legislativos de armonización de la Unión vigentes basados en el nuevo marco legislativo y enumerados en un anexo del presente Reglamento. Esto no debe socavar en modo alguno la obligación del proveedor de cumplir todos los requisitos aplicables.
(65)
A kockázatkezelési rendszernek olyan megszakítás nélkül végzett iteratív folyamatnak kell lennie, amelyet a nagy kockázatú MI-rendszer teljes életciklusára terveztek és működtetnek. Az említett folyamatnak az MI-rendszerek által az egészségre, a biztonságra és az alapvető jogokra jelentett releváns kockázatok azonosítására és enyhítésére kell irányulnia. A kockázatkezelési rendszert rendszeresen felül kell vizsgálni és aktualizálni kell a folyamatos hatékonyságának biztosítása, valamint az e rendelet alapján hozott valamennyi jelentős döntés és intézkedés alátámasztása és dokumentálása érdekében. E folyamatnak biztosítania kell, hogy a szolgáltató azonosítsa a kockázatokat vagy kedvezőtlen hatásokat, és az MI-rendszerek által az egészségre, a biztonságra és az alapvető jogokra jelentett ismert és észszerűen előrelátható kockázatokra vonatkozó enyhítő intézkedéseket vezessen be a rendeltetésük vagy az észszerűen előre látható rendellenes használatuk fényében, ideértve az MI-rendszer és a működési környezete közötti kölcsönhatásból eredő lehetséges kockázatokat is. A kockázatkezelési rendszer révén az MI-vel kapcsolatos technika mindenkori állásának fényében legmegfelelőbb kockázatkezelési intézkedéseket kell elfogadni. A legmegfelelőbb kockázatkezelési intézkedések meghatározásakor a szolgáltatónak dokumentálnia kell és meg kell indokolnia a meghozott döntéseket, és adott esetben be kell vonnia szakértőket és külső érdekelt feleket. A nagy kockázatú MI-rendszerek észszerűen előrelátható rendellenes használatának meghatározásakor a szolgáltatónak ki kell térnie az MI-rendszerek olyan használatára, amelyekre a rendszer rendeltetése nem terjed ki közvetlenül és amelyek nem szerepelnek a használati utasításban, azonban az adott MI-rendszer sajátos jellemzői és használata összefüggésében észszerűen feltételezhető, hogy az előrelátható emberi magatartásból eredhet. A szolgáltató által biztosított használati utasításnak tartalmaznia kell minden olyan ismert vagy előre látható, a nagy kockázatú MI-rendszer rendeltetésszerű használatával vagy az észszerűen előrelátható rendellenes használatával kapcsolatos körülményt, amely kockázatot jelenthet az egészségre és a biztonságra vagy az alapvető jogokra nézve. Ez annak biztosítását célozza, hogy az alkalmazó tisztában legyen azokkal, és figyelembe vegye azokat a nagy kockázatú MI-rendszer használata során. Az e rendelet szerinti észszerűen előrelátható rendellenes használatra vonatkozó kockázatenyhítő intézkedések meghatározása és végrehajtása nem tehet szükségessé a szolgáltató részéről a nagy kockázatú MI-rendszer tekintetében konkrét további tanítást az előrelátható rendellenes használat kezelése céljából. A szolgáltatók azonban ösztönözve vannak ilyen további tanító intézkedések fontolóra vételére, hogy szükség szerint és adott esetben mérsékeljék az észszerűen előrelátható rendellenes használatokat.
(65)
El sistema de gestión de riesgos debe consistir en un proceso iterativo continuo que sea planificado y ejecutado durante todo el ciclo de vida del sistema de IA de alto riesgo. Dicho proceso debe tener por objeto detectar y mitigar los riesgos pertinentes de los sistemas de IA para la salud, la seguridad y los derechos fundamentales. El sistema de gestión de riesgos debe revisarse y actualizarse periódicamente para garantizar su eficacia continua, así como la justificación y documentación de cualesquiera decisiones y acciones significativas adoptadas con arreglo al presente Reglamento. Este proceso debe garantizar que el proveedor determine los riesgos o efectos negativos y aplique medidas de mitigación de los riesgos conocidos y razonablemente previsibles de los sistemas de IA para la salud, la seguridad y los derechos fundamentales, habida cuenta de su finalidad prevista y de su uso indebido razonablemente previsible, incluidos los posibles riesgos derivados de la interacción entre el sistema de IA y el entorno en el que opera. El sistema de gestión de riesgos debe adoptar las medidas de gestión de riesgos más adecuadas a la luz del estado actual de la técnica en materia de IA. Al determinar las medidas de gestión de riesgos más adecuadas, el proveedor debe documentar y explicar las elecciones realizadas y, cuando proceda, contar con la participación de expertos y partes interesadas externas. Al determinar el uso indebido razonablemente previsible de los sistemas de IA de alto riesgo, el proveedor debe tener en cuenta los usos de los sistemas de IA que, aunque no estén directamente cubiertos por la finalidad prevista ni establecidos en las instrucciones de uso, cabe esperar razonablemente que se deriven de un comportamiento humano fácilmente previsible en el contexto de las características específicas y del uso de un sistema de IA concreto. Debe incluirse en las instrucciones de uso que sean facilitadas por el proveedor cualquier circunstancia conocida o previsible, asociada a la utilización del sistema de IA de alto riesgo conforme a su finalidad prevista o a un uso indebido razonablemente previsible, que pueda dar lugar a riesgos para la salud y la seguridad o los derechos fundamentales. Con ello se pretende garantizar que el responsable del despliegue sea consciente de estos riesgos y los tenga en cuenta al utilizar el sistema de IA de alto riesgo. La identificación y la aplicación de medidas de reducción del riesgo en caso de uso indebido previsible con arreglo al presente Reglamento no deben suponer la exigencia, para su acometida, de entrenamiento adicional específico para el sistema de IA de alto riesgo por parte del proveedor para hacer frente a usos indebidos previsibles. No obstante, se anima a los proveedores a considerar dichas medidas de entrenamiento adicionales para mitigar los usos indebidos razonablemente previsibles, cuando resulte necesario y oportuno.
(66)
A nagy kockázatú MI-rendszerekre követelményeket kell alkalmazni a kockázatkezelés, a használt adatkészletek minősége és relevanciája, a műszaki dokumentáció és a nyilvántartás, az átláthatóság és az alkalmazóknak nyújtott tájékoztatás, az emberi felügyelet, valamint a stabilitás, a pontosság és a kiberbiztonság tekintetében. Az említett követelmények szükségesek az egészséget, a biztonságot és az alapvető jogokat érintő kockázatok hatékony enyhítéséhez. Mivel észszerűen nem állnak rendelkezésre más, a kereskedelmet kevésbé korlátozó intézkedések, az említett követelmények nem minősülnek a kereskedelem indokolatlan korlátozásának.
(66)
Deben aplicarse a los sistemas de IA de alto riesgo requisitos referentes a la gestión de riesgos, la calidad y la pertinencia de los conjuntos de datos utilizados, la documentación técnica y la conservación de registros, la transparencia y la comunicación de información a los responsables del despliegue, la supervisión humana, la solidez, la precisión y la ciberseguridad. Dichos requisitos son necesarios para mitigar de forma efectiva los riesgos para la salud, la seguridad y los derechos fundamentales. Al no disponerse razonablemente de otras medidas menos restrictivas del comercio, dichos requisitos no son restricciones injustificadas al comercio.
(67)
A kiváló minőségű adatok és a kiváló minőségű adatokhoz való hozzáférés létfontosságú szerepet játszik számos MI-rendszer struktúrájának biztosításában és teljesítményének garantálásában, különösen a modellek tanítását magában foglaló technikák alkalmazása esetén, annak biztosítása érdekében, hogy a nagy kockázatú MI-rendszer rendeltetésszerűen és biztonságosan működjön, és ne váljon az uniós jog által tiltott megkülönböztetés forrásává. A tanításhoz, validáláshoz és teszteléshez használt kiváló minőségű adatkészletekhez megfelelő adatkormányzási és adatgazdálkodási gyakorlatokra van szükség. A tanításhoz, validáláshoz és teszteléshez használt adatkészleteknek, beleértve a címkéket is, relevánsnak, kellően reprezentatívnak, valamint a lehető legnagyobb mértékben hibáktól mentesnek és teljesnek kell lenniük a rendszer rendeltetése szempontjából. Az uniós adatvédelmi jognak, például az (EU) 2016/679 rendeletnek való megfelelés elősegítése érdekében az adatkormányzási és adatgazdálkodási gyakorlatoknak a személyes adatok esetében ki kell terjedniük az adatgyűjtés eredeti céljával kapcsolatos átláthatóságra. Az adatkészleteknek rendelkezniük kell a megfelelő statisztikai tulajdonságokkal is, többek között azon személyek vagy személyek csoportjai tekintetében, akikre vagy amelyekre a nagy kockázatú MI-rendszert használni kívánják, különös figyelemmel az adatkészletekben lévő olyan esetleges torzítások mérséklésére, amelyek valószínűleg hatással lehetnek a személyek egészségére és biztonságára, negatív hatást gyakorolhatnak az alapvető jogokra, vagy az uniós jog által tiltott megkülönböztetéshez vezethetnek, különösen akkor, ha az adatok kimenetei befolyásolják a jövőbeli műveletek bemeneteit (visszacsatolási hurkok). Torzítások előfordulhatnak eredendően például az alapul szolgáló adatkészletekben, különösen akkor, ha múltbeli adatokat használnak, vagy amelyek akkor keletkeznek, amikor a rendszereket valós körülmények között alkalmazzák. Az MI-rendszerek által nyújtott eredményeket befolyásolhatják az ilyen eredendő torzítások, amelyek hajlamosak tovább növekedni, és ezáltal állandósítani és felerősíteni a meglévő diszkriminációt, különösen a bizonyos kiszolgáltatott csoportokhoz – többek között faji vagy etnikai csoportokhoz – tartozó személyek esetében. Az adatkészleteknek a lehető legnagyobb mértékű teljességére és hibamentességére vonatkozó követelmény nem érintheti a magánélet védelmét szolgáló technikák használatát az MI-rendszerek fejlesztésével és tesztelésével összefüggésben. Így különösen, az adatkészleteknek – a rendeltetésük által megkövetelt mértékben – figyelembe kell venniük azon jellemzőket, tulajdonságokat vagy elemeket, amelyek azon sajátos földrajzi, kontextuális, magatartási vagy funkcionális környezethez kapcsolódnak, amelyben az MI-rendszert használni szándékozzák. Az adatkormányzással kapcsolatos követelmények teljesíthetők olyan harmadik felek igénybevételével, amelyek az adatkormányzás, az adatkészlet-integritás, valamint az adat-tanításra, -validálásra és -tesztelésre szolgáló gyakorlatok ellenőrzését magában foglaló, tanúsított megfelelési szolgáltatásokat kínálnak, amennyiben az e rendelet szerinti adatszolgáltatási követelményeknek való megfelelés biztosított.
(67)
Los datos de alta calidad y el acceso a datos de alta calidad desempeñan un papel esencial a la hora de proporcionar una estructura y garantizar el funcionamiento de muchos sistemas de IA, en especial cuando se emplean técnicas que implican el entrenamiento de modelos, con vistas a garantizar que el sistema de IA de alto riesgo funcione del modo previsto y en condiciones de seguridad y no se convierta en una fuente de algún tipo de discriminación prohibida por el Derecho de la Unión. Es preciso instaurar prácticas adecuadas de gestión y gobernanza de datos para lograr que los conjuntos de datos para el entrenamiento, la validación y la prueba sean de alta calidad. Los conjuntos de datos para el entrenamiento, la validación y la prueba, incluidas las etiquetas, deben ser pertinentes, lo suficientemente representativos y, en la mayor medida posible, estar libres de errores y ser completos en vista de la finalidad prevista del sistema. A fin de facilitar el cumplimiento del Derecho de la Unión en materia de protección de datos, como el Reglamento (UE) 2016/679, las prácticas de gestión y gobernanza de datos deben incluir, en el caso de los datos personales, la transparencia sobre el fin original de la recopilación de datos. Los conjuntos de datos deben tener las propiedades estadísticas adecuadas, también en lo que respecta a las personas o los colectivos de personas en relación con los que esté previsto utilizar el sistema de IA de alto riesgo, prestando una atención especial a la mitigación de los posibles sesgos en los conjuntos de datos que puedan afectar a la salud y la seguridad de las personas físicas, tener repercusiones negativas en los derechos fundamentales o dar lugar a algún tipo de discriminación prohibida por el Derecho de la Unión, especialmente cuando los datos de salida influyan en la información de entrada de futuras operaciones (bucles de retroalimentación). Los sesgos, por ejemplo, pueden ser inherentes a los conjuntos de datos subyacentes, especialmente cuando se utilizan datos históricos, o generados cuando los sistemas se despliegan en entornos del mundo real. Los resultados de los sistemas de IA dependen de dichos sesgos inherentes, que tienden a aumentar gradualmente y, por tanto, perpetúan y amplifican la discriminación existente, en particular con respecto a las personas pertenecientes a determinados colectivos vulnerables, incluidos colectivos raciales o étnicos. El requisito de que los conjuntos de datos, en la mayor medida posible, sean completos y estén libres de errores no debe afectar al uso de técnicas de protección de la intimidad en el contexto del desarrollo y la prueba de sistemas de IA. En particular, los conjuntos de datos deben tener en cuenta, en la medida en que lo exija su finalidad prevista, los rasgos, características o elementos particulares del entorno geográfico, contextual, conductual o funcional específico en el que esté previsto que se utilice el sistema de IA. Los requisitos relacionados con la gobernanza de datos pueden cumplirse recurriendo a terceros que ofrezcan servicios certificados de cumplimiento, incluida la verificación de la gobernanza de datos, la integridad del conjunto de datos y las prácticas de entrenamiento, validación y prueba de datos, en la medida en que se garantice el cumplimiento de los requisitos en materia de datos del presente Reglamento.
(68)
A nagy kockázatú MI-rendszerek fejlesztése és értékelése tekintetében bizonyos szereplőknek, például a szolgáltatóknak, a bejelentett szervezeteknek és más releváns jogalanyoknak, például az európai digitális innovációs központoknak, a tesztelési–kísérleti létesítményeknek és a kutatóknak lehetőséget kell biztosítani, hogy az e rendelethez kapcsolódó tevékenységi területeiken belül hozzáférjenek kiváló minőségű adatkészletekhez és használják őket. A Bizottság által létrehozott közös európai adatterek, valamint a vállalkozások közötti és a kormányzattal való, közérdekből történő adatmegosztás megkönnyítése alapvető fontosságúak lesznek ahhoz, hogy megbízható, elszámoltatható és megkülönböztetésmentes hozzáférést lehessen biztosítani az MI-rendszerek tanításához, validálásához és teszteléséhez szükséges kiváló minőségű adatokhoz. Az egészségügy területén például az európai egészségügyi adattér fogja megkönnyíteni az egészségügyi adatokhoz való megkülönböztetésmentes hozzáférést és az MI-algoritmusok ezen adatkészletek alapján való tanítását a magánéletet védő, biztonságos, időszerű, átlátható és megbízható módon, valamint megfelelő intézményi irányítás mellett. Az adatokhoz való hozzáférést biztosító vagy támogató érintett illetékes hatóságok, beleértve az ágazati hatóságokat is, támogathatják az MI-rendszerek tanításához, validálásához és teszteléséhez szükséges kiváló minőségű adatok szolgáltatását is.
(68)
Para poder desarrollar y evaluar sistemas de IA de alto riesgo, determinados agentes, tales como proveedores, organismos notificados y otras entidades pertinentes, como centros europeos de innovación digital, instalaciones de ensayo y experimentación e investigadores, deben tener acceso a conjuntos de datos de alta calidad en sus campos de actividad relacionados con el presente Reglamento y deben poder utilizarlos. Los espacios comunes europeos de datos establecidos por la Comisión y la facilitación del intercambio de datos entre empresas y con los Gobiernos en favor del interés público serán esenciales para brindar un acceso fiable, responsable y no discriminatorio a datos de alta calidad con los que entrenar, validar y probar los sistemas de IA. Por ejemplo, en el ámbito de la salud, el espacio europeo de datos sanitarios facilitará el acceso no discriminatorio a datos sanitarios y el entrenamiento, a partir de esos conjuntos de datos, de algoritmos de IA de una manera segura, oportuna, transparente, fiable y que respete la intimidad, y contando con la debida gobernanza institucional. Las autoridades competentes pertinentes, incluidas las sectoriales, que proporcionan acceso a datos o lo facilitan también pueden brindar apoyo al suministro de datos de alta calidad con los que entrenar, validar y probar los sistemas de IA.
(69)
A magánélet tiszteletben tartásához és az adatvédelemhez való jogot az MI-rendszer teljes életciklusa során garantálni kell. E tekintetben az adattakarékosság, valamint a beépített és alapértelmezett adatvédelem uniós adatvédelmi jogszabályokban meghatározott elve alkalmazandó a személyes adatok kezelése során. A szolgáltatók által az említett elveknek való megfelelés biztosítása érdekében hozott intézkedések nemcsak az anonimizálást és a titkosítást foglalhatják magukban, hanem az olyan technológia használatát is, amely lehetővé teszi az algoritmusok adatokhoz rendelését és az MI-rendszer anélkül történő tanítását, hogy a nyers vagy strukturált adatokat a feleknek egymás között át kellene adniuk vagy másolniuk, az e rendeletben foglalt adatkormányzási követelmények sérelme nélkül.
(69)
El derecho a la intimidad y a la protección de datos personales debe garantizarse a lo largo de todo el ciclo de vida del sistema de IA. A este respecto, los principios de minimización de datos y de protección de datos desde el diseño y por defecto, establecidos en el Derecho de la Unión en materia de protección de datos, son aplicables cuando se tratan datos personales. Las medidas adoptadas por los proveedores para garantizar el cumplimiento de estos principios podrán incluir no solo la anonimización y el cifrado, sino también el uso de una tecnología que permita llevar los algoritmos a los datos y el entrenamiento de los sistemas de IA sin que sea necesaria la transmisión entre las partes ni la copia de los datos brutos o estructurados, sin perjuicio de los requisitos en materia de gobernanza de datos establecidos en el presente Reglamento.
(70)
Annak érdekében, hogy megvédjék mások jogát az MI-rendszerekben megjelenő torzításból eredő esetleges megkülönböztetéssel szemben, a szolgáltatók számára kivételesen lehetővé kell tenni, hogy a nagy kockázatú MI-rendszerekkel kapcsolatos torzítás észlelésének és korrekciójának biztosításához feltétlenül szükséges mértékben, figyelemmel a természetes személyek alapvető jogaira és szabadságaira vonatkozó megfelelő biztosítékokra, valamint az e rendeletben és az (EU) 2016/679 rendeletben, az (EU) 2018/1725 rendeletben és az (EU) 2016/680 irányelvben foglalt valamennyi alkalmazandó feltétel alkalmazását követően, az (EU) 2016/679 rendelet 9. cikke (2) bekezdésének g) pontja és az (EU) 2018/1725 rendelet 10. cikke (2) bekezdésének g) pontja értelmében vett jelentős közérdekből a személyes adatok különleges kategóriáit is kezeljék.
(70)
A fin de proteger los derechos de terceros frente a la discriminación que podría provocar el sesgo de los sistemas de IA, los proveedores deben —con carácter excepcional, en la medida en que sea estrictamente necesario para garantizar la detección y corrección de los sesgos asociados a los sistemas de IA de alto riesgo, con sujeción a las garantías adecuadas para los derechos y libertades fundamentales de las personas físicas y tras la aplicación de todas las condiciones aplicables establecidas en el presente Reglamento, además de las condiciones establecidas en los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva (UE) 2016/680— ser capaces de tratar también categorías especiales de datos personales, como cuestión de interés público esencial en el sentido del artículo 9, apartado 2, letra g), del Reglamento (UE) 2016/679 y del artículo 10, apartado 2, letra g), del Reglamento (UE) 2018/1725.
(71)
A nagy kockázatú MI-rendszerek nyomonkövethetőségéhez, az e rendelet szerinti követelményeknek való megfelelés ellenőrzéséhez, valamint az ilyen rendszerek működésének nyomon követéséhez és a forgalomba hozatal utáni nyomon követéshez elengedhetetlenek az arra vonatkozó átfogó információk, hogy hogyan fejlesztették ki a nagy kockázatú MI-rendszereket, és hogyan teljesítenek teljes élettartamuk során. Ehhez nyilvántartást kell vezetni, és olyan műszaki dokumentációnak kell rendelkezésre állnia, amely tartalmazza az annak értékeléséhez szükséges információkat, hogy az MI-rendszer megfelel-e a vonatkozó követelményeknek, valamint amely megkönnyíti a forgalomba hozatal utáni nyomon követést. Ezeknek az információknak ki kell terjedniük a rendszer általános jellemzőire, képességeire és korlátaira, algoritmusaira, adataira, tanítási, tesztelési és validálási folyamataira, valamint a vonatkozó kockázatkezelési rendszerrel kapcsolatos dokumentációra, és világos és érthető formában kell rendelkezésre állniuk. A műszaki dokumentációt az MI-rendszerek teljes élettartama alatt megfelelően naprakészen kell tartani. Továbbá, a nagy kockázatú MI-rendszereknek a rendszer teljes élettartama alatt technikailag lehetővé kell tenniük az események automatikus rögzítését naplózás révén.
(71)
Para permitir la trazabilidad de los sistemas de IA de alto riesgo, verificar si cumplen los requisitos previstos en el presente Reglamento, así como vigilar su funcionamiento y llevar a cabo la vigilancia poscomercialización, resulta esencial disponer de información comprensible sobre el modo en que se han desarrollado y sobre su funcionamiento durante toda su vida útil. A tal fin, es preciso llevar registros y disponer de documentación técnica que contenga la información necesaria para evaluar si el sistema de IA de que se trate cumple los requisitos pertinentes y facilitar la vigilancia poscomercialización. Dicha información debe incluir las características generales, las capacidades y las limitaciones del sistema y los algoritmos, datos y procesos de entrenamiento, prueba y validación empleados, así como documentación sobre el sistema de gestión de riesgos pertinente, elaborada de manera clara y completa. La documentación técnica debe mantenerse adecuadamente actualizada durante toda la vida útil del sistema de IA. Además, los sistemas de IA de alto riesgo deben permitir técnicamente el registro automático de acontecimientos, mediante archivos de registro, durante toda la vida útil del sistema.
(72)
A bizonyos MI-rendszerek átláthatatlanságával és összetettségével kapcsolatos aggályok kezelése, valamint az alkalmazóknak az e rendelet szerinti kötelezettségeik teljesítéséhez való segítségnyújtás érdekében bizonyos fokú átláthatóságot kell előírni a nagy kockázatú MI-rendszerekre vonatkozóan már azok forgalomba hozatala vagy üzembe helyezése előtt. A nagy kockázatú MI-rendszereket úgy kell megtervezni, hogy az alkalmazók értsék, hogyan működik az MI-rendszer, értékelni tudják annak funkcióját, valamint tisztában legyenek erősségeivel és korlátaival. A nagy kockázatú MI-rendszereket használati utasítás formájában megfelelő információknak kell kísérniük. Az ilyen információknak ki kell terjedniük az MI-rendszer jellemzőire, képességeire és teljesítményének korlátaira. Azok magukban foglalnák a következőkre vonatkozó információkat: a nagy kockázatú MI-rendszer használatával kapcsolatos, olyan esetleges, ismert és előre látható körülmények, ideértve az alkalmazó által végzett, a rendszer viselkedését és teljesítményét befolyásolni képes műveleteket, amelyek mellett az MI-rendszer az egészséget, a biztonságot és az alapvető jogokat érintő kockázatokhoz vezethet, a szolgáltató által előre meghatározott és a megfelelőség szempontjából értékelt változások, valamint a releváns emberi felügyeleti intézkedések, beleértve az MI-rendszerek kimeneteinek az alkalmazók általi értelmezését megkönnyítő technikai intézkedéseket. Az átláthatóság, beleértve a rendszereket kísérő használati utasítást, segíteni hivatott az alkalmazókat a rendszer használatában, valamint támogatni hivatott őket a tájékozott döntéshozatalban. Többek között az alkalmazók számára könnyebb kell, hogy legyen annak megfelelő eldöntése a rájuk alkalmazandó követelmények fényében, hogy mely rendszert kívánják használni, tisztában kell lenniük a rendeltetésszerű és a kizárt felhasználással, és helyesen, megfelelően kell használniuk az MI-rendszert. A használati utasításban szereplő információk olvashatóságának és hozzáférhetőségének javítása érdekében adott esetben szemléltető példákat kell felsorolni például az MI-rendszer korlátaival, valamint a rendeltetésszerű és a kizárt felhasználással kapcsolatban. A szolgáltatóknak biztosítaniuk kell, hogy a teljes dokumentáció, beleértve a használati utasítást is, érdemi, átfogó, hozzáférhető és érthető információkat tartalmazzon, figyelembe véve a megcélzott alkalmazók igényeit és előre látható ismereteit. A használati utasítást a megcélzott alkalmazók által könnyen érthető nyelven kell rendelkezésre bocsátani, az érintett tagállam által meghatározottak szerint.
(72)
A fin de abordar las preocupaciones relacionadas con la opacidad y complejidad de determinados sistemas de IA y ayudar a los responsables del despliegue a cumplir sus obligaciones en virtud del presente Reglamento, debe exigirse transparencia respecto de los sistemas de IA de alto riesgo antes de su introducción en el mercado o su puesta en servicio. Los sistemas de IA de alto riesgo deben diseñarse de modo que permitan a los responsables del despliegue comprender la manera en que el sistema de IA funciona, evaluar su funcionalidad y comprender sus fortalezas y limitaciones. Los sistemas de IA de alto riesgo deben ir acompañados de la información adecuada en forma de instrucciones de uso. Dicha información debe incluir las características, las capacidades y las limitaciones del funcionamiento del sistema de IA. Estas comprenderían la información sobre las posibles circunstancias conocidas y previsibles relacionadas con el uso del sistema de IA de alto riesgo, incluida la actuación del responsable del despliegue capaz de influir en el comportamiento y el funcionamiento del sistema, en cuyo marco el sistema de IA puede dar lugar a riesgos para la salud, la seguridad y los derechos fundamentales, sobre los cambios que el proveedor haya predeterminado y evaluado para comprobar su conformidad y sobre las medidas pertinentes de supervisión humana, incluidas las medidas para facilitar la interpretación de los resultados de salida del sistema de IA por parte de los responsables del despliegue. La transparencia, incluidas las instrucciones de uso que acompañan a los sistemas de IA, debe ayudar a los responsables del despliegue a utilizar el sistema y tomar decisiones con conocimiento de causa. Los responsables del despliegue deben, entre otras cosas, estar en mejores condiciones para elegir correctamente el sistema que pretenden utilizar a la luz de las obligaciones que les son aplicables, estar informados sobre los usos previstos y excluidos y utilizar el sistema de IA correctamente y según proceda. A fin de mejorar la legibilidad y la accesibilidad de la información incluida en las instrucciones de uso, cuando proceda, deben incluirse ejemplos ilustrativos, por ejemplo sobre las limitaciones y sobre los usos previstos y excluidos del sistema de IA. Los proveedores deben garantizar que toda la documentación, incluidas las instrucciones de uso, contenga información significativa, exhaustiva, accesible y comprensible, que tenga en cuenta las necesidades y los conocimientos previsibles de los responsables del despliegue destinatarios. Las instrucciones de uso deben estar disponibles en una lengua fácilmente comprensible para los responsables del despliegue destinatarios, según lo que decida el Estado miembro de que se trate.
(73)
A nagy kockázatú MI-rendszereket úgy kell megtervezni és fejleszteni, hogy a természetes személyek felügyelhessék működésüket, valamint biztosíthassák rendeltetésszerű használatukat és hatásaik kezelését a rendszer életciklusa során. E célból a rendszer szolgáltatójának a forgalomba hozatalt vagy üzembe helyezést megelőzően megfelelő emberi felügyeleti intézkedéseket kell meghatároznia. Így különösen, az ilyen intézkedéseknek adott esetben garantálniuk kell azt, hogy a rendszer olyan beépített működési korlátokkal rendelkezzen, amelyeket maga a rendszer nem tud felülbírálni, és reagáljon az emberi üzemeltetőre, valamint hogy az emberi felügyeletet ellátó természetes személyek rendelkezzenek az e feladat ellátásához szükséges szakértelemmel, képzéssel és felhatalmazással. Adott esetben annak biztosítása is alapvető fontosságú, hogy a nagy kockázatú MI-rendszerek rendelkezzenek olyan mechanizmusokkal, amelyek iránymutatást és tájékoztatást nyújtanak az emberi felügyeletet ellátó természetes személy számára az azzal kapcsolatos megalapozott döntéshozatalhoz, hogy szükséges-e, vagy mikor és hogyan szükséges beavatkozni a negatív következmények vagy kockázatok elkerülése érdekében vagy leállítani a rendszert, amennyiben az nem rendeltetésszerűen működik. Tekintettel arra, hogy a bizonyos biometrikus azonosító rendszerek által megállapított hibás egyezés milyen komoly következményekkel járhat az egyénekre nézve, helyénvaló fokozott emberi felügyeleti követelményt előírni e rendszerekre vonatkozóan annak érdekében, hogy az alkalmazó a rendszerből származó azonosítás alapján semmilyen intézkedést vagy döntést ne hozhasson anélkül, hogy azt legalább két természetes személy külön ellenőrizte és megerősítette volna. Az említett személyek lehetnek ugyanazon vagy különböző szervezet tagjai, és köztük lehet a rendszert üzemeltető vagy használó személy is. Ez a követelmény nem okozhat szükségtelen terhet vagy késedelmet, és elegendő lehet, ha a különböző személyek által végzett külön ellenőrzéseket automatikusan rögzítik a rendszer által generált naplók. Tekintettel a bűnüldözés, a migráció, a határellenőrzés és a menekültügy területének sajátosságaira, ez a követelmény nem alkalmazandó azokban az esetekben, amikor az uniós vagy a nemzeti jog úgy ítéli meg, hogy alkalmazása aránytalan.
(73)
Los sistemas de IA de alto riesgo deben diseñarse y desarrollarse de tal modo que las personas físicas puedan supervisar su funcionamiento, así como asegurarse de que se usan según lo previsto y de que sus repercusiones se abordan a lo largo del ciclo de vida del sistema. A tal fin, el proveedor del sistema debe definir las medidas adecuadas de supervisión humana antes de su introducción en el mercado o puesta en servicio. Cuando proceda, dichas medidas deben garantizar, en concreto, que el sistema esté sujeto a limitaciones operativas incorporadas en el propio sistema que este no pueda desactivar, que responda al operador humano y que las personas físicas a quienes se haya encomendado la supervisión humana posean las competencias, la formación y la autoridad necesarias para desempeñar esa función. También es esencial, según proceda, garantizar que los sistemas de IA de alto riesgo incluyan mecanismos destinados a orientar e informar a las personas físicas a las que se haya asignado la supervisión humana para que tomen decisiones con conocimiento de causa acerca de si intervenir, cuándo hacerlo y de qué manera, a fin de evitar consecuencias negativas o riesgos, o de detener el sistema si no funciona según lo previsto. Teniendo en cuenta las enormes consecuencias para las personas en caso de una correspondencia incorrecta efectuada por determinados sistemas de identificación biométrica, conviene establecer un requisito de supervisión humana reforzada para dichos sistemas, de modo que el responsable del despliegue no pueda actuar ni tomar ninguna decisión basándose en la identificación generada por el sistema, salvo si al menos dos personas físicas la han verificado y confirmado por separado. Dichas personas podrían proceder de una o varias entidades e incluir a la persona que maneja o utiliza el sistema. Este requisito no debe suponer una carga ni retrasos innecesarios y podría bastar con que las verificaciones que las distintas personas efectúen por separado se registren automáticamente en los registros generados por el sistema. Dadas las especificidades de los ámbitos de la garantía del cumplimiento del Derecho, la migración, el control fronterizo y el asilo, ese requisito no debe aplicarse cuando el Derecho nacional o de la Unión considere que su aplicación es desproporcionada.
(74)
A nagy kockázatú MI-rendszereknek életciklusuk során következetesen kell teljesíteniük, és a rendeltetésük fényében, valamint a technika általánosan elfogadott, mindenkori állásával összhangban megfelelő szintű pontosságot, stabilitást és kiberbiztonságot kell garantálniuk. A Bizottság, valamint az érintett szervezetek és érdekelt felek ösztönözve vannak arra, hogy fordítsanak kellő figyelmet az MI-rendszerekkel kapcsolatos kockázatok és negatív hatások csökkentésére. A teljesítménymutatók várható szintjét fel kell tüntetni a használati utasításban. A szolgáltatókat arra sürgetik, hogy az említett információkat világos és könnyen érthető, félreértésektől és megtévesztő kijelentésektől mentes módon biztosítsák az alkalmazók számára. A törvényes metrológiára vonatkozó uniós jog, többek között a 2014/31/EU (35) és a 2014/32/EU (36) európai parlamenti és tanácsi irányelv célja a mérések pontosságának biztosítása, valamint a kereskedelmi ügyletek átláthatóságának és tisztességességének elősegítése. Ezzel összefüggésben a Bizottságnak az érintett érdekelt felekkel és szervezetekkel, így például a metrológiai és teljesítményértékelési hatóságokkal együttműködve, adott esetben ösztönöznie kell az MI-rendszerekre vonatkozó referenciaértékek és mérési módszertanok kidolgozását. A Bizottságnak ennek során oda kell figyelnie az MI-vel kapcsolatos metrológia és releváns mérési mutatók területén dolgozó nemzetközi partnerekre, és együtt kell működnie azokkal.
(74)
Los sistemas de IA de alto riesgo deben funcionar de manera uniforme durante todo su ciclo de vida y presentar un nivel adecuado de precisión, solidez y ciberseguridad, a la luz de su finalidad prevista y con arreglo al estado actual de la técnica generalmente reconocido. Se anima a la Comisión y las organizaciones y partes interesadas pertinentes a que tengan debidamente en cuenta la mitigación de los riesgos y las repercusiones negativas del sistema de IA. El nivel previsto de los parámetros de funcionamiento debe declararse en las instrucciones de uso que acompañen a los sistemas de IA. Se insta a los proveedores a que comuniquen dicha información a los responsables del despliegue de manera clara y fácilmente comprensible, sin malentendidos ni afirmaciones engañosas. El Derecho de la Unión en materia de metrología legal, incluidas las Directivas 2014/31/UE (35) y 2014/32/UE (36) del Parlamento Europeo y del Consejo, tiene por objeto garantizar la precisión de las mediciones y contribuir a la transparencia y la equidad de las transacciones comerciales. En ese contexto, en cooperación con las partes interesadas y las organizaciones pertinentes, como las autoridades de metrología y de evaluación comparativa, la Comisión debe fomentar, según proceda, el desarrollo de parámetros de referencia y metodologías de medición para los sistemas de IA. Al hacerlo, la Comisión debe tomar nota de los socios internacionales que trabajan en la metrología y los indicadores de medición pertinentes relacionados con la IA y colaborar con ellos.
(75)
A műszaki stabilitás kulcsfontosságú követelmény a nagy kockázatú MI-rendszerek esetében. Reziliensnek kell lenniük az olyan káros vagy más módon nemkívánatos magatartással szemben, amely a rendszer saját, illetve a rendszer működési környezetének korlátaiból eredhet (pl. hibák, tévesztések, következetlenségek, váratlan helyzetek). Ezért technikai és szervezeti intézkedéseket kell hozni a nagy kockázatú MI-rendszerek stabilitásának biztosítása érdekében, például az ilyen káros vagy más módon nemkívánatos magatartás megelőzését vagy minimalizálását szolgáló műszaki megoldások tervezése és fejlesztése révén. Az említett műszaki megoldások magukban foglalhatnak például olyan mechanizmusokat, amelyek lehetővé teszik a rendszer számára, hogy biztonságosan megszakítsa a működését (vészüzemi tervek), ha bizonyos rendellenességek lépnek fel, vagy ha az üzemelésre bizonyos előre meghatározott határokon kívül kerül sor. Az e kockázatokkal szembeni védelem hiánya kihathat a biztonságra, vagy negatívan érintheti az alapvető jogokat, például téves döntések vagy az MI-rendszer által generált helytelen vagy torzított kimenetek miatt.
(75)
La solidez técnica es un requisito clave para los sistemas de IA de alto riesgo, que deben ser resilientes en relación con los comportamientos perjudiciales o indeseables por otros motivos que puedan derivarse de limitaciones en los sistemas o del entorno en el que estos funcionan (p. ej., errores, fallos, incoherencias o situaciones inesperadas). Por consiguiente, deben adoptarse medidas técnicas y organizativas para garantizar la solidez de los sistemas de IA de alto riesgo, por ejemplo mediante el diseño y desarrollo de soluciones técnicas adecuadas para prevenir o reducir al mínimo ese comportamiento perjudicial o indeseable. Estas soluciones técnicas pueden incluir, por ejemplo, mecanismos que permitan al sistema interrumpir de forma segura su funcionamiento (planes de prevención contra fallos) en presencia de determinadas anomalías o cuando el funcionamiento tenga lugar fuera de determinados límites predeterminados. El hecho de no adoptar medidas de protección frente a estos riesgos podría tener consecuencias para la seguridad o afectar de manera negativa a los derechos fundamentales, por ejemplo, debido a decisiones equivocadas o resultados de salida erróneos o sesgados generados por el sistema de IA.
(76)
A kiberbiztonság döntő szerepet játszik annak biztosításában, hogy az MI-rendszerek reziliensek legyenek a rendszer sebezhetőségét kihasználó, rossz szándékú harmadik felek arra irányuló kísérleteivel szemben, hogy megváltoztassák a rendszer használatát, viselkedését vagy teljesítményét, illetve veszélyeztessék a biztonsági tulajdonságait. Az MI-rendszerek elleni kibertámadások befolyásolhatnak MI-specifikus eszközöket, így például tanítóadat-készleteket (pl. adatmérgezés) vagy betanított modelleket (pl. ellenséges támadások vagy következtető támadások), vagy kihasználhatják az MI-rendszer digitális eszközeinek vagy az alapul szolgáló IKT-infrastruktúrának a sebezhetőségét. A kockázatoknak megfelelő kiberbiztonsági szint biztosítása érdekében ezért a nagy kockázatú MI-rendszerek szolgáltatóinak megfelelő intézkedéseket, például biztonsági ellenőrzéseket kell alkalmazniuk, adott esetben figyelembe véve az alapul szolgáló IKT-infrastruktúrát is.
(76)
La ciberseguridad es fundamental para garantizar que los sistemas de IA resistan a las actuaciones de terceros maliciosos que, aprovechando las vulnerabilidades del sistema, traten de alterar su uso, comportamiento o funcionamiento o de poner en peligro sus propiedades de seguridad. Los ciberataques contra sistemas de IA pueden dirigirse contra activos específicos de la IA, como los conjuntos de datos de entrenamiento (p. ej., envenenamiento de datos) o los modelos entrenados (p. ej., ataques adversarios o inferencia de pertenencia), o aprovechar las vulnerabilidades de los activos digitales del sistema de IA o la infraestructura de TIC subyacente. Por lo tanto, para garantizar un nivel de ciberseguridad adecuado a los riesgos, los proveedores de sistemas de IA de alto riesgo deben adoptar medidas adecuadas, como los controles de seguridad, teniendo también en cuenta, cuando proceda, la infraestructura de TIC subyacente.
(77)
Az e rendeletben foglalt, a stabilitásra és a pontosságra vonatkozó követelmények sérelme nélkül, a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló európai parlamenti és tanácsi rendelet hatálya alá tartozó nagy kockázatú MI-rendszerek e rendelet szerinti kiberbiztonsági követelményeknek való megfelelése az említett rendelettel összhangban igazolható az említett rendeletben foglalt alapvető kiberbiztonsági követelményeknek való megfeleléssel. Azon nagy kockázatú MI-rendszerek, amelyek megfelelnek a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló európai parlamenti és tanácsi rendelet alapvető követelményeinek, úgy tekintendők, mint amelyek megfelelnek az e rendeletben foglalt kiberbiztonsági követelményeknek, amennyiben e követelmények teljesülését az említett rendelet alapján kiállított EU-megfelelőségi nyilatkozat vagy annak részei igazolják. E célból az e rendelettel összhangban nagy kockázatú MI-rendszerként besorolt, digitális elemeket tartalmazó termékekkel összefüggő kiberbiztonsági kockázatoknak a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló európai parlamenti és tanácsi rendelet alapján történő értékelése során foglalkozni kell az MI-rendszer kiberrezilienciájára jelentett kockázatokkal jogosulatlan harmadik felek arra irányuló kísérletei tekintetében, hogy a rendszer sebezhetőségének kiaknázása révén megváltoztassák a rendszer használatát, viselkedését vagy teljesítményét, beleértve az olyan MI-specifikus sebezhetőségeket is, mint az adatmérgezés vagy az ellenséges támadások, valamint adott esetben e rendelet követelményeivel összhangban az alapvető jogokat érintő kockázatokkal.
(77)
Sin perjuicio de los requisitos relacionados con la solidez y la precisión establecidos en el presente Reglamento, los sistemas de IA de alto riesgo que entren en el ámbito de aplicación de un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, de conformidad con dicho reglamento, pueden demostrar el cumplimiento con los requisitos de ciberseguridad del presente Reglamento mediante el cumplimiento de los requisitos esenciales de ciberseguridad establecidos en dicho reglamento. Cuando los sistemas de IA de alto riesgo cumplan los requisitos esenciales de ciberseguridad de un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, debe presumirse que cumplen los requisitos de ciberseguridad del presente Reglamento en la medida en que la satisfacción de esos requisitos se demuestre en la declaración UE de conformidad de emitida con arreglo a dicho reglamento, o partes de esta. A tal fin, la evaluación de los riesgos de ciberseguridad asociados a un producto con elementos digitales clasificado como un sistema de IA de alto riesgo con arreglo al presente Reglamento, realizada en virtud de un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, debe tener en cuenta los riesgos para la ciberresiliencia de un sistema de IA por lo que respecta a los intentos de terceros no autorizados de alterar su uso, comportamiento o funcionamiento, incluidas las vulnerabilidades específicas de la IA, como el envenenamiento de datos o los ataques adversarios, así como, en su caso, los riesgos para los derechos fundamentales, tal como exige el presente Reglamento.
(78)
Az e rendeletben előírt megfelelőségértékelési eljárást kell alkalmazni a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló európai parlamenti és tanácsi rendelet hatálya alá tartozó és e rendelettel összhangban nagy kockázatú MI-rendszerként besorolt, digitális elemeket tartalmazó termékekre vonatkozó alapvető kiberbiztonsági követelményekre. Ez a szabály azonban nem vezethet a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló európai parlamenti és tanácsi rendelet hatálya alá tartozó, digitális elemeket tartalmazó kritikus termékek szükséges megbízhatósági szintjének csökkentéséhez. Ezért e szabálytól eltérve, az e rendelet hatálya alá tartozó és a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló európai parlamenti és tanácsi rendelet értelmében digitális elemeket tartalmazó fontos és kritikus terméknek minősülő olyan nagy kockázatú MI-rendszerekre, amelyekre az e rendelet mellékletében említett, belső ellenőrzésen alapuló megfelelőségértékelési eljárás alkalmazandó, a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló európai parlamenti és tanácsi rendelet megfelelőségértékelésre vonatkozó rendelkezései alkalmazandók az említett rendeletben foglalt kiberbiztonsági követelmények tekintetében. Ebben az esetben az e rendelet hatálya alá tartozó minden egyéb szempont tekintetében az e rendelet mellékletében meghatározott, a belső ellenőrzésen alapuló megfelelőségértékelési eljárásra vonatkozó rendelkezéseket kell alkalmazni. Az ENISA-nak a kiberbiztonsági politika terén rendelkezésre álló ismereteire és szakértelmére, valamint az (EU) 2019/881 európai parlamenti és tanácsi rendelet (37) alapján az ENISA-ra ruházott feladatokra építve a Bizottságnak együtt kell működnie az ENISA-val az MI-rendszerek kiberbiztonságával kapcsolatos kérdésekben.
(78)
El procedimiento de evaluación de la conformidad establecido en el presente Reglamento debe aplicarse en relación con los requisitos esenciales de ciberseguridad de un producto con elementos digitales regulado por un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y clasificado como sistema de IA de alto riesgo con arreglo al presente Reglamento. Sin embargo, esta norma no debe dar lugar a una reducción del nivel de garantía necesario para los productos críticos con elementos digitales sujetos a un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales. Por consiguiente, no obstante lo dispuesto en esta norma, los sistemas de IA de alto riesgo que entran dentro del ámbito de aplicación del presente Reglamento y que también se consideran productos críticos importantes con elementos digitales en virtud de un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, y a los que se aplica el procedimiento de evaluación de la conformidad fundamentado en un control interno que se establece en un anexo del presente Reglamento, están sujetos a lo dispuesto en un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales en materia de evaluación de la conformidad por lo que se refiere a los requisitos esenciales de ciberseguridad de dicho reglamento. En tal caso, en relación con todos los demás aspectos que entren en el ámbito de aplicación del presente Reglamento, debe aplicarse lo dispuesto en el anexo VI del presente Reglamento en materia de evaluación de la conformidad fundamentada en un control interno. Habida cuenta de los conocimientos y la experiencia de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en materia de política de ciberseguridad y de las tareas que se le encomiendan en virtud del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (37), la Comisión debe cooperar con ENISA en las cuestiones relacionadas con la ciberseguridad de los sistemas de IA.
(79)
Helyénvaló, hogy valamely nagy kockázatú MI-rendszer forgalomba hozataláért vagy üzembe helyezéséért felelősséget vállaljon egy konkrét – a szolgáltatóként meghatározott – természetes vagy jogi személy, függetlenül attól, hogy az említett természetes vagy jogi személy az a személy-e, aki a rendszert tervezte vagy fejlesztette.
(79)
Conviene que una persona física o jurídica concreta, definida como el proveedor, asuma la responsabilidad asociada a la introducción en el mercado o la puesta en servicio de un sistema de IA de alto riesgo, con independencia de si dicha persona física o jurídica es o no quien diseñó o desarrolló el sistema.
(80)
A fogyatékossággal élő személyek jogairól szóló ENSZ-egyezmény aláíróiként az Unió és a tagállamok jogi kötelezettséget viselnek azért, hogy megvédjék a fogyatékossággal élő személyeket a megkülönböztetéssel szemben, és előmozdítsák egyenlőségüket, biztosítsák, hogy a fogyatékossággal élő személyek másokkal egyenlő alapon hozzáférjenek az információs és kommunikációs technológiákhoz és rendszerekhez, és biztosítsák a fogyatékossággal élő személyek magánéletének tiszteletben tartását. Tekintettel az MI-rendszerek növekvő jelentőségére és használatára, az egyetemes tervezés elveinek minden új technológiára és szolgáltatásra való alkalmazásának az MI-technológiák által potenciálisan érintett vagy azt használó minden személy – többek között a fogyatékossággal élők – számára biztosítania kell a teljes körű és egyenlő hozzáférést oly módon, hogy az teljes mértékben figyelembe vegye veleszületett méltóságukat és sokféleségüket. Ezért alapvető fontosságú, hogy a szolgáltatók biztosítsák az akadálymentességi követelményeknek, többek között az (EU) 2016/2102 európai parlamenti és tanácsi irányelvnek (38) és az (EU) 2019/882 irányelvnek való maradéktalan megfelelést. A szolgáltatóknak biztosítaniuk kell az e követelményeknek való, kialakítás általi beépített megfelelést. Ezért a szükséges intézkedéseket a lehető legnagyobb mértékben be kell építeni a nagy kockázatú MI-rendszer kialakításába.
(80)
Como signatarios de la Convención sobre los Derechos de las Personas con Discapacidad, la Unión y todos los Estados miembros están legalmente obligados a proteger a las personas con discapacidad contra la discriminación y a promover su igualdad, a garantizar que las personas con discapacidad tengan acceso, en igualdad de condiciones con las demás, a las tecnologías y sistemas de la información y las comunicaciones, y a garantizar el respeto a la intimidad de las personas con discapacidad. Habida cuenta de la importancia y el uso crecientes de los sistemas de IA, la aplicación de los principios de diseño universal a todas las nuevas tecnologías y servicios debe garantizar el acceso pleno e igualitario de todas las personas a las que puedan afectar las tecnologías de IA o que puedan utilizar dichas tecnologías, incluidas las personas con discapacidad, de forma que se tenga plenamente en cuenta su dignidad y diversidad inherentes. Por ello es esencial que los proveedores garanticen el pleno cumplimiento de los requisitos de accesibilidad, incluidas la Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo (38) y la Directiva (UE) 2019/882. Los proveedores deben garantizar el cumplimiento de estos requisitos desde el diseño. Por consiguiente, las medidas necesarias deben integrarse en la medida de lo posible en el diseño de los sistemas de IA de alto riesgo.
(81)
A szolgáltatónak megbízható minőségirányítási rendszert kell létrehoznia, biztosítania kell az előírt megfelelőségértékelési eljárás elvégzését, el kell készítenie a vonatkozó dokumentációt, és létre kell hoznia egy stabil, forgalomba hozatal utáni nyomonkövetési rendszert. A nagy kockázatú MI-rendszerek azon szolgáltatói számára, amelyek a vonatkozó ágazati uniós jog értelmében a minőségirányítási rendszerekre vonatkozó kötelezettségek hatálya alá tartoznak, lehetővé kell tenni, hogy az e rendeletben előírt minőségirányítási rendszer elemeit az említett más ágazati uniós jogszabályban előírt, meglévő minőségirányítási rendszerbe építsék be. Az e rendelet és a meglévő ágazati uniós jog közötti kiegészítő jelleget figyelembe kell venni a jövőbeli szabványosítási tevékenységek során vagy a Bizottság által elfogadott iránymutatásokban is. A nagy kockázatú MI-rendszereket saját használatra üzembe helyező hatóságok a minőségirányítási rendszerre vonatkozó szabályokat elfogadhatják és végrehajthatják a nemzeti vagy adott esetben regionális szinten elfogadott minőségirányítási rendszer részeként, figyelembe véve az ágazat sajátosságait, valamint az érintett hatóság hatásköreit és szervezetét.
(81)
El proveedor debe instaurar un sistema de gestión de la calidad sólido, velar por que se siga el procedimiento de evaluación de la conformidad necesario, elaborar la documentación pertinente y establecer un sistema de vigilancia poscomercialización sólido. Los proveedores de sistemas de IA de alto riesgo que estén sujetos a obligaciones relativas a los sistemas de gestión de la calidad con arreglo al Derecho sectorial pertinente de la Unión deben tener la posibilidad de integrar los elementos del sistema de gestión de la calidad establecido en el presente Reglamento en el sistema de gestión de la calidad establecido en dicho Derecho sectorial de la Unión. La complementariedad entre el presente Reglamento y el Derecho sectorial vigente de la Unión también debe tenerse en cuenta en las futuras actividades de normalización o en las orientaciones adoptadas por la Comisión al respecto. Las autoridades públicas que pongan en servicio sistemas de IA de alto riesgo para su propio uso pueden aprobar y aplicar las normas que regulen el sistema de gestión de la calidad en el marco del sistema de gestión de la calidad adoptado a escala nacional o regional, según proceda, teniendo en cuenta las particularidades del sector y las competencias y la organización de la autoridad pública de que se trate.
(82)
E rendelet érvényesítésének lehetővé tétele és az üzemeltetők számára egyenlő versenyfeltételek megteremtése érdekében, valamint figyelembe véve a digitális termékek rendelkezésre bocsátásának különböző formáit, fontos annak biztosítása, hogy minden körülmények között legyen egy olyan, az Unióban letelepedett személy, aki meg tudja adni a hatóságoknak az MI-rendszerek megfelelőségével kapcsolatos minden szükséges információt. Ezért MI-rendszereiknek az Unióban való rendelkezésre bocsátását megelőzően a harmadik országokban letelepedett szolgáltatóknak írásbeli meghatalmazással ki kell nevezniük egy, az Unióban letelepedett meghatalmazott képviselőt. A meghatalmazott képviselő kulcsszerepet játszik a nem az Unióban letelepedett szolgáltatók által az Unióban forgalomba hozott vagy üzembe helyezett nagy kockázatú MI-rendszerek megfelelőségének biztosításában, továbbá az Unióban letelepedett kapcsolattartó szerepét betöltve.
(82)
Para permitir la ejecución del presente Reglamento y ofrecer igualdad de condiciones a los operadores, es importante velar por que una persona establecida en la Unión pueda, en cualquier circunstancia, facilitar a las autoridades toda la información necesaria sobre la conformidad de un sistema de IA, teniendo en cuenta las distintas formas en que se pueden ofrecer productos digitales. Por lo tanto, antes de comercializar sus sistemas de IA en la Unión, los proveedores establecidos fuera de su territorio deben designar, mediante un mandato escrito, a un representante autorizado que se encuentre en la Unión. El representante autorizado desempeña un papel fundamental a la hora de velar por la conformidad de los sistemas de IA de alto riesgo introducidos en el mercado o puestos en servicio en la Unión por esos proveedores no establecidos en la Unión y servir de persona de contacto establecida en la Unión.
(83)
Tekintettel az MI-rendszerek értékláncának jellegére és összetettségére, valamint összhangban az új jogszabályi kerettel, alapvető fontosságú a jogbiztonság garantálása és az e rendeletnek való megfelelés megkönnyítése. Ezért egyértelművé kell tenni az említett értéklánc mentén a releváns gazdasági szereplők – így például az MI-rendszerek fejlesztéséhez esetlegesen hozzájáruló importőrök és forgalmazók – szerepét és konkrét kötelezettségeit. Bizonyos helyzetekben az említett gazdasági szereplők egyszerre több szerepben is eljárhatnak, és ezért az említett szerepekhez társuló valamennyi releváns kötelezettséget együttesen kell teljesíteniük. Az üzemeltető például egyszerre járhat el forgalmazóként és importőrként.
(83)
Teniendo en cuenta la naturaleza y la complejidad de la cadena de valor de los sistemas de IA y de conformidad con el nuevo marco legislativo, es esencial garantizar la seguridad jurídica y facilitar el cumplimiento del presente Reglamento. Por ello es necesario aclarar la función y las obligaciones específicas de los operadores pertinentes de toda dicha cadena de valor, como los importadores y los distribuidores, que pueden contribuir al desarrollo de sistemas de IA. En determinadas situaciones, esos operadores pueden desempeñar más de una función al mismo tiempo y, por lo tanto, deben cumplir de forma acumulativa todas las obligaciones pertinentes asociadas a dichas funciones. Por ejemplo, un operador puede actuar como distribuidor e importador al mismo tiempo.
(84)
A jogbiztonság biztosítása érdekében egyértelművé kell tenni, hogy bizonyos konkrét feltételek mellett bármely forgalmazót, importőrt, alkalmazót vagy egyéb harmadik felet úgy kell tekinteni, hogy valamely nagy kockázatú MI-rendszer szolgáltatója, és ezért vállalnia kell valamennyi releváns kötelezettséget. Ilyen helyzet állna elő, ha az említett fél egy már forgalomba hozott vagy üzembe helyezett nagy kockázatú MI-rendszeren feltünteti a nevét vagy a védjegyét, az olyan szerződéses megállapodások sérelme nélkül, amelyek a kötelezettségek másképp történő megosztását írják elő. Ilyen helyzet állna elő akkor is, ha az említett fél jelentős módosítást hajt végre egy már forgalomba hozott vagy már üzembe helyezett nagy kockázatú MI-rendszeren oly módon, hogy az e rendelettel összhangban továbbra is nagy kockázatú MI-rendszer marad, vagy jelentősen módosítja egy olyan MI-rendszer rendeltetését – beleértve az általános célú MI-rendszereket is –, amelyet nem minősítettek nagy kockázatúnak, és amelyet már forgalomba hoztak vagy üzembe helyeztek oly módon, hogy az érintett MI-rendszer ezen rendelettel összhangban nagy kockázatú MI-rendszerré válik. Az említett rendelkezéseket az új jogszabályi kereten alapuló azon egyes uniós harmonizációs jogszabályokban megállapított konkrétabb rendelkezések sérelme nélkül kell alkalmazni, amelyekkel együtt kell e rendeletet alkalmazni. Például az (EU) 2017/745 rendelet 16. cikkének (2) bekezdését – amely megállapítja, hogy bizonyos változtatások nem tekintendők egy adott eszköz olyan módosításának, amely befolyásolhatja az alkalmazandó követelményeknek való megfelelését – továbbra is alkalmazni kell az említett rendelet értelmében vett orvostechnikai eszköznek minősülő nagy kockázatú MI-rendszerekre.
(84)
Para garantizar la seguridad jurídica, es necesario aclarar que, en determinadas condiciones específicas, debe considerarse proveedor de un sistema de IA de alto riesgo a cualquier distribuidor, importador, responsable del despliegue u otro tercero que, por tanto, debe asumir todas las obligaciones pertinentes. Este sería el caso si, por ejemplo, esa persona pone su nombre o marca en un sistema de IA de alto riesgo ya introducido en el mercado o puesto en servicio, sin perjuicio de los acuerdos contractuales que estipulen otra distribución de las obligaciones. Este también sería el caso si dicha parte modifica sustancialmente un sistema de IA de alto riesgo que ya se haya introducido en el mercado o puesto en servicio de tal manera que el sistema modificado siga siendo un sistema de IA de alto riesgo de conformidad con el presente Reglamento, o si modifica la finalidad prevista de un sistema de IA, como un sistema de IA de uso general, que ya se haya introducido en el mercado o puesto en servicio y que no esté clasificado como sistema de alto riesgo, de tal manera que el sistema modificado pase a ser un sistema de IA de alto riesgo de conformidad con el presente Reglamento. Esas disposiciones deben aplicarse sin perjuicio de las disposiciones más específicas establecidas en determinados actos legislativos de armonización de la Unión basados en el nuevo marco legislativo que se deben aplicar en conjunción con el presente Reglamento. Por ejemplo, el artículo 16, apartado 2, del Reglamento (UE) 2017/745, que establece que determinados cambios no deben considerarse modificaciones de un producto que puedan afectar al cumplimiento de los requisitos aplicables, debe seguir aplicándose a los sistemas de IA de alto riesgo que sean productos sanitarios en el sentido de dicho Reglamento.
(85)
Az általános célú MI-rendszerek használhatók önmagukban, nagy kockázatú MI-rendszerként vagy más nagy kockázatú MI-rendszerek alkotóelemeiként. Ezért sajátos jellegük miatt és a felelősségi köröknek a mesterségesintelligencia-értéklánc mentén történő méltányos megosztásának biztosítása érdekében az ilyen rendszerek szolgáltatóinak – függetlenül attól, hogy azokat más szolgáltatók használhatják-e nagy kockázatú MI-rendszerként vagy nagy kockázatú MI-rendszerek alkotóelemeként, és amennyiben e rendelet másként nem rendelkezik – szorosan együtt kell működniük egyrészt a releváns nagy kockázatú MI-rendszerek szolgáltatóival annak érdekében, hogy azok meg tudjanak felelni az e rendelet szerinti releváns kötelezettségeknek, másrészt az e rendelet alapján létrehozott illetékes hatóságokkal.
(85)
Los sistemas de IA de uso general pueden utilizarse como sistemas de IA de alto riesgo por sí solos o ser componentes de sistemas de IA de alto riesgo. Así pues, debido a su particular naturaleza y a fin de garantizar un reparto equitativo de responsabilidades a lo largo de toda la cadena de valor, los proveedores de tales sistemas, con independencia de que estos sistemas puedan ser utilizados como sistemas de IA de alto riesgo por sí solos por otros proveedores o como componentes de sistemas de IA de alto riesgo, y salvo que se disponga otra cosa en el presente Reglamento, deben cooperar estrechamente con los proveedores de los sistemas de IA de alto riesgo correspondientes para que estos puedan cumplir las obligaciones pertinentes en virtud del presente Reglamento, así como con las autoridades competentes establecidas en virtud del presente Reglamento.
(86)
Amennyiben az ezen rendeletben meghatározott feltételek alapján az MI-rendszert eredetileg forgalomba hozó vagy üzembe helyező szolgáltató e rendelet alkalmazása céljából többé nem tekinthető szolgáltatónak, és amennyiben e szolgáltató kifejezetten nem zárta ki az MI-rendszer nagy kockázatú MI-rendszerré alakítását, az említett szolgáltatónak mindazonáltal szorosan együtt kell működnie és rendelkezésre kell bocsátania a szükséges információkat, valamint biztosítania kell az észszerűen elvárható technikai hozzáférést és egyéb segítséget, amelyre az e rendeletben meghatározott kötelezettségek teljesítése érdekében szükség van, különösen a nagy kockázatú MI-rendszerek megfelelőségértékelésnek való megfelelés tekintetében.
(86)
Cuando, con arreglo a las condiciones establecidas en el presente Reglamento, el proveedor que introdujo inicialmente el sistema de IA en el mercado o lo puso en servicio ya no deba considerarse el proveedor a los efectos del presente Reglamento, y cuando dicho proveedor no haya excluido expresamente la transformación del sistema de IA en un sistema de IA de alto riesgo, el primer proveedor debe, no obstante, cooperar estrechamente, facilitar la información necesaria y proporcionar el acceso técnico u otra asistencia que quepa esperar razonablemente y que sean necesarios para el cumplimiento de las obligaciones establecidas en el presente Reglamento, en particular en lo que respecta al cumplimiento de la evaluación de la conformidad de los sistemas de IA de alto riesgo.
(87)
Továbbá amennyiben egy olyan nagy kockázatú MI-rendszer, amely az új jogszabályi kereten alapuló uniós harmonizációs jogszabályok hatálya alá tartozó terméknek a biztonsági alkotórésze, nem kerül a terméktől függetlenül forgalomba hozatalra vagy üzembe helyezésre, a vonatkozó jogszabályban meghatározott termékgyártónak kell teljesítenie a szolgáltató e rendeletben meghatározott kötelezettségeit, és így különösen biztosítania kell, hogy a végtermékbe beágyazott MI-rendszer megfeleljen e rendelet követelményeinek.
(87)
Además, cuando un sistema de IA de alto riesgo que sea un componente de seguridad de un producto que entre dentro del ámbito de aplicación de un acto legislativo de armonización de la Unión basado en el nuevo marco legislativo no se introduzca en el mercado ni se ponga en servicio de forma independiente del producto, el fabricante del producto, tal como se define en el acto legislativo pertinente, debe cumplir las obligaciones que el presente Reglamento impone al proveedor y, en particular, debe garantizar que el sistema de IA integrado en el producto final cumpla los requisitos del presente Reglamento.
(88)
Az MI-értéklánc mentén gyakran több fél is szolgáltat MI-rendszereket, eszközöket és nyújt ilyen szolgáltatásokat, emellett pedig olyan alkotóelemeket vagy folyamatokat is szolgáltat, amelyeket a szolgáltató beépít az MI-rendszerbe olyan különböző célok megvalósítása érdekében, mint például a modellek tanítása, a modellek újratanítása, a modellek tesztelése és értékelése, a szoftverbe való integrálás vagy a modellfejlesztés egyéb vonatkozásai. Ezek a felek fontos szerepet játszanak az értékláncban azon nagy kockázatú MI-rendszer szolgáltatója szempontjából, amelybe MI-rendszereiket, eszközeiket, szolgáltatásaikat, alkotóelemeiket vagy folyamataikat integrálják, és – saját szellemitulajdon-jogaik vagy üzleti titkaik veszélyeztetése nélkül – írásbeli megállapodás révén, a technika általánosan elfogadott, mindenkori állása alapján át kell adnia a szükséges információkat, képességeket, technikai hozzáférést és egyéb segítséget az említett szolgáltatónak, annak érdekében, hogy a szolgáltató teljes mértékben eleget tudjon tenni az e rendeletben foglalt kötelezettségeknek.
(88)
A lo largo de la cadena de valor de la IA, numerosas partes suministran a menudo no solo sistemas, herramientas y servicios de IA, sino también componentes o procesos que el proveedor incorpora al sistema de IA con diversos objetivos, como el entrenamiento de modelos, el reentrenamiento de modelos, la prueba y evaluación de modelos, la integración en el software u otros aspectos del desarrollo de modelos. Dichas partes desempeñan un papel importante en la cadena de valor en relación con el proveedor del sistema de IA de alto riesgo en el que se integran sus sistemas, herramientas, servicios, componentes o procesos de IA, y deben proporcionar a dicho proveedor, mediante acuerdo escrito, la información, las capacidades, el acceso técnico y demás asistencia que sean necesarios habida cuenta del estado actual de la técnica generalmente reconocido, a fin de que el proveedor pueda cumplir íntegramente las obligaciones establecidas en el presente Reglamento, sin comprometer sus propios derechos de propiedad intelectual e industrial o secretos comerciales.
(89)
Az általános célú MI-modellektől eltérő eszközöket, szolgáltatásokat, folyamatokat vagy MI-alkotóelemeket nyilvánosan hozzáférhetővé tevő harmadik felek nem kötelezhetők arra, hogy megfeleljenek az MI-értéklánc mentén fennálló felelősségi körökre vonatkozó követelményeknek, különösen az azokat használó vagy integráló szolgáltatóval szemben, amennyiben az említett eszközöket, szolgáltatásokat, folyamatokat vagy MI-alkotóelemeket szabad és nyílt forráskódú licenc alapján teszik hozzáférhetővé. A szabad és nyílt forráskódú eszközök, szolgáltatások, folyamatok és MI-alkotóelemek fejlesztőit azonban ösztönözni kell a széles körben elfogadott dokumentációs gyakorlatok, így például modellkártyák és adatlapok alkalmazására, hogy ezáltal felgyorsítsák az információmegosztást az MI-értékláncban, lehetővé téve a megbízható MI-rendszerek előmozdítását az Unióban.
(89)
A los terceros que ponen a disposición del público herramientas, servicios, procesos o componentes de IA que no sean modelos de IA de uso general no se les debe imponer la obligación de cumplir los requisitos relativos a las responsabilidades a lo largo de la cadena de valor de la IA, en particular por lo que respecta al proveedor que haya utilizado o integrado dichas herramientas, servicios, procesos o componentes de IA, cuando el acceso a dichas herramientas, servicios, procesos o componentes de IA esté sujeto a una licencia libre y de código abierto. No obstante, se debe animar a los desarrolladores de herramientas, servicios, procesos o componentes de IA libres y de código abierto que no sean modelos de IA de uso general a que apliquen prácticas de documentación ampliamente adoptadas, como tarjetas de modelo y hojas de datos, como una forma de acelerar el intercambio de información a lo largo de la cadena de valor de la IA, permitiendo la promoción en la Unión de sistemas de IA fiables.
(90)
A Bizottság önkéntes mintafeltételeket dolgozhat ki és ajánlhat a nagy kockázatú MI-rendszerek szolgáltatói és a nagy kockázatú MI-rendszerekhez használt vagy azokba integrált eszközöket, szolgáltatásokat, alkotóelemeket vagy folyamatokat szolgáltató harmadik felek közötti szerződésekre vonatkozóan, ezzel elősegítve az együttműködést az értéklánc mentén. Az önkéntes mintafeltételek kidolgozása során a Bizottságnak figyelembe kell vennie az egyes ágazatokban vagy üzleti ügyekben alkalmazandó lehetséges szerződéses követelményeket.
(90)
La Comisión podría elaborar y recomendar cláusulas contractuales tipo, de carácter voluntario, entre los proveedores de sistemas de IA de alto riesgo y los terceros que suministren herramientas, servicios, componentes o procesos que se utilicen o integren en los sistemas de IA de alto riesgo, a fin de facilitar la cooperación a lo largo de la cadena de valor. Cuando elabore estas cláusulas contractuales tipo de carácter voluntario, la Comisión también debe tener en cuenta los posibles requisitos contractuales aplicables en determinados sectores o modelos de negocio.
(91)
Tekintettel az MI-rendszerek jellegére, valamint az esetlegesen a használatukkal összefüggésben a biztonság és az alapvető jogok tekintetében felmerülő kockázatokra, ideértve azt is, hogy biztosítani kell az MI-rendszer teljesítményének valós körülmények között történő, megfelelő nyomon követését, helyénvaló konkrét kötelezettségeket meghatározni az alkalmazók számára. Az alkalmazóknak különösen megfelelő technikai és szervezeti intézkedéseket kell hozniuk annak biztosítása érdekében, hogy a használati utasításokkal összhangban használják a nagy kockázatú MI-rendszereket, és bizonyos egyéb kötelezettségeket is elő kell írni az MI-rendszerek működésének nyomon követésére és adott esetben a nyilvántartás vezetésére vonatkozóan. Továbbá, az alkalmazóknak biztosítaniuk kell, hogy a használati utasítás és az emberi felügyelet e rendeletben meghatározott végrehajtására kijelölt személyek rendelkezzenek az említett feladatok megfelelő ellátásához szükséges szakértelemmel, különösen megfelelő szintű MI-jártassággal, képzettséggel és felhatalmazással. Az említett kötelezettségek nem érinthetik az alkalmazóknak a nagy kockázatú MI-rendszerekkel kapcsolatos, uniós vagy nemzeti jog szerinti egyéb kötelezettségeit.
(91)
Habida cuenta de las características de los sistemas de IA y de los riesgos que su uso lleva aparejado para la seguridad y los derechos fundamentales, también en lo que respecta a la necesidad de garantizar la correcta vigilancia del funcionamiento de un sistema de IA en un entorno real, conviene establecer las responsabilidades específicas de los responsables del despliegue. En particular, los responsables del despliegue deben adoptar las medidas técnicas y organizativas adecuadas para garantizar que utilizan los sistemas de IA de alto riesgo conforme a las instrucciones de uso. Además, es preciso definir otras obligaciones en relación con la vigilancia del funcionamiento de los sistemas de IA y la conservación de registros, según proceda. Asimismo, los responsables del despliegue deben garantizar que las personas encargadas de poner en práctica las instrucciones de uso y la supervisión humana establecidas en el presente Reglamento tengan las competencias necesarias, en particular un nivel adecuado de alfabetización, formación y autoridad en materia de IA para desempeñar adecuadamente dichas tareas. Dichas obligaciones deben entenderse sin perjuicio de otras obligaciones que tenga el responsable del despliegue en relación con los sistemas de IA de alto riesgo con arreglo al Derecho nacional o de la Unión.
(92)
E rendelet nem érinti a munkáltatóknak az uniós vagy nemzeti jog és gyakorlat – többek között a 2002/14/EK európai parlamenti és tanácsi irányelv (39) – szerinti, a munkavállalóknak vagy képviselőiknek az MI-rendszerek üzembe helyezésével vagy használatával kapcsolatos döntésekről való tájékoztatására, illetve tájékoztatására és a velük folytatott konzultációra vonatkozó kötelezettségeket. Továbbra is szükséges biztosítani a munkavállalók és képviselőik tájékoztatását a nagy kockázatú MI-rendszerek tervezett munkahelyi bevezetéséről, amennyiben az említett tájékoztatási, illetve tájékoztatási és konzultációs kötelezettségek más jogi eszközökben foglalt feltételei nem teljesülnek. Ezen túlmenően az ilyen tájékoztatáshoz való jog kiegészítő jellegű és szükséges az e rendelet alapjául szolgáló alapvető jogok védelmére irányuló célkitűzés tekintetében. Ebben a rendeletben ezért erre vonatkozó tájékoztatási követelményt kell meghatározni, a munkavállalók meglévő jogainak sérelme nélkül.
(92)
El presente Reglamento se entiende sin perjuicio de la obligación de los empleadores de informar o de informar y consultar a los trabajadores o a sus representantes, en virtud del Derecho o las prácticas nacionales o de la Unión, incluida la Directiva 2002/14/CE del Parlamento Europeo y del Consejo (39), sobre la decisión de poner en servicio o utilizar sistemas de IA. Se debe velar por que se informe a los trabajadores y a sus representantes sobre el despliegue previsto de sistemas de IA de alto riesgo en el lugar de trabajo incluso aunque no se cumplan las condiciones de las citadas obligaciones de información o de información y consulta previstas en otros instrumentos jurídicos. Además, este derecho de información es accesorio y necesario para el objetivo de protección de los derechos fundamentales que subyace al presente Reglamento. Por consiguiente, debe establecerse en el presente Reglamento un requisito de información a tal efecto, sin que dicho requisito afecte a ningún derecho vigente de los trabajadores.
(93)
Az MI-rendszerekkel kapcsolatos kockázatok keletkezhetnek egyrészt az ilyen rendszerek kialakításának módjából, másrészt származhatnak abból is, ahogyan az MI-rendszereket használják. A nagy kockázatú MI-rendszerek alkalmazói ezért kritikus szerepet játszanak az alapvető jogok védelmében, kiegészítve az MI-rendszer fejlesztése során a szolgáltató kötelezettségeit. Helyzetüknél fogva az alkalmazók képesek a legjobban megérteni, hogy konkrétan hogyan használják majd a nagy kockázatú MI-rendszert, és ezért azonosítani tudnak a fejlesztési szakaszban előre nem látott jelentős potenciális kockázatokat, mivel pontosabban ismerik a felhasználási kontextust, a valószínűleg érintett személyeket vagy személyek csoportjait, ideértve a kiszolgáltatott csoportokat is. Az e rendelet egyik mellékletében felsorolt nagy kockázatú MI-rendszerek alkalmazói szintén kritikus szerepet játszanak a természetes személyek tájékoztatásában, és – amikor természetes személyekkel kapcsolatos döntéseket hoznak vagy segítséget nyújtanak a természetes személyekkel kapcsolatos döntések meghozatalában – adott esetben tájékoztatniuk kell a természetes személyeket arról, hogy esetükben nagy kockázatú MI-rendszert használnak. Ebben a tájékoztatásban szerepelnie kell az MI-rendszer rendeltetésének és a rendszer által hozott döntések típusának. Az alkalmazónak tájékoztatnia kell a természetes személyeket az e rendeletben meghatározott, magyarázathoz való jogukról is. A bűnüldözési célokra használt nagy kockázatú MI-rendszerek tekintetében az említett kötelezettséget az (EU) 2016/680 irányelv 13. cikkével összhangban kell végrehajtani.
(93)
Aunque los riesgos relacionados con los sistemas de IA pueden derivarse de su diseño, también pueden derivarse riesgos del uso que se hace de ellos. Por ello, los responsables del despliegue de un sistema de IA de alto riesgo desempeñan un papel fundamental a la hora de garantizar la protección de los derechos fundamentales, como complemento de las obligaciones del proveedor al desarrollar el sistema de IA. Los responsables del despliegue se encuentran en una posición óptima para comprender el uso concreto que se le dará al sistema de IA de alto riesgo y pueden, por lo tanto, detectar potenciales riesgos significativos que no se previeron en la fase de desarrollo, al tener un conocimiento más preciso del contexto de uso y de las personas o los colectivos de personas que probablemente se vean afectados, entre los que se incluyen colectivos vulnerables. Los responsables del despliegue de los sistemas de IA de alto riesgo que se enumeran en un anexo del presente Reglamento también desempeñan un papel fundamental a la hora de informar a las personas físicas y, cuando tomen decisiones o ayuden a tomar decisiones relacionadas con personas físicas, deben, en su caso, informar a las personas físicas de que son objeto de la utilización de un sistema de IA de alto riesgo. Esta información debe incluir la finalidad prevista y el tipo de decisiones que se toman. El responsable del despliegue también debe informar a las personas físicas de su derecho a una explicación con arreglo al presente Reglamento. Por lo que respecta a los sistemas de IA de alto riesgo que se utilizan a efectos de la garantía del cumplimiento del Derecho, esa obligación debe ejecutarse de conformidad con el artículo 13 de la Directiva (UE) 2016/680.
(94)
Az MI-rendszerek bűnüldözési célú, biometrikus azonosításra történő felhasználása során a biometrikus adatok bárminemű kezelésének meg kell felelnie az (EU) 2016/680 irányelv 10. cikkének, amely csak akkor teszi lehetővé az ilyen adatkezelést, ha arra feltétlenül szükség van, az érintett jogaira és szabadságaira vonatkozó megfelelő garanciák mellett, és amennyiben azt az uniós vagy tagállami jog lehetővé teszi. Az ilyen felhasználás engedélyezése esetén tiszteletben kell tartani az (EU) 2016/680 irányelv 4. cikkének (1) bekezdésében meghatározott elveket is, beleértve a kezelés jogszerűségét, a kezelés tisztességes voltát és az átláthatóságot, a célhoz kötöttséget, a pontosságot és a tárolás korlátozását.
(94)
Todo tratamiento de datos biométricos que se produzca en el marco de la utilización de un sistema de IA para la identificación biométrica con fines de garantía del cumplimiento del Derecho debe cumplir lo dispuesto en el artículo 10 de la Directiva (UE) 2016/680, que permite dicho tratamiento solo cuando sea estrictamente necesario, con sujeción a las salvaguardias adecuadas para los derechos y libertades del interesado y cuando así lo autorice el Derecho de la Unión o de los Estados miembros. Dicho uso, cuando esté autorizado, también debe respetar los principios establecidos en el artículo 4, apartado 1, de la Directiva (UE) 2016/680, como, entre otros, que el tratamiento sea lícito y leal, la transparencia, la limitación de la finalidad, la exactitud y la limitación del plazo de conservación.
(95)
Az alkalmazandó uniós jog, különösen az (EU) 2016/679 rendelet és az (EU) 2016/680 irányelv sérelme nélkül, tekintettel a nem valós idejű távoli biometrikus azonosító rendszerek tolakodó jellegére, a nem valós idejű távoli biometrikus azonosító rendszerek használatára vonatkozóan biztosítékokat kell meghatározni. A nem valós idejű távoli biometrikus azonosító rendszereket mindig arányos és jogszerű módon, a feltétlenül szükséges mértékben – tehát célzottan – kell használni az azonosítandó személyek, a helyszín és az időbeli hatály tekintetében, és a használatnak jogszerűen rögzített videofelvételek zárt adatkészlete alapján kell történnie. A nem valós idejű távoli biometrikus azonosító rendszereket semmi esetre sem szabad a bűnüldözés keretében olyan módon felhasználni, hogy az megkülönböztetés nélküli megfigyeléshez vezessen. A nem valós idejű távoli biometrikus azonosításra vonatkozó feltételek semmi esetre sem szolgálhatnak alapul a valós idejű távoli biometrikus azonosításra vonatkozó tilalom és az arra vonatkozó szigorú kivételek megkerüléséhez.
(95)
Sin perjuicio del Derecho de la Unión aplicable, en particular el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680, teniendo en cuenta el carácter intrusivo de los sistemas de identificación biométrica remota en diferido, el uso de este tipo de sistemas debe estar sujeto a garantías. Los sistemas de identificación biométrica remota en diferido deben utilizarse siempre de manera proporcionada y legítima, en la medida de lo estrictamente necesario y, por ende, de forma selectiva por lo que respecta a las personas que deben identificarse, la ubicación y el alcance temporal y a partir de un conjunto limitado de datos de grabaciones de vídeo obtenidas legalmente. En cualquier caso, los sistemas de identificación biométrica remota en diferido no deben utilizarse en el marco de la garantía del cumplimiento del Derecho de tal forma que se produzca una vigilancia indiscriminada. Las condiciones para la identificación biométrica remota en diferido en ningún caso deben servir para eludir las condiciones de la prohibición y las estrictas excepciones aplicables a la identificación biométrica remota en tiempo real.
(96)
Az alapvető jogok védelmének hatékony biztosítása érdekében a nagy kockázatú MI-rendszerek olyan alkalmazóinak, amelyek közjogi szervnek minősülnek vagy amelyek közszolgáltatásokat nyújtó magánszervezetek, továbbá az e rendelet egyik mellékletében felsorolt, bizonyos nagy kockázatú MI-rendszerek alkalmazóinak – így például a bankoknak vagy a biztosítóknak – a használatbavétel előtt alapvetőjogi hatásvizsgálatot kell végezniük. Magánszervezetek is nyújthatnak a magánszemélyek számára fontos, állami jellegű szolgáltatásokat. Az ilyen közszolgáltatásokat nyújtó magánszervezetek közérdekű feladatokkal állnak kapcsolatban, például az oktatás, az egészségügy, a szociális szolgáltatások, a lakhatás és az igazságszolgáltatás területén. Az alapvetőjogi hatásvizsgálat célja, hogy az alkalmazó azonosítsa a valószínűleg érintett egyének vagy egyének csoportjainak jogait érintő konkrét kockázatokat, és azonosítsa az említett kockázatok bekövetkezése esetén meghozandó intézkedéseket. A hatásvizsgálatot a nagy kockázatú MI-rendszer bevezetését megelőzően kell lefolytatni, és aktualizálni kell, ha az alkalmazó úgy ítéli meg, hogy a releváns tényezők bármelyike megváltozott. A hatásvizsgálat keretében azonosítani kell az alkalmazó azon releváns folyamatait, amelyekben a nagy kockázatú MI-rendszert a rendeltetésének megfelelően használni fogják, és tartalmaznia kell annak leírását, hogy a rendszert milyen időtartamon keresztül és milyen gyakran használják majd, valamint azon természetes személyek és csoportok konkrét kategóriáinak leírását, akiket és amelyeket a rendszer a konkrét felhasználási kontextusban valószínűleg érint. A vizsgálatnak ki kell terjednie az említett személyek vagy csoportok alapvető jogaira valószínűleg hatást gyakorló konkrét kár kockázatának azonosítására is. Ezen vizsgálat elvégzése során az alkalmazónak figyelembe kell vennie a hatás megfelelő értékelése szempontjából releváns információkat, többek között, de nem kizárólag a nagy kockázatú MI-rendszer szolgáltatója által a használati útmutatóban megadott információkat. Az azonosított kockázatok fényében az alkalmazóknak meg kell határozniuk az említett kockázatok bekövetkezése esetén meghozandó intézkedéseket, ideértve például az említett konkrét felhasználási kontextusban alkalmazott irányítási intézkedéseket, így például a használati utasítás szerinti emberi felügyeletre vonatkozó szabályokat vagy a panaszkezelési és jogorvoslati eljárásokat, mivel ezek a felhasználás konkrét eseteiben hozzájárulhatnak az alapvető jogokat érintő kockázatok enyhítéséhez. A hatásvizsgálat elvégzését követően az alkalmazónak értesítenie kell az érintett piacfelügyeleti hatóságot. Adott esetben a hatásvizsgálat elvégzéséhez szükséges releváns információk összegyűjtése érdekében a nagy kockázatú MI-rendszerek alkalmazói – különösen ha az MI-rendszereket a közszférában használják – bevonhatják az érintett érdekelt feleket, ideértve az MI-rendszer által valószínűleg érintett személyek csoportjainak képviselőit, független szakértőket és civil társadalmi szervezeteket az ilyen hatásvizsgálatok elvégzésébe és a kockázatok bekövetkezése esetén meghozandó intézkedések kidolgozásába. A Mesterséges Intelligenciával Foglalkozó Európai Hivatalnak (a továbbiakban: MI-hivatal) sablont kell kidolgoznia a megfelelés elősegítése és az alkalmazókra háruló adminisztratív terhek csökkentése érdekében.
(96)
A fin de garantizar eficazmente la protección de los derechos fundamentales, los responsables del despliegue de sistemas de IA de alto riesgo que sean organismos de Derecho público, o las entidades privadas que presten servicios públicos y los responsables del despliegue de determinados sistemas de IA de alto riesgo enumerados en un anexo del presente Reglamento, como las entidades bancarias o de seguros, deben llevar a cabo una evaluación de impacto relativa a los derechos fundamentales antes de su puesta en funcionamiento. Algunos servicios importantes para las personas que son de carácter público también pueden ser prestados por entidades privadas. Las entidades privadas que prestan estos servicios públicos se vinculan a funciones de interés público, por ejemplo, en el ámbito de la educación, la asistencia sanitaria, los servicios sociales, la vivienda y la administración de justicia. El objetivo de la evaluación de impacto relativa a los derechos fundamentales es que el responsable del despliegue determine los riesgos específicos para los derechos de las personas o colectivos de personas que probablemente se vean afectados y defina las medidas que deben adoptarse en caso de que se materialicen dichos riesgos. La evaluación de impacto debe llevarse a cabo antes del despliegue del sistema de IA de alto riesgo y debe actualizarse cuando el responsable del despliegue considere que alguno de los factores pertinentes ha cambiado. La evaluación de impacto debe determinar los procesos pertinentes del responsable del despliegue en los que se utilizará el sistema de IA de alto riesgo en consonancia con su finalidad prevista y debe incluir una descripción del plazo de tiempo y la frecuencia en que se pretende utilizar el sistema, así como de las categorías concretas de personas físicas y de colectivos de personas que probablemente se vean afectados por el uso del sistema de IA de alto riesgo en ese contexto de uso específico. La evaluación también debe determinar los riesgos de perjuicio específicos que probablemente afecten a los derechos fundamentales de dichas personas o colectivos. Al llevar a cabo esta evaluación, el responsable del despliegue debe tener en cuenta la información pertinente para una evaluación adecuada del impacto, lo que incluye, por ejemplo, la información facilitada por el proveedor del sistema de IA de alto riesgo en las instrucciones de uso. A la luz de los riesgos detectados, los responsables del despliegue deben determinar las medidas que han de adoptarse en caso de que se materialicen dichos riesgos, entre las que se incluyen, por ejemplo, sistemas de gobernanza para ese contexto de uso específico, como los mecanismos de supervisión humana con arreglo a las instrucciones de uso, los procedimientos de tramitación de reclamaciones y de recurso, ya que podrían ser fundamentales para mitigar los riesgos para los derechos fundamentales en casos de uso concretos. Tras llevar a cabo dicha evaluación de impacto, el responsable del despliegue debe notificarlo a la autoridad de vigilancia del mercado pertinente. Cuando proceda, para recopilar la información pertinente necesaria para llevar a cabo la evaluación de impacto, los responsables del despliegue de un sistema de IA de alto riesgo, en particular cuando el sistema de IA se utilice en el sector público, pueden contar con la participación de las partes interesadas pertinentes, como, por ejemplo, los representantes de colectivos de personas que probablemente se vean afectados por el sistema de IA, expertos independientes u organizaciones de la sociedad civil, en la realización de dichas evaluaciones de impacto y en el diseño de las medidas que deben adoptarse en caso de materialización de los riesgos. La Oficina Europea de Inteligencia Artificial (en lo sucesivo, «Oficina de IA») debe elaborar un modelo de cuestionario con el fin de facilitar el cumplimiento y reducir la carga administrativa para los responsables del despliegue.
(97)
A jogbiztonság lehetővé tétele érdekében az általános célú MI-modellek fogalmát egyértelműen meg kell határozni, és el kell különíteni az MI-rendszerek fogalmától. A fogalommeghatározásnak az általános célú MI-modellek fő funkcionális jellemzőin kell alapulnia, különös tekintettel a modell általánosságára és különféle feladatok széles körének kompetens elvégzésére való képességére. Ezeket a modelleket jellemzően nagy mennyiségű adattal tanítják, különböző módszerekkel – például önfelügyelt, felügyelet nélküli vagy megerősítéses tanulással. Az általános célú MI-modellek különböző módon kerülhetnek forgalomba, többek között könyvtárakon vagy alkalmazásprogramozási felületeken (API-kon) keresztül, közvetlen letöltés formájában vagy fizikai példányként. Ezek a modellek tovább módosíthatók vagy finomíthatók új modellekké. Bár az MI-modellek az MI-rendszerek alapvető alkotóelemei, önmagukban nem minősülnek MI-rendszereknek. Az MI-modellek további alkotóelemek, például felhasználói felület hozzáadását teszik szükségessé ahhoz, hogy MI-rendszerekké váljanak. Az MI-modelleket jellemzően az MI-rendszerekbe integrálják, és azok részét képezik. E rendelet egyedi szabályokat állapít meg az általános célú MI-modellekre és a rendszerszintű kockázatot jelentő általános célú MI-modellekre vonatkozóan, amelyeket akkor is alkalmazni kell, ha ezek a modellek integráltak vagy egy MI-rendszer részét képezik. Lényeges, hogy az általános célú MI-modellek szolgáltatóira vonatkozó kötelezettségeket alkalmazni kell az általános célú MI-modellek forgalomba hozatalától kezdve. Ha egy általános célú MI-modell szolgáltatója saját modellt épít be saját, MI-rendszerébe, amelyet forgalomba hoz vagy üzembe helyez, az adott modellt úgy kell tekinteni, mint ami forgalomban van, és ezért – az MI-rendszerekre vonatkozó kötelezettségeken felül – az e rendeletben a modellekre vonatkozóan meghatározott kötelezettségeket továbbra is alkalmazni kell. A modellekre vonatkozóan megállapított kötelezettségek nem alkalmazandók abban az esetben, ha egy saját modellt olyan, tisztán belső folyamatokhoz használnak fel, amelyek nem nélkülözhetetlenek egy termék vagy szolgáltatás harmadik felek részére történő nyújtásához, és ez nem érinti a természetes személyek jogait. A rendszerszintű kockázatot jelentő általános célú MI-modellekre mindig vonatkozniuk kell az e rendelet szerinti releváns kötelezettségeknek, tekintettel a potenciális, jelentősen negatív hatásaikra. A fogalommeghatározás nem terjedhet ki a forgalomba hozatal előtt kizárólag kutatási, fejlesztési és prototípus-alkotási tevékenységek céljából használt MI-modellekre. Ez nem érinti az e rendeletnek való megfelelésre vonatkozó kötelezettséget, amennyiben az említett tevékenységeket követően a modellt forgalomba hozzák.
(97)
El concepto de modelos de IA de uso general debe definirse claramente y diferenciarse del concepto de sistemas de IA con el fin de garantizar la seguridad jurídica. La definición debe basarse en las características funcionales esenciales de un modelo de IA de uso general, en particular la generalidad y la capacidad de realizar de manera competente una amplia variedad de tareas diferenciadas. Estos modelos suelen entrenarse usando grandes volúmenes de datos y a través de diversos métodos, como el aprendizaje autosupervisado, no supervisado o por refuerzo. Los modelos de IA de uso general pueden introducirse en el mercado de diversas maneras, por ejemplo, a través de bibliotecas, interfaces de programación de aplicaciones (API), como descarga directa o como copia física. Estos modelos pueden modificarse o perfeccionarse y transformarse en nuevos modelos. Aunque los modelos de IA son componentes esenciales de los sistemas de IA, no constituyen por sí mismos sistemas de IA. Los modelos de IA requieren que se les añadan otros componentes, como, por ejemplo, una interfaz de usuario, para convertirse en sistemas de IA. Los modelos de IA suelen estar integrados en los sistemas de IA y formar parte de dichos sistemas. El presente Reglamento establece normas específicas para los modelos de IA de uso general y para los modelos de IA de uso general que entrañan riesgos sistémicos, que deben aplicarse también cuando estos modelos estén integrados en un sistema de IA o formen parte de un sistema de IA. Debe entenderse que las obligaciones de los proveedores de modelos de IA de uso general deben aplicarse una vez que los modelos de IA de uso general se introduzcan en el mercado. Cuando el proveedor de un modelo de IA de uso general integre un modelo propio en un sistema de IA propio que se comercialice o ponga en servicio, se debe considerar que dicho modelo se ha introducido en el mercado y, por tanto, se deben seguir aplicando las obligaciones establecidas en el presente Reglamento en relación con los modelos, además de las establecidas en relación con los sistemas de IA. En cualquier caso, las obligaciones establecidas en relación con los modelos no deben aplicarse cuando un modelo propio se utilice en procesos puramente internos que no sean esenciales para suministrar un producto o un servicio a un tercero y los derechos de las personas físicas no se vean afectados. Teniendo en cuenta su potencial para causar efectos negativos importantes, los modelos de IA de uso general con riesgo sistémico deben estar siempre sujetos a las obligaciones pertinentes establecidas en el presente Reglamento. La definición no debe incluir los modelos de IA utilizados antes de su introducción en el mercado únicamente para actividades de investigación, desarrollo y creación de prototipos. Lo anterior se entiende sin perjuicio de la obligación de cumplir lo dispuesto en el presente Reglamento cuando, tras haber realizado dichas actividades, el modelo se introduzca en el mercado.
(98)
Mivel egy modell általánosságát többek között számos paraméter is meghatározhatja, a legalább egymilliárd paramétert tartalmazó és nagy adatmennyiséggel, nagy léptékű önfelügyelet mellett tanított modelleket úgy kell tekinteni, mint amelyek jelentős általánosságot mutatnak, és alkalmasak a különböző feladatok széles körének kompetens elvégzésére.
(98)
Aunque la generalidad de un modelo también podría determinarse, entre otras cosas, mediante una serie de parámetros, debe considerarse que los modelos que tengan al menos mil millones de parámetros y se hayan entrenado con un gran volumen de datos utilizando la autosupervisión a escala presentan un grado significativo de generalidad y realizan de manera competente una amplia variedad de tareas diferenciadas.
(99)
A nagy generatív MI-modellek az általános célú MI-modellek tipikus példái, mivel rugalmas tartalomelőállítást tesznek lehetővé, például szöveg, audio, képek vagy videó formájában, amelyekbe könnyen beleillik különféle feladatok széles köre.
(99)
Los grandes modelos de IA generativa son un ejemplo típico de un modelo de IA de uso general, ya que permiten la generación flexible de contenidos, por ejemplo, en formato de texto, audio, imágenes o vídeo, que pueden adaptarse fácilmente a una amplia gama de tareas diferenciadas.
(100)
Ha egy általános célú MI-modellt MI-rendszerbe integrálnak vagy ha a modell az MI-rendszer részét képezi, akkor ezt a rendszert általános célú MI-rendszernek kell tekinteni, amennyiben az említett integráció miatt a rendszer képes számos különböző célt szolgálni. Az általános célú MI-rendszerek használhatók közvetlenül, vagy integrálhatók más MI-rendszerekbe.
(100)
Cuando un modelo de IA de uso general esté integrado en un sistema de IA o forme parte de él, este sistema debe considerarse un sistema de IA de uso general cuando, debido a esta integración, el sistema tenga la capacidad de servir a diversos fines. Un sistema de IA de uso general puede utilizarse directamente e integrarse en otros sistemas de IA.
(101)
Az általános célú MI-modellek szolgáltatói különleges szerepet játszanak és különleges felelősséget viselnek a mesterségesintelligencia-értéklánc mentén, mivel az általuk biztosított modellek számos downstream rendszer alapját képezhetik, amelyeket gyakran downstream szolgáltatók biztosítanak, ez pedig a modellek és azok képességeinek alapos ismeretét teszi szükségessé, egyrészt hogy integrálni tudják a modelleket a termékeikbe, másrészt hogy eleget tegyenek az ezen, illetve más rendeletek szerinti kötelezettségeiknek. Ezért arányos átláthatósági intézkedéseket kell megállapítani, beleértve a dokumentáció elkészítését és naprakészen tartását, valamint az általános célú MI-modellre vonatkozó információk nyújtását a downstream szolgáltatók általi használatra. A műszaki dokumentációt az általános célú MI-modell szolgáltatójának kell elkészítenie és naprakészen tartania annak érdekében, hogy azt kérésre az MI-hivatal és az illetékes nemzeti hatóságok rendelkezésére bocsássa. Az ilyen dokumentációba minimálisan belefoglalandó elemeket meg kell határozni e rendelet konkrét mellékleteiben. A Bizottságot fel kell hatalmazni arra, hogy a folyamatosan változó technológiai fejlődés fényében felhatalmazáson alapuló jogi aktusok révén módosítsa az említett mellékleteket.
(101)
Los proveedores de modelos de IA de uso general tienen una función y una responsabilidad particulares a lo largo de la cadena de valor de la IA, ya que los modelos que suministran pueden constituir la base de diversos sistemas de etapas posteriores, que a menudo son suministrados por proveedores posteriores que necesitan entender bien los modelos y sus capacidades, tanto para permitir la integración de dichos modelos en sus productos como para cumplir sus obligaciones en virtud del presente Reglamento o de otros reglamentos. Por consiguiente, deben establecerse medidas de transparencia proporcionadas, lo que incluye elaborar documentación y mantenerla actualizada y facilitar información sobre el modelo de IA de uso general para su uso por parte de los proveedores posteriores. El proveedor del modelo de IA de uso general debe elaborar y mantener actualizada la documentación técnica con el fin de ponerla a disposición, previa solicitud, de la Oficina de IA y de las autoridades nacionales competentes. Los elementos mínimos que debe contener dicha documentación deben establecerse en anexos específicos del presente Reglamento. La Comisión debe estar facultada para modificar dichos anexos mediante actos delegados en función de los avances tecnológicos.
(102)
Az olyan szoftverek és adatok, köztük a modellek, amelyeket – a nyílt megosztást, és a felhasználók általi szabad hozzáférést, használatot, módosítást és terjesztést mind eredeti, mind módosított formában lehetővé tévő – szabad és nyílt forráskódú licenc alapján bocsátanak ki, hozzájárulhatnak a kutatáshoz és az innovációhoz a piacon, és jelentős növekedési lehetőségeket biztosíthatnak az uniós gazdaság számára. A szabad és nyílt forráskódú licenc alapján kibocsátott általános célú MI-modelleket magas szintű átláthatóságot és nyitottságot biztosítóként kell tekinteni, amennyiben azok paramétereit – beleértve a súlyokat, a modell architektúrájára vonatkozó információkat és a modellhasználatra vonatkozó információkat – nyilvánosan hozzáférhetővé teszik. A licencet akkor is szabad és nyílt forráskódúnak kell tekinteni, ha lehetővé teszi a felhasználók számára a szoftverek és adatok futtatását, másolását, terjesztését, tanulmányozását, módosítását és tökéletesítését, beleértve a modelleket is, feltéve, hogy feltüntetik a modell eredeti szolgáltatóját, és tiszteletben tartják az azonos vagy összehasonlítható terjesztési feltételeket.
(102)
El software y los datos, incluidos los modelos, divulgados con arreglo a una licencia libre y de código abierto que permita compartirlos abiertamente y que los usuarios puedan acceder a ellos, o a versiones modificadas de dicho software y dichos datos, o utilizarlos, modificarlos y redistribuirlos libremente, pueden contribuir a la investigación y la innovación en el mercado y pueden ofrecer importantes oportunidades de crecimiento para la economía de la Unión. Debe considerarse que los modelos de IA de uso general divulgados con arreglo a una licencia libre y de código abierto garantizan altos niveles de transparencia y apertura si sus parámetros, incluidos los pesos, la información sobre la arquitectura del modelo y la información sobre el uso del modelo, se ponen a disposición del público. La licencia debe considerarse libre y de código abierto cuando permita a los usuarios ejecutar, copiar, distribuir, estudiar, modificar y mejorar el software y los datos, incluidos los modelos a condición de que se cite al proveedor original del modelo, si se respetan unas condiciones de distribución idénticas o comparables.
(103)
A szabad és nyílt forráskódú MI-alkotóelemek magukban foglalják az adott MI-rendszer szoftvereit és adatait – beleértve a modelleket és az általános célú MI-modelleket –, eszközeit, szolgáltatásait vagy folyamatait. A szabad és nyílt forráskódú MI-alkotóelemek különböző csatornákon keresztül biztosíthatók, beleértve a szabadon hozzáférhető adattárakon történő fejlesztésüket is. E rendelet alkalmazásában az olyan MI-alkotóelemek, amelyeket díj ellenében bocsátanak rendelkezésre vagy más módon használnak bevétel szerzésére – például az MI-alkotóelemhez kapcsolódó technikai támogatás vagy egyéb szolgáltatások, többek között szoftverplatformon keresztül történő nyújtása vagy a személyes adatoknak kizárólagosan a szoftver biztonságának, kompatibilitásának vagy interoperabilitásának javítása céljából történő felhasználástól eltérő felhasználása révén –, nem részesülhetnek a szabad és nyílt forráskódú MI-alkotóelemekre vonatkozó kivételek előnyeiből, a mikrovállalkozások közötti ügyletek kivételével. Az a tény, hogy MI-alkotóelemeket nyílt adattárakon keresztül rendelkezésre bocsátanak, önmagában nem minősülhet bevételszerzésnek.
(103)
Los componentes de IA libres y de código abierto comprenden el software y los datos, incluidos los modelos y los modelos de IA de uso general, las herramientas, los servicios y los procesos de un sistema de IA. Los componentes de IA libres y de código abierto pueden suministrarse a través de diferentes canales, lo que incluye la posibilidad de desarrollarlos en repositorios abiertos. A los efectos del presente Reglamento, los componentes de IA que se suministren a cambio de una contraprestación o que se moneticen de cualquier otro modo, como, por ejemplo, mediante la prestación de apoyo técnico u otros servicios en relación con el componente de IA, ya sea a través de una plataforma de software o por otros medios, o mediante el uso de datos personales con fines que no se refieran exclusivamente a la mejora de la seguridad, la compatibilidad o la interoperabilidad del software, salvo si se trata de operaciones entre microempresas, no deben poder acogerse a las excepciones previstas para los componentes de IA libres y de código abierto. La disponibilidad de un componente de IA a través de repositorios abiertos no debe constituir, de por sí, una monetización.
(104)
Az általános célú MI-modellekre előírt átláthatósági követelmények tekintetében kivételeket kell alkalmazni az olyan általános célú MI-modellek szolgáltatóira, amelyeket szabad és nyílt forráskódú licenc alapján bocsátanak ki, és amelyek paramétereit – többek között a súlyokat, a modellarchitektúrára vonatkozó információkat és a modellhasználatra vonatkozó információkat – nyilvánosan hozzáférhetővé teszik, kivéve, ha úgy tekinthető, hogy rendszerszintű kockázatot jelentenek, amely esetben az a körülmény, hogy a modell átlátható és nyílt forráskódú licenccel rendelkezik, nem tekinthető elegendő oknak az e rendelet szerinti kötelezettségeknek való megfelelés kizárására. Mindenesetre, tekintve, hogy az általános célú MI-modellek szabad és nyílt forráskódú licenc alapján történő kibocsátása nem feltétlenül fed fel lényeges információkat a modell tanításához vagy finomhangolásához használt adatkészletről, valamint arról, hogy ezáltal hogyan biztosították a szerzői jognak való megfelelést, az átláthatósággal kapcsolatos követelményeknek való megfelelés alóli, az általános célú MI-modellekre vonatkozó kivétel nem vonatkozhat a modell tanítására használt tartalomról szóló összefoglaló elkészítésének kötelezettségére és az uniós szerzői jognak való megfelelést szolgáló szabályzat elkészítésének kötelezettségére, különösen az (EU) 2019/790 európai parlamenti és tanácsi irányelv (40) 4. cikkének (3) bekezdése szerinti jogfenntartás azonosítására és betartására vonatkozó kötelezettségre.
(104)
Los proveedores de modelos de IA de uso general divulgados con arreglo a una licencia libre y de código abierto cuyos parámetros, incluidos los pesos, la información sobre la arquitectura del modelo y la información sobre el uso del modelo, se ponen a disposición del público deben estar sujetos a excepciones por lo que respecta a los requisitos de transparencia que se imponen a los modelos de IA de uso general, a menos que pueda considerarse que presentan un riesgo sistémico, en cuyo caso la circunstancia de que el modelo sea transparente y vaya acompañado de una licencia de código abierto no debe considerarse una razón suficiente para que quede exento del cumplimiento de las obligaciones establecidas en el presente Reglamento. En cualquier caso, dado que la divulgación de modelos de IA de uso general con arreglo a una licencia libre y de código abierto no necesariamente revela información sustancial sobre el conjunto de datos utilizado para entrenar el modelo o realizar ajustes en relación con este ni sobre la manera en que se garantizó el cumplimiento del Derecho en materia de derechos de autor, la excepción prevista para los modelos de IA de uso general en relación con el cumplimiento de los requisitos de transparencia no debe eximir de la obligación de presentar un resumen del contenido utilizado para el entrenamiento del modelo ni de la obligación de adoptar directrices para el cumplimiento del Derecho de la Unión en materia de derechos de autor, en particular para identificar y respetar la reserva de derechos prevista en el artículo 4, apartado 3, de la Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo (40).
(105)
Az általános célú MI-modellek, különösen a nagy generatív MI-modellek, amelyek képesek szövegek, képek és egyéb tartalmak létrehozására, egyedülálló innovációs lehetőségeket kínálnak, ugyanakkor kihívást is jelentenek a művészek, szerzők és más alkotók számára, a tekintetben is, hogy milyen módon hozzák létre és terjesztik kreatív tartalmaikat, illetve hogy azt hogyan használják és fogyasztják. Az ilyen modellek kidolgozásához és tanításához hatalmas mennyiségű szöveghez, képhez, videóhoz és egyéb adathoz való hozzáférésre van szükség. A szöveg- és adatbányászati technikák ebben az összefüggésben széles körben alkalmazhatók az olyan tartalmak kinyerésére és elemzésére, amelyek a szerzői és szomszédos jogok védelme alatt állhatnak. A szerzői jogi védelem alatt álló tartalom felhasználásához az érintett jogosult engedélye szükséges, amennyiben nincsenek érvényben szerzői jogi kivételek és korlátozások. Az (EU) 2019/790 irányelv kivételeket és korlátozásokat vezetett be, amelyek bizonyos feltételek mellett lehetővé teszik művek vagy más védelem alatt álló teljesítmények szöveg- és adatbányászat céljából történő többszörözését és kimásolását. E szabályok értelmében a jogosultak fenntarthatják a műveikre vagy más védelem alatt álló teljesítményeikre vonatkozó jogaikat a szöveg- és adatbányászat megakadályozása érdekében, kivéve, ha az tudományos kutatás céljából történik. Amennyiben a kívülmaradási jogot kifejezetten és megfelelő módon fenntartották, az általános célú MI-modellek szolgáltatóinak engedélyt kell szerezniük a jogosultaktól, ha szöveg- és adatbányászatot kívánnak végezni az ilyen műveken.
(105)
Los modelos de IA de uso general, en particular los grandes modelos de IA generativos, capaces de generar texto, imágenes y otros contenidos, presentan unas oportunidades de innovación únicas, pero también representan un desafío para los artistas, autores y demás creadores y para la manera en que se crea, distribuye, utiliza y consume su contenido creativo. El desarrollo y el entrenamiento de estos modelos requiere acceder a grandes cantidades de texto, imágenes, vídeos y otros datos. Las técnicas de prospección de textos y datos pueden utilizarse ampliamente en este contexto para la recuperación y el análisis de tales contenidos, que pueden estar protegidos por derechos de autor y derechos afines. Todo uso de contenidos protegidos por derechos de autor requiere la autorización del titular de los derechos de que se trate, salvo que se apliquen las excepciones y limitaciones pertinentes en materia de derechos de autor. La Directiva (UE) 2019/790 introdujo excepciones y limitaciones que permiten reproducciones y extracciones de obras y otras prestaciones con fines de prospección de textos y datos en determinadas circunstancias. Con arreglo a estas normas, los titulares de derechos pueden optar por reservarse sus derechos en relación con sus obras u otras prestaciones para evitar la prospección de textos y datos, salvo que su finalidad sea la investigación científica. Cuando el titular del derecho se haya reservado de manera adecuada el derecho de exclusión, los proveedores de modelos de IA de uso general deben obtener su autorización para llevar a cabo una prospección de textos y datos con dichas obras.
(106)
Az általános célú MI-modelleket az uniós piacon forgalomba hozó szolgáltatóknak biztosítaniuk kell az e rendeletben foglalt vonatkozó kötelezettségeknek való megfelelést. E célból az általános célú MI-modellek szolgáltatóinak olyan szabályokat kell kialakítaniuk, amely megfelel a szerzői és szomszédos jogokra vonatkozó uniós jognak, különösen a jogosultak által az (EU) 2019/790 irányelv 4. cikkének (3) bekezdése alapján kifejezett jogfenntartásnak való megfelelés érdekében. Minden olyan szolgáltatónak, amely általános célú MI-modellt hoz forgalomba az uniós piacon, meg kell felelnie e kötelezettségnek, függetlenül attól, hogy mely joghatóság területén kerül sor az említett általános célú MI-modellek betanításának alapjául szolgáló, a szerzői jog szempontjából releváns tevékenységre. Erre azért van szükség, hogy egyenlő versenyfeltételeket lehessen biztosítani az általános célú MI-modellek szolgáltatói számára, hogy egyetlen szolgáltató se juthasson versenyelőnyhöz az uniós piacon azáltal, hogy az Unióban biztosítottaknál alacsonyabb szerzői jogi normákat alkalmaz.
(106)
Los proveedores que introduzcan modelos de IA de uso general en el mercado de la Unión deben garantizar el cumplimiento de las obligaciones pertinentes establecidas en el presente Reglamento. A tal fin, los proveedores de modelos de IA de uso general deben adoptar directrices para el cumplimiento del Derecho de la Unión en materia de derechos de autor y derechos afines, en particular para detectar y cumplir la reserva de derechos expresada por los titulares de derechos con arreglo al artículo 4, apartado 3, de la Directiva (UE) 2019/790. Todo proveedor que introduzca un modelo de IA de uso general en el mercado de la Unión debe cumplir esta obligación, independientemente de la jurisdicción en la que tengan lugar los actos pertinentes en materia de derechos de autor que sustentan el entrenamiento de dichos modelos de IA de uso general. Esta medida es necesaria para garantizar unas condiciones de competencia equitativas entre los proveedores de modelos de IA de uso general que impidan que un proveedor obtenga una ventaja competitiva en el mercado de la Unión aplicando normas en materia de derechos de autor menos estrictas que las establecidas en la Unión.
(107)
Az általános célú MI-modellek előtanítása és tanítása során felhasznált adatokat – köztük a szerzői jog által védett szövegeket és adatokat – illető átláthatóság növelése érdekében helyénvaló, hogy az ilyen modellek szolgáltatói kellően részletes összefoglalót készítsenek és tegyenek nyilvánosan hozzáférhetővé az általános célú MI-modell tanításához használt tartalomról. Az üzleti titkok és a bizalmas üzleti információk védelmének szükségességét kellően figyelembe véve, ezen összefoglalónak általánosságban véve kell átfogónak lennie, és nem technikai szempontból részletesnek, hogy megkönnyítse a jogos érdekkel rendelkező felek – köztük a szerzői jogok jogosultjai – számára az uniós jog szerinti jogaik gyakorlását és érvényesítését, például a modell tanítására felhasznált fő adatgyűjtemények vagy -készletek – például a nagy magán- vagy nyilvános adatbázisok vagy adatarchívumok – felsorolásával, valamint az egyéb felhasznált adatforrások részletes leírásával. Helyénvaló, hogy az MI-hivatal rendelkezésre bocsássa az összefoglaló mintáját, amelynek egyszerűnek és hatékonynak kell lennie, és lehetővé kell tennie a szolgáltató számára, hogy az előírt összefoglalót részletes leírás formájában bocsássa rendelkezésre.
(107)
Con el fin de aumentar la transparencia en relación con los datos utilizados en el entrenamiento previo y el entrenamiento de los modelos de IA de uso general, incluidos los textos y los datos protegidos por el Derecho en materia de derechos de autor, procede que los proveedores de dichos modelos elaboren y pongan a disposición del público un resumen suficientemente detallado de los contenidos utilizados para el entrenamiento del modelo de IA de uso general. Este resumen debe tener debidamente en cuenta la necesidad de proteger los secretos comerciales y la información empresarial confidencial y, al mismo tiempo, debe ser exhaustivo en general en su alcance en vez de técnicamente detallado, a fin de facilitar que las partes con intereses legítimos, incluidos los titulares de derechos de autor, ejerzan y hagan cumplir sus derechos en virtud del Derecho de la Unión, por ejemplo, enumerando los principales conjuntos o recopilaciones de datos que hayan servido para entrenar al modelo, como los grandes archivos de datos o bases de datos privados o públicos, y proporcionando una explicación descriptiva sobre otras fuentes de datos utilizadas. Conviene que la Oficina de IA proporcione un modelo para el resumen, que debe ser sencillo y eficaz y permitir que el proveedor proporcione el resumen requerido en forma descriptiva.
(108)
Az általános célú MI-modellek szolgáltatói számára előírt azon kötelezettségek tekintetében, hogy alakítsanak ki az uniós szerzői jognak való megfelelést célzó szabályokat, és hogy tegyék nyilvánosan hozzáférhetővé a tanításhoz használt tartalom összefoglalóját, az MI-hivatalnak nyomon kell követnie, hogy a szolgáltató teljesítette-e ezeket a kötelezettségeket, anélkül, hogy ellenőrizné vagy az egyes művekre kiterjedően értékelné a tanítási adatokat a szerzői jogoknak való megfelelés tekintetében. E rendelet nem érinti az uniós jogban előírt szerzői jogi szabályok érvényesítését.
(108)
Por lo que se refiere a las obligaciones impuestas a los proveedores de modelos de IA de uso general de adoptar directrices para el cumplimiento del Derecho de la Unión en materia de derechos de autor y de poner a disposición del público un resumen de los contenidos utilizados para el entrenamiento, la Oficina de IA debe supervisar si el proveedor ha cumplido dichas obligaciones sin verificar ni proceder a una evaluación obra por obra de los datos de entrenamiento en cuanto al respeto de los derechos de autor. El presente Reglamento no afecta al cumplimiento de las normas en materia de derechos de autor previstas en el Derecho de la Unión.
(109)
Az általános célú MI-modellek szolgáltatóira alkalmazandó kötelezettségeknek való megfelelésnek a modellszolgáltató típusával összemérhetőnek és arányosnak kell lennie, kizárva a megfelelés szükségességét azon személyek esetében, akik nem szakmai vagy tudományos kutatási célokra fejlesztenek vagy használnak modelleket, mindazonáltal ösztönözve őket arra, hogy önkéntes alapon feleljenek meg ezen követelményeknek. Az említett kötelezettségeknek való megfelelés során – az uniós szerzői jog sérelme nélkül – kellően figyelembe kell venni a szolgáltató méretét, és lehetővé kell tenni a kkv-k – köztük az induló innovatív vállalkozások – számára a megfelelés biztosításának egyszerűsített módjait, amelyek nem jelenthetnek túlzott költségeket, és nem gátolhatják az ilyen modellek használatát. Egy modell módosítása vagy finomhangolása esetén az általános célú MI-modellek szolgáltatóinak kötelezettségeit az említett módosításra vagy finomhangolásra kell korlátozni, például azáltal, hogy a már meglévő műszaki dokumentációt kiegészítik a módosításokra vonatkozó információkkal, beleértve a tanításra használt új adatforrásokat is, az értékláncra vonatkozóan e rendeletben előírt kötelezettségeknek való megfelelés módjaként.
(109)
El cumplimiento de las obligaciones aplicables a los proveedores de modelos de IA de uso general debe ser proporcionado y adecuado al tipo de proveedor de modelos. Debe eximirse de la obligación de cumplimiento a las personas que desarrollan o utilizan modelos con fines no profesionales o de investigación científica. No obstante, debe animarse a estas personas a cumplir voluntariamente estos requisitos. Sin perjuicio del Derecho de la Unión en materia de derechos de autor, el cumplimiento de esas obligaciones debe tener debidamente en cuenta el tamaño del proveedor y permitir formas simplificadas de cumplimiento para las pymes, incluidas las empresas emergentes, que no deben suponer un coste excesivo ni desincentivar el uso de dichos modelos. En caso de que se modifique o ajuste un modelo, las obligaciones de los proveedores de modelos de IA de uso general deben limitarse a esa modificación o esos ajustes, por ejemplo, complementando la documentación técnica ya existente con información sobre las modificaciones, incluidas las nuevas fuentes de datos de entrenamiento, para cumplir las obligaciones relacionadas con la cadena de valor establecidas en el presente Reglamento.
(110)
Az általános célú MI-modellek rendszerszintű kockázatokat jelenthetnek, amelyek a teljesség igénye nélkül többek között magukban foglalják a súlyos balesetekhez, a kritikus ágazatok zavaraihoz, valamint a közegészségre és a közbiztonságra gyakorolt súlyos következményekhez kapcsolódó tényleges vagy észszerűen előrelátható negatív hatásokat; a demokratikus folyamatokra, a közbiztonságra és a gazdasági biztonságra gyakorolt tényleges vagy észszerűen előrelátható negatív hatásokat; jogellenes, hamis vagy megkülönböztető tartalom terjesztését. A rendszerszintű kockázatokat úgy kell értelmezni, hogy azok a modell képességeivel és a modell elterjedésével növekednek, a modell teljes életciklusa során felmerülhetnek, és azokat befolyásolják a rendellenes használat körülményei, a modell megbízhatósága, a modell méltányossága és a modell biztonsága, a modell autonómiaszintje, annak eszközökhöz való hozzáférése, az új vagy kombinált modalitások, a kibocsátási és terjesztési stratégiák, a biztosítékok eltávolításának lehetősége és egyéb tényezők. Így különösen, a nemzetközi megközelítések keretében eddig beazonosították annak szükségességét, hogy figyelmet fordítsanak a következőkre: az esetleges szándékos rendellenes használattal vagy az emberi szándékkal való összehangolással kapcsolatos, nem szándékosan előidézett ellenőrzési problémákból eredő kockázatok; vegyi, biológiai, radiológiai és nukleáris kockázatok, például a belépési korlátok eltávolításának módjai többek között a fegyverek fejlesztése, tervezése vagy használata terén; offenzív kiberképességek, például a sebezhetőség feltárásának, kiaknázásának vagy operatív kihasználásának elősegítésére szolgáló módszerek; az interakció és az eszközhasználat hatásai, beleértve például a fizikai rendszerek vezérlésére és a kritikus infrastruktúrákba való beavatkozásra való képességet; az önmagukról másolatot készítő, „önreplikációra” képes vagy más modelleket tanító modellekből eredő kockázatok; az, hogy a modellek hogyan vezethetnek káros torzításhoz és megkülönböztetéshez, ami kockázatot hordoz magában az egyénekre, közösségekre vagy társadalmakra nézve; a dezinformáció elősegítése vagy a magánélet megsértése a demokratikus értékeket és az emberi jogokat fenyegető veszélyek által; annak kockázata, hogy egy adott esemény olyan láncreakcióhoz vezethet, amelynek jelentős negatív hatásai lehetnek egy egész városra, egy teljes tevékenységi területre vagy egy egész közösségre.
(110)
Los modelos de IA de uso general pueden plantear riesgos sistémicos, por ejemplo, cualquier efecto negativo real o razonablemente previsible en relación con accidentes graves, perturbaciones de sectores críticos y consecuencias graves para la salud y la seguridad públicas, cualquier efecto negativo real o razonablemente previsible sobre los procesos democráticos y la seguridad pública y económica o la difusión de contenidos ilícitos, falsos o discriminatorios. Debe entenderse que los riesgos sistémicos aumentan con las capacidades y el alcance de los modelos, pueden surgir durante todo el ciclo de vida del modelo y se ven influidos por las condiciones de uso indebido, la fiabilidad del modelo, la equidad y la seguridad del modelo, el nivel de autonomía del modelo, su acceso a herramientas, modalidades novedosas o combinadas, las estrategias de divulgación y distribución, la posibilidad de eliminar las salvaguardias y otros factores. En particular, los enfoques internacionales han establecido hasta la fecha la necesidad de prestar atención a los riesgos derivados de posibles usos indebidos intencionados o de problemas en materia de control relacionados con la armonización con la intención humana no deseados, a los riesgos químicos, biológicos, radiológicos y nucleares, como las maneras en que las barreras a la entrada pueden reducirse, también para el desarrollo, el diseño, la adquisición o el uso de armas, a las cibercapacidades ofensivas, como las maneras en que pueden propiciarse el descubrimiento, la explotación o el uso operativo de vulnerabilidades, a los efectos de la interacción y el uso de herramientas, incluida, por ejemplo, la capacidad de controlar sistemas físicos e interferir en el funcionamiento de infraestructuras críticas, a los riesgos derivados del hecho que los modelos hagan copias de sí mismos o se «autorrepliquen» o entrenen a otros modelos, a las maneras en que los modelos pueden dar lugar a sesgos dañinos y discriminación que entrañan riesgos para las personas, las comunidades o las sociedades, a la facilitación de la desinformación o el menoscabo de la intimidad, que suponen una amenaza para los valores democráticos y los derechos humanos, al riesgo de que un acontecimiento concreto dé lugar a una reacción en cadena con efectos negativos considerables que podrían afectar incluso a una ciudad entera, un ámbito de actividad entero o una comunidad entera.
(111)
Helyénvaló módszertant létrehozni az általános célú MI-modellek rendszerszintű kockázatot jelentő általános célú MI-modellként való besorolására. Mivel a különösen kiterjedt képességek rendszerszintű kockázatokat eredményeznek, az általános célú MI-modell akkor tekintendő rendszerszintű kockázatot jelentőnek, ha megfelelő technikai eszközök és módszertanok alapján értékelt, nagy hatású képességekkel rendelkezik, vagy elterjedtsége miatt jelentős hatással van a belső piacra. Az általános célú MI-modellek esetében a nagy hatású képességek olyan képességeket jelentenek, amelyek megfelelnek a legfejlettebb általános célú MI-modellekben rögzített képességeknek, vagy meghaladják azokat. Adott modell képességeinek teljes kiterjedését jobban meg lehetne érteni a modell forgalomba hozatala után, vagy akkor, amikor az alkalmazók interakcióba lépnek a modellel. A technika állása szerint e rendelet hatálybalépésekor a modellképességekre vonatkozó releváns közelítések egyike az általános célú MI-modell betanításához használt, lebegőpontos műveletekben mért összesített számítási mennyiség. A betanításhoz használt összesített számítási mennyiség magában foglalja az olyan tevékenységek és módszerek során alkalmazott számításokat, amelyek célja a modell képességeinek fokozása a bevezetést megelőzően, mint például az előtanítás, a szintetikus adatelőállítás és a finomhangolás. Ezért meg kell határozni a lebegőpontos műveletek kiinduló küszöbértékét, amely – ha azt egy általános célú MI-modell eléri – azon vélelemhez vezet, hogy a modell rendszerszintű kockázatot jelentő általános célú MI-modell. E küszöbértéket idővel ki kell igazítani, hogy tükrözze a technológiai és az ágazati változásokat, így például az algoritmus fejlesztéseit vagy a nagyobb hardverhatékonyságot, és ki kell azt egészíteni a modellképességre vonatkozó referenciaértékekkel és mutatókkal. Ennek érdekében az MI-hivatalnak együtt kell működnie a tudományos közösséggel, az ágazattal, a civil társadalommal és más szakértőkkel. A küszöbértékeknek, valamint a nagy hatású képességek értékelésére szolgáló eszközöknek és referenciaértékeknek jól előre kell tudniuk jelezni az általánosságot, a modell képességeit, valamint az általános célú MI-modellek kapcsolódó rendszerszintű kockázatait, és figyelembe vehetik a modell forgalomba hozatalának módját vagy az általa esetlegesen érintett felhasználók számát. E rendszer kiegészítéseképpen lehetővé kell tenni a Bizottság számára, hogy egyedi határozatokat hozzon, amelyekkel egy általános célú MI-modellt rendszerszintű kockázatot jelentő általános MI-modellként jelöl meg, ha megállapítást nyer, hogy az ilyen modell a meghatározott küszöbérték által rögzített képességekkel vagy hatással egyenértékű képességekkel vagy hatással rendelkezik. Az említett határozatot az e rendelet mellékletében meghatározott, a rendszerszintű kockázatot jelentő általános célú MI-modell megjelölésére vonatkozó, olyan kritériumok átfogó értékelése alapján kell meghozni, mint például a tanítóadat-készlet minősége vagy mérete, az üzleti és a végfelhasználók száma, az AI-modell bemeneti és kimeneti modalitásai, autonómiaszintje és méretezhetősége, vagy a rendelkezésére álló eszközök. Azon szolgáltató indokolással ellátott kérésére, amelynek modelljét rendszerszintű kockázatot jelentő általános MI-modellként jelöltek meg, a Bizottságnak figyelembe kell vennie a kérelmet, és a Bizottság dönthet úgy, hogy újraértékeli, vajon az általános célú MI-modell továbbra is rendszerszintű kockázatot jelentőnek tekinthető-e.
(111)
Conviene establecer una metodología para la clasificación de los modelos de IA de uso general como modelos de IA de uso general con riesgos sistémicos. Dado que los riesgos sistémicos se derivan de capacidades especialmente elevadas, debe considerarse que un modelo de IA de uso general presenta riesgos sistémicos si tiene capacidades de gran impacto —evaluadas mediante herramientas y metodologías técnicas adecuadas— o unas repercusiones considerables en el mercado interior debido a su alcance. Las capacidades de gran impacto en modelos de IA de uso general son capacidades que igualan o superan las capacidades mostradas por los modelos de IA de uso general más avanzados. La introducción en el mercado de un modelo o las interacciones de los responsables del despliegue con él permiten comprender mejor el conjunto de sus capacidades. Según el estado de la técnica en el momento de la entrada en vigor del presente Reglamento, la cantidad acumulada de cálculo utilizado para el entrenamiento del modelo de IA de uso general, medida en operaciones de coma flotante, es una de las aproximaciones pertinentes para las capacidades del modelo. La cantidad acumulada de cálculo utilizado para el entrenamiento incluye los cálculos utilizados en las distintas actividades y métodos destinados a mejorar las capacidades del modelo antes del despliegue, como el entrenamiento previo, la generación de datos sintéticos y la realización de ajustes. Por lo tanto, debe establecerse un umbral inicial de operaciones de coma flotante que, de ser alcanzado por un modelo de IA de uso general, dé lugar a la presunción de que el modelo es un modelo de IA de uso general con riesgos sistémicos. Este umbral deberá irse ajustando para reflejar los cambios tecnológicos e industriales, como las mejoras algorítmicas o el aumento de la eficiencia del hardware, y debe complementarse con parámetros de referencia e indicadores de la capacidad de los modelos. Para fundamentar esto, la Oficina de IA debe colaborar con la comunidad científica, la industria, la sociedad civil y otros expertos. Los umbrales, así como las herramientas y los parámetros de referencia para la evaluación de las capacidades de gran impacto, deben servir para predecir con fiabilidad la generalidad, las capacidades y el riesgo sistémico asociado de los modelos de IA de uso general, y podrían tener en cuenta la manera en que el modelo se introducirá en el mercado o el número de usuarios a los que podría afectar. Para complementar este sistema, la Comisión debe poder adoptar decisiones individuales por las que se designe un modelo de IA de uso general como modelo de IA de uso general con riesgo sistémico si se determina que dicho modelo tiene capacidades o repercusiones equivalentes a las reflejadas por el umbral establecido. Dicha decisión debe adoptarse atendiendo a una evaluación global de los criterios para la designación de modelos de IA de uso general con riesgo sistémico establecidos en un anexo del presente Reglamento, como la calidad o el tamaño del conjunto de datos de entrenamiento, el número de usuarios profesionales y finales, sus modalidades de entrada y de salida, su nivel de autonomía y escalabilidad o las herramientas a las que tiene acceso. Previa solicitud motivada de un proveedor cuyo modelo haya sido designado como modelo de IA de uso general con riesgo sistémico, la Comisión debe tener en cuenta la solicitud y podrá decidir reevaluar si puede seguir considerándose que el modelo de IA de uso general presenta riesgos sistémicos.
(112)
Helyénvaló emellett tisztázni az az általános célú MI-modellek rendszerszintű kockázatot jelentő általános célú MI-modellként való besorolására szolgáló eljárást. Egy olyan általános célú MI-modellt, amely megfelel a nagy hatású képességekre alkalmazandó küszöbértéknek, rendszerszintű kockázatot jelentő általános célú MI-modellnek kell tekinteni. A szolgáltatónak legkésőbb két héttel azt követően értesítenie kell az MI-hivatalt, hogy a követelmények teljesülnek, vagy ismertté válik, hogy egy általános célú MI-modell meg fog felelni a vélelemhez vezető követelményeknek. Ez különösen fontos a lebegőpontos műveletek küszöbértékivel kapcsolatban, mivel az általános célú MI-modellek betanítása jelentős mértékű tervezést igényel, amely magában foglalja a számítási erőforrások előzetes elosztását is, és ezért az általános célú MI-modellek szolgáltatói tudhatják, hogy modelljük a betanítás befejezése előtt el fogja-e érni a küszöbértéket. Az említett értesítéssel összefüggésben a szolgáltatónak képesnek kell lennie annak bizonyítására, hogy egy általános célú MI-modell – sajátos jellemzői miatt – kivételesen nem jelent rendszerszintű kockázatot, és ezért nem minősíthető rendszerszintű kockázatot jelentő általános célú MI-modellnek. Ez az információ értékes az MI-hivatal számára a rendszerszintű kockázatokkal járó általános célú MI-modellek forgalomba hozatalának előrejelzéséhez, és a szolgáltatók már korán kapcsolatba léphetnek az MI-hivatallal. Az említett információ különösen fontos az olyan általános célú MI-modellek tekintetében, amelyeket nyílt forráskódú modellként terveznek kibocsátani, tekintve, hogy a nyílt forráskódú modellek kibocsátását követően nehezebben hajthatók végre az e rendelet szerinti kötelezettségeknek való megfelelés biztosításához szükséges intézkedések.
(112)
También es necesario aclarar un procedimiento para la clasificación de un modelo de IA de uso general con riesgos sistémicos. Debe presumirse que un modelo de IA de uso general que alcanza el umbral aplicable para las capacidades de gran impacto es un modelo de IA de uso general con riesgo sistémico. El proveedor debe enviar una notificación a la Oficina de IA a más tardar dos semanas después de que se cumplan los requisitos o de que se sepa que un modelo de IA de uso general cumplirá los requisitos que conducen a la presunción. Esto es especialmente pertinente en relación con el umbral de operaciones de coma flotante, ya que el entrenamiento de los modelos de IA de uso general requiere una planificación considerable que incluye la asignación previa de recursos computacionales y, por tanto, los proveedores de modelos de IA de uso general pueden saber si su modelo alcanzará el umbral antes del fin del entrenamiento. En el contexto de dicha notificación, el proveedor debe poder demostrar que, debido a sus características específicas, un modelo de IA de uso general no presenta excepcionalmente riesgos sistémicos y que, por tanto, no debe clasificarse como modelo de IA de uso general con riesgos sistémicos. Esa información es valiosa para que la Oficina de IA anticipe la introducción en el mercado de modelos de IA de uso general con riesgos sistémicos y para que los proveedores pueden empezar a colaborar con la Oficina de IA en una fase temprana. Dicha información es especialmente importante cuando esté previsto divulgar un modelo de IA de uso general como modelo de código abierto, dado que, tras la divulgación de modelos de código abierto, puede resultar más difícil aplicar las medidas necesarias para garantizar el cumplimiento de las obligaciones establecidas en el presente Reglamento.
(113)
Ha a Bizottság tudomást szerez arról, hogy egy általános célú MI-modell megfelel egy olyan rendszerszintű kockázatot jelentő általános célú MI-modellként való besorolás követelményeinek, amely korábban nem volt ismert, vagy amelyről a releváns szolgáltató elmulasztotta értesíteni a Bizottságot, a Bizottságot fel kell hatalmazni az ilyenként való megjelölésre. Egy minősített riasztási rendszernek kell biztosítania, hogy – az MI-hivatal nyomonkövetési tevékenységei mellett – az esetlegesen rendszerszintű kockázatot jelentő általános célú MI-modellként besorolandó általános célú MI-modellekkel foglalkozó tudományos testület is felhívja erre az MI-hivatal figyelmét.
(113)
Si la Comisión descubre que un modelo de IA de uso general del que no tenía conocimiento o que el proveedor pertinente no le había notificado cumple los requisitos para ser clasificado como modelo de IA de uso general con riesgo sistémico, la Comisión debe estar facultada para designarlo. Además de las actividades de supervisión de la Oficina de IA, un sistema de alertas cualificadas debe garantizar que la Oficina de IA sea informada por el grupo de expertos científicos de la existencia de modelos de IA de uso general que podrían ser clasificados como modelos de IA de uso general con riesgo sistémico.
(114)
A rendszerszintű kockázatot jelentő általános célú MI-modellek szolgáltatóira az általános célú MI-modellek szolgáltatói számára előírt kötelezettségeken túlmenően olyan kötelezettségeknek is vonatkoznia kell, amelyek célja az említett kockázatok azonosítása és enyhítése, valamint a megfelelő szintű kiberbiztonsági védelem biztosítása, függetlenül attól, hogy a modellt önálló modellként vagy egy MI-rendszerbe vagy termékbe ágyazottként szolgáltatják-e. Az említett célkitűzések elérése érdekében e rendeletnek elő kell írnia a szolgáltatók számára, hogy – különösen az első forgalomba hozatal előtt – végezzék el a szükséges modellértékeléseket, ideértve a modellek támadói szempontú tesztelésének elvégzését és dokumentálását, többek között az adott eset függvényében belső vagy független külső tesztelés révén is. Emellett a rendszerszintű kockázatot jelentő általános célú MI-modellek szolgáltatóinak folyamatosan értékelniük és enyhíteniük kell a rendszerszintű kockázatokat, többek között kockázatkezelési szabályzatok – így például elszámoltathatósági és irányítási folyamatok – bevezetése, a forgalomba hozatal utáni nyomon követés végrehajtása, megfelelő intézkedéseknek a modell teljes életciklusa során történő meghozatala, valamint az MI-értéklánc érintett szereplőivel való együttműködés révén.
(114)
Los proveedores de modelos de IA de uso general que presenten riesgos sistémicos deben estar sujetos, además de a las obligaciones impuestas a los proveedores de modelos de IA de uso general, a obligaciones encaminadas a detectar y atenuar dichos riesgos y a garantizar un nivel adecuado de protección en materia de ciberseguridad, independientemente de si dichos modelos se ofrecen como modelos independientes o están integrados en sistemas de IA o en productos. Para alcanzar esos objetivos, el presente Reglamento debe exigir a los proveedores que lleven a cabo las evaluaciones de los modelos necesarias, en particular antes de la primera introducción en el mercado, y que, por ejemplo, lleven a cabo y documenten pruebas de simulación de adversarios, también, según proceda, mediante pruebas externas independientes o pruebas internas. Además, los proveedores de modelos de IA de uso general con riesgos sistémicos deben evaluar y mitigar continuamente los riesgos sistémicos, por ejemplo, mediante el establecimiento de políticas de gestión de riesgos, como procesos de rendición de cuentas y gobernanza, la puesta en práctica de la vigilancia poscomercialización, la adopción de medidas adecuadas durante todo el ciclo de vida del modelo y la cooperación con los agentes pertinentes a lo largo de la cadena de valor de la IA.
(115)
A rendszerszintű kockázatot jelentő általános célú MI-modellek szolgáltatóinak fel kell mérniük és enyhíteniük kell az esetleges rendszerszintű kockázatokat. Ha az olyan általános célú MI-modell esetében, amely rendszerszintű kockázatokat jelenthet, a kapcsolódó kockázatok azonosítására és megelőzésére irányuló erőfeszítések ellenére a modell fejlesztése vagy használata súlyos váratlan eseményt okoz, az általános célú MI-modell szolgáltatójának indokolatlan késedelem nélkül nyomon kell követnie a váratlan eseményt, és jelentenie kell a Bizottság és az illetékes nemzeti hatóságok részére a releváns információkat és a lehetséges korrekciós intézkedéseket. Továbbá, a szolgáltatóknak megfelelő szintű kiberbiztonsági védelmet kell biztosítaniuk a modell és adott esetben a fizikai infrastruktúrája számára a modell teljes életciklusa során. A rosszindulatú felhasználással vagy támadásokkal kapcsolatos rendszerszintű kockázatokhoz kapcsolódó kiberbiztonsági védelemnek megfelelően szem előtt kell tartania a véletlen modellszivárgást, a jogosulatlan kibocsátásokat, a biztonsági intézkedések megkerülését, valamint a kibertámadásokkal, a jogosulatlan hozzáféréssel vagy a modell-lopással szembeni védelmet. Az említett védelmet megkönnyítheti a modellsúlyok, az algoritmusok, a szerverek és az adatkészletek biztosítása, így például az információbiztonságra vonatkozó operatív biztonsági intézkedések, konkrét kiberbiztonsági politikák, megfelelő technikai és bevált megoldások, valamint kiber- és fizikai hozzáférési ellenőrzések révén, amelyek megfelelnek a releváns körülményeknek és a felmerülő kockázatoknak.
(115)
Los proveedores de modelos de IA de uso general con riesgos sistémicos deben evaluar y mitigar los posibles riesgos sistémicos. Si, a pesar de los esfuerzos por detectar y prevenir los riesgos relacionados con un modelo de IA de uso general que pueda presentar riesgos sistémicos, el desarrollo o el uso del modelo provoca un incidente grave, el proveedor del modelo de IA de uso general debe, sin demora indebida, hacer un seguimiento del incidente y comunicar toda la información pertinente y las posibles medidas correctoras a la Comisión y a las autoridades nacionales competentes. Además, los proveedores deben garantizar que el modelo y su infraestructura física, si procede, tengan un nivel adecuado de protección en materia de ciberseguridad durante todo el ciclo de vida del modelo. La protección en materia de ciberseguridad relacionada con los riesgos sistémicos asociados al uso malintencionado o a los ataques debe tener debidamente en cuenta las fugas accidentales de modelos, las divulgaciones no autorizadas, la elusión de las medidas de seguridad y la defensa contra los ciberataques, el acceso no autorizado o el robo de modelos. Esa protección podría facilitarse asegurando los pesos, los algoritmos, los servidores y los conjuntos de datos del modelo, por ejemplo, mediante medidas de seguridad operativa para la seguridad de la información, medidas específicas en materia de ciberseguridad, soluciones técnicas adecuadas y establecidas y controles de acceso cibernéticos y físicos, en función de las circunstancias pertinentes y los riesgos existentes.
(116)
Az MI-hivatalnak ösztönöznie kell és elő kell segítenie a gyakorlati kódexek kidolgozását, felülvizsgálatát és kiigazítását, figyelembe véve a nemzetközi megközelítéseket. Az általános célú MI-modellek valamennyi szolgáltatóját fel lehetne kérni a részvételre. Annak biztosítása érdekében, hogy a gyakorlati kódexek tükrözzék a technika mindenkori állását, és kellően figyelembe vegyék a különböző nézőpontokat, az MI-hivatalnak együtt kell működnie az illetékes nemzeti illetékes hatóságokkal, és adott esetben konzultálnia kell a civil társadalmi szervezetekkel és más érdekelt felekkel és szakértőkkel – egyebek mellett a tudományos testülettel – az ilyen kódexek kidolgozása során. A gyakorlati kódexeknek ki kell terjedniük az általános célú MI-modellek, valamint a rendszerszintű kockázatot jelentő általános célú MI-modellek szolgáltatóira vonatkozó kötelezettségekre. Emellett a rendszerszintű kockázatok tekintetében a gyakorlati kódexeknek elő kell segíteniük egy, a rendszerszintű kockázatok típusára és jellegére vonatkozó uniós szintű kockázati taxonómia létrehozását, ideértve azok forrásait is. A gyakorlati kódexeknek a kockázatok értékelésére és csökkentésére irányuló konkrét intézkedésekre is összpontosulniuk kell.
(116)
La Oficina de IA debe fomentar y facilitar la elaboración, revisión y adaptación de códigos de buenas prácticas, teniendo en cuenta los enfoques internacionales. Podría invitarse a participar a todos los proveedores de modelos de IA de uso general. Para garantizar que los códigos de buenas prácticas reflejen el estado actual de la técnica y tengan debidamente en cuenta perspectivas distintas, la Oficina de IA debe colaborar con las autoridades nacionales competentes pertinentes y, cuando proceda, podrá consultar a organizaciones de la sociedad civil y a otras partes interesadas y expertos pertinentes, incluido el Grupo de Expertos Científicos, por lo que respecta a la elaboración de dichos códigos. Los códigos de buenas prácticas deben comprender las obligaciones de los proveedores de modelos de IA de uso general y de modelos de IA de uso general que presenten riesgos sistémicos. Además, en lo que respecta a los riesgos sistémicos, los códigos de buenas prácticas deben ayudar a establecer una taxonomía de riesgos en la que figuren el tipo y la naturaleza de los riesgos sistémicos a escala de la Unión, incluidas sus fuentes. Asimismo, los códigos de buenas prácticas deben centrarse en medidas específicas de evaluación y reducción de riesgos.
(117)
A gyakorlati kódexeknek központi eszközként kell szolgálniuk az általános célú MI-modellek szolgáltatói számára az e rendeletben előírt kötelezettségek megfelelő betartásához. A gyakorlati kódexeknek alkalmasnak kell lenniük arra, hogy a szolgáltatók támaszkodjanak rájuk a kötelezettségeknek való megfelelés bizonyítása érdekében. A Bizottság végrehajtási jogi aktusok útján határozhat úgy, hogy jóváhagy egy gyakorlati kódexet, és általános érvényességgel ruházza fel azt az Unión belül, vagy – alternatív módon – közös szabályokról rendelkezik a releváns kötelezettségek végrehajtására vonatkozóan, ha – e rendelet alkalmazandóvá válásáig – a gyakorlati kódexet nem lehet véglegesíteni, vagy azt az MI-hivatal nem tartja megfelelőnek. Miután egy harmonizált szabvány közzétételre kerül és az MI-hivatal úgy ítéli meg, hogy az alkalmas a releváns kötelezettségek lefedésére, az európai harmonizált szabványnak való megfelelésnek biztosítania kell a szolgáltatók számára a megfelelés vélelmét. Az általános célú MI-modellek szolgáltatói számára továbbá lehetővé kell tenni, hogy megfelelő alternatív eszközökkel igazolják a megfelelést, ha nem állnak rendelkezésre gyakorlati kódexek vagy harmonizált szabványok, vagy ha úgy döntenek, hogy nem támaszkodnak azokra.
(117)
Los códigos de buenas prácticas deben constituir una herramienta fundamental para el cumplimiento adecuado de las obligaciones previstas en el presente Reglamento para los proveedores de modelos de IA de uso general. Los proveedores deben poder basarse en códigos de buenas prácticas para demostrar el cumplimiento de las obligaciones. Mediante actos de ejecución, la Comisión podrá decidir aprobar un código de buenas prácticas y conferirle una validez general dentro de la Unión o, alternativamente, establecer normas comunes para la puesta en práctica de las obligaciones pertinentes si, para el momento en que el presente Reglamento sea aplicable, no ha podido finalizarse un código de buenas prácticas o la Oficina de IA no lo considera adecuado. Una vez que se haya publicado una norma armonizada y que la Oficina de IA la considere adecuada para cubrir las obligaciones pertinentes, el cumplimiento de una norma armonizada europea debe dar a los proveedores la presunción de conformidad. Además, los proveedores de modelos de IA de uso general deben poder demostrar el cumplimiento utilizando medios alternativos adecuados si no se dispone de códigos de buenas prácticas o de normas armonizadas, o si deciden no basarse en ellos.
(118)
E rendelet azáltal szabályozza az MI-rendszereket és az MI-modelleket, hogy bizonyos követelményeket és kötelezettségeket ír elő az azokat az Unióban forgalomba hozó, üzembe helyező vagy használó releváns piaci szereplők számára, ezáltal kiegészítve az ilyen rendszereket vagy modelleket az (EU) 2022/2065 rendelet által szabályozott szolgáltatásaikba beépítő közvetítő szolgáltatók kötelezettségeit. Amennyiben az ilyen rendszerek vagy modellek kijelölt online óriásplatformokba vagy nagyon népszerű online keresőprogramokba vannak beágyazva, azokra az (EU) 2022/2065 rendeletben előírt kockázatkezelési keret vonatkozik. Következésképpen, e rendelet vonatkozó kötelezettségeit teljesítettnek kell feltételezni, kivéve, ha az (EU) 2022/2065 rendelet hatálya alá nem tartozó, jelentős rendszerszintű kockázatok merülnek fel, és azokat az ilyen modellekben azonosítják. E kereten belül az online óriásplatformokat és nagyon népszerű online keresőprogramokat üzemeltető szolgáltatók kötelesek értékelni a szolgáltatásaik kialakításából, működéséből és használatából eredő potenciális rendszerszintű kockázatokat, beleértve azt is, hogy a szolgáltatás által használt algoritmikus rendszerek kialakítása hogyan járulhat hozzá az ilyen kockázatokhoz, valamint a potenciális rendellenes használatokból eredő rendszerszintű kockázatokhoz. Az említett szolgáltatók arra is kötelesek, hogy az alapvető jogokra figyelemmel, megfelelő kockázatenyhítési intézkedéseket hozzanak.
(118)
El presente Reglamento regula los sistemas de IA y modelos de IA imponiendo determinados requisitos y obligaciones a los agentes pertinentes del mercado que los introduzcan en el mercado, los pongan en servicio o los utilicen en la Unión, complementando así las obligaciones de los prestadores de servicios intermediarios que integren dichos sistemas o modelos en sus servicios, regulados por el Reglamento (UE) 2022/2065. En la medida en que dichos sistemas o modelos estén integrados en plataformas en línea de muy gran tamaño o en motores de búsqueda en línea de muy gran tamaño que hayan sido designados, están sujetos al marco de gestión de riesgos establecido en el Reglamento (UE) 2022/2065. Por consiguiente, debe presumirse que se han cumplido las obligaciones correspondientes del presente Reglamento a menos que surjan riesgos sistémicos significativos no cubiertos por el Reglamento (UE) 2022/2065 y se detecten en dichos modelos. En este marco, los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño están obligados a evaluar los posibles riesgos sistémicos derivados del diseño, el funcionamiento y el uso de sus servicios, incluido el modo en que el diseño de los sistemas algorítmicos utilizados en el servicio puede contribuir a dichos riesgos, así como los riesgos sistémicos derivados de posibles usos indebidos. Dichos prestadores también están obligados a adoptar las medidas de reducción de riesgos adecuadas respetando los derechos fundamentales.
(119)
Tekintettel a különböző uniós jogi eszközök hatálya alá tartozó digitális szolgáltatásokkal kapcsolatos innováció gyors ütemére és technológiai fejlődésére, különös tekintettel a szolgáltatás igénybe vevőinek használatára és megítélésére, az e rendelet hatálya alá tartozó MI-rendszerek az (EU) 2022/2065 rendelet értelmében vett közvetítő szolgáltatásként vagy annak részeiként is nyújthatók, amelyet technológiasemleges módon kell értelmezni. Például az MI-rendszerek felhasználhatók online keresőmotorok szolgáltatására, különösen amennyiben egy MI-rendszer, például egy online csevegőrobot elvben valamennyi weboldalon keresést végez, az eredményeket beépíti meglévő ismereteibe, és a frissített ismereteket arra használja fel, hogy egyetlen, különböző információforrásokat ötvöző kimenetet hozzon létre.
(119)
Tomando en consideración el rápido ritmo de innovación y la evolución tecnológica de los servicios digitales incluidos en el ámbito de aplicación de diferentes instrumentos del Derecho de la Unión, en particular teniendo en cuenta el uso y la percepción de sus destinatarios, los sistemas de IA sujetos al presente Reglamento pueden prestarse como servicios intermediarios, o partes de estos, en el sentido del Reglamento (UE) 2022/2065, que debe interpretarse de manera tecnológicamente neutra. Por ejemplo, los sistemas de IA pueden utilizarse para ofrecer motores de búsqueda en línea, en particular en la medida en que un sistema de IA, como un chatbot en línea, efectúe búsquedas, en principio, en todos los sitios web, incorpore a continuación los resultados a sus conocimientos existentes y utilice los conocimientos actualizados para generar una única información de salida que combine diferentes fuentes de información.
(120)
Továbbá, az (EU) 2022/2065 rendelet hatékony végrehajtásának elősegítése érdekében különösen fontosak az e rendeletben az egyes MI-rendszerek szolgáltatóira és alkalmazóira rótt azon kötelezettségek, amelyek lehetővé teszik annak észlelését és közzétételét, hogy e rendszerek kimeneteit mesterségesen hozzák létre vagy manipulálják. Ez különösen alkalmazandó az online óriásplatformokat vagy nagyon népszerű online keresőprogramokat üzemeltető szolgáltatók azon kötelezettségeire, hogy azonosítsák és enyhítsék a mesterségesen létrehozott vagy manipulált tartalom terjesztéséből eredő rendszerszintű kockázatokat, különösen a demokratikus folyamatokra, a civil párbeszédre és a választási folyamatokra – többek között dezinformáció révén – gyakorolt tényleges vagy előrelátható negatív hatások kockázatát.
(120)
Además, las obligaciones impuestas a los proveedores y a los responsables del despliegue de determinados sistemas de IA en el presente Reglamento destinadas a permitir que se detecte y divulgue que los resultados de salida de dichos sistemas han sido generados o manipulados de manera artificial resultan especialmente pertinentes para facilitar la aplicación efectiva del Reglamento (UE) 2022/2065. Esto se aplica en particular a las obligaciones de los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño de detectar y mitigar los riesgos sistémicos que pueden surgir de la divulgación de contenidos que hayan sido generados o manipulados de manera artificial, en particular el riesgo de los efectos negativos reales o previsibles sobre los procesos democráticos, el discurso cívico y los procesos electorales, también a través de la desinformación.
(121)
A szabványosításnak kulcsszerepet kell játszania abban, hogy az e rendeletnek való megfelelés biztosítása érdekében megfelelő műszaki megoldások álljanak a szolgáltatók rendelkezésére, a technika mindenkori állásának megfelelően, az uniós piac versenyképességének és növekedésének előmozdítása érdekében. A szolgáltatóknak az 1025/2012/EU európai parlamenti és tanácsi rendelet (41) 2. cikke 1 pontjának c) alpontjában meghatározott – és alapelvárás szerint a technika mindenkori állását tükröző – harmonizált szabványoknak való megfelelés révén is tudniuk kell bizonyítani az e rendelet követelményeinek való megfelelést. Ezért az 1025/2012/EU rendelet 5. és 6. cikkével összhangban ösztönözni kell az érdekek kiegyensúlyozott képviseletét a szabványok kidolgozása terén valamennyi érintett érdekcsoport részvételével, különös tekintettel a kkv-kra, a fogyasztóvédelmi szervezetekre, valamint a környezetvédelmi és szociális érdekelt felekre. A megfelelés elősegítése érdekében a Bizottságnak indokolatlan késedelem nélkül ki kell adnia a szabványosítási kérelmeket. A szabványosítási kérelem elkészítésekor a Bizottságnak – a releváns szakértelem összegyűjtése érdekében – konzultálnia kell a tanácsadó fórummal és a Testülettel. Azonban a harmonizált szabványokra való releváns hivatkozások hiányában a Bizottság számára lehetővé kell tenni, hogy – végrehajtási jogi aktusok révén és a tanácsadó fórummal folytatott konzultációt követően – közös előírásokat állapítson meg az e rendelet szerinti egyes követelményekre vonatkozóan. A közös előírásnak kivételes tartalékmegoldásnak kell lennie, amely megkönnyíti a szolgáltató számára az e rendelet követelményeinek való megfelelésre vonatkozó kötelezettségének teljesítését, ha a szabványosítási kérelmet egyik európai szabványügyi szervezet sem fogadta el, vagy ha a releváns harmonizált szabványok nem kezelik megfelelően az alapvető jogokkal kapcsolatos aggályokat, vagy ha a harmonizált szabványok nem felelnek meg a kérelemnek, vagy ha egy megfelelő harmonizált szabvány elfogadása késedelmet szenved. Amennyiben egy harmonizált szabvány elfogadása terén az ilyen késedelem az említett szabvány műszaki összetettségének tudható be, a Bizottságnak ezt figyelembe kell vennie, mielőtt fontolóra venné közös előírások kidolgozását. A közös előírások kidolgozása során a Bizottság ösztönözve van arra, hogy működjön együtt a nemzetközi partnerekkel és a nemzetközi szabványügyi testületekkel.
(121)
La normalización debe desempeñar un papel fundamental para proporcionar soluciones técnicas a los proveedores para garantizar el cumplimiento del presente Reglamento, en consonancia con el estado actual de la técnica, para promover la innovación, así como la competitividad y el crecimiento en el mercado único. El cumplimiento de las normas armonizadas definidas en el artículo 2, punto 1, letra c), del Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo (41), que generalmente se espera que reflejen el estado actual de la técnica, debe ser un medio para que los proveedores demuestren la conformidad con los requisitos previstos en el presente Reglamento. Por consiguiente, debe fomentarse una representación equilibrada de los intereses de todas las partes interesadas pertinentes —en particular las pymes, las organizaciones de consumidores y las partes interesadas de los ámbitos social y medioambiental— en la elaboración de normas, de conformidad con los artículos 5 y 6 del Reglamento (UE) n.o 1025/2012. A fin de facilitar el cumplimiento, la Comisión debe emitir las peticiones de normalización sin demora indebida. Al preparar la petición de normalización, la Comisión debe consultar al foro consultivo y al Consejo de IA para recabar los conocimientos especializados pertinentes. No obstante, a falta de referencias pertinentes a las normas armonizadas, la Comisión debe poder establecer, mediante actos de ejecución y previa consulta al foro consultivo, especificaciones comunes para determinados requisitos previstos en el presente Reglamento. Las especificaciones comunes deben ser una solución alternativa excepcional para facilitar la obligación del proveedor de cumplir los requisitos del presente Reglamento cuando ninguna de las organizaciones europeas de normalización haya aceptado la petición de normalización, cuando las normas armonizadas pertinentes respondan de forma insuficiente a las preocupaciones en materia de derechos fundamentales, cuando las normas armonizadas no cumplan la petición o cuando se produzcan retrasos en la adopción de una norma armonizada adecuada. Cuando dichos retrasos en la adopción de una norma armonizada se deban a la complejidad técnica de dicha norma, la Comisión debe tenerlo en cuenta antes de considerar la posibilidad de establecer especificaciones comunes. Se anima a la Comisión a que, a la hora de elaborar especificaciones comunes, coopere con los socios internacionales y los organismos internacionales de normalización.
(122)
Helyénvaló, hogy – a harmonizált szabványok és közös előírások alkalmazásának sérelme nélkül – azon nagy kockázatú MI-rendszerek szolgáltatóit, amelyeket olyan adatokon tanítottak és teszteltek, amelyek tükrözik azt a konkrét földrajzi, viselkedési, kontextuális vagy funkcionális környezetet, amelyben az MI-rendszert használni kívánják, úgy kell tekinteni, hogy megfelelnek az e rendeletben meghatározott adatkormányzási követelményben előírt releváns intézkedésnek. Az e rendeletben meghatározott, a megbízhatóságra és pontosságra vonatkozó követelmények sérelme nélkül, az (EU) 2019/881 rendelet 54. cikkének (3) bekezdésével összhangban azon nagy kockázatú MI-rendszerekről, amelyeket az említett rendelettel összhangban egy kiberbiztonsági rendszer keretében tanúsítottak, vagy amelyekre vonatkozóan megfelelőségi nyilatkozatot állítottak ki, és amelyek hivatkozásait közzétették az Európai Unió Hivatalos Lapjában, vélelmezni kell, hogy megfelelnek az e rendeletben foglalt kiberbiztonsági követelménynek, amennyiben a kiberbiztonsági tanúsítvány vagy megfelelőségi nyilatkozat vagy annak részei kiterjednek e rendelet kiberbiztonsági követelményeire. Ez továbbra sem érinti az említett kiberbiztonsági rendszer önkéntes jellegét.
(122)
Conviene que, sin perjuicio del uso de normas armonizadas y especificaciones comunes, se presuma que los proveedores de un sistema de IA de alto riesgo que haya sido entrenado y probado con datos que reflejan el entorno geográfico, conductual, contextual o funcional específico en el que esté previsto que se utilice el sistema de IA cumplen la medida pertinente prevista en el requisito en materia de gobernanza de datos establecido en el presente Reglamento. Sin perjuicio de los requisitos relacionados con la solidez y la precisión establecidos en el presente Reglamento, de conformidad con el artículo 54, apartado 3, del Reglamento (UE) 2019/881, debe presumirse que los sistemas de IA de alto riesgo que cuenten con una certificación o una declaración de conformidad en virtud de un esquema de certificación de la ciberseguridad con arreglo a dicho Reglamento y cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea cumplen el requisito de ciberseguridad del presente Reglamento en la medida en que el certificado de ciberseguridad o la declaración de conformidad, o partes de estos, contemplen dicho requisito. Esto se entiende sin perjuicio del carácter voluntario de dicho esquema de ciberseguridad.
(123)
A nagy kockázatú MI-rendszerek magas szintű megbízhatóságának biztosítása érdekében ezeket a rendszereket forgalomba hozataluk vagy üzembe helyezésük előtt megfelelőségértékelésnek kell alávetni.
(123)
A fin de garantizar que los sistemas de IA de alto riesgo sean altamente fiables, debe someterse a dichos sistemas a una evaluación de la conformidad antes de su introducción en el mercado o puesta en servicio.
(124)
A gazdasági szereplők terheinek minimalizálása és az esetleges párhuzamosságok elkerülése érdekében helyénvaló, hogy azon nagy kockázatú MI-rendszerek esetében, amelyek az új jogszabályi kereten alapuló meglévő uniós harmonizációs jogszabályok hatálya alá tartozó termékekhez kapcsolódnak, az említett MI-rendszerek e rendelet követelményeinek való megfelelése az említett jogszabályokban már előírt megfelelőségértékelés részeként kerüljön értékelésre. E rendelet követelményeinek alkalmazhatósága ezért nem érintheti a vonatkozó uniós harmonizációs jogszabályok szerinti megfelelőségértékelés konkrét logikáját, módszertanát vagy általános szerkezetét.
(124)
Para reducir al mínimo la carga que deben soportar los operadores y evitar posibles duplicidades, conviene, en el caso de los sistemas de IA de alto riesgo asociados a productos regulados por la legislación de armonización de la Unión vigente basada en el nuevo marco legislativo, que la conformidad de dichos sistemas de IA con los requisitos establecidos en el presente Reglamento se evalúe en el marco de la evaluación de la conformidad ya prevista en dicha legislación. Por lo tanto, la aplicabilidad de los requisitos del presente Reglamento no debe afectar a la lógica, la metodología o la estructura general específicas de la evaluación de la conformidad prevista en los actos legislativos de armonización pertinentes de la Unión.
(125)
Tekintettel a nagy kockázatú MI-rendszerek összetettségére és az azokkal kapcsolatos kockázatokra, fontos a nagy kockázatú MI-rendszerekre vonatkozó megfelelőségértékelési eljárás – az úgynevezett harmadik fél általi megfelelőségértékelés – kidolgozása a bejelentett szervezetek bevonásával. Azonban, tekintve a forgalomba hozatal előtti tanúsítást végző szakemberek által a termékbiztonság területén jelenleg fennálló tapasztalatot és a felmerülő kockázatok eltérő jellegét, helyénvaló – legalább e rendelet alkalmazásának kezdeti szakaszában – korlátozni a harmadik fél által végzett megfelelőségértékelés alkalmazási körét azon nagy kockázatú MI-rendszerek esetében, amelyek nem termékekhez kapcsolódnak. Ezért az ilyen rendszerek megfelelőségértékelését főszabályként a szolgáltatónak kell elvégeznie saját felelősségére, a biometriai célokra való felhasználásra szánt MI-rendszerek kivételével.
(125)
Dada la complejidad de los sistemas de IA de alto riesgo y los riesgos asociados a ellos, es importante desarrollar un procedimiento adecuado de evaluación de la conformidad de los sistemas de IA de alto riesgo en el que participen organismos notificados, denominado «evaluación de la conformidad de terceros». No obstante, habida cuenta de la experiencia actual de los profesionales que realizan la certificación previa a la comercialización en el campo de la seguridad de los productos y de la distinta naturaleza de los riesgos implicados, procede limitar, al menos en la fase inicial de aplicación del presente Reglamento, el alcance de las evaluaciones externas de la conformidad a los sistemas de IA de alto riesgo que no están asociados a productos. En consecuencia, el proveedor es quien, por norma general, debe llevar a cabo la evaluación de la conformidad de dichos sistemas bajo su propia responsabilidad, con la única excepción de los sistemas de IA que están destinados a utilizarse para la biometría.
(126)
A harmadik fél általi megfelelőségértékelések szükség szerinti elvégzése érdekében az illetékes nemzeti hatóságoknak e rendelet alapján értesíteniük kell a bejelentett szervezeteket, feltéve hogy azok megfelelnek bizonyos, különösen a függetlenségre, a szakértelemre, az összeférhetetlenség hiányára vonatkozó követelményeknek és megfelelő kiberbiztonsági követelményeknek. Az illetékes nemzeti hatóságoknak a 768/2008/EK határozat I. melléklete R23. cikkének megfelelően a Bizottság által kifejlesztett és kezelt elektronikus bejelentési eszköz útján kell bejelenteniük e szerveket a Bizottságnak és a többi tagállamnak.
(126)
Para poder realizar las evaluaciones de la conformidad de terceros cuando así se les exija, las autoridades nacionales competentes deben notificar, en virtud del presente Reglamento, a los organismos notificados, siempre que cumplan una serie de requisitos, en particular en lo que respecta a su independencia, sus competencias y la ausencia de conflictos de intereses, así como requisitos adecuados de ciberseguridad. Las autoridades nacionales competentes deben enviar la notificación de dichos organismos a la Comisión y a los demás Estados miembros a través del sistema de notificación electrónica desarrollado y gestionado por la Comisión con arreglo a lo dispuesto en el artículo R23 del anexo I de la Decisión n.o 768/2008/CE.
(127)
A Kereskedelmi Világszervezetnek a kereskedelem technikai akadályairól szóló megállapodása keretében vállalt uniós kötelezettségekkel összhangban helyénvaló elősegíteni az illetékes megfelelőségértékelő szervezetek által készített megfelelőségértékelési eredmények kölcsönös elismerését, függetlenül attól, hogy mely területen van a székhelyük, feltéve, hogy az említett, egy harmadik ország joga szerint létrehozott megfelelőségértékelő szervezetek megfelelnek e rendelet alkalmazandó követelményeinek, és az Unió e tekintetben megállapodást kötött. Ezzel összefüggésben a Bizottságnak aktívan fel kell térképeznie az említett célt szolgáló lehetséges nemzetközi eszközöket, és törekednie kell különösen arra, hogy harmadik országokkal kölcsönös elismerési megállapodásokat kössön.
(127)
En consonancia con los compromisos contraídos por la Unión en virtud del Acuerdo sobre Obstáculos Técnicos al Comercio, de la Organización Mundial del Comercio, es adecuado facilitar el reconocimiento mutuo de los resultados de las evaluaciones de la conformidad realizadas por organismos de evaluación de la conformidad competentes, con independencia del territorio en el que estén establecidos, siempre que dichos organismos de evaluación de la conformidad establecidos con arreglo al Derecho de un tercer país cumplan los requisitos aplicables del presente Reglamento y la Unión haya celebrado un acuerdo en ese sentido. En este contexto, la Comisión debe estudiar activamente posibles instrumentos internacionales a tal efecto y, en particular, procurar celebrar acuerdos de reconocimiento mutuo con terceros países.
(128)
Az uniós harmonizációs jogszabályok által szabályozott termékek jelentős módosításának általánosan elfogadott fogalmával összhangban helyénvaló, hogy minden olyan változtatás esetében, amely befolyásolhatja egy nagy kockázatú MI-rendszer e rendeletnek való megfelelését (pl. az operációs rendszer vagy a szoftverarchitektúra megváltoztatása), vagy amikor a rendszer rendeltetése megváltozik, az adott MI-rendszert új MI-rendszernek kell tekinteni, amelyet új megfelelőségértékelésnek kell alávetni. Ugyanakkor az olyan MI-rendszerek algoritmusában és teljesítményében bekövetkező változások, amelyek a forgalomba hozatalt vagy üzembe helyezést követően továbbra is „tanulnak” (nevezetesen automatikusan kiigazítják a funkciók végrehajtásának módját), nem tekintendők jelentős módosításnak, feltéve, hogy az említett változásokat a szolgáltató előre meghatározta és a megfelelőségértékelés időpontjában értékelte.
(128)
En consonancia con el concepto comúnmente establecido de «modificación sustancial» de los productos regulados por los actos legislativos de armonización de la Unión, conviene que, cada vez que se produzca un cambio que pueda afectar al cumplimiento del presente Reglamento por parte de un sistema de IA de alto riesgo (por ejemplo, un cambio de sistema operativo o de arquitectura de software) o cuando cambie la finalidad prevista del sistema, dicho sistema de IA se considere un sistema de IA nuevo que debe someterse a una nueva evaluación de la conformidad. Sin embargo, los cambios que se produzcan en el algoritmo y en el funcionamiento de los sistemas de IA que sigan «aprendiendo» después de su introducción en el mercado o su puesta en servicio, a saber, adaptando automáticamente el modo en que desempeñan sus funciones, no deben constituir una modificación sustancial, siempre que dichos cambios hayan sido predeterminados por el proveedor y se hayan evaluado en el momento de la evaluación de la conformidad.
(129)
A nagy kockázatú MI-rendszereket CE-jelöléssel kell ellátni, amely jelzi az e rendeletnek való megfelelésüket, annak érdekében, hogy szabadon mozoghassanak a belső piacon. A termékbe ágyazott nagy kockázatú MI-rendszerek esetében fizikai CE-jelölést kell elhelyezni, amely kiegészíthető digitális CE-jelöléssel. A kizárólag digitálisan szolgáltatott nagy kockázatú MI-rendszerek esetében digitális CE-jelölést kell használni. A tagállamok nem akadályozhatják indokolatlanul az olyan nagy kockázatú MI-rendszerek forgalomba hozatalát vagy üzembe helyezését, amelyek megfelelnek az e rendeletben meghatározott követelményeknek és CE-jelöléssel vannak ellátva.
(129)
Los sistemas de IA de alto riesgo deben llevar el marcado CE para acreditar su conformidad con el presente Reglamento y así poder circular libremente por el mercado interior. En el caso de los sistemas de IA de alto riesgo integrados en un producto, se debe colocar un marcado CE físico, que puede complementarse con un marcado CE digital. En el caso de los sistemas de IA de alto riesgo que solo se proporcionen digitalmente, debe utilizarse un marcado CE digital. Los Estados miembros no deben crear obstáculos injustificados a la introducción en el mercado o la puesta en servicio de sistemas de IA de alto riesgo que cumplan los requisitos establecidos en el presente Reglamento y lleven el marcado CE.
(130)
Bizonyos körülmények között az innovatív technológiák gyors rendelkezésre állása döntő fontosságú lehet a személyek egészsége és biztonsága, a környezet védelme és az éghajlat-változás, valamint a társadalom egésze szempontjából. Ezért helyénvaló, hogy a közbiztonsághoz vagy a természetes személyek életének és egészségének védelméhez, a környezetvédelemhez, valamint a kulcsfontosságú ipari és infrastrukturális eszközök védelméhez kapcsolódó kivételes okokból a piacfelügyeleti hatóságok engedélyezhessék olyan MI-rendszerek forgalomba hozatalát vagy üzembe helyezését, amelyek megfelelőségértékelését nem folytatták le. Az e rendeletben előírt, kellően indokolt helyzetekben a bűnüldöző hatóságok vagy a polgári védelmi hatóságok üzembe helyezhetnek egy adott nagy kockázatú MI-rendszert a piacfelügyeleti hatóság engedélye nélkül is, feltéve, hogy a használat során vagy azt követően – indokolatlan késedelem nélkül – kérnek ilyen engedélyt.
(130)
En determinadas condiciones, la rápida disponibilidad de tecnologías innovadoras puede ser crucial para la salud y la seguridad de las personas, la protección del medio ambiente y la mitigación del cambio climático, y para la sociedad en su conjunto. Por consiguiente, resulta oportuno que las autoridades de vigilancia del mercado puedan autorizar, por motivos excepcionales de seguridad pública o con vistas a proteger la vida y la salud de personas físicas, el medio ambiente y activos fundamentales de la industria y de las infraestructuras, la introducción en el mercado o la puesta en servicio de sistemas de IA que no hayan sido sometidos a una evaluación de la conformidad. En situaciones debidamente justificadas previstas en el presente Reglamento, las autoridades garantes del cumplimiento del Derecho o las autoridades de protección civil podrán poner en servicio un sistema de IA de alto riesgo específico sin la autorización de la autoridad de vigilancia del mercado, siempre que se solicite la autorización durante el uso o después de este sin demora indebida.
(131)
A Bizottság és a tagállamok által az MI területén végzett munka megkönnyítése, valamint a nyilvánosság számára biztosított átláthatóság növelése érdekében az olyan nagy kockázatú MI-rendszerek szolgáltatói számára, amelyek nem kapcsolódnak a releváns meglévő uniós harmonizációs jogszabályok hatálya alá tartozó termékekhez, valamint az olyan szolgáltatok számára, akik úgy vélik, hogy az e rendelet egyik mellékletében foglalt nagy kockázatú felhasználási esetek között felsorolt valamely MI-rendszer egy eltérés alapján nem nagy kockázatú, elő kell írni, hogy saját magukat és a nagy kockázatú MI-rendszerükre vonatkozó információkat regisztrálják egy uniós adatbázisban, amelyet a Bizottságnak kell létrehoznia és kezelnie. Az e rendelet egyik mellékletében foglalt nagy kockázatú felhasználási esetek között felsorolt valamely MI-rendszer használata előtt a nagy kockázatú MI-rendszerek azon alkalmazóinak, amelyek hatóságok, ügynökségek vagy közjogi szervek, regisztrálniuk kell magukat egy ilyen adatbázisban, és ki kell választaniuk az általuk használni kívánt rendszert. A többi alkalmazó számára biztosítani kell a jogot, hogy ezt önkéntes alapon tegye meg. Az uniós adatbázis ezen részének nyilvánosan hozzáférhetőnek és ingyenesnek, az információnak pedig könnyen böngészhetőnek, érthetőnek és géppel olvashatónak kell lennie. Az uniós adatbázisnak felhasználóbarátnak is kell lennie, például keresőfunkciók – többek között kulcsszavak révén történő – biztosításával, amelyek lehetővé teszik a nyilvánosság számára, hogy megtalálja a nagy kockázatú MI-rendszerek regisztrációjakor benyújtandó és a nagy kockázatú MI-rendszerek e rendelet egyik mellékletében meghatározott azon felhasználási esetére vonatkozó releváns információkat, amelynek a nagy kockázatú MI-rendszerek megfelelnek. A nagy kockázatú MI-rendszerek bármely jelentős módosítását rögzíteni kell az uniós adatbázisban is. A bűnüldözés, a migráció, a menekültügy és a határellenőrzés igazgatása területén működő nagy kockázatú MI-rendszerek esetében a regisztrációs kötelezettségeket az uniós adatbázis biztonságos, nem nyilvános részében kell teljesíteni. A biztonságos, nem nyilvános részhez való hozzáférést szigorúan a Bizottságra, valamint – az adatbázis megfelelő nemzeti része tekintetében – a piacfelügyeleti hatóságokra kell korlátozni. A kritikus infrastruktúrák területén működő a nagy kockázatú MI-rendszereket csak nemzeti szinten kell nyilvántartásba venni. Az (EU) 2018/1725 rendelettel összhangban a Bizottságnak kell az uniós adatbázis adatkezelőjének lennie. Az uniós adatbázis teljes körű működőképességének biztosítása érdekében a bevezetéskor az adatbázis beállítására irányuló eljárásnak magában kell foglalnia a működési előírások Bizottság általi kidolgozását és egy független ellenőrzési jelentést. A Bizottságnak az uniós adatbázis adatkezelői feladatainak ellátása során figyelembe kell vennie a kiberbiztonsági kockázatokat. Az uniós adatbázis nyilvánosság általi hozzáférhetőségének és használatának maximalizálása érdekében az uniós adatbázisnak – ideértve az annak révén rendelkezésre bocsátott információkat is – meg kell felelnie az (EU) 2019/882 irányelv követelményeinek.
(131)
Con el objetivo de facilitar la labor de la Comisión y de los Estados miembros en el ámbito de la IA, así como de incrementar la transparencia de cara al público, debe exigirse a los proveedores de sistemas de IA de alto riesgo que no estén asociados a productos que entren dentro del ámbito de aplicación de los actos legislativos de armonización de la Unión que sean pertinentes y estén en vigor, y a los proveedores que consideren que alguno de los sistemas de IA enumerados en los casos de uso de alto riesgo en un anexo del presente Reglamento no es de alto riesgo sobre la base de una excepción que se registren y que registren información sobre sus sistemas de IA en una base de datos de la UE, de cuya creación y gestión se encargará la Comisión. Antes de utilizar tal sistema de IA enumerado en los casos de uso de alto riesgo en un anexo del presente Reglamento, los responsables del despliegue de sistemas de IA de alto riesgo que sean autoridades, órganos u organismos públicos deben registrarse en dicha base de datos y seleccionar el sistema que tengan previsto utilizar. Los demás responsables del despliegue deben poder efectuar dicho registro con carácter voluntario. Esta sección de la base de datos de la UE debe ser de acceso público y gratuito, debe ser fácil navegar por la información, y esta ha de ser comprensible y legible por máquina. La base de datos de la UE también debe ser fácil de utilizar, por ejemplo, proporcionando funcionalidades de búsqueda, también a través de palabras clave, que permitan al público en general encontrar la información que debe presentarse para el registro de los sistemas de IA de alto riesgo y relativa a los casos de uso de sistemas de IA de alto riesgo contemplados en un anexo del presente Reglamento, a la que corresponden los sistemas de IA de alto riesgo. También debe registrarse en la base de datos de la UE toda modificación sustancial de sistemas de IA de alto riesgo. En el caso de los sistemas de IA de alto riesgo en el ámbito de la garantía del cumplimiento del Derecho y de la gestión de la migración, el asilo y el control fronterizo, las obligaciones de registro deben cumplirse en una sección segura no pública de la base de datos de la UE. El acceso a esa sección debe limitarse estrictamente a la Comisión y a las autoridades de vigilancia del mercado en lo que respecta a su sección nacional de dicha base de datos. Los sistemas de IA de alto riesgo en el ámbito de las infraestructuras críticas solo deben registrarse a nivel nacional. La Comisión debe ser la responsable del tratamiento de la base de datos de la UE, de conformidad con el Reglamento (UE) 2018/1725. Con vistas a garantizar la funcionalidad plena de la base de datos de la UE una vez que esté en funcionamiento, el procedimiento para su creación debe comprender el desarrollo de especificaciones funcionales por parte de la Comisión y la redacción de un informe de auditoría independiente. Al ejercer sus funciones como responsable del tratamiento de la base de datos de la UE, la Comisión debe tener en cuenta los riesgos de ciberseguridad. Con el fin de maximizar la disponibilidad y el uso de la base de datos de la UE por parte del público, la base de datos de la UE y la información facilitada a través de ella deben cumplir los requisitos establecidos en la Directiva (UE) 2019/882.
(132)
Bizonyos MI-rendszerek, amelyek rendeltetése a természetes személyekkel való interakció vagy tartalom létrehozása, különleges kockázatot jelenthetnek a hasonmássággal való visszaélés vagy a megtévesztés szempontjából, függetlenül attól, hogy nagy kockázatúnak minősülnek-e vagy sem. Bizonyos körülmények között e rendszerek használatára ezért egyedi átláthatósági kötelezettségeket kell alkalmazni, a nagy kockázatú MI-rendszerekre vonatkozó követelmények és kötelezettségek sérelme nélkül, valamint a bűnüldözés különleges igényei okán hozott célzott kivételek szem előtt tartása mellett. Így különösen, a természetes személyeket értesíteni kell arról, hogy MI-rendszerrel állnak interakcióban, kivéve, ha ez – figyelembe véve a körülményeket és a felhasználási kontextust – egy észszerűen elvárható szinten jól tájékozott, figyelmes és körültekintő természetes személy szemszögéből nyilvánvaló. Az említett kötelezettség végrehajtásakor figyelembe kell venni az életkoruk vagy fogyatékosságuk okán kiszolgáltatott csoportokba tartozó személyek jellemzőit annyiban, amennyiben az MI-rendszer rendeltetésébe beletartozik, hogy az említett csoportokkal is interakciót folytasson. Ezenkívül, a természetes személyeket értesíteni kell, amikor olyan MI-rendszereknek vannak kitéve, amelyek biometrikus adataik feldolgozásával azonosíthatják vagy kikövetkeztethetik az említett személyek érzelmeit vagy szándékait, vagy konkrét kategóriákba sorolhatják őket. Az ilyen konkrét kategóriák vonatkozhatnak olyan szempontokra, mint például a nem, az életkor, a hajszín, a szemszín, a tetoválások, a személyes vonások, az etnikai származás, a személyes preferenciák és az érdeklődési kör. Az ilyen információkat és értesítéseket a fogyatékossággal élő személyek számára akadálymentes formátumban kell megadni.
(132)
Determinados sistemas de IA destinados a interactuar con personas físicas o a generar contenidos pueden plantear riesgos específicos de suplantación o engaño, con independencia de si cumplen las condiciones para ser considerados como de alto riesgo o no. Por consiguiente, el uso de estos sistemas debe estar sujeto, en determinadas circunstancias, a obligaciones de transparencia específicas, sin perjuicio de los requisitos y las obligaciones aplicables a los sistemas de IA de alto riesgo y a excepciones específicas a fin de tener en cuenta las necesidades especiales de la garantía del cumplimiento del Derecho. En particular, es preciso comunicar a las personas físicas que están interactuando con un sistema de IA, excepto cuando resulte evidente desde el punto de vista de una persona física normalmente informada y razonablemente atenta y perspicaz, teniendo en cuenta las circunstancias y el contexto de utilización. Al aplicar dicha obligación, deben tenerse en cuenta las características de las personas físicas pertenecientes a colectivos vulnerables debido a su edad o discapacidad en la medida en que el sistema de IA esté destinado a interactuar también con dichos colectivos. Además, es preciso notificar a las personas físicas cuando estén expuestas a sistemas de IA que, mediante el tratamiento de sus datos biométricos, puedan determinar o inferir sus emociones o intenciones o incluirlas en categorías específicas. Estas categorías específicas pueden referirse a aspectos como el sexo, la edad, el color del pelo, el color de ojos, los tatuajes, los rasgos personales, el origen étnico o las preferencias e intereses personales. Esta información y estas notificaciones deben facilitarse en formatos accesibles a las personas con discapacidad.
(133)
A különböző MI-rendszerek nagy mennyiségű szintetikus tartalmat tudnak előállítani, amelyet illetően egyre nehezebbé válik az emberek számára, hogy megkülönböztessék az ember által előállított és autentikus tartalomtól. E rendszerek széles körű rendelkezésre állása és növekvő képességei jelentős hatással vannak az információs ökoszisztéma integritására és az abba vetett bizalomra, új kockázatokat teremtve a nagyléptékű félretájékoztatás és a manipuláció, a csalás, a személyazonossággal való visszaélés és a fogyasztók megtévesztése tekintetében. Az említett hatások, a technológiai haladás gyors üteme és az információk eredetének nyomon követésére szolgáló új módszerek és technikák iránti igény fényében helyénvaló előírni az említett rendszerek szolgáltatói számára, hogy olyan műszaki megoldásokat építsenek be, amelyek lehetővé teszik a géppel olvasható formátumban történő jelölést és annak észlelését, hogy a kimenetet nem ember, hanem MI-rendszer hozta létre vagy manipulálta. Az ilyen technikáknak és módszereknek kellően megbízhatónak, interoperábilisnak, hatékonynak és megbízhatónak kell lenniük, amilyen mértékben ez műszakilag megvalósítható, figyelembe véve az elérhető technikákat vagy az ilyen technikák kombinációját – például vízjeleket, metaadat-azonosításokat, a tartalom eredetének és hitelességének bizonyítására szolgáló kriptográfiai módszereket, naplózási módszereket, ujjnyomatokat vagy adott esetben egyéb technikákat. E kötelezettség végrehajtása során a szolgáltatóknak figyelembe kell venniük a különböző tartalomtípusok sajátosságait és korlátait, valamint a terület releváns technológiai és piaci fejleményeit is, amint azt a technológia általánosan elfogadott, mindenkori állása is tükrözi. Ilyen technikák és módszerek végrehajthatók az MI-rendszer vagy az MI-modell szintjén – ideértve a tartalmat előállító általános célú MI-modelleket is –, ezáltal megkönnyítve e kötelezettségnek az MI-rendszer downstream szolgáltatója általi teljesítését. Az arányosság megőrzése érdekében helyénvaló úgy rendelkezni, hogy ez a jelölési kötelezettség ne terjedjen ki azokra az MI-rendszerekre, amelyek elsősorban a standard szerkesztést segítő funkciót látnak el, vagy olyan MI-rendszerekre, amelyek nem módosítják lényegesen az alkalmazó által szolgáltatott bemeneti adatokat vagy azok szemantikáját.
(133)
Una diversidad de sistemas de IA puede generar grandes cantidades de contenidos sintéticos que para las personas cada vez es más difícil distinguir del contenido auténtico generado por seres humanos. La amplia disponibilidad y las crecientes capacidades de dichos sistemas tienen importantes repercusiones en la integridad del ecosistema de la información y en la confianza en este, haciendo surgir nuevos riesgos de desinformación y manipulación a escala, fraude, suplantación de identidad y engaño a los consumidores. En vista de estos efectos, el rápido desarrollo tecnológico y la necesidad de nuevos métodos y técnicas para asegurar la trazabilidad del origen de la información, procede exigir a los proveedores de tales sistemas que integren soluciones técnicas que permitan marcar, en un formato legible por máquina, y detectar que el resultado de salida ha sido generado o manipulado por un sistema de IA y no por un ser humano. Dichas técnicas y métodos deben ser lo suficientemente fiables, interoperables, eficaces y sólidos, en la medida en que sea técnicamente viable, teniendo en cuenta las técnicas disponibles o una combinación de dichas técnicas, como marcas de agua, identificación de metadatos, métodos criptográficos para demostrar la procedencia y la autenticidad del contenido, métodos de registro, impresiones dactilares u otras técnicas, según proceda. A la hora de aplicar esta obligación, los proveedores también deben tener en cuenta las especificidades y las limitaciones de los diferentes tipos de contenidos y los avances tecnológicos y del mercado pertinentes en ese ámbito, tal como se refleja en el estado de la técnica generalmente reconocido. Dichas técnicas y métodos pueden implantarse a nivel de sistema de IA o a nivel de modelo de IA, incluidos modelos de IA de uso general que generan contenidos, facilitando así el cumplimiento de esta obligación por parte del proveedor posterior del sistema de IA. Para garantizar la proporcionalidad, conviene prever que esta obligación de marcado no se aplique a los sistemas de IA que desempeñen una función de apoyo a la edición estándar o no alteren sustancialmente los datos de entrada facilitados por el responsable del despliegue o su semántica.
(134)
Az MI-rendszer szolgáltatói által alkalmazott műszaki megoldásokat illetően azon alkalmazóknak, akik MI-rendszert használnak olyan kép-, audio- vagy videotartalom létrehozására vagy manipulálására, amely érzékelhetően hasonlít meglévő személyekre, tárgyakra, helyekre, entitásokra vagy eseményekre, és egy személy számára megtévesztő módon autentikusnak vagy valóságosnak tűnhet (deepfake), egyértelműen és megkülönböztethetően fel kell tüntetniük, hogy a tartalmat mesterségesen hozták létre vagy manipulálták az MI-kimenet megfelelő címkézésével és mesterséges eredetének közzétételével. Ezen átláthatósági kötelezettségnek való megfelelés nem értelmezhető úgy, hogy az azt jelzi, hogy az MI-rendszer vagy annak kimenete akadályozza a véleménynyilvánítás szabadságához való jogot, valamint a művészet és a tudomány szabadságához való, a Chartában garantált jogot, különösen, ha a tartalom egy nyilvánvalóan kreatív, szatirikus, művészeti, fiktív vagy hasonló munka vagy program részét képezi, a harmadik felek jogaira és szabadságaira vonatkozó megfelelő biztosítékok mellett. Az említett esetekben az e rendeletben meghatározott, a deepfake tartalmakra vonatkozó átláthatósági kötelezettség az ilyen, előállított vagy manipulált tartalom olyan megfelelő módon történő felfedésére korlátozódik, amely nem akadályozza a mű megjelenítését vagy élvezetét, beleértve annak rendes kiaknázását és használatát, a mű hasznosságának és minőségének fenntartása mellett. Emellett helyénvaló hasonló felfedési kötelezettséget előirányozni az MI által előállított vagy manipulált szöveg tekintetében is, amennyiben azt a nyilvánosság közérdekű ügyekről való tájékoztatása céljából teszik közzé, kivéve, ha az MI által létrehozott tartalom emberi felülvizsgálaton vagy szerkesztői ellenőrzésen esett át, és a szerkesztői felelősséget egy természetes vagy jogi személy viseli a tartalom közzétételéért.
(134)
Además de las soluciones técnicas utilizadas por los proveedores del sistema de IA, los responsables del despliegue que utilicen un sistema de IA para generar o manipular un contenido de imagen, audio o vídeo generado o manipulado por una IA que se asemeje notablemente a personas, objetos, lugares, entidades o sucesos reales y que puede inducir a una persona a pensar erróneamente que son auténticos o verídicos (ultrasuplantaciones) deben también hacer público, de manera clara y distinguible, que este contenido ha sido creado o manipulado de manera artificial etiquetando los resultados de salida generados por la IA en consecuencia e indicando su origen artificial. El cumplimiento de esta obligación de transparencia no debe interpretarse como un indicador de que la utilización del sistema de IA o de sus resultados de salida obstaculiza el derecho a la libertad de expresión y el derecho a la libertad de las artes y de las ciencias, garantizados por la Carta, en particular cuando el contenido forme parte de una obra o programa manifiestamente creativos, satíricos, artísticos, de ficción o análogos, con sujeción a unas garantías adecuadas para los derechos y libertades de terceros. En tales casos, la obligación de transparencia en relación con las ultrasuplantaciones establecida en el presente Reglamento se limita a revelar la existencia de tales contenidos generados o manipulados de una manera adecuada que no obstaculice la presentación y el disfrute de la obra, también su explotación y uso normales, al tiempo que se conservan la utilidad y la calidad de la obra. Además, también conviene prever una obligación de divulgación similar en relación con el texto generado o manipulado por una IA en la medida en que se publique con el fin de informar al público sobre asuntos de interés público, a menos que el contenido generado por la IA haya sido sometido a un proceso de revisión humana o de control editorial y que una persona física o jurídica ejerza la responsabilidad editorial de la publicación del contenido.
(135)
Az átláthatósági kötelezettségek kötelező jellegének és teljes körű alkalmazandóságának sérelme nélkül a Bizottság ösztönözheti és megkönnyítheti olyan uniós szintű gyakorlati kódexek kidolgozását is, amelyek megkönnyítik a mesterségesen előállított vagy manipulált tartalom észlelésére és címkézésére vonatkozó kötelezettségek hatékony végrehajtását, beleértve adott esetben az észlelési mechanizmusok hozzáférhetővé tételére és az értéklánc más szereplőivel való együttműködés elősegítésére, a tartalom terjesztésére vagy hitelességének és eredetének ellenőrzésére irányuló gyakorlati intézkedések támogatását is annak érdekében, hogy a nyilvánosság képessé váljon a mesterséges intelligencián alapuló tartalmak hatékony megkülönböztetésére.
(135)
Sin perjuicio del carácter obligatorio y de la plena aplicabilidad de las obligaciones de transparencia, la Comisión podrá también fomentar y facilitar la elaboración de códigos de buenas prácticas a escala de la Unión, a fin de facilitar la aplicación eficaz de las obligaciones en materia de detección y etiquetado de contenidos generados o manipulados de manera artificial, también para apoyar disposiciones prácticas para que, según proceda, los mecanismos de detección sean accesibles y facilitar la cooperación con otros agentes de la cadena de valor, difundiendo los contenidos o comprobando su autenticidad y procedencia, a fin de que el público pueda distinguir efectivamente los contenidos generados por IA.
(136)
Az (EU) 2022/2065 rendelet hatékony végrehajtásának elősegítése érdekében különösen fontosak az e rendeletben az egyes MI-rendszerek szolgáltatóira és alkalmazóira rótt azon kötelezettségek, amelyek lehetővé teszik annak észlelését és közzétételét, hogy e rendszerek kimeneteit mesterségesen hozzák létre vagy manipulálják. Ez különösen igaz az online óriásplatformokat vagy nagyon népszerű online keresőprogramokat üzemeltető szolgáltatók azon kötelezettségeire, hogy azonosítsák és enyhítsék a mesterségesen előállított vagy manipulált tartalom terjesztéséből eredő rendszerszintű kockázatokat, különösen a demokratikus folyamatokra, a civil párbeszédre és a választási folyamatokra – többek között dezinformáció révén – gyakorolt tényleges vagy előrelátható negatív hatások kockázatát. Az MI-rendszerek által előállított tartalmak címkézésére vonatkozó, e rendelet szerinti követelmény nem érinti az (EU) 2022/2065 rendelet 16. cikkének (6) bekezdésében foglalt azon kötelezettséget, hogy a tárhelyszolgáltatók feldolgozzák az említett rendelet 16. cikkének (1) bekezdése alapján kapott, jogellenes tartalomra vonatkozó bejelentéseket, és nem befolyásolhatja az adott tartalom jogellenességére vonatkozó értékelést és döntést. Ezt az értékelést kizárólag a tartalom jogszerűségére vonatkozó szabályokra tekintettel kell elvégezni.
(136)
Las obligaciones impuestas a los proveedores y a los responsables del despliegue de determinados sistemas de IA en el presente Reglamento destinadas a permitir que se detecte y divulgue que los resultados de salida de dichos sistemas han sido generados o manipulados de manera artificial resultan especialmente pertinentes para facilitar la aplicación efectiva del Reglamento (UE) 2022/2065. Esto se aplica en particular en lo referente a las obligaciones de los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño para detectar y mitigar los riesgos sistémicos que pueden surgir de la divulgación de contenidos que hayan sido generados o manipulados de manera artificial, en particular el riesgo de los efectos negativos reales o previsibles sobre los procesos democráticos, el discurso cívico y los procesos electorales, como a través de la desinformación. La exigencia de etiquetar los contenidos generados por sistemas de IA con arreglo al presente Reglamento se entiende sin perjuicio de la obligación prevista en el artículo 16, apartado 6, del Reglamento (UE) 2022/2065 para los prestadores de servicios de alojamiento de datos de tratar las notificaciones que reciban sobre contenidos ilícitos en virtud del artículo 16, apartado 1, de dicho Reglamento, y no debe influir en la evaluación y la decisión sobre el carácter ilícito del contenido de que se trate. Dicha evaluación debe realizarse únicamente con referencia a las normas que rigen la legalidad del contenido.
(137)
Az e rendelet hatálya alá tartozó MI-rendszerekre vonatkozó átláthatósági kötelezettségeknek való megfelelés nem értelmezhető úgy, mint amely azt jelzi, hogy az MI-rendszer használata vagy annak kimenete e rendelet vagy más uniós és tagállami jogszabályok alapján jogszerű, és nem sértheti az MI-rendszerek alkalmazóira vonatkozóan az uniós vagy nemzeti jogban meghatározott egyéb átláthatósági kötelezettségeket.
(137)
El cumplimiento de las obligaciones de transparencia aplicables a los sistemas de IA que entran en el ámbito de aplicación del presente Reglamento no debe interpretarse como un indicador de que la utilización del sistema de IA o de sus resultados de salida es lícito en virtud del presente Reglamento o de otras disposiciones del Derecho de la Unión y de los Estados miembros, y debe entenderse sin perjuicio de otras obligaciones de transparencia aplicables a los responsables del despliegue de sistemas de IA establecidas en el Derecho de la Unión o nacional.
(138)
Az MI gyorsan fejlődő technológiacsalád, amelynek tekintetében szabályozási felügyeletre és biztonságos és ellenőrzött kísérleti térre van szükség, a felelősségteljes innovációnak, valamint a megfelelő biztosítékok és kockázatenyhítő intézkedések integrálásának egyidejű biztosítása mellett. Az innovációt előmozdító, időtálló és a zavarokkal szemben reziliens jogi keret biztosítása érdekében a tagállamoknak biztosítaniuk kell, hogy illetékes nemzeti hatóságaik létrehoznak legalább egy MI szabályozói tesztkörnyezetet nemzeti szinten annak érdekében, hogy megkönnyítsék az innovatív MI-rendszerek szigorú szabályozási felügyelet melletti fejlesztését és tesztelését e rendszerek forgalomba hozatala vagy más módon történő üzembe helyezése előtt. A tagállamok ezt a kötelezettséget teljesíthetnék úgy is, hogy részt vesznek már meglévő szabályozói tesztkörnyezetekben, vagy hogy egy vagy több tagállam illetékes hatóságával közösen hoznak létre tesztkörnyezet, amennyiben ez a részvétel egyenértékű nemzeti lefedettséget biztosít a részt vevő tagállamok számára. Az MI szabályozói tesztkörnyezeteket fizikai, digitális vagy hibrid formában is létre lehetne hozni, és azok fogadhatnak fizikai és digitális termékeket egyaránt. A létrehozó hatóságoknak azt is biztosítaniuk kell, hogy az MI szabályozói tesztkörnyezetek rendelkezzenek a működésükhöz szükséges megfelelő erőforrásokkal, ideértve a pénzügyi és humán erőforrásokat is.
(138)
La IA es una familia de tecnologías de rápida evolución que requiere vigilancia regulatoria y un espacio seguro y controlado para la experimentación, así como que se garantice la innovación responsable y la integración de salvaguardias éticas y medidas de reducción de riesgos adecuadas. Para conseguir un marco jurídico que promueva la innovación, resista el paso del tiempo y sea resiliente a las perturbaciones, los Estados miembros deben velar por que sus autoridades nacionales competentes establezcan al menos un espacio controlado de pruebas para la IA a escala nacional que facilite el desarrollo y la prueba de sistemas de IA innovadores bajo una estricta vigilancia regulatoria antes de su introducción en el mercado o puesta en servicio. Los Estados miembros también podrían cumplir esta obligación participando en los espacios controlados de pruebas ya existentes o estableciendo un espacio de pruebas conjuntamente con las autoridades competentes de uno o varios Estados miembros, en la medida en que dicha participación proporcione un nivel de cobertura nacional equivalente para los Estados miembros participantes. Los espacios controlados de pruebas para la IA podrían establecerse de forma física, digital o híbrida y podrán albergar productos tanto físicos como digitales. Las autoridades que los creen deben también garantizar que los espacios controlados de pruebas para la IA dispongan de recursos adecuados para su funcionamiento, incluidos recursos financieros y humanos.
(139)
Az MI szabályozói tesztkörnyezeteknek az MI-vel kapcsolatos innováció előmozdítását kell célozniuk azáltal, hogy a fejlesztési és a forgalomba hozatalt megelőző szakaszban egy ellenőrzött kísérleti és tesztelési környezetet hoznak létre annak biztosítása érdekében, hogy az innovatív MI-rendszerek megfeleljenek e rendeletnek és más releváns uniós és tagállami jogszabályoknak. Ezen felül az MI szabályozói tesztkörnyezeteknek törekedniük kell arra, hogy fokozzák a jogbiztonságot az innovátorok számára, valamint az MI-használatban rejlő lehetőségek, újonnan felmerülő kockázatok és hatások illetékes hatóságok általi felügyeletét és megértését, megkönnyítsék a szabályozói tanulást a hatóságok és a vállalkozások számára, többek között a jogi keret jövőbeli kiigazítása céljából, támogassák az MI szabályozói tesztkörnyezetben részt vevő hatóságokkal való együttműködést és a legjobb gyakorlatok megosztását, valamint felgyorsítsák a piacra jutást, többek között a kkv-k, köztük az induló innovatív vállalkozások előtt álló akadályok felszámolása révén. Az MI szabályozói tesztkörnyezeteknek Unió-szerte széles körben elérhetőnek kell lenniük, és különös figyelmet kell fordítani arra, hogy azokhoz a kkv-k, köztük az induló innovatív vállalkozások is hozzáférjenek. Az MI szabályozói tesztkörnyezetben való részvételnek olyan kérdésekre kell összpontosítania, amelyek jogbizonytalanságot vetnek fel a szolgáltatók és a leendő szolgáltatók körében, az Unión belüli innováció, a mesterséges intelligenciával való kísérletezés és a szabályozó hatóságok általi, tényeken alapuló tanuláshoz való hozzájárulás érdekében. Az MI szabályozói tesztkörnyezetben az MI-rendszerek felügyeletének ezért ki kell terjednie a rendszerek forgalomba hozatala vagy üzembe helyezése előtti fejlesztésére, betanítására, tesztelésére és validálására, valamint az olyan jelentős módosítás fogalmára és bekövetkezésére, amely új megfelelőségértékelési eljárást tehet szükségessé. Amennyiben az ilyen MI-rendszerek fejlesztése és tesztelése során jelentős kockázatok merülnek fel, azokat megfelelő módon csökkenteni kell, illetve ennek sikertelensége esetén a fejlesztési és tesztelési folyamatot fel kell függeszteni. Az MI szabályozói tesztkörnyezeteket létrehozó illetékes nemzeti hatóságoknak adott esetben célszerű együttműködniük más érintett hatóságokkal, többek között az alapvető jogok védelmét felügyelő hatóságokkal, és lehetővé tehetik az MI-ökoszisztémán belüli más szereplők, így például a nemzeti vagy európai szabványügyi szervezetek, a bejelentett szervezetek, a tesztelési és kísérleti létesítmények, a kutató- és kísérleti laboratóriumok, az európai digitális innovációs központok, valamint az érdekelt felek és a civil társadalmi szervezetek bevonását. Az Unió-szerte egységes végrehajtás és a méretgazdaságosság biztosítása érdekében helyénvaló közös szabályokat megállapítani az MI szabályozói tesztkörnyezetek végrehajtására vonatkozóan, valamint meghatározni a tesztkörnyezetek felügyeletében részt vevő érintett hatóságok közötti együttműködés keretét. Az e rendelet alapján létrehozott MI szabályozói tesztkörnyezetek nem sérthetik az egyéb olyan jogszabályokat, amelyek lehetővé teszik az e rendelettől eltérő jogszabályoknak való megfelelés biztosítását célzó egyéb tesztkörnyezetek létrehozását. Az említett egyéb szabályozói tesztkörnyezetekért felelős releváns illetékes hatóságoknak adott esetben célszerű mérlegelniük annak előnyeit, ha az említett tesztkörnyezeteket az MI-rendszerek e rendeletnek való megfelelése biztosításának céljára is igénybe veszik. Az illetékes nemzeti hatóságok és az MI szabályozói tesztkörnyezet résztvevői közötti megállapodás esetén valós körülmények közötti tesztelés is végezhető és felügyelhető az MI szabályozói tesztkörnyezet keretrendszerében.
(139)
Los espacios controlados de pruebas para la IA deben tener los objetivos de impulsar la innovación en el ámbito de la IA estableciendo un entorno de experimentación y prueba controlado en la fase de desarrollo y previa a la comercialización, con vistas a garantizar que los sistemas de IA innovadores cumplan lo dispuesto en el presente Reglamento y en otras disposiciones pertinentes del Derecho de la Unión y nacional. Además, los espacios controlados de pruebas para la IA deben tener por objeto mejorar la seguridad jurídica de que gozan los innovadores y favorecer la vigilancia de las autoridades competentes y su entendimiento de las oportunidades, los riesgos emergentes y las consecuencias del uso de la IA, de facilitar el aprendizaje normativo de las autoridades y empresas, también con vistas a futuras adaptaciones del marco jurídico, de apoyar la cooperación y el intercambio de mejores prácticas con las autoridades que intervienen en el espacio controlado de pruebas y de acelerar el acceso a los mercados, también eliminando los obstáculos para las pequeñas y medianas empresas, incluidas las empresas emergentes. Los espacios controlados de pruebas para la IA deben estar ampliamente disponibles en toda la Unión y debe prestarse especial atención a que sean accesibles para las pymes, incluidas las empresas emergentes. La participación en el espacio controlado de pruebas para la IA debe centrarse en cuestiones que generen inseguridad jurídica y que, por lo tanto, dificulten que los proveedores y los proveedores potenciales innoven y experimenten con la IA en la Unión y contribuir a un aprendizaje normativo basado en datos contrastados. Por consiguiente, la supervisión de los sistemas de IA en el espacio controlado de pruebas para la IA debe comprender su desarrollo, entrenamiento, prueba y validación antes de su introducción en el mercado o puesta en servicio, así como el concepto de «modificación sustancial» y su materialización, que puede hacer necesario un nuevo procedimiento de evaluación de la conformidad. Cualquier riesgo significativo detectado durante el proceso de desarrollo y prueba de estos sistemas de IA debe dar lugar a la adopción de medidas de reducción adecuadas y, en su defecto, a la suspensión del proceso de desarrollo y prueba. Cuando proceda, las autoridades nacionales competentes que establezcan espacios controlados de pruebas para la IA deben cooperar con otras autoridades pertinentes, incluidas las que supervisan la protección de los derechos fundamentales, y pueden dar cabida a otros agentes del ecosistema de la IA, como organizaciones de normalización nacionales o europeas, organismos notificados, instalaciones de ensayo y experimentación, laboratorios de investigación y experimentación, centros europeos de innovación digital y organizaciones de partes interesadas y de la sociedad civil pertinentes. Para garantizar una aplicación uniforme en toda la Unión y conseguir economías de escala, resulta oportuno establecer normas comunes para la creación de espacios controlados de pruebas para la IA, así como un marco para la cooperación entre las autoridades pertinentes implicadas en la supervisión de dichos espacios. Los espacios controlados de pruebas para la IA establecidos en virtud del presente Reglamento deben entenderse sin perjuicio de otros actos legislativos que permitan el establecimiento de otros espacios controlados de pruebas encaminados a garantizar el cumplimiento de actos legislativos distintos del presente Reglamento. Cuando proceda, las autoridades competentes pertinentes encargadas de esos otros espacios controlados de pruebas deben ponderar las ventajas de utilizarlos también con el fin de garantizar el cumplimiento del presente Reglamento por parte de los sistemas de IA. Previo acuerdo entre las autoridades nacionales competentes y los participantes en el espacio controlado de pruebas para la IA, las pruebas en condiciones reales también podrán gestionarse y supervisarse en el marco del espacio controlado de pruebas para la IA.
(140)
E rendeletnek jogalapot kell biztosítania az MI szabályozói tesztkörnyezetben a szolgáltatók és a leendő szolgáltatók számára ahhoz, hogy felhasználják az eltérő célból gyűjtött személyes adatokat bizonyos közérdekű MI-rendszereknek az MI szabályozói tesztkörnyezetben történő fejlesztése céljából, kizárólag meghatározott feltételek mellett, összhangban az (EU) 2016/679 rendelet 6. cikkének (4) bekezdésével és 9. cikke (2) bekezdésének g) pontjával, valamint az (EU) 2018/1725 rendelet 5., 6. és 10. cikkével összhangban, továbbá az (EU) 2016/680 irányelv 4. cikke (2) bekezdésének és 10. cikkének sérelme nélkül. Az adatkezelők minden egyéb kötelezettsége és az érintettek jogai továbbra is alkalmazandók az (EU) 2016/679 és az (EU) 2018/1725 rendelet, valamint az (EU) 2016/680 irányelv alapján. Így különösen, e rendelet nem biztosíthat jogalapot az (EU) 2016/679 rendelet 22. cikke (2) bekezdésének b) pontja és az (EU) 2018/1725 rendelet 24. cikke (2) bekezdésének b) pontja értelmében. Az MI szabályozói tesztkörnyezetben a szolgáltatóknak és a leendő szolgáltatóknak megfelelő biztosítékokat kell garantálniuk, és együtt kell működniük az illetékes hatóságokkal, többek között azáltal, hogy követik iránymutatásukat, valamint gyorsan és jóhiszeműen járnak el annak érdekében, hogy megfelelően enyhítsék a biztonságot, az egészséget és az alapvető jogokat fenyegető beazonosított, az említett tesztkörnyezetben történő fejlesztés, tesztelés és kísérletezés során esetlegesen felmerülő jelentős kockázatokat.
(140)
El presente Reglamento debe proporcionar la base jurídica para que los proveedores y los proveedores potenciales en el espacio controlado de pruebas para la IA utilicen datos personales recabados para otros fines para desarrollar determinados sistemas de IA en favor del interés público en el espacio controlado de pruebas para la IA, únicamente en determinadas condiciones, de conformidad con el artículo 6, apartado 4, y el artículo 9, apartado 2, letra g), del Reglamento (UE) 2016/679 y los artículos 5, 6 y 10 del Reglamento (UE) 2018/1725, y sin perjuicio de lo dispuesto en el artículo 4, apartado 2, y el artículo 10 de la Directiva (UE) 2016/680. Siguen siendo aplicables las demás obligaciones de los responsables del tratamiento y los derechos de los interesados en virtud del Reglamento (UE) 2016/679, el Reglamento (UE) 2018/1725 y la Directiva (UE) 2016/680. En particular, el presente Reglamento no debe ofrecer una base jurídica en el sentido del artículo 22, apartado 2, letra b), del Reglamento (UE) 2016/679 y del artículo 24, apartado 2, letra b), del Reglamento (UE) 2018/1725. Los proveedores y los proveedores potenciales en el espacio controlado de pruebas para la IA deben proporcionar las garantías adecuadas y cooperar con las autoridades competentes, también siguiendo sus indicaciones y actuando con rapidez y de buena fe para mitigar adecuadamente cualquier riesgo considerable para la seguridad, la salud y los derechos fundamentales que se detecte y pueda surgir durante el desarrollo, las pruebas y la experimentación en dicho espacio.
(141)
Az e rendelet egyik mellékletben felsorolt nagy kockázatú MI-rendszerek fejlesztési és forgalombahozatali folyamatának felgyorsítása érdekében fontos, hogy az ilyen rendszerek szolgáltatói vagy leendő szolgáltatói szintén részt vehessenek egy olyan rendszerben, amely az említett MI-rendszerek valós körülmények közötti tesztelésére szolgál, anélkül, hogy részt vennének egy MI szabályozói tesztkörnyezetben. Ilyen esetekben azonban – figyelembe véve az ilyen tesztelés egyénekre gyakorolt lehetséges következményeit – biztosítani kell, hogy e rendelet megfelelő és elégséges garanciákat és feltételeket vezessen be a szolgáltatókra vagy leendő szolgáltatókra vonatkozóan. Ilyen garanciák közé kell, hogy tartozzon többek között a természetes személyek tájékoztatáson alapuló hozzájárulásának előírása a valós körülmények közötti tesztelésben való részvételhez, kivéve a bűnüldözést, amennyiben a tájékoztatáson alapuló hozzájárulás megkérése megakadályozná az MI-rendszer tesztelését. A vizsgálati alanyoknak az ilyen tesztelésben e rendelet alapján történő részvételhez való hozzájárulása különbözik az érintettek ahhoz való hozzájárulásától, hogy személyes adataikat a releváns adatvédelmi jogszabályok alapján kezeljék, és nem sérti azt. Fontosak továbbá a következők: minimalizálni a kockázatokat és lehetővé tenni az illetékes hatóságok általi felügyeletet, és ezért előírni a leendő szolgáltatók számára, hogy a valós körülmények közötti tesztelésre vonatkozó tervet nyújtsanak be az illetékes piacfelügyeleti hatósághoz, regisztrálni a tesztelést – néhány kivételtől eltekintve – az uniós adatbázis erre szolgáló szakaszaiban, korlátozni a tesztelés elvégzésére alkalmas időszakot, és további biztosítékokat előírni a bizonyos kiszolgáltatott csoportokhoz tartozó személyek érdekében, valamint írásbeli megállapodást kötni, amely meghatározza a leendő szolgáltatók és alkalmazók szerepét és felelősségét, és a valós körülmények közötti tesztelésben részt vevő hozzáértő személyzet általi hatékony felügyeletet biztosítani. Továbbá, helyénvaló további biztosítékokat előirányozni annak biztosítása érdekében, hogy az MI-rendszer előrejelzéseit, ajánlásait vagy döntéseit ténylegesen vissza lehessen fordítani és figyelmen kívül lehessen hagyni, valamint hogy a személyes adatok védelem alatt álljanak, és törlésre kerüljenek, ha a vizsgálati alanyok visszavonták a tesztelésben való részvételhez adott hozzájárulásukat, az uniós adatvédelmi jog értelmében érintettségükből adódó jogaik sérelme nélkül. Az adatok továbbítását illetően helyénvaló annak előírása is, hogy a valós körülmények közötti tesztelés céljára gyűjtött és feldolgozott adatokat csak akkor kerüljenek továbbításra harmadik országok számára, ha az uniós jog szerint megfelelő és alkalmazandó biztosítékokat hajtanak végre – különösen a személyes adatoknak az uniós adatvédelmi jog szerinti továbbítására vonatkozó jogalapokkal összhangban –, míg a nem személyes adatok tekintetében az uniós joggal – így például az (EU) 2022/868 (42) és az (EU) 2023/2854 (43) európai parlamenti és tanácsi rendelettel – összhangban megfelelő biztosítékok kerülnek bevezetésre.
(141)
A fin de acelerar el proceso de desarrollo e introducción en el mercado de los sistemas de IA de alto riesgo enumerados en un anexo del presente Reglamento, es importante que los proveedores o proveedores potenciales de dichos sistemas también puedan beneficiarse de un régimen específico para probar dichos sistemas en condiciones reales, sin participar en un espacio controlado de pruebas para la IA. No obstante, en tales casos, teniendo en cuenta las posibles consecuencias de dichas pruebas para las personas físicas, debe garantizarse que el Reglamento establezca garantías y condiciones adecuadas y suficientes para los proveedores o proveedores potenciales. Estas garantías deben incluir, entre otras cosas, la solicitud del consentimiento informado de las personas físicas para participar en pruebas en condiciones reales, salvo en lo que respecta a la garantía del cumplimiento del Derecho cuando intentar obtener el consentimiento informado impediría que se probara el sistema de IA. El consentimiento de los sujetos para participar en tales pruebas en virtud del presente Reglamento es distinto del consentimiento de los interesados para el tratamiento de sus datos personales con arreglo al Derecho pertinente en materia de protección de datos y se entiende sin perjuicio de este. También es importante reducir al mínimo los riesgos y permitir la supervisión por parte de las autoridades competentes y, por tanto, exigir a los proveedores potenciales que presenten a la autoridad de vigilancia del mercado competente un plan de la prueba en condiciones reales, registren la prueba en las secciones específicas de la base de datos de la UE, sin perjuicio de algunas excepciones limitadas, establezcan limitaciones sobre el período durante el que puede llevarse a cabo la prueba y exijan garantías adicionales para las personas pertenecientes a determinados colectivos vulnerables, así como un acuerdo por escrito que defina las funciones y responsabilidades de los proveedores potenciales y de los responsables del despliegue y una supervisión eficaz por parte de personal competente que intervenga en la prueba en condiciones reales. Además, conviene prever garantías adicionales para asegurarse de que sea posible revertir efectivamente y descartar las predicciones, recomendaciones o decisiones del sistema de IA y de que los datos personales se protejan y se supriman cuando los sujetos retiren su consentimiento a participar en la prueba, sin perjuicio de sus derechos como interesados en virtud del Derecho de la Unión en materia de protección de datos. Por lo que respecta a la transferencia de datos, conviene también prever que los datos recopilados y tratados a efectos de las pruebas en condiciones reales solo deben transferirse a terceros países cuando existan garantías adecuadas y aplicables con arreglo al Derecho de la Unión, en particular, de conformidad con las bases para la transferencia de datos personales previstas en el Derecho de la Unión en materia de protección de datos y, en lo referente a los datos no personales, existan garantías adecuadas con arreglo al Derecho de la Unión, como los Reglamentos (UE) 2022/868 (42) y (UE) 2023/2854 (43) del Parlamento Europeo y del Consejo.
(142)
Annak biztosítására, hogy az MI társadalmi és környezeti szempontból kedvező eredményekhez vezessen, a tagállamok ösztönözve vannak arra, hogy támogassák és mozdítsák elő a társadalmi és környezeti szempontból kedvező eredményeket hozó MI-megoldásokkal – így például a fogyatékossággal élő személyek általi hozzáférhetőség javítását, a társadalmi-gazdasági egyenlőtlenségek kezelését, valamint a környezetvédelmi célok elérését célzó MI-alapú megoldásokkal – kapcsolatos kutatás-fejlesztést, azáltal, hogy elegendő forrást – ideértve az állami és uniós finanszírozást is – allokálnak, valamint – adott esetben és feltéve, hogy a jogosultsági és kiválasztási feltételek teljesülnek – különös figyelmet fordítanak az ilyen célokat előmozdító projektekre. Az ilyen projekteknek az MI-fejlesztők, az egyenlőtlenséggel és a megkülönböztetésmentességgel, az akadálymentességgel, a fogyasztói, környezeti és digitális jogokkal foglalkozó szakértők, valamint a tudományos körök közötti interdiszciplináris együttműködés elvén kell alapulniuk.
(142)
A fin de garantizar que la IA conduzca a resultados positivos desde el punto de vista social y medioambiental, se anima a los Estados miembros a que respalden y promuevan la investigación y el desarrollo de soluciones de IA en apoyo a tales resultados, como soluciones basadas en la IA para aumentar la accesibilidad para las personas con discapacidad, atajar desigualdades socioeconómicas o cumplir los objetivos en materia de medio ambiente, asignando recursos suficientes, incluidos fondos públicos y de la Unión, y, cuando proceda y siempre que se cumplan los criterios de admisibilidad y selección, teniendo en consideración especialmente proyectos que persigan tales objetivos. Dichos proyectos deben basarse en el principio de cooperación interdisciplinaria entre desarrolladores de IA, expertos en desigualdad y no discriminación, en accesibilidad y en derechos del consumidor, medioambientales y digitales, así como representantes del mundo académico.
(143)
Az innováció előmozdítása és védelme érdekében különösen figyelembe kell venni a kkv-knak – köztük az induló innovatív vállalkozásoknak – mint az MI-rendszerek szolgáltatóinak, illetve alkalmazóinak az érdekeit. E célból a tagállamoknak az említett gazdasági szereplőket célzó, többek között a figyelemfelkeltéssel és a tájékoztatással kapcsolatos kezdeményezéseket kell kidolgozniuk. A tagállamoknak az Unióban bejegyzett székhellyel vagy fiókteleppel rendelkező kkv-k, köztük az induló innovatív vállalkozások számára elsőbbségi hozzáférést kell biztosítaniuk az MI-szabályozói tesztkörnyezetekhez, feltéve, hogy a vállalkozások teljesítik a jogosultsági feltételeket és a kiválasztási szempontokat, és nem zárva ki, hogy ugyanezen feltételek és szempontok teljesítése esetén más szolgáltatók és leendő szolgáltatók is hozzáférjenek a szabályozói tesztkörnyezetekhez. A tagállamoknak ki kell használniuk a meglévő csatornákat, és adott esetben új, célzott csatornákat kell létrehozniuk a kkv-kkal – ideértve az induló innovatív vállalkozásokat is –, az alkalmazókkal, egyéb innovátorokkal és adott esetben a helyi közigazgatási szervekkel folytatott kommunikáció céljára, hogy iránymutatást nyújtsanak részükre, és megválaszolják az e rendelet végrehajtásával kapcsolatos kérdéseket. Adott esetben e csatornáknak együtt kell működniük a szinergiák kialakítása és a kkv-k – köztük az induló innovatív vállalkozások – és az alkalmazók számára nyújtott iránymutatások egységessége érdekében. Emellett a tagállamoknak meg kell könnyíteniük a kkv-k és egyéb érintett érdekelt felek részvételét a szabványalkotási folyamatokban. Ezenkívül figyelembe kell venni a kkv-k – köztük az induló innovatív vállalkozások – mint szolgáltatók sajátos érdekeit és igényeit, amikor bejelentett szervezetek állapítanak meg megfelelőségértékelési díjakat. A Bizottságnak rendszeresen értékelnie kell a kkv-k – köztük az induló innovatív vállalkozások – tanúsítási és megfelelési költségeit az alkalmazókkal folytatott átlátható konzultációk révén, és együtt kell működnie a tagállamokkal az ilyen költségek csökkentése érdekében. A kötelező dokumentációhoz és a hatóságokkal folytatott kommunikációhoz kapcsolódó fordítási költségek például jelentős mértékűek lehetnek a szolgáltatók és más gazdasági szereplők, különösen a kisebb szolgáltatók és gazdasági szereplők számára. A tagállamoknak lehetőség szerint biztosítaniuk kell, hogy az érintett szolgáltatók dokumentációja és a gazdasági szereplőkkel folytatott kommunikáció tekintetében általuk meghatározott és elfogadott nyelvek egyike olyan nyelv legyen, amelyet a lehető legtöbb, határon átnyúló tevékenységet folytató alkalmazó széles körben ért. A kkv-k – köztük az induló innovatív vállalkozások – sajátos igényeinek kezelése érdekében a Bizottságnak a Testület kérésére szabványosított mintákat kell rendelkezésre bocsátania az e rendelet hatálya alá tartozó területekre vonatkozóan. Ezenfelül a Bizottságnak a tagállami erőfeszítéseket a következők révén kell kiegészítenie: egy olyan egységes információs platform biztosítása, amely e rendelettel kapcsolatban könnyen használható információkat nyújt valamennyi szolgáltató és alkalmazó számára; megfelelő kommunikációs kampányok szervezése az e rendeletből eredő kötelezettségekkel kapcsolatos figyelemfelkeltés érdekében; valamint az MI-rendszerekre vonatkozó közbeszerzési eljárások terén a legjobb gyakorlatok közelítésének értékelése és előmozdítása. Azon középvállalkozásoknak, amelyek a 2003/361/EK bizottsági ajánlás (44) melléklete értelmében a közelmúltig kisvállalkozásnak minősültek, hozzá kell férniük az említett intézkedésekhez, mivel az említett új középvállalkozások lehet, hogy néha nem rendelkeznek az e rendelet megfelelő megértéséhez és betartásához szükséges jogi erőforrásokkal és képzéssel.
(143)
Para promover y proteger la innovación, es importante tener en particular consideración los intereses de las pymes, incluidas las empresas emergentes, que sean proveedores o responsables del despliegue de sistemas de IA. A tal fin, los Estados miembros deben desarrollar iniciativas en materia de concienciación y comunicación de información, entre otros aspectos, dirigidas a dichos operadores. Los Estados miembros deben proporcionar a las pymes, incluidas las empresas emergentes, que tengan un domicilio social o una sucursal en la Unión, un acceso prioritario a los espacios controlados de pruebas para la IA, siempre que cumplan las condiciones de admisibilidad y los criterios de selección y sin impedir que otros proveedores y proveedores potenciales accedan a los espacios controlados de pruebas, siempre que se cumplan las mismas condiciones y criterios. Los Estados miembros deben utilizar los canales existentes y establecer, cuando proceda, nuevos canales de comunicación específicos con las pymes, incluidos las empresas emergentes, los responsables del despliegue, otros innovadores y, cuando proceda, las autoridades públicas locales, para apoyar a las pymes durante toda su trayectoria de desarrollo ofreciendo orientaciones y respondiendo a las preguntas sobre la aplicación del presente Reglamento. Cuando proceda, estos canales deben trabajar juntos para crear sinergias y garantizar la homogeneidad de sus orientaciones para las pymes, incluidas las empresas emergentes, y los responsables del despliegue. Además, los Estados miembros deben fomentar la participación de las pymes y otras partes interesadas pertinentes en los procesos de desarrollo de la normalización. Asimismo, los organismos notificados deben tener en cuenta las necesidades y los intereses específicos de los proveedores que sean pymes, incluidas las empresas emergentes, cuando establezcan las tasas aplicables a las evaluaciones de la conformidad. La Comisión debe evaluar periódicamente los costes de la certificación y el cumplimiento para las pymes, incluidas las empresas emergentes, a través de consultas transparentes, y debe trabajar con los Estados miembros para reducir dichos costes. Por ejemplo, los costes de traducción ligados a la documentación obligatoria y a la comunicación con las autoridades pueden ser considerables para los proveedores y otros operadores, en particular para los de menor tamaño. En la medida de lo posible, los Estados miembros deben velar por que una de las lenguas en las que acepten que los proveedores presenten la documentación pertinente y que pueda usarse para la comunicación con los operadores sea ampliamente conocida por el mayor número posible de responsables del despliegue transfronterizos. A fin de abordar las necesidades específicas de las pymes, incluidas las empresas emergentes, la Comisión debe proporcionar modelos normalizados para los ámbitos regulados por el presente Reglamento, previa solicitud del Consejo de IA. Además, la Comisión debe complementar los esfuerzos de los Estados miembros proporcionando una plataforma única de información con información fácil de utilizar sobre el presente Reglamento para todos los proveedores y responsables del despliegue, organizando campañas de comunicación adecuadas para sensibilizar sobre las obligaciones derivadas del presente Reglamento y evaluando y fomentando la convergencia de las mejores prácticas en los procedimientos de contratación pública en relación con los sistemas de IA. Las medianas empresas que hace poco se consideraban pequeñas empresas en el sentido del anexo de la Recomendación 2003/361/CE de la Comisión (44) deben tener acceso a esas medidas de apoyo, ya que dichas nuevas medianas empresas a veces pueden carecer de los recursos jurídicos y la formación necesarios para garantizar la comprensión y el cumplimiento adecuados del presente Reglamento.
(144)
Az innováció előmozdítása és védelme érdekében az igényalapú MI-platformnak, valamint a Bizottság és a tagállamok által uniós vagy nemzeti szinten végrehajtott valamennyi vonatkozó uniós finanszírozási programnak és projektnek, így például a Digitális Európa programnak és a Horizont Európa keretprogramnak adott esetben hozzá kell járulnia e rendelet célkitűzéseinek eléréséhez.
(144)
Con el fin de promover y proteger la innovación, la plataforma de IA a la carta y todos los programas y proyectos de financiación de la Unión pertinentes, como el programa Europa Digital u Horizonte Europa, ejecutados por la Comisión y los Estados miembros a escala nacional o de la Unión deben, cuando proceda, contribuir a la consecución de los objetivos del presente Reglamento.
(145)
A piaci ismeretek és szakértelem hiányából eredő végrehajtási kockázatok minimalizálása, valamint annak elősegítése érdekében, hogy a szolgáltatók – különösen a kkv-k, köztük az induló innovatív vállalkozások – és a bejelentett szervezetek teljesítsék az e rendelet szerinti kötelezettségeiket, az igényalapú MI-platformnak, az európai digitális innovációs központoknak, valamint a Bizottság és a tagállamok által uniós vagy nemzeti szinten létrehozott tesztelési és kísérleti létesítményeknek hozzá kell járulniuk e rendelet végrehajtásához. Megbízatásuk és hatáskörük keretein belül az igényalapú MI-platform, az európai digitális innovációs központok, valamint a tesztelési és kísérleti létesítmények különösen technikai és tudományos támogatást nyújthatnak a szolgáltatóknak és a bejelentett szervezeteknek.
(145)
A fin de reducir al mínimo los riesgos para la aplicación derivados de la falta de conocimientos y experiencia en el mercado, y con el objetivo de facilitar que los proveedores, en particular las pymes, incluidas las empresas emergentes, y los organismos notificados cumplan las obligaciones que les impone el presente Reglamento, la plataforma de IA a la carta, los centros europeos de innovación digital y las instalaciones de ensayo y experimentación establecidos por la Comisión y los Estados miembros a escala nacional o de la Unión deben contribuir a la aplicación de este Reglamento. En concreto, la plataforma de IA a la carta, los centros europeos de innovación digital y las instalaciones de ensayo y experimentación son capaces de proporcionar a los proveedores y organismos notificados asistencia técnica y científica dentro de sus respectivas misiones y esferas de competencia.
(146)
Ezenfelül néhány gazdasági szereplő rendkívül kis mérete miatt, valamint az innováció költségeit illető arányosság biztosítása érdekében helyénvaló a mikrovállalkozások számára lehetővé tenni, hogy a legköltségesebb kötelezettségek egyikét – nevezetesen a minőségirányítási rendszer létrehozását – egyszerűsített formában teljesítsék, ami csökkentené az említett vállalkozások adminisztratív terheit és költségeit, anélkül, hogy befolyásolná a védelem szintjét és a nagy kockázatú MI-rendszerekre vonatkozó követelményeknek való megfelelés szükségességét. A Bizottságnak útmutatásokat kell kidolgoznia arra vonatkozóan, hogy a mikrovállalkozások számára a minőségirányítási rendszer mely elemei teljesítendők az említett egyszerűsített formában.
(146)
Además, a la luz del tamaño muy pequeño de algunos operadores y con el fin de garantizar la proporcionalidad en relación con los costes de innovación, conviene permitir que las microempresas cumplan una de las obligaciones más costosas, a saber, la de establecer un sistema de gestión de la calidad, de manera simplificada, lo que reduciría la carga administrativa y los costes para dichas empresas sin afectar al nivel de protección ni a la necesidad de cumplir los requisitos aplicables a los sistemas de IA de alto riesgo. La Comisión debe elaborar directrices para especificar los elementos del sistema de gestión de la calidad que las microempresas deben cumplir de esta manera simplificada.
(147)
Helyénvaló, hogy a Bizottság a lehető legnagyobb mértékben megkönnyítse a tesztelési és kísérleti létesítményekhez való hozzáférést a vonatkozó uniós harmonizációs jogszabályok bármelyike alapján létrehozott vagy akkreditált olyan szervek, csoportok vagy laboratóriumok számára, amelyek az említett uniós harmonizációs jogszabályok hatálya alá tartozó termékek vagy eszközök megfelelőségértékelésével kapcsolatos feladatokat látnak el. Ez különösen igaz az orvostechnikai eszközök területén működő, az (EU) 2017/745 és az (EU) 2017/746 rendelet szerinti szakértői testületekre, szakértői laboratóriumokra és referencialaboratóriumokra.
(147)
Resulta adecuado que la Comisión facilite, en la medida de lo posible, el acceso a las instalaciones de ensayo y experimentación a organismos, grupos o laboratorios establecidos o acreditados con arreglo a la legislación de armonización de la Unión pertinente y que realicen tareas en el marco de la evaluación de la conformidad de productos o dispositivos regulados por dicha legislación. Tal es el caso, en particular, en lo que respecta a los paneles de expertos, los laboratorios especializados y los laboratorios de referencia en el ámbito de los productos sanitarios, de conformidad con los Reglamentos (UE) 2017/745 y (UE) 2017/746.
(148)
E rendeletnek olyan irányítási keretet kell létrehoznia, amely lehetővé teszi mind e rendelet alkalmazásának nemzeti szintű koordinálását és támogatását, mind az uniós szintű kapacitásépítést és az AI területén érdekelt felek bevonását. E rendelet hatékony végrehajtásához és érvényesítéséhez olyan irányítási keretre van szükség, amely uniós szinten teszi lehetővé a koordinálást és a központosított szaktudás kiépítését. Az MI-hivatalt bizottsági határozat (45) hozta létre, és a küldetése az, hogy az MI területén fejlessze az uniós szakértelmet és kapacitásokat, valamint hogy hozzájáruljon az MI-re vonatkozó uniós jog végrehajtásához. A tagállamoknak segíteniük kell az MI-hivatalt feladatainak végzésében, hogy ezáltal támogassák az uniós szakértelem fejlesztését és az uniós szintű kapacitásépítést, valamint megerősítsék a digitális egységes piac működését. Továbbá, létre kell hozni a tagállamok képviselőiből álló Testületet: egy olyan tudományos testületet, amely összefogja a tudományos közösséget és egy tanácsadó fórumot annak érdekében, hogy e rendelet végrehajtásához az érdekelt felek észrevételei is hozzájáruljanak – uniós és nemzeti szinten. Az uniós szakértelem és kapacitás fejlesztése keretében fel kell használni a meglévő forrásokat és szakértelmet is, különösen az egyéb jogszabályok uniós szintű érvényesítésének összefüggésében kiépített struktúrákkal való szinergiák, valamint a kapcsolódó uniós szintű kezdeményezésekkel – így például az EuroHPC közös vállalkozással és a Digitális Európa program keretében működő MI-tesztelési és kísérleti létesítményekkel – való szinergiák révén.
(148)
El presente Reglamento debe establecer un marco de gobernanza que permita tanto coordinar y apoyar su aplicación a escala nacional, como desarrollar capacidades a escala de la Unión e integrar a las partes interesadas en el ámbito de la IA. La aplicación y el cumplimiento efectivos del presente Reglamento requieren un marco de gobernanza que permita coordinar y adquirir conocimientos especializados centrales a escala de la Unión. La Oficina de IA se creó mediante Decisión de la Comisión (45) y tiene como misión desarrollar conocimientos especializados y capacidades de la Unión en el ámbito de la IA y contribuir a la aplicación del Derecho de la Unión en materia de IA. Los Estados miembros deben facilitar las tareas de la Oficina de IA con vistas a apoyar el desarrollo de conocimientos especializados y capacidades a escala de la Unión y a fortalecer el funcionamiento del mercado único digital. Además, debe crearse un Consejo de IA compuesto por representantes de los Estados miembros, un grupo de expertos científicos para integrar a la comunidad científica y un foro consultivo para facilitar las aportaciones de las partes interesadas a la aplicación del presente Reglamento, a escala de la Unión y nacional. El desarrollo de conocimientos especializados y capacidades de la Unión también debe incluir la utilización de los recursos y conocimientos especializados existentes, en particular a través de sinergias con estructuras creadas en el contexto de la aplicación a escala de la Unión de otros actos legislativos y de sinergias con iniciativas conexas a escala de la Unión, como la Empresa Común EuroHPC y las instalaciones de ensayo y experimentación de IA en el marco del programa Europa Digital.
(149)
E rendelet zökkenőmentes, hatékony és összehangolt végrehajtásának elősegítése érdekében létre kell hozni a Testületet. A Testületnek tükröznie kell az MI-ökoszisztémán belüli különböző érdekeket, és a tagállamok képviselőiből kell állnia. A Testület felelősségi körébe kell utalni számos tanácsadói feladatot, többek között vélemények, ajánlások kiadását, tanácsadást, vagy az e rendelet végrehajtásával kapcsolatos kérdésekkel kapcsolatos iránymutatásokhoz való hozzájárulást, például a rendelet érvényesítésével, az e rendeletben megállapított követelményekre vonatkozó műszaki előírásokkal vagy meglévő szabványokkal kapcsolatban, valamint a Bizottságnak, a tagállamoknak és az illetékes nemzeti hatóságoknak az MI-vel kapcsolatos konkrét kérdésekben nyújtott tanácsadást. Annak érdekében, hogy a tagállamok némi rugalmasságot élvezzenek a Testületben részt vevő képviselőik kijelölését illetően, bármely olyan, közigazgatási szervhez tartozó személy lehet ilyen képviselő, aki rendelkezik a releváns hatáskörökkel és jogkörökkel ahhoz, hogy elősegítse a nemzeti szintű koordinációt, és hozzájáruljon a Testület feladatainak teljesítéséhez. A Testületen belül létre kell hozni két állandó alcsoportot, amelyek platformot biztosítanak a piacfelügyeleti hatóságok és a bejelentő hatóságok közötti együttműködéshez és eszmecseréhez a piacfelügyelettel, illetve a bejelentett szervezetekkel kapcsolatos kérdésekben. A piacfelügyelettel foglalkozó állandó alcsoportnak e rendelet tekintetében az (EU) 2019/1020 rendelet 30. cikke értelmében vett igazgatási együttműködési csoportként kell eljárnia. A Bizottságnak az említett rendelet 33. cikkével összhangban piacelemzések vagy tanulmányok készítése révén támogatnia kell a piacfelügyelettel foglalkozó állandó alcsoport tevékenységeit, különösen e rendelet azon aspektusainak azonosítása céljából, amelyek a piacfelügyeleti hatóságok közötti konkrét és sürgős koordinációt igényelnek. A Testület adott esetben, konkrét kérdések megvizsgálása céljából újabb állandó vagy ideiglenes alcsoportokat hozhat létre. A Testületnek adott esetben együtt kell működnie a releváns uniós joggal összefüggésben tevékenykedő releváns uniós szervekkel, szakértői csoportokkal és hálózatokkal is, különösen azokkal, amelyek az adatokra, valamint a digitális termékekre és szolgáltatásokra vonatkozó releváns uniós jog alapján tevékenykednek.
(149)
Debe establecerse un Consejo de IA que facilite la aplicación fluida, efectiva y armonizada del presente Reglamento. El Consejo de IA debe reflejar los diversos intereses del ecosistema de la IA y estar formado por representantes de los Estados miembros. El Consejo de IA debe encargarse de diversas tareas de asesoramiento. Entre otras cosas, debe emitir dictámenes, recomendaciones e informes de asesoramiento o contribuir a orientaciones sobre asuntos relacionados con la aplicación de este Reglamento, también en lo que respecta la ejecución, las especificaciones técnicas o las normas existentes en relación con los requisitos previstos en el presente Reglamento, y asesorar a la Comisión y a los Estados miembros, así como a sus autoridades nacionales competentes, en cuestiones específicas vinculadas a la IA. Con el fin de dar cierta flexibilidad a los Estados miembros en la designación de sus representantes en el Consejo de IA, cualquier persona perteneciente a una entidad pública que tenga las competencias y facultades pertinentes para facilitar la coordinación a escala nacional y contribuir al cumplimiento de las funciones del Consejo de IA podrá ser designada representante. El Consejo de IA debe establecer dos subgrupos permanentes a fin de proporcionar una plataforma de cooperación e intercambio entre las autoridades de vigilancia del mercado y las autoridades notificantes sobre cuestiones relacionadas, respectivamente, con la vigilancia del mercado y los organismos notificados. El subgrupo permanente de vigilancia del mercado debe actuar como grupo de cooperación administrativa (ADCO) para el presente Reglamento en el sentido del artículo 30 del Reglamento (UE) 2019/1020. De conformidad con el artículo 33 de dicho Reglamento, la Comisión debe apoyar las actividades del subgrupo permanente de vigilancia del mercado mediante la realización de evaluaciones o estudios de mercado, en particular con vistas a determinar los aspectos del presente Reglamento que requieran una coordinación específica y urgente entre las autoridades de vigilancia del mercado. El Consejo de IA puede establecer otros subgrupos de carácter permanente o temporal, según proceda, para examinar asuntos específicos. El Consejo de IA también debe cooperar, según proceda, con los organismos, grupos de expertos y redes pertinentes de la Unión activos en el contexto del Derecho de la Unión pertinente, incluidos, en particular, los activos en virtud del Derecho de la Unión pertinente en materia de datos y productos y servicios digitales.
(150)
Az érintett érdekelt felek e rendelet végrehajtásába és alkalmazásába történő bevonásának biztosítása érdekében tanácsadó fórumot kell létrehozni, amelynek feladata a Testület és a Bizottság tanácsadással és műszaki szakismeretekkel való támogatása. Az érdekelt felek széles körű és a kiegyensúlyozott képviseletének biztosítása érdekében – a kereskedelmi és nem kereskedelmi érdekek, valamint a kereskedelmi érdekek kategóriáján belül a kkv-k és más vállalkozások tekintetében – a tanácsadó fórumnak fel kell ölelnie többek között az ipart, az induló innovatív vállalkozásokat, a kkv-kat, a tudományos köröket, a civil társadalmat – azon belül a szociális partnereket –, valamint az Európai Unió Alapjogi Ügynökségét, az ENISA-t, az Európai Szabványügyi Bizottságot (CEN), az Európai Elektrotechnikai Szabványügyi Bizottságot (CENELEC) és az Európai Távközlési Szabványügyi Intézetet (ETSI).
(150)
Con vistas a garantizar la participación de las partes interesadas en la ejecución y aplicación del presente Reglamento, debe crearse un foro consultivo para asesorar al Consejo de IA y a la Comisión y proporcionarles conocimientos técnicos. A fin de garantizar una representación variada y equilibrada de las partes interesadas que tenga en cuenta los intereses comerciales y no comerciales y, dentro de la categoría de los intereses comerciales, por lo que se refiere a las pymes y otras empresas, el foro consultivo debe incluir, entre otros, a la industria, las empresas emergentes, las pymes, el mundo académico, la sociedad civil, en particular los interlocutores sociales, así como a la Agencia de los Derechos Fundamentales de la Unión Europea, ENISA, el Comité Europeo de Normalización (CEN), el Comité Europeo de Normalización Electrotécnica (Cenelec) y el Instituto Europeo de Normas de Telecomunicaciones (ETSI).
(151)
E rendelet végrehajtásának és érvényesítésének érdekében – különösen az MI-hivatalnak az általános célú MI-modellekkel kapcsolatos tevékenységeit illetően – létre kell hozni egy független szakértőkből álló tudományos testületet. A tudományos testület alkotó független szakértőket az MI területére vonatkozó naprakész tudományos vagy műszaki szakértelmük alapján kell kiválasztani, és a szakértőknek a feladataikat pártatlanul és objektíven kell végezniük, továbbá biztosítaniuk kell a feladataik és tevékenységeik végzése során szerzett információk és adatok titkosságát. Az e rendelet hatékony végrehajtásához szükséges nemzeti kapacitások megerősítése érdekében a tagállamok számára lehetővé kell tenni, hogy végrehajtási tevékenységeikhez a tudományos testület alkotó szakértők állományának támogatását igényeljék.
(151)
Para apoyar la aplicación y el cumplimiento del presente Reglamento, en particular las actividades de supervisión de la Oficina de IA en lo que respecta a los modelos de IA de uso general, debe crearse un grupo de expertos científicos formado por expertos independientes. Los expertos independientes que constituyan el grupo de expertos científicos deben seleccionarse sobre la base de conocimientos científicos o técnicos actualizados en el ámbito de la IA y deben desempeñar sus funciones con imparcialidad y objetividad y garantizar la confidencialidad de la información y los datos obtenidos en el ejercicio de sus funciones y actividades. A fin de permitir el refuerzo de las capacidades nacionales necesarias para el cumplimiento efectivo del presente Reglamento, los Estados miembros deben poder solicitar el apoyo de los expertos que constituyan el grupo científico para sus actividades de garantía del cumplimiento.
(152)
A megfelelő végrehajtásnak és a tagállamok MI-rendszerekre vonatkozó kapacitásainak a támogatása érdekében uniós MI-tesztelési támogató struktúrákat kell kialakítani és a tagállamok rendelkezésére bocsátani.
(152)
A fin de apoyar una ejecución adecuada en lo que respecta a los sistemas de IA y reforzar las capacidades de los Estados miembros, deben crearse y ponerse a disposición de los Estados miembros estructuras de apoyo a los ensayos de IA de la Unión.
(153)
A tagállamok kulcsszerepet játszanak e rendelet alkalmazásában és érvényesítésében. E tekintetben minden tagállamnak ki kell jelölnie legalább egy bejelentő hatóságot és legalább egy piacfelügyeleti hatóságot mint az e rendelet alkalmazásának és végrehajtásának felügyelete céljából illetékes nemzeti hatóságot. A tagállamok dönthetnek úgy, hogy – sajátos nemzeti szervezeti jellemzőikkel és szükségleteikkel összhangban – bármilyen állami szervet jelölnek ki az e rendelet értelmében vett illetékes nemzeti hatóságok feladatainak ellátására. A tagállamok oldalán a szervezeti hatékonyság növelése, valamint annak érdekében, hogy egyedüli kapcsolattartó pontot határozzanak meg a nyilvánosság és egyéb, tagállami és uniós szintű partnerek felé, minden tagállamnak ki kell jelölnie egy piacfelügyeleti hatóságot, hogy egyedüli kapcsolattartó pontként járjon el.
(153)
Los Estados miembros desempeñan un papel clave en la aplicación y ejecución del presente Reglamento. En ese sentido, cada Estado miembro debe designar al menos una autoridad notificante y al menos una autoridad de vigilancia del mercado como autoridades nacionales competentes que se encarguen de supervisar su aplicación y ejecución. Los Estados miembros pueden decidir designar cualquier tipo de entidad pública para que desempeñe las tareas de las autoridades nacionales competentes en el sentido del presente Reglamento, de conformidad con sus características y necesidades organizativas nacionales específicas. Con el fin de incrementar la eficiencia organizativa en los Estados miembros y establecer un único punto de contacto oficial con el público y otros homólogos a escala de los Estados miembros y la Unión, cada Estado miembro debe designar una autoridad de vigilancia del mercado que actúe como punto de contacto único.
(154)
Az illetékes nemzeti hatóságoknak a jogköreiket függetlenül, pártatlanul és elfogulatlanul kell gyakorolniuk, hogy ezáltal megőrizzék tevékenységeik és feladataik objektivitását, valamint biztosítsák e rendelet alkalmazását és végrehajtását. E hatóságok tagjainak tartózkodniuk kell minden, a hatáskörükkel összeférhetetlen fellépéstől, és be kell tartaniuk az e rendelet szerinti titoktartási szabályokat.
(154)
Las autoridades nacionales competentes deben ejercer sus poderes de manera independiente, imparcial y objetiva, a fin de preservar los principios de objetividad de sus actividades y funciones y garantizar la aplicación y ejecución del presente Reglamento. Los miembros de estas autoridades deben abstenerse de todo acto incompatible con el carácter de sus funciones y estar sujetos a las normas de confidencialidad establecidas en el presente Reglamento.
(155)
Annak biztosítása érdekében, hogy a nagy kockázatú MI-rendszerek szolgáltatói figyelembe tudják venni a nagy kockázatú MI-rendszerek használatával kapcsolatos tapasztalatokat rendszereik továbbfejlesztése, valamint a tervezési és fejlesztési folyamat során, vagy időben meg tudják hozni az esetlegesen szükséges korrekciós intézkedéseket, valamennyi szolgáltatónak rendelkeznie kell egy forgalomba hozatal utáni nyomonkövetési rendszerrel. Adott esetben a forgalomba hozatal utáni nyomon követésnek magában kell foglalnia az egyéb MI-rendszerekkel, többek között más eszközökkel és szoftverekkel való kölcsönhatás elemzését. A forgalomba hozatal utáni nyomon követés nem terjedhet ki a bűnüldöző hatóságnak minősülő alkalmazók érzékeny operatív adataira. E rendszer annak biztosítása szempontjából is kulcsfontosságú, hogy hatékonyabban és időben lehessen kezelni az olyan MI-rendszerekből eredő lehetséges kockázatokat, amelyek a forgalomba hozatalt vagy az üzembe helyezést követően továbbra is „tanulnak”. Ezzel összefüggésben a szolgáltatók számára elő kell írni továbbá, hogy rendelkezzenek olyan rendszerrel, amely révén bejelentik az érintett hatóságoknak az MI-rendszereik használatának eredményeként bekövetkező súlyos váratlan eseményeket, nevezetesen a halálhoz vagy súlyos egészségkárosodáshoz vezető váratlan esemény vagy hibás működést, a kritikus infrastruktúra irányításának és üzemeltetésének súlyos és visszafordíthatatlan zavarát, az alapvető jogok védelmére irányuló, uniós jog szerinti kötelezettségek megsértését, illetve a súlyos vagyoni kárt vagy súlyos környezetkárosítást.
(155)
Todos los proveedores de sistemas de IA de alto riesgo deben contar con un sistema de vigilancia poscomercialización, con vistas a garantizar que puedan tener en cuenta la experiencia con el uso de esos sistemas de cara a mejorar los suyos y el proceso de diseño y desarrollo o que puedan adoptar cualquier medida correctora en el momento oportuno. Cuando proceda, la vigilancia poscomercialización debe incluir un análisis de la interacción con otros sistemas de IA, incluidos otros dispositivos y software. La vigilancia poscomercialización no debe comprender los datos operativos sensibles de los responsables del despliegue de sistemas de IA que sean autoridades garantes del cumplimiento del Derecho. Este sistema es también fundamental para garantizar que los posibles riesgos derivados de los sistemas de IA que siguen «aprendiendo» tras su introducción en el mercado o puesta en servicio se aborden de un modo más eficiente y oportuno. En este contexto, procede exigir a los proveedores que también cuenten con un sistema para comunicar a las autoridades pertinentes cualquier incidente grave asociado al uso de sus sistemas de IA, entendido como un incidente o defecto que tenga como consecuencia un fallecimiento o daños graves para la salud, una alteración grave e irreversible de la gestión o el funcionamiento de infraestructuras críticas, el incumplimiento de obligaciones derivadas del Derecho de la Unión destinadas a proteger los derechos fundamentales o daños graves a la propiedad o al medio ambiente.
(156)
Az ezen – uniós harmonizációs jogszabálynak minősülő – rendeletben meghatározott követelmények és kötelezettségek megfelelő és hatékony végrehajtásának biztosítása érdekében az (EU) 2019/1020 rendelettel létrehozott piacfelügyeleti és termékmegfelelőségi rendszert teljes egészében alkalmazni kell. Az e rendelet alapján kijelölt piacfelügyeleti hatóságoknak rendelkezniük kell az e rendeletben és az (EU) 2019/1020 rendeletben meghatározott valamennyi végrehajtási hatáskörrel, és a feladataikat függetlenül, pártatlanul és elfogulatlanul kell végezniük. Bár az MI-rendszerek többsége e rendelet alapján nem tartozik egyedi követelmények és kötelezettségek hatálya alá, a piacfelügyeleti hatóságok intézkedéseket hozhatnak valamennyi MI-rendszer tekintetében, amennyiben azok e rendelet értelmében kockázatot jelentenek. Az e rendelet hatálya alá tartozó uniós intézmények, ügynökségek és szervek sajátos jellege miatt helyénvaló az európai adatvédelmi biztost kijelölni az esetükben illetékes piacfelügyeleti hatóságként. Ez nem érintheti az illetékes nemzeti hatóságok tagállamok általi kijelölését. A piacfelügyeleti tevékenységek nem érinthetik a felügyelt szervezetek azon képességét, hogy feladataikat függetlenül végezzék, amennyiben az ilyen függetlenséget az uniós jog előírja.
(156)
Con el objetivo de garantizar el cumplimiento adecuado y efectivo de los requisitos y obligaciones previstos en el presente Reglamento, que constituye legislación de armonización de la Unión, debe aplicarse en su totalidad el sistema relativo a la vigilancia del mercado y la conformidad de los productos establecido por el Reglamento (UE) 2019/1020. Las autoridades de vigilancia del mercado designadas con arreglo al presente Reglamento deben disponer de todos los poderes de ejecución establecidos en el presente Reglamento y en el Reglamento (UE) 2019/1020, y deben ejercer sus poderes y desempeñar sus funciones de manera independiente, imparcial y objetiva. Aunque la mayoría de los sistemas de IA no están sujetos a requisitos ni obligaciones específicos en virtud del presente Reglamento, las autoridades de vigilancia del mercado pueden adoptar medidas en relación con todos los sistemas de IA cuando estos presenten un riesgo de conformidad con el presente Reglamento. Debido a la naturaleza específica de las instituciones, órganos y organismos de la Unión que entran en el ámbito de aplicación del presente Reglamento, procede designar al Supervisor Europeo de Protección de Datos como autoridad de vigilancia del mercado competente para ellos. Esto debe entenderse sin perjuicio de la designación de autoridades nacionales competentes por parte de los Estados miembros. Las actividades de vigilancia del mercado no deben afectar a la capacidad de las entidades supervisadas para llevar a cabo sus tareas de manera independiente, cuando el Derecho de la Unión exija dicha independencia.
(157)
E rendelet nem érinti az alapvető jogok védelmére vonatkozó uniós jog alkalmazását felügyelő érintett nemzeti hatóságok és közigazgatási szervek – köztük az egyenlőség előmozdításával foglalkozó szervek és az adatvédelmi hatóságok – hatásköreit, feladatait, jogköreit és függetlenségét. Amennyiben a megbízatásuk miatt szükséges, az említett nemzeti hatóságoknak vagy közigazgatási szerveknek hozzáférést kell biztosítani az e rendelet alapján létrehozott dokumentációhoz is. Külön védintézkedési eljárást kell meghatározni az egészségre, a biztonságra és az alapvető jogokra kockázatot jelentő MI-rendszerekkel szembeni megfelelő és időben történő jogérvényesítés biztosítása érdekében. Az ilyen kockázatot jelentő MI-rendszerekre vonatkozó eljárást a kockázatot jelentő nagy kockázatú MI-rendszerekre, az e rendeletben meghatározott tiltott gyakorlatokra vonatkozó előírást megsértve forgalomba hozott, üzembe helyezett vagy használt tiltott rendszerekre, valamint az e rendeletben meghatározott átláthatósági követelmények megsértésével rendelkezésre bocsátott, és kockázatot jelentő MI-rendszerekre kell alkalmazni.
(157)
El presente Reglamento se entiende sin perjuicio de las competencias, funciones, poderes e independencia de las autoridades u organismos públicos nacionales pertinentes que supervisan la aplicación del Derecho de la Unión que protege los derechos fundamentales, incluidos los organismos de igualdad y las autoridades de protección de datos. Cuando sea necesario para su mandato, dichas autoridades u organismos públicos nacionales también deben tener acceso a cualquier documentación creada en virtud del presente Reglamento. Debe establecerse un procedimiento de salvaguardia específico para garantizar una ejecución adecuada y oportuna frente a sistemas de IA que presenten un riesgo para la salud, la seguridad o los derechos fundamentales. El procedimiento relativo a dichos sistemas de IA que presentan un riesgo debe aplicarse a los sistemas de IA de alto riesgo que presenten un riesgo, a los sistemas prohibidos que hayan sido introducidos en el mercado, puestos en servicio o utilizados contraviniendo las prácticas prohibidas establecidas en el presente Reglamento y a los sistemas de IA que hayan sido comercializados infringiendo los requisitos de transparencia establecidos en el presente Reglamento y que presenten un riesgo.
(158)
A pénzügyi szolgáltatásokra vonatkozó uniós jog magában foglal olyan belső irányítási és kockázatkezelési szabályokat és követelményeket, amelyek a szabályozott pénzügyi intézményekre alkalmazandók az említett szolgáltatások nyújtása során, többek között akkor is, ha MI-rendszereket vesznek igénybe. Az e rendelet szerinti kötelezettségek és a pénzügyi szolgáltatásokra vonatkozó uniós jogszabályok releváns szabályai és követelményei koherens alkalmazásának és érvényesítésének biztosítása érdekében az említett jogszabályok felügyeletéért és végrehajtásáért felelős illetékes hatóságokat, különösen az 575/2013/EU európai parlamenti és tanácsi rendelet (46), valamint a 2008/48/EK (47), a 2009/138/EK (48), a 2013/36/EU (49), a 2014/17/EU (50) és az (EU) 2016/97 (51) európai parlamenti és tanácsi irányelvben meghatározott illetékes hatóságokat – a saját hatáskörük keretein belül – illetékes hatóságként kell kijelölni e rendelet végrehajtásának felügyelete céljából, ideértve a piacfelügyeleti tevékenységeket is, a szabályozott és felügyelt pénzügyi intézmények által biztosított vagy használt MI-rendszerek tekintetében, kivéve, ha a tagállamok úgy döntenek, hogy ezen piacfelügyeleti feladatok ellátására egy másik hatóságot jelölnek ki. Az említett illetékes hatóságoknak rendelkezniük kell az e rendelet és az (EU) 2019/1020 rendelet szerinti valamennyi hatáskörrel az e rendeletben foglalt követelmények és kötelezettségek érvényesítése érdekében, ideértve az olyan utólagos piacfelügyeleti tevékenységek végzésére vonatkozó hatáskört is, amelyek adott esetben integrálhatók a pénzügyi szolgáltatásokra vonatkozó releváns uniós jog szerinti meglévő felügyeleti mechanizmusaikba és eljárásaikba. Helyénvaló előírni, hogy az 1024/2013/EU tanácsi rendelettel (52) létrehozott egységes felügyeleti mechanizmusban részt vevő, a 2013/36/EU irányelv alapján szabályozott hitelintézetek felügyeletéért felelős nemzeti hatóságoknak – amikor az e rendelet szerinti piacfelügyeleti hatóságokként járnak el – haladéktalanul be kell jelenteniük az Európai Központi Banknak a piacfelügyeleti tevékenységeik során azonosított minden olyan információt, amely az Európai Központi Banknak az említett rendeletben meghatározott prudenciális felügyeleti feladatai szempontjából potenciális jelentőséggel bírhat. A 2013/36/EU irányelv szerint szabályozott hitelintézetekre alkalmazandó szabályok és az e rendelet közötti összhang további növelése érdekében helyénvaló a szolgáltatók kockázatkezeléssel, forgalomba hozatal utáni nyomon követéssel és dokumentációval kapcsolatos egyes eljárási kötelezettségeit belefoglalni a 2013/36/EU irányelv szerinti meglévő kötelezettségekbe és eljárásokba. Az átfedések elkerülése érdekében korlátozott eltéréseket kell előirányozni a szolgáltatók minőségirányítási rendszerével és a nagy kockázatú MI-rendszerek alkalmazóira rótt nyomonkövetési kötelezettséggel kapcsolatban is, amennyiben ezeket a 2013/36/EU irányelv által szabályozott hitelintézetekre alkalmazni kell. A pénzügyi ágazaton belüli következetesség és egyenlő bánásmód biztosítása érdekében ugyanezt a rendszert kell alkalmazni a 2009/138/EK irányelv szerinti biztosítókra és viszontbiztosítókra és biztosítói holdingtársaságokra is, valamint az (EU) 2016/97 irányelv szerinti biztosításközvetítőkre és a pénzügyi intézmények egyéb olyan típusaira, amelyekre a pénzügyi szolgáltatásokra vonatkozó uniós jog alapján létrehozott, a belső irányításra, rendszerekre vagy eljárásokra vonatkozó követelmények vonatkoznak.
(158)
El Derecho de la Unión en materia de servicios financieros contiene normas y requisitos en materia de gobernanza interna y gestión de riesgos que las entidades financieras reguladas deben cumplir durante la prestación de dichos servicios, y también cuando utilicen sistemas de IA. Para garantizar la aplicación y ejecución coherentes de las obligaciones previstas en el presente Reglamento, así como de las normas y los requisitos oportunos de los actos jurídicos de la Unión relativos a los servicios financieros, se ha de designar a las autoridades competentes de supervisar y ejecutar dichos actos jurídicos, en particular las autoridades competentes definidas en el Reglamento (UE) n.o 575/2013 del Parlamento Europeo y del Consejo (46) y las Directivas 2008/48/CE (47), 2009/138/CE (48), 2013/36/UE (49), 2014/17/UE (50) y (UE) 2016/97 (51) del Parlamento Europeo y del Consejo, dentro de sus respectivas competencias, como las autoridades competentes encargadas de supervisar la aplicación del presente Reglamento, también por lo que respecta a las actividades de vigilancia del mercado, en relación con los sistemas de IA proporcionados o utilizados por las entidades financieras reguladas y supervisadas, a menos que los Estados miembros decidan designar a otra autoridad para que desempeñe estas tareas de vigilancia del mercado. Dichas autoridades competentes deben disponer de todos los poderes previstos en el presente Reglamento y en el Reglamento (UE) 2019/1020 para hacer cumplir los requisitos y obligaciones del presente Reglamento, incluidos los poderes para llevar a cabo actividades de vigilancia del mercado ex post que pueden integrarse, en su caso, en sus mecanismos y procedimientos de supervisión existentes en virtud del Derecho pertinente de la Unión en materia de servicios financieros. Conviene prever que, cuando actúen como autoridades de vigilancia del mercado en virtud del presente Reglamento, las autoridades nacionales responsables de la supervisión de las entidades de crédito reguladas por la Directiva 2013/36/UE que participen en el Mecanismo Único de Supervisión establecido por el Reglamento (UE) n.o 1024/2013 del Consejo (52) comuniquen sin demora al Banco Central Europeo toda información obtenida en el transcurso de sus actividades de vigilancia del mercado que pueda ser de interés para las funciones de supervisión prudencial del Banco Central Europeo especificadas en dicho Reglamento. Con vistas a aumentar la coherencia entre el presente Reglamento y las normas aplicables a las entidades de crédito reguladas por la Directiva 2013/36/UE, conviene igualmente integrar algunas de las obligaciones procedimentales de los proveedores relativas a la gestión de riesgos, la vigilancia poscomercialización y la documentación en las obligaciones y los procedimientos vigentes con arreglo a la Directiva 2013/36/UE. Para evitar solapamientos, también se deben contemplar excepciones limitadas en relación con el sistema de gestión de la calidad de los proveedores y la obligación de vigilancia impuesta a los responsables del despliegue de sistemas de IA de alto riesgo, en la medida en que estos se apliquen a las entidades de crédito reguladas por la Directiva 2013/36/UE. El mismo régimen debe aplicarse a las empresas de seguros y reaseguros y a las sociedades de cartera de seguros reguladas por la Directiva 2009/138/CE, a los intermediarios de seguros regulados por la Directiva (UE) 2016/97 y a otros tipos de entidades financieras sujetas a requisitos sobre gobernanza, sistemas o procesos internos establecidos con arreglo al Derecho pertinente de la Unión en materia de servicios financieros a fin de garantizar la coherencia y la igualdad de trato en el sector financiero.
(159)
Valamennyi, a biometria terén alkalmazott nagy kockázatú MI-rendszerekért felelős piacfelügyeleti hatóságnak – az e rendelet egyik mellékletében foglalt felsorolás szerint, amennyiben az említett rendszerek használata a következő területek céljait szolgálja: bűnüldözés, migráció, menekültügy és határellenőrzés, illetve az igazságszolgáltatás és a demokratikus folyamatok – hatékony vizsgálati és korrekciós hatáskörökkel kell rendelkeznie, amelyek magukban foglalják legalább azt, hogy a felügyeleti hatóság hozzáférjen valamennyi kezelt személyes adathoz és a feladatainak teljesítéséhez szükséges valamennyi információhoz. A piacfelügyeleti hatóságoknak képesnek kell lenniük hatásköreik teljes függetlenséggel történő gyakorlására. Az érzékeny operatív adatokhoz való, e rendelet szerinti hozzáférésük semmilyen korlátozása nem érintheti az (EU) 2016/680 irányelv által rájuk ruházott hatásköröket. Az adatoknak az e rendelet szerinti, a nemzeti adatvédelmi hatóságokkal való közlésére vonatkozó kizárás nem érintheti e hatóságok jelenlegi vagy jövőbeli, e rendelet hatályán kívül eső hatásköreit.
(159)
Cada autoridad de vigilancia del mercado para los sistemas de IA de alto riesgo en el ámbito de la biometría enumerados en un anexo del presente Reglamento, en la medida en que dichos sistemas se utilicen con fines de garantía del cumplimiento del Derecho, de migración, asilo y gestión del control fronterizo, o de la administración de justicia y los procesos democráticos, debe disponer de facultades de investigación y correctoras efectivas, incluida al menos la facultad de obtener acceso a todos los datos personales que se estén tratando y a toda la información necesaria para el desempeño de sus funciones. Las autoridades de vigilancia del mercado deben poder ejercer sus poderes actuando con total independencia. Cualquier limitación de su acceso a datos operativos sensibles en virtud del presente Reglamento debe entenderse sin perjuicio de los poderes que les confiere la Directiva (UE) 2016/680. Ninguna exclusión de la divulgación de datos a las autoridades nacionales de protección de datos en virtud del presente Reglamento debe afectar a los poderes actuales o futuros de dichas autoridades que trasciendan el ámbito de aplicación del presente Reglamento.
(160)
A piacfelügyeleti hatóságok és a Bizottság számára lehetővé kell tenni, hogy javaslatot tegyenek olyan, a piacfelügyeleti hatóságok által önállóan vagy a Bizottsággal közösen végzendő közös tevékenységekre, például közös vizsgálatokra, amelyek célja – e rendelet vonatkozásában – a megfelelés előmozdítása, a meg nem felelés feltárása, a figyelemfelhívás és az iránymutatás a nagy kockázatú MI-rendszerek azon konkrét kategóriáira tekintettel, amelyekről bebizonyosodik, hogy két vagy több tagállamban jelentenek súlyos kockázatot. A megfelelés előmozdítását célzó közös tevékenységeket az (EU) 2019/1020 rendelet 9. cikkével összhangban kell megvalósítani. Az MI-hivatalnak a közös vizsgálatokhoz koordinációs támogatást kell nyújtania.
(160)
Las autoridades de vigilancia del mercado y la Comisión deben poder proponer actividades conjuntas, incluidas investigaciones conjuntas, que deben llevar a cabo las autoridades de vigilancia del mercado o las autoridades de vigilancia del mercado junto con la Comisión, con el objetivo de fomentar el cumplimiento, detectar incumplimientos, sensibilizar y ofrecer orientaciones en relación con el presente Reglamento con respecto a las categorías específicas de sistemas de IA de alto riesgo que presentan un riesgo grave en dos o más Estados miembros. Tales actividades conjuntas para fomentar el cumplimiento deben llevarse a cabo de conformidad con el artículo 9 del Reglamento (UE) 2019/1020. La Oficina de IA debe prestar apoyo de coordinación a las investigaciones conjuntas.
(161)
Egyértelművé kell tenni az általános célú MI-modellekre épülő MI-rendszerekkel kapcsolatos uniós és nemzeti szintű feladat- és hatásköröket. A hatáskörök közötti átfedések elkerülése érdekében, amennyiben valamely MI-rendszer általános célú MI-modellre épül és mind a rendszert, mind a modellt ugyanazon szolgáltató biztosítja, a felügyeletet uniós szinten, az MI-hivatalon keresztül kell végezni: ebben az esetben az említett hivatalnak kell gyakorolnia az (EU) 2019/1020 rendelet értelmében vett piacfelügyeleti hatóság hatásköreit. Az MI-rendszerek felügyeletéért minden egyéb esetben továbbra is a nemzeti piacfelügyeleti hatóságok felelősek. Ahhoz azonban, hogy az alkalmazók az általános célú MI-rendszereket közvetlenül használhassák legalább egy, nagy kockázatúnak minősített célra, a piacfelügyeleti hatóságoknak együtt kell működniük az MI-hivatallal a megfelelőségi értékelések elvégzésében, valamint ennek megfelelően tájékoztatniuk kell a Testületet és a többi piacfelügyeleti hatóságot. Továbbá, a piacfelügyeleti hatóságok számára lehetővé kell tenni, hogy az MI-hivatal segítségét kérjék, amennyiben valamely nagy kockázatú MI-rendszer vizsgálatát nem tudják lezárni amiatt, hogy nem férnek hozzá bizonyos, a nagy kockázatú MI-rendszer alapját képező általános célú MI-modellel kapcsolatos információkhoz. Ilyen esetekben az (EU) 2019/1020 rendelet VI. fejezetében foglalt, a határokon átnyúló kölcsönös segítségnyújtásra vonatkozó eljárást kell értelemszerűen alkalmazni.
(161)
Es necesario aclarar las responsabilidades y competencias a escala de la Unión y nacional en lo que respecta a los sistemas de IA que se basan en modelos de IA de uso general. Para evitar el solapamiento de competencias, cuando un sistema de IA se base en un modelo de IA de uso general y el modelo y el sistema sean suministrados por el mismo proveedor, la supervisión debe llevarse a cabo a escala de la Unión a través de la Oficina de IA, que debe tener a estos efectos las facultades de una autoridad de vigilancia del mercado en el sentido de lo dispuesto en el Reglamento (UE) 2019/1020. En todos los demás casos, serán responsables de la supervisión de los sistemas de IA las autoridades nacionales de vigilancia del mercado. No obstante, en el caso de los sistemas de IA de uso general que puedan ser utilizados directamente por los responsables del despliegue con al menos un fin clasificado como de alto riesgo, las autoridades de vigilancia del mercado deben cooperar con la Oficina de IA para llevar a cabo evaluaciones de la conformidad e informar de ello al Consejo de IA y a otras autoridades de vigilancia del mercado. Además, las autoridades de vigilancia del mercado deben poder solicitar la asistencia de la Oficina de IA cuando la autoridad de vigilancia del mercado no pueda concluir una investigación sobre un sistema de IA de alto riesgo debido a su incapacidad para acceder a determinada información relacionada con el modelo de IA de uso general en el que se basa el sistema de IA de alto riesgo. En tales casos, debe aplicarse mutatis mutandis el procedimiento de asistencia mutua transfronteriza previsto en el capítulo VI del Reglamento (UE) 2019/1020.
(162)
Ahhoz, hogy uniós szinten a lehető legjobban ki lehessen használni a központosított uniós szakértelmet és szinergiákat, az általános célú MI-modellek szolgáltatóira vonatkozó kötelezettségekkel kapcsolatos felügyeleti és érvényesítési hatásköröket a Bizottságnak kell gyakorolnia. Az MI-hivatal számára lehetővé kell tenni minden szükséges intézkedés meghozatalát e rendeletnek az általános célú MI-modellek tekintetében történő hatékony végrehajtásának nyomon követése érdekében. Lehetővé kell tenni számára azt is, hogy az általános célú MI-modellek szolgáltatóira vonatkozó szabályok esetleges megsértésének kivizsgálását mind saját kezdeményezésre – nyomonkövetési tevékenységeinek eredményei nyomán –, mind a piacfelügyeleti hatóságok kérésére, az e rendeletben foglalt feltételekkel összhangban elvégezhesse. A hatékony nyomon követés érdekében az MI-hivatalnak biztosítania kell annak lehetőségét, hogy a downstream szolgáltatók panaszt nyújthassanak be az általános célú MI-modellek és -rendszerek szolgáltatóira vonatkozó szabályok esetleges megsértése kapcsán.
(162)
Para aprovechar al máximo la centralización de conocimientos especializados y las sinergias que se generan a escala de la Unión, deben atribuirse a la Comisión las competencias de supervisión y de control del cumplimiento de las obligaciones de los proveedores de modelos de IA de uso general. La Oficina de IA debe poder llevar a cabo todas las acciones necesarias para supervisar la aplicación efectiva del presente Reglamento en lo que respecta a los modelos de IA de uso general. Debe poder investigar posibles infracciones de las normas relativas a los proveedores de modelos de IA de uso general, tanto por iniciativa propia, a raíz de los resultados de sus actividades de supervisión, como a petición de las autoridades de vigilancia del mercado, de conformidad con las condiciones establecidas en el presente Reglamento. Para promover la eficacia de la supervisión, la Oficina de IA debe prever la posibilidad de que los proveedores posteriores presenten reclamaciones sobre posibles infracciones de las normas relativas a los proveedores de sistemas y modelos de IA de uso general.
(163)
Az általános célú MI-modellek irányítási rendszereinek kiegészítése céljából a tudományos testületnek támogatnia kell az MI-hivatal nyomonkövetési tevékenységeit, és bizonyos esetekben minősített riasztásokat küldhet az MI-hivatal számára, amelyek utókövetési intézkedésekhez – így például vizsgálatokhoz – vezethetnek. Így kell eljárni, amikor a tudományos testület okkal feltételezi, hogy valamely általános célú MI-modell uniós szinten konkrét és azonosítható kockázatot hordoz. Továbbá, így kell eljárni, amikor a tudományos testület okkal feltételezi, hogy valamely általános célú MI-modell megfelel azon kritériumoknak, amelyek a rendszerszintű kockázatot jelentő általános célú MI-modellként való besoroláshoz vezetnének. A tudományos testületnek az említett feladatok ellátásához szükséges információkkal való ellátása érdekében létre kell hozni egy mechanizmust, amelynek révén a tudományos testület felkérheti a Bizottságot, hogy valamely szolgáltatótól dokumentációt vagy információkat kérjen be.
(163)
Con el fin de complementar los sistemas de gobernanza de los modelos de IA de uso general, el grupo de expertos científicos debe contribuir a las actividades de supervisión de la Oficina de IA y, en determinados casos, puede proporcionar alertas cualificadas a la Oficina de IA que activen actuaciones consecutivas, como investigaciones. Así debe ocurrir cuando el grupo de expertos científicos tenga motivos para sospechar que un modelo de IA de uso general presenta un riesgo concreto e identificable a escala de la Unión. También debe ser este el caso cuando el grupo de expertos científicos tenga motivos para sospechar que un modelo de IA de uso general cumple los criterios que llevarían a clasificarlo como modelo de IA de uso general con riesgo sistémico. A fin de facilitar al grupo de expertos científicos la información necesaria para el desempeño de esas funciones, debe existir un mecanismo que permita al grupo de expertos científicos pedir a la Comisión que solicite documentación o información a un proveedor.
(164)
Az MI-hivatal számára lehetővé kell tenni, hogy meghozza azon intézkedéseket, amelyek az általános célú MI-modellek szolgáltatóira vonatkozóan e rendelet által meghatározott kötelezettségek hatékony végrehajtásának és betartásának nyomon követéséhez szükségesek. Az MI-hivatal számára lehetővé kell tenni, hogy az e rendelet által biztosított hatáskörrel összhangban kivizsgálja az esetleges jogsértéseket, többek között azáltal, hogy dokumentációt és információkat kér be, értékeléseket végez, valamint az általános célú MI-modellek szolgáltatóitól intézkedések foganatosítását kéri. Az értékelések végzése során – a független szakértelem bevonása céljából – az MI-hivatal számára lehetővé kell tenni, hogy független szakértőket bízzon meg az értékeléseknek az MI-hivatal nevében való elvégzésével. A kötelezettségeknek való megfelelést többek között a következők révén kell biztosítani: a megfelelő intézkedések meghozatalára való felkérés – ideértve az azonosított rendszerszintű kockázatok esetén hozott kockázatenyhítő intézkedéseket –, valamint a modell forgalmazásának korlátozása, forgalomból való kivonása vagy visszahívása. Amennyiben az e rendelet által előírt eljárási jogokon túlmenően szükséges, az általános célú MI-modellek szolgáltatói biztosíték gyanánt élhetnek az (EU) 2019/1020 rendelet 18. cikkében előírt jogokkal, amelyeket értelemszerűen, az e rendelet által előírt konkrétabb eljárási jogok sérelme nélkül kell alkalmazni.
(164)
La Oficina de IA debe poder adoptar las medidas necesarias para supervisar la aplicación efectiva y el cumplimiento de las obligaciones de los proveedores de modelos de IA de uso general establecidas en el presente Reglamento. La Oficina de IA debe poder investigar posibles infracciones de conformidad con las competencias previstas en el presente Reglamento, por ejemplo, solicitando documentación e información, realizando evaluaciones y solicitando la adopción de medidas a los proveedores de modelos de IA de uso general. En la realización de las evaluaciones, para poder contar con conocimientos especializados independientes, la Oficina de IA debe poder recurrir a expertos independientes para que lleven a cabo las evaluaciones en su nombre. Se debe poder exigir el cumplimiento de las obligaciones mediante, entre otras cosas, solicitudes de adopción de medidas adecuadas, entre las que se incluyen medidas de reducción del riesgo en caso de que se detecten riesgos sistémicos, así como la restricción de la comercialización, la retirada o la recuperación del modelo. Como salvaguardia, cuando sea necesario, además de los derechos procedimentales previstos en el presente Reglamento, los proveedores de modelos de IA de uso general deben tener los derechos procedimentales previstos en el artículo 18 del Reglamento (UE) 2019/1020, que deben aplicarse mutatis mutandis, sin perjuicio de los derechos procesales más específicos previstos en el presente Reglamento.
(165)
A nagy kockázatú MI-rendszerektől eltérő MI-rendszerek e rendelet követelményeivel összhangban történő fejlesztése az etikus és megbízható MI szélesebb körű elterjedéséhez vezethet az Unióban. A nem nagy kockázatú MI-rendszerek szolgáltatóit ösztönözni kell olyan magatartási kódexek létrehozására, ideértve a kapcsolódó irányítási mechanizmusokat is, amelyek célja előmozdítani a nagy kockázatú MI-rendszerekre alkalmazandó kötelező követelmények közül néhány vagy valamennyi önkéntes alkalmazását, az adott rendszerek rendeltetéséhez és alacsonyabb kockázati szintjéhez igazítva, valamint figyelembe véve az olyan, rendelkezésre álló műszaki megoldásokat és iparági legjobb gyakorlatokat, mint például a modell és az adatkártyák. A szolgáltatókat, valamint adott esetben valamennyi – akár nagy, akár nem nagy kockázatú – MI-rendszer és az MI-modellek fejlesztőit ösztönözni kell arra is, hogy önkéntes alapon alkalmazzanak további követelményeket például a következőkkel kapcsolatban: a megbízható mesterséges intelligenciára vonatkozó uniós etikai iránymutatás elemei; környezeti fenntarthatóság; az MI-jártassághoz kapcsolódó intézkedések; inkluzivitás és sokszínűség az MI-rendszerek tervezésében és fejlesztésében – a kiszolgáltatott személyekre és a fogyatékossággal élő személyek számára biztosított akadálymentességre fordított figyelmet is beleértve; az érdekelt feleknek az MI-rendszerek tervezésében és fejlesztésében való részvétele – adott esetben olyan érintett érdekelt felek bevonásával, mint az üzleti és a civil szféra szervezetei, a tudományos körök, a kutatóhelyek, a szakszervezetek és a fogyasztóvédelmi szervezetek –, valamint a fejlesztői csapatoknak a nemek közötti egyensúlyra is kiterjedő sokszínűsége. Hatékonyságuk biztosításának érdekében az önkéntes magatartási kódexeknek egyértelmű célkitűzéseken és az e célkitűzések elérésének mérésére szolgáló fő teljesítménymutatókon kell alapulniuk. Azokat inkluzív módon is kell kialakítani, adott esetben olyan releváns érdekelt felek bevonásával, mint az üzleti és a civil szféra szervezetei, a tudományos körök, a kutatóhelyek, a szakszervezetek és a fogyasztóvédelmi szervezetek. A Bizottság azon technikai akadályok csökkentésének megkönnyítése érdekében, amelyek gátolják a mesterséges intelligencia fejlesztésére irányuló, határokon átnyúló adatcserét, kezdeményezéseket dolgozhat ki – többek között ágazati jellegűeket is – például az adathozzáférési infrastruktúrára, valamint a különböző típusú adatok szemantikai és műszaki interoperabilitására vonatkozóan.
(165)
El desarrollo de sistemas de IA que no sean sistemas de IA de alto riesgo conforme a los requisitos establecidos en el presente Reglamento puede dar lugar a la adopción más amplia de una IA ética y fiable en la Unión. Se debe alentar a los proveedores de sistemas de IA que no son de alto riesgo a crear códigos de conducta, entre los que se incluyen los correspondientes mecanismos de gobernanza, destinados a impulsar la aplicación voluntaria de la totalidad o parte de los requisitos aplicables a los sistemas de IA de alto riesgo, adaptados teniendo en cuenta la finalidad prevista de los sistemas y el menor riesgo planteado y teniendo en cuenta las soluciones técnicas disponibles y las mejores prácticas del sector, como las tarjetas de modelo y de datos Asimismo, se debe animar a los proveedores y, en su caso, a los responsables del despliegue de todos los sistemas de IA, ya sean o no de alto riesgo, y de los modelos de IA, a aplicar, con carácter voluntario, requisitos adicionales relativos, por ejemplo, a los elementos de las Directrices éticas de la Unión para una IA fiable, la sostenibilidad medioambiental, medidas de alfabetización en materia de IA, la inclusividad y la diversidad en el diseño y el desarrollo de los sistemas de IA, lo que incluye tener en cuenta a las personas vulnerables y la accesibilidad de las personas con discapacidad, la participación de las partes interesadas, con la participación, según proceda, de las partes interesadas pertinentes, como las organizaciones empresariales y de la sociedad civil, el mundo académico, los organismos de investigación, los sindicatos y las organizaciones de protección de los consumidores, en el diseño y el desarrollo de los sistemas de IA, y la diversidad de los equipos de desarrollo, también por lo que respecta a la paridad de género. Para garantizar la efectividad de los códigos de conducta voluntarios, estos deben basarse en objetivos claros e indicadores clave del rendimiento que permitan medir la consecución de dichos objetivos. También deben desarrollarse de manera inclusiva, según proceda, con la participación de las partes interesadas pertinentes, como las organizaciones empresariales y de la sociedad civil, el mundo académico, los organismos de investigación, los sindicatos y las organizaciones de protección de los consumidores. La Comisión podría formular iniciativas, también de carácter sectorial, encaminadas a facilitar la disminución de los obstáculos técnicos que dificultan el intercambio transfronterizo de datos para el desarrollo de la IA, también en relación con la infraestructura de acceso a los datos y la interoperabilidad semántica y técnica de distintos tipos de datos.
(166)
Fontos, hogy a forgalomba hozatalkor vagy az üzembe helyezéskor azok a termékekhez kapcsolódó MI-rendszerek is biztonságosak legyenek, amelyek e rendelet értelmében nem nagy kockázatúak, és ezért nem kötelesek megfelelni a nagy kockázatú MI-rendszerekre vonatkozóan meghatározott követelményeknek. E cél elérése érdekében biztonsági hálóként alkalmazni kellene az (EU) 2023/988 európai parlamenti és tanácsi rendeletet (53).
(166)
Es importante que los sistemas de IA asociados a productos que el presente Reglamento no considera de alto riesgo y que, por lo tanto, no están obligados a cumplir los requisitos establecidos para los sistemas de IA de alto riesgo sean, no obstante, seguros una vez introducidos en el mercado o puestos en servicio. Para contribuir a este objetivo, se aplicaría, como red de seguridad, el Reglamento (UE) 2023/988 del Parlamento Europeo y del Consejo (53).
(167)
Az illetékes hatóságok uniós és nemzeti szinten folytatott megbízható és konstruktív együttműködésének biztosítása érdekében az e rendelet alkalmazásában részt vevő valamennyi félnek tiszteletben kell tartania a feladatai ellátása során megszerzett információk és adatok bizalmas jellegét, az uniós és a nemzeti joggal összhangban. Feladataikat és tevékenységeiket oly módon kell végezniük, hogy védjék különösen a szellemitulajdon-jogokat, a bizalmas üzleti információkat és az üzleti titkokat, e rendelet hatékony végrehajtását, a köz- és nemzetbiztonsági érdekeket, a büntetőjogi és a közigazgatási eljárások integritását, valamint a minősített adatok sértetlenségét.
(167)
Todas las partes implicadas en la aplicación del presente Reglamento deben respetar la confidencialidad de la información y los datos que obtengan en el ejercicio de sus funciones, de conformidad con el Derecho de la Unión o nacional, con vistas a garantizar una cooperación fiable y constructiva entre las autoridades competentes a escala de la Unión y nacional. Deben desempeñar sus funciones y actividades de manera que se protejan, en particular, los derechos de propiedad intelectual e industrial, la información empresarial confidencial y los secretos comerciales, la aplicación eficaz del presente Reglamento, los intereses de seguridad pública y nacional, la integridad de los procedimientos penales y administrativos y la integridad de la información clasificada.
(168)
Az e rendelet szerinti kötelezettségeknek való megfelelést bírságok kiszabása és egyéb végrehajtási intézkedések útján kell biztosítani. A tagállamoknak minden szükséges intézkedést meg kell tenniük az e rendeletben foglalt rendelkezések végrehajtásának biztosítása érdekében, többek között azáltal, hogy hatékony, arányos és visszatartó erejű szankciókat állapítanak meg a megsértésük esetére, és biztosítaniuk kell a kétszeres eljárás alá vonás és a kétszeres büntetés tilalmának tiszteletben tartását. Az e rendelet megsértése esetén alkalmazandó közigazgatási szankciók megerősítése és harmonizálása érdekében meg kell állapítani az egyes konkrét jogsértések esetében kiszabandó közigazgatási bírságok felső határait. A bírságok összegének megállapításakor a tagállamoknak minden egyes esetben figyelembe kell venniük a konkrét helyzet valamennyi releváns körülményét, kellő figyelmet fordítva különösen a jogsértés és következményeinek jellegére, súlyosságára és időtartamára, valamint a szolgáltató méretére, különösen akkor, ha a szolgáltató egy kkv, ideértve az induló innovatív vállalkozásokat (start-up) is. Az európai adatvédelmi biztosnak hatáskörrel kell rendelkeznie arra, hogy pénzbírságot szabjon ki az e rendelet hatálya alá tartozó uniós intézményekre, ügynökségekre és szervekre.
(168)
Se debe poder exigir el cumplimiento del presente Reglamento mediante la imposición de sanciones y otras medidas de ejecución. Los Estados miembros deben tomar todas las medidas necesarias para garantizar que se apliquen las disposiciones del presente Reglamento, también estableciendo sanciones efectivas, proporcionadas y disuasorias para las infracciones, y para respetar el principio de non bis in idem. A fin de reforzar y armonizar las sanciones administrativas por infracción del presente Reglamento, deben establecerse los límites máximos para la imposición de las multas administrativas en el caso de ciertas infracciones concretas. A la hora de determinar la cuantía de las multas, los Estados miembros deben tener en cuenta, en cada caso concreto, todas las circunstancias pertinentes de la situación de que se trate, considerando especialmente la naturaleza, gravedad y duración de la infracción y de sus consecuencias, así como el tamaño del proveedor, en particular si este es una pyme o una empresa emergente. El Supervisor Europeo de Protección de Datos debe estar facultado para imponer multas a las instituciones, los órganos y los organismos de la Unión incluidos en el ámbito de aplicación del presente Reglamento.
(169)
Az általános célú MI-modellek szolgáltatóinak e rendeletben előírt kötelezettségeinek való megfelelést többek között pénzbírságok kiszabása útján kell biztosítani. E célból az említett kötelezettségek megszegése esetére – ideértve a Bizottság által e rendelettel összhangban megkövetelt intézkedéseknek való megfelelés elmulasztását is – megfelelő mértékű pénzbírságokat kell meghatározni, figyelembe véve a megfelelő elévülési időket, az arányosság elvével összhangban. A Bizottság által e rendelet alapján hozott valamennyi határozatot az EUMSZ-szel összhangban az Európai Unió Bírósága felülvizsgálhatja, ideértve a Bíróságnak a büntetések tekintetében az EUMSZ 261. cikke értelmében fennálló korlátlan joghatóságát is.
(169)
Se debe poder exigir el cumplimiento de las obligaciones impuestas en virtud del presente Reglamento a los proveedores de modelos de IA de uso general mediante, entre otras cosas, la imposición de multas. A tal fin, también deben establecerse multas de una cuantía apropiada en caso de incumplimiento de dichas obligaciones, lo que incluye el incumplimiento de las medidas solicitadas por la Comisión de conformidad con el presente Reglamento, con sujeción a los plazos de prescripción pertinentes de conformidad con el principio de proporcionalidad. Todas las decisiones adoptadas por la Comisión en virtud del presente Reglamento están sujetas al control del Tribunal de Justicia de la Unión Europea, de conformidad con lo dispuesto en el TFUE, incluida la competencia jurisdiccional plena del Tribunal de Justicia en materia de sanciones con arreglo al artículo 261 del TFUE.
(170)
Az uniós és a nemzeti jog már jelenleg is hatékony jogorvoslatokat ír elő azon természetes és jogi személyek számára, akik, illetve amelyek jogait és szabadságait az MI-rendszerek kedvezőtlenül érintik. E jogorvoslatok sérelme nélkül, bármely olyan természetes vagy jogi személy, aki vagy amely okkal feltételezi, hogy e rendelet rendelkezéseit megsértették, panaszt nyújthat be a megfelelő piacfelügyeleti hatósághoz.
(170)
El Derecho de la Unión y nacional ya prevén vías de recurso efectivas para las personas físicas y jurídicas cuyos derechos y libertades se vean perjudicados por el uso de sistemas de IA. Sin perjuicio de dichas vías de recurso, toda persona física o jurídica que tenga motivos para considerar que se ha producido una infracción del presente Reglamento debe tener derecho a presentar una reclamación ante la autoridad de vigilancia del mercado pertinente.
(171)
Az érintett személyek számára biztosítani kell az ahhoz való jogot, hogy magyarázatot kapjanak abban az esetben, ha valamely alkalmazó döntése elsősorban bizonyos, e rendelet hatálya alá tartozó, nagy kockázatú MI-rendszerek kimenetén alapul, és ha az említett döntés olyan joghatásokat vagy az említett személyeket hasonlóan jelentősen érintő, olyan hatásokat vált ki, amelyek megítélésük szerint kedvezőtlen hatást gyakorolnak egészségükre, biztonságukra vagy alapvető jogaikra nézve. Az említett magyarázatnak egyértelműnek és érdeminek kell lennie, és olyannak, amely az érintett személyek számára alapot biztosít jogaik gyakorlásához. A magyarázathoz való jog nem alkalmazandó azon MI-rendszerek használatára, amelyekre az uniós vagy a nemzeti jogból következően kivételek vagy korlátozások vonatkoznak, valamint csak annyiban alkalmazandó, amennyiben arról az uniós jog még nem rendelkezik.
(171)
Las personas afectadas deben tener derecho a obtener una explicación cuando la decisión de un responsable del despliegue se base principalmente en los resultados de salida de determinados sistemas de IA de alto riesgo que entran dentro del ámbito de aplicación del presente Reglamento y cuando dicha decisión produzca efectos jurídicos o afecte significativamente de modo similar a dichas personas, de manera que consideren que tiene un efecto negativo en su salud, su seguridad o sus derechos fundamentales. Dicha explicación debe ser clara y significativa y servir de base para que las personas afectadas puedan ejercer sus derechos. El derecho a obtener una explicación no debe aplicarse a la utilización de sistemas de IA para los que se deriven excepciones o restricciones con arreglo al Derecho nacional o de la Unión, y solo debe aplicarse en la medida en que este derecho no esté ya previsto en el Derecho de la Unión.
(172)
Az e rendelet megsértését bejelentő személyeket az uniós jog alapján védelemben kell részesíteni. Az e rendelet megsértéseinek bejelentésére és az ilyen jogsértéseket bejelentő személyek védelmére tehát alkalmazni kell az (EU) 2019/1937 európai parlamenti és tanácsi irányelvet (54).
(172)
Las personas que informen sobre infracciones del presente Reglamento deben quedar protegidas por el Derecho de la Unión. Así pues, cuando se informe sobre infracciones del presente Reglamento y en lo que respecta a la protección de las personas que informen sobre dichas infracciones debe aplicarse la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo (54).
(173)
Annak biztosítása érdekében, hogy a szabályozási keret szükség esetén kiigazítható legyen, a Bizottságot fel kell hatalmazni arra, hogy az EUMSZ 290. cikkének megfelelően jogi aktusokat fogadjon a következők módosítása céljából: azon feltételek, amelyek mellett egy MI-rendszert nem minősülhet nagy kockázatúnak; a nagy kockázatú MI-rendszerek listája; a műszaki dokumentációra vonatkozó rendelkezések; az EU-megfelelőségi nyilatkozat tartalma; a megfelelőségértékelési eljárásokra vonatkozó rendelkezések; azon a rendelkezések, amelyek megállapítják, hogy mely nagy kockázatú MI-rendszerekre kell a minőségirányítási rendszerek értékelésén és a műszaki dokumentáció értékelésén alapuló megfelelőségértékelési eljárást alkalmazni; a rendszerszintű kockázatot jelentő általános célú MI-modellek besorolására vonatkozó szabályokban foglalt küszöbérték, referenciaértékek és mutatók, többek között az említett referenciaértékek és mutatók kiegészítése révén; a rendszerszintű kockázatot jelentő általános célú MI-modellek megjelölésére vonatkozó kritériumok; műszaki dokumentáció az általános célú MI-modellek szolgáltatói számára; és az általános célú MI-modellek szolgáltatóira vonatkozó átláthatósági információk. Különösen fontos, hogy a Bizottság az előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten is, és hogy e konzultációkra a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban (55) megállapított elvekkel összhangban kerüljön sor. Így különösen, a felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlament és a Tanács a tagállamok szakértőivel egyidejűleg kézhez kap minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein.
(173)
A fin de garantizar que el marco reglamentario pueda adaptarse cuando sea necesario, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del TFUE de modo que pueda modificar las condiciones en las que un sistema de IA no debe considerarse un sistema de alto riesgo, la lista de sistemas de IA de alto riesgo, las disposiciones relativas a la documentación técnica, el contenido de la declaración UE de conformidad, las disposiciones relativas a los procedimientos de evaluación de la conformidad, las disposiciones que establecen a qué sistemas de IA de alto riesgo debe aplicarse el procedimiento de evaluación de la conformidad basado en la evaluación del sistema de gestión de la calidad y en la evaluación de la documentación técnica, el umbral, los parámetros de referencia y los indicadores, lo que incluye la posibilidad de complementar dichos parámetros de referencia e indicadores, de las normas de clasificación de los modelos de IA de uso general con riesgo sistémico, los criterios para clasificar un modelo como modelo de IA de uso general con riesgo sistémico, la documentación técnica para los proveedores de modelos de IA de uso general y la información sobre transparencia para los proveedores de modelos de IA de uso general. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación (55). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.
(174)
A gyors technológiai fejlődésre és az e rendelet hatékony alkalmazásához szükséges műszaki szakértelemre tekintettel, a Bizottságnak 2029. augusztus 2-ig, és ezt követően négyévente értékelnie kell és felül kell vizsgálnia e rendeletet, és jelentést kell tennie az Európai Parlamentnek és a Tanácsnak. Emellett a Bizottságnak – figyelembe véve az e rendelet hatályára gyakorolt hatásokat – évente egyszer el kell végeznie annak vizsgálatát, hogy szükség van-e a nagy kockázatú MI-rendszerek listájának és a tiltott gyakorlatok jegyzékének módosítására. Ezenfelül a Bizottságnak 2028. augusztus 2-ig, és ezt követően négyévente értékelnie kell azt, és jelentést kell tennie az Európai Parlamentnek és a Tanácsnak arról, hogy szükség van-e a következők módosítására, a további intézkedések vagy fellépések szükségességét is beleértve: a nagy kockázatú területekre vonatkozó címek e rendelet mellékletében foglalt felsorolása; az átláthatósági kötelezettségek hatókörébe tartozó MI-rendszerek; a felügyeleti és irányítási rendszer hatékonysága; valamint az általános célú MI-modellek energiahatékony fejlesztésével kapcsolatos szabvány jellegű dokumentumok kidolgozásának előrehaladása. Végül, a Bizottságnak 2028. augusztus 2-ig, és ezt követően háromévente értékelnie kell az önkéntes magatartási kódexek hatását és hatékonyságát, hogy előmozdítsa a nagy kockázatú MI-rendszerekre előírt követelményeknek a nagy kockázatú MI-rendszerektől eltérő MI-rendszerek esetében való alkalmazását és esetleg az ilyen MI-rendszerekre vonatkozó további követelmények alkalmazását.
(174)
Habida cuenta de los rápidos avances tecnológicos y de los conocimientos técnicos necesarios para la aplicación efectiva del presente Reglamento, la Comisión debe evaluar y revisar el presente Reglamento a más tardar el 2 de agosto de 2029 y posteriormente cada cuatro años e informar al Parlamento Europeo y al Consejo. Además, teniendo en cuenta las implicaciones por lo que respecta al ámbito de aplicación del presente Reglamento, la Comisión debe llevar a cabo una evaluación de la necesidad de modificar la lista de sistemas de IA de alto riesgo y la lista de prácticas prohibidas una vez al año. Asimismo, a más tardar 2 de agosto de 2028 y posteriormente cada cuatro años, la Comisión debe evaluar y comunicar al Parlamento Europeo y al Consejo la necesidad de modificar la lista de ámbitos de alto riesgo que figura en el anexo del presente Reglamento, los sistemas de IA incluidos en el ámbito de aplicación de las obligaciones de transparencia, la eficacia del sistema de supervisión y gobernanza y los avances en el desarrollo de documentos de normalización sobre el desarrollo eficiente desde el punto de vista energético de modelos de IA de uso general, incluida la necesidad de medidas o acciones adicionales. Por último, a más tardar el 2 de agosto de 2028 y posteriormente cada tres años, la Comisión debe evaluar la repercusión y la eficacia de los códigos de conducta voluntarios para fomentar la aplicación de los requisitos establecidos para los sistemas de IA de alto riesgo a los sistemas de IA que no sean sistemas de IA de alto riesgo y, posiblemente, otros requisitos adicionales para dichos sistemas de IA.
(175)
E rendelet végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek (56) megfelelően kell gyakorolni.
(175)
A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (56).
(176)
Mivel e rendelet célját – nevezetesen a belső piac működésének javítását és az emberközpontú és megbízható MI elterjedésének előmozdítását, egyúttal az Unióban az egészség, a biztonság és a Chartában rögzített alapvető jogok, többek között a demokrácia, a jogállamiság és a környezetvédelem magas szintű védelmének biztosítását az MI-rendszerek káros hatásaival szemben, valamint az innováció támogatását – a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés terjedelme és hatása miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat a szubszidiaritásnak az EUSZ 5. cikkében foglalt elvével összhangban. Az arányosságnak az említett cikkben foglalt elvével összhangban e rendelet nem lépi túl az e cél eléréséhez szükséges mértéket.
(176)
Dado que el objetivo del presente Reglamento, a saber, mejorar el funcionamiento del mercado interior y promover la adopción de una IA centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, frente a los efectos perjudiciales de los sistemas de IA en la Unión, así como brindar apoyo a la innovación, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a sus dimensiones y efectos, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del TUE. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.
(177)
A jogbiztonság biztosítása, a gazdasági szereplők számára megfelelő alkalmazkodási időszak biztosítása, valamint a piaci zavarok elkerülése érdekében – többek között az MI-rendszerek folytonos használatának biztosítása révén – helyénvaló, hogy e rendelet csak akkor legyen alkalmazandó az alkalmazásának általános időpontja előtt forgalomba hozott vagy üzembe helyezett nagy kockázatú MI-rendszerekre, ha az említett időponttól kezdve az említett rendszerek kialakításában vagy rendeltetésében jelentős változások következnek be. Helyénvaló egyértelművé tenni, hogy e tekintetben a jelentős változás fogalmát úgy kell értelmezni, hogy az lényegében egyenértékű a jelentős módosítás azon fogalmával, amelyet csak az e rendelet szerinti nagy kockázatú MI-rendszerek tekintetében használnak. Kivételesen és a nyilvános elszámoltathatóságra tekintettel, az e rendelet egyik mellékletében felsorolt jogi aktusokkal létrehozott nagy méretű informatikai rendszerek alkotóelemeit képező MI-rendszerek üzemeltetőinek, illetve a hatóságok által használni kívánt nagy kockázatú MI-rendszerek üzemeltetőinek meg kell tenniük a szükséges lépéseket annak érdekében, hogy 2030 végéig és 2030. augusztus 2-ig megfeleljenek e rendelet követelményeinek.
(177)
A fin de garantizar la seguridad jurídica, garantizar un período de adaptación adecuado para los operadores y evitar perturbaciones del mercado, también garantizando la continuidad del uso de los sistemas de IA, es conveniente que el presente Reglamento se aplique a los sistemas de IA de alto riesgo que se hayan introducido en el mercado o se hayan puesto en servicio antes de la fecha general de aplicación del Reglamento únicamente si, a partir de esa fecha, dichos sistemas se ven sometidos a cambios significativos en su diseño o su finalidad prevista. Conviene aclarar que, a este respecto, el concepto de «cambio significativo» debe entenderse como equivalente en sustancia al de «modificación sustancial», que se utiliza únicamente con respecto a los sistemas de IA de alto riesgo de conformidad con el presente Reglamento. Con carácter excepcional y a efectos de la rendición pública de cuentas, los operadores de sistemas de IA que sean componentes de sistemas informáticos de gran magnitud establecidos por los actos jurídicos enumerados en un anexo del presente Reglamento y los operadores de sistemas de IA de alto riesgo destinados a ser utilizados por las autoridades públicas deben adoptar, respectivamente, las medidas necesarias para cumplir los requisitos del presente Reglamento antes del final de 2030 y, a más tardar el 2 de agosto de 2030.
(178)
A nagy kockázatú MI-rendszerek szolgáltatóit ösztönzik arra, hogy – önkéntes alapon – már az átmeneti időszakban kezdjenek el megfelelni e rendelet releváns kötelezettségeinek.
(178)
Se anima a los proveedores de sistemas de IA de alto riesgo a que empiecen a cumplir, de forma voluntaria, las obligaciones pertinentes del presente Reglamento ya durante el período transitorio.
(179)
Ezt a rendeletet 2026. augusztus 2-től kell alkalmazni. Ugyanakkor – tekintettel az MI bizonyos módokon történő használatához kapcsolódó elfogadhatatlan kockázatra – e rendelet tilalmait és általános rendelkezéseit már 2025. február 2-től alkalmazni kell. Míg az említett tilalmak hatálya az irányítás létrehozásával és e rendelet végrehajtásával válik teljessé, a tilalmak előzetes alkalmazása fontos az elfogadhatatlan kockázatok figyelembevétele, valamint a más – például polgári jogi – eljárásokra való hatásgyakorlás szempontjából. Ezenfelül az irányítással és a megfelelőségértékelési rendszerrel kapcsolatos infrastruktúrának 2026. augusztus 2. előtt működőképesnek kell lennie, ezért a bejelentett szervezetekre és az irányítási struktúrára vonatkozó rendelkezéseket 2025. augusztus 2-től kell alkalmazni. A technológiai fejlődésnek és az általános célú MI-modellek bevezetésének gyors ütemére tekintettel, az általános célú MI-modellek szolgáltatóira vonatkozó kötelezettségeket 2025. augusztus 2-től kell alkalmazni. A gyakorlati kódexeknek 2025. május 2-ig kell elkészülniük annak érdekében, hogy a szolgáltatók számára lehetővé váljon a megfelelés időben való igazolása. Az MI-hivatalnak biztosítania kell, hogy a besorolási szabályok és eljárások a technológiai fejlődés fényében naprakészek legyenek. Emellett a tagállamoknak meg kell állapítaniuk a szankciókra, többek között a közigazgatási bírságokra vonatkozó szabályokat, azokról értesíteniük kell a Bizottságot, és biztosítaniuk kell, hogy azokat e rendelet alkalmazásának kezdőnapjáig megfelelően és hatékonyan végrehajtsák. Ezért a szankciókra vonatkozó rendelkezéseket 2025. augusztus 2-től kell alkalmazni.
(179)
El presente Reglamento debe aplicarse a partir del 2 de agosto de 2026. No obstante, teniendo en cuenta el riesgo inaceptable asociado a determinadas formas de uso de la IA, las prohibiciones, así como las disposiciones generales del presente Reglamento, deben aplicarse ya desde el 2 de febrero de 2025. Aunque dichas prohibiciones no surtan pleno efecto hasta después del establecimiento de la gobernanza y la aplicación del presente Reglamento, es importante anticipar la aplicación de las prohibiciones para tener en cuenta los riesgos inaceptables y adaptar otros procedimientos, por ejemplo, en el ámbito del Derecho civil. Además, la infraestructura relacionada con la gobernanza y el sistema de evaluación de la conformidad deben estar operativos antes de esa fecha, por lo que las disposiciones relativas a los organismos notificados y la estructura de gobernanza deben ser aplicables a partir del 2 de agosto de 2026. Dada la rápida evolución tecnológica y el elevado ritmo de adopción de modelos de IA de uso general, las obligaciones de los proveedores de modelos de IA de uso general deben aplicarse desde el 2 de agosto de 2025. Los códigos de buenas prácticas deben estar finalizados a más tardar el 2 de mayo de 2025 al objeto de permitir a los proveedores demostrar el cumplimiento de sus obligaciones dentro del plazo previsto. La Oficina de IA debe velar por que las normas y los procedimientos de clasificación estén actualizados con arreglo a los avances tecnológicos. Asimismo, los Estados miembros deben establecer y poner en conocimiento de la Comisión las normas referentes a las sanciones, incluidas las multas administrativas, y asegurarse de que para la fecha de aplicación del presente Reglamento se apliquen de manera adecuada y efectiva. Por lo tanto, las disposiciones relativas a las sanciones deben aplicarse a partir del 2 de agosto de 2025.
(180)
Az (EU) 2018/1725 rendelet 42. cikkének (1) és (2) bekezdésével összhangban konzultációra került sor az európai adatvédelmi biztossal és az Európai Adatvédelmi Testülettel, aki és amely 2021. június 18-án nyilvánított közös véleményt,
(180)
El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos, a los que se consultó de conformidad con el artículo 42, apartados 1 y 2, del Reglamento (UE) 2018/1725, emitieron su dictamen conjunto el 18 de junio de 2021.
ELFOGADTA EZT A RENDELETET:
HAN ADOPTADO EL PRESENTE REGLAMENTO:
(1) E rendelet a következőkre alkalmazandó:
1. El presente Reglamento se aplicará a:
a)
az Unióban MI-rendszereket forgalomba hozó vagy üzembe helyező, vagy általános célú MI-modelleket forgalomba hozó szolgáltatók, függetlenül attól, hogy az említett szolgáltatók letelepedési vagy tartózkodási helye az Unióban vagy harmadik országban van-e;
a)
los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o que introduzcan en el mercado modelos de IA de uso general en la Unión, con independencia de si dichos proveedores están establecidos o ubicados en la Unión o en un tercer país;
b)
az MI-rendszerek azon alkalmazói, amelyek letelepedési vagy tartózkodási helye az Unión belül van;
b)
los responsables del despliegue de sistemas de IA que estén establecidos o ubicados en la Unión;
c)
az MI-rendszerek azon szolgáltatói és alkalmazói, amelyek letelepedési vagy tartózkodási helye harmadik országban van, amennyiben az MI-rendszer által előállított kimenet használatára az Unióban kerül sor;
c)
los proveedores y responsables del despliegue de sistemas de IA que estén establecidos o ubicados en un tercer país, cuando los resultados de salida generados por el sistema de IA se utilicen en la Unión;
d)
az MI-rendszerek importőrei és forgalmazói;
d)
los importadores y distribuidores de sistemas de IA;
e)
azon termékgyártók, amelyek a termékükkel együtt MI-rendszert hoznak forgalomba vagy helyeznek üzembe a saját nevük vagy védjegyük alatt;
e)
los fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca;
f)
a szolgáltatóknak az Unión kívül letelepedett meghatalmazott képviselői;
f)
los representantes autorizados de los proveedores que no estén establecidos en la Unión;
g)
az Unión kívül tartózkodó érintett személyek.
g)
las personas afectadas que estén ubicadas en la Unión.
(2) Azon MI-rendszerek esetében, amelyeket a 6. cikk (1) bekezdésével összhangban az I. melléklet B. szakaszában felsorolt uniós harmonizációs jogszabályok hatálya alá tartozó termékekhez kapcsolódó nagy kockázatú MI-rendszerként soroltak be, kizárólag a 6. cikk (1) bekezdését, a 102–109. cikket és a 112. cikket kell alkalmazni. Az 57. cikk csak annyiban alkalmazandó, amennyiben e rendeletnek a nagy kockázatú MI-rendszerekre vonatkozó követelményeit beépítették az említett uniós harmonizációs jogszabályokba.
2. A los sistemas de IA clasificados como sistemas de IA de alto riesgo de conformidad con el artículo 6, apartado 1, y relativos a productos regulados por los actos legislativos de armonización de la Unión enumerados en la sección B del anexo I, únicamente se les aplicará el artículo 6, apartado 1, y los artículos 102 a 109 y el artículo 112. El artículo 57 se aplicará únicamente en la medida en que los requisitos para los sistemas de IA de alto riesgo en virtud del presente Reglamento se hayan integrado en dichos actos legislativos de armonización de la Unión.
(3) E rendelet nem alkalmazandó az uniós jog hatályán kívül eső területekre, és semmilyen esetben nem érinti a tagállamok nemzetbiztonságra vonatkozó hatásköreit, függetlenül attól, hogy a tagállamok milyen típusú szervezetet bíznak meg az említett hatáskörökkel kapcsolatos feladatok ellátásával.
3. El presente Reglamento no se aplicará a los ámbitos que queden fuera del ámbito de aplicación del Derecho de la Unión y, en cualquier caso, no afectará a las competencias de los Estados miembros en materia de seguridad nacional, independientemente del tipo de entidad a la que los Estados miembros hayan encomendado el desempeño de tareas en relación con dichas competencias.
E rendelet nem alkalmazandó az MI-rendszerekre, ha és amennyiben azok forgalomba hozatala, üzembe helyezése vagy használata – módosítással vagy módosítás nélkül – kizárólag katonai, védelmi vagy nemzetbiztonsági célra történik, függetlenül az e tevékenységeket végző szervezet típusától.
El presente Reglamento no se aplicará a los sistemas de IA que, y en la medida en que, se introduzcan en el mercado, se pongan en servicio o se utilicen, con o sin modificaciones, exclusivamente con fines militares, de defensa o de seguridad nacional, independientemente del tipo de entidad que lleve a cabo estas actividades.
E rendelet nem alkalmazandó azon MI-rendszerekre, amelyeket nem az Unióban hoztak forgalomba vagy helyeztek üzembe, amennyiben a kimenetet az Unióban kizárólag katonai, védelmi vagy nemzetbiztonsági célra használják, függetlenül az e tevékenységeket végző szervezet típusától.
El presente Reglamento no se aplicará a los sistemas de IA que no se introduzcan en el mercado o no se pongan en servicio en la Unión en los casos en que sus resultados de salida se utilicen en la Unión exclusivamente con fines militares, de defensa o de seguridad nacional, independientemente del tipo de entidad que lleve a cabo estas actividades.
(4) E rendelet nem alkalmazandó az (1) bekezdés alapján e rendelet hatálya alá tartozó harmadik országbeli hatóságokra és nemzetközi szervezetekre, amennyiben ezek a hatóságok vagy szervezetek az Unióval, illetve egy vagy több tagállammal folytatott bűnüldözési és igazságügyi együttműködésre vonatkozó nemzetközi együttműködés vagy megállapodások keretében használnak MI-rendszereket, feltéve, hogy az ilyen harmadik ország vagy nemzetközi szervezet megfelelő biztosítékokat nyújt az egyének alapvető jogainak és szabadságainak védelme tekintetében.
4. El presente Reglamento no se aplicará a las autoridades públicas de terceros países ni a las organizaciones internacionales que entren dentro del ámbito de aplicación de este Reglamento conforme al apartado 1 cuando dichas autoridades u organizaciones utilicen sistemas de IA en el marco de acuerdos o de la cooperación internacionales con fines de garantía del cumplimiento del Derecho y cooperación judicial con la Unión o con uno o varios Estados miembros, siempre que tal tercer país u organización internacional ofrezca garantías suficientes con respecto a la protección de los derechos y libertades fundamentales de las personas.
(5) E rendelet nem érinti az (EU) 2022/2065 rendelet II. fejezetében foglalt, a közvetítő szolgáltatók felelősségére vonatkozó rendelkezések alkalmazását.
5. El presente Reglamento no afectará a la aplicación de las disposiciones relativas a la responsabilidad de los prestadores de servicios intermediarios que figuran en el capítulo II del Reglamento (UE) 2022/2065.
(6) E rendelet nem alkalmazandó a kifejezetten a tudományos kutatás-fejlesztés kizárólagos céljára kifejlesztett és üzembe helyezett MI-rendszerekre vagy MI-modellekre, és azok kimenetére sem.
6. El presente Reglamento no se aplicará a los sistemas o modelos de IA, incluidos sus resultados de salida, desarrollados y puestos en servicio específicamente con la investigación y el desarrollo científicos como única finalidad.
(7) A személyes adatok, a magánélet és a közlés bizalmasságának védelmére vonatkozó uniós jog alkalmazandó az e rendeletben megállapított jogokkal és kötelezettségekkel összefüggésben feldolgozott személyes adatokra. E rendelet 10. cikke (5) bekezdésének és 59. cikkének sérelme nélkül, e rendelet nem érinti az (EU) 2016/679 vagy az (EU) 2018/1725 rendeletet, vagy a 2002/58/EK vagy az (EU) 2016/680 irányelvet.
7. El Derecho de la Unión en materia de protección de los datos personales, la intimidad y la confidencialidad de las comunicaciones se aplicará a los datos personales tratados en relación con los derechos y obligaciones establecidos en el presente Reglamento. El presente Reglamento no afectará a los Reglamentos (UE) 2016/679 o (UE) 2018/1725 ni a las Directivas 2002/58/CE o (UE) 2016/680, sin perjuicio del artículo 10, apartado 5, y el artículo 59 del presente Reglamento.
(8) E rendelet nem alkalmazandó semmilyen, az MI-rendszerekkel vagy MI-modellekkel kapcsolatos kutatási, tesztelési és fejlesztési tevékenységre azt megelőzően, hogy azokat forgalomba hozzák vagy üzembe helyezik. Az ilyen tevékenységeket az alkalmazandó uniós joggal összhangban kell végezni. Az említett kizárás nem vonatkozik a valós körülmények közötti tesztelésre.
8. El presente Reglamento no se aplicará a ninguna actividad de investigación, prueba o desarrollo relativa a sistemas de IA o modelos de IA antes de su introducción en el mercado o puesta en servicio. Estas actividades se llevarán a cabo de conformidad con el Derecho de la Unión aplicable. Las pruebas en condiciones reales no estarán cubiertas por esa exclusión.
(9) E rendelet nem érinti a fogyasztóvédelemre és a termékbiztonságra vonatkozó egyéb uniós jogi aktusokban megállapított szabályokat.
9. El presente Reglamento se entenderá sin perjuicio de las normas establecidas por otros actos jurídicos de la Unión relativos a la protección de los consumidores y a la seguridad de los productos.
(10) E rendelet nem alkalmazandó azon alkalmazók kötelezettségeire, akik az MI-rendszereket pusztán személyes, nem szakmai tevékenység során használó természetes személyek.
10. El presente Reglamento no se aplicará a las obligaciones de los responsables del despliegue que sean personas físicas que utilicen sistemas de IA en el ejercicio de una actividad puramente personal de carácter no profesional.
(11) E rendelet nem zárja ki az Uniót vagy a tagállamokat abból, hogy olyan törvényi, rendeleti vagy közigazgatási rendelkezéseket tartsanak fenn vagy vezessenek be, amelyek kedvezőbbek a munkavállalókra nézve az MI-rendszerek munkáltatók általi használatával kapcsolatos jogaik védelme tekintetében, vagy abból, hogy a munkavállalók számára kedvezőbb kollektív szerződések alkalmazását ösztönözzék vagy tegyék lehetővé.
11. El presente Reglamento no impedirá que la Unión o los Estados miembros mantengan o introduzcan disposiciones legales, reglamentarias o administrativas que sean más favorables a los trabajadores en lo que atañe a la protección de sus derechos respecto al uso de sistemas de IA por parte de los empleadores ni que fomenten o permitan la aplicación de convenios colectivos que sean más favorables a los trabajadores.
(12) E rendelet nem alkalmazandó a szabad és nyílt forráskódú licencek alapján kibocsátott MI-rendszerekre, kivéve, ha azokat nagy kockázatú MI-rendszerként, vagy az 5. vagy 50. cikk hatálya alá tartozó MI-rendszerként hozzák forgalomba vagy helyezik üzembe.
12. El presente Reglamento no se aplicará a los sistemas de IA divulgados con arreglo a licencias libres y de código abierto, a menos que se introduzcan en el mercado o se pongan en servicio como sistemas de IA de alto riesgo o como sistemas de IA que entren en el ámbito de aplicación del artículo 5 o del artículo 50.
Prácticas de IA prohibidas
(1) Tilosak a következő MI-gyakorlatok:
1. Quedan prohibidas las siguientes prácticas de IA:
a)
olyan MI-rendszerek forgalomba hozatala, üzembe helyezése vagy használata, amelyek szubliminális technikákat alkalmaznak az adott személy tudatán kívül, vagy célzottan manipulatív vagy megtévesztő technikákat alkalmaznak azzal a céllal vagy olyan hatás érdekében, hogy lényegesen torzítsák egy személy vagy személyek egy csoportjának magatartását azáltal, hogy jelentősen gyengítik a megalapozott döntéshozatalra való képességüket, azt eredményezve, hogy olyan döntést hozzanak, amelyet egyébként nem hoztak volna meg, és oly módon, amely az említett személynek, egy másik személynek vagy személyek egy csoportjának jelentős károsodást okoz vagy ésszerű valószínűséggel okozhat;
a)
la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que se sirva de técnicas subliminales que trasciendan la conciencia de una persona o de técnicas deliberadamente manipuladoras o engañosas con el objetivo o el efecto de alterar de manera sustancial el comportamiento de una persona o un colectivo de personas, mermando de manera apreciable su capacidad para tomar una decisión informada y haciendo que tomen una decisión que de otro modo no habrían tomado, de un modo que provoque, o sea razonablemente probable que provoque, perjuicios considerables a esa persona, a otra persona o a un colectivo de personas;
b)
olyan MI-rendszerek forgalomba hozatala, üzembe helyezése vagy használata, amelyek egy természetes személynek vagy a személyek egy meghatározott csoportjának az életkor, fogyatékosság, illetve egyedi szociális vagy gazdasági helyzet miatt fennálló valamilyen sebezhetőségét kihasználják azzal a céllal vagy hatással, hogy lényegesen torzítsák az említett személy vagy az említett csoporthoz tartozó valamely személy magatartását oly módon, amely az említett személynek vagy egy másik személynek jelentős kárt okoz vagy észszerű valószínűséggel okozhat;
b)
la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que explote alguna de las vulnerabilidades de una persona física o un determinado colectivo de personas derivadas de su edad o discapacidad, o de una situación social o económica específica, con la finalidad o el efecto de alterar de manera sustancial el comportamiento de dicha persona o de una persona que pertenezca a dicho colectivo de un modo que provoque, o sea razonablemente probable que provoque, perjuicios considerables a esa persona o a otra;
c)
MI-rendszerek forgalomba hozatala, üzembe helyezése vagy használata természetes személyek vagy személyek csoportjai értékelésének vagy osztályozásának céljából egy bizonyos időszakon keresztül, közösségi magatartásuk, illetve ismert, kikövetkeztetett vagy előre jelzett személyes tulajdonságaik vagy személyiségjegyeik alapján, oly módon, hogy a társadalmi pontszám a következő helyzetek egyikéhez vagy mindkettőhöz vezet:
c)
la introducción en el mercado, la puesta en servicio o la utilización de sistemas de IA para evaluar o clasificar a personas físicas o a colectivos de personas durante un período determinado de tiempo atendiendo a su comportamiento social o a características personales o de su personalidad conocidas, inferidas o predichas, de forma que la puntuación ciudadana resultante provoque una o varias de las situaciones siguientes:
i.
bizonyos természetes személyekkel vagy személyek csoportjaival szembeni hátrányos vagy kedvezőtlen bánásmód olyan szociális kontextusokban, amelyek nem függenek össze azokkal a kontextusokkal, amelyek között az adatokat eredetileg létrehozták vagy gyűjtötték;
i)
un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos de personas en contextos sociales que no guarden relación con los contextos donde se generaron o recabaron los datos originalmente,
ii.
bizonyos természetes személyekkel vagy személyek csoportjával szembeni olyan hátrányos vagy kedvezőtlen bánásmód, amely indokolatlan vagy aránytalan közösségi magatartásukhoz vagy annak súlyosságához képest;
ii)
un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos de personas que sea injustificado o desproporcionado con respecto a su comportamiento social o la gravedad de este;
d)
olyan MI-rendszer forgalomba hozatala, e konkrét célra történő üzembe helyezése vagy használata, amely természetes személyek kockázatértékelését végzi annak érdekében, hogy – kizárólag a természetes személyekre vonatkozó profilalkotás vagy személyiségjegyeik és tulajdonságaik értékelése alapján – felmérje vagy előre jelezze annak kockázatát, hogy egy adott természetes személy bűncselekményt követ el; ez a tilalom nem alkalmazandó azon MI-rendszerekre, amelyek a személyek bűncselekményben való részvételének emberi értékelését támogatják, amely értékelés alapjául már rendelkezésre állnak a bűnözői tevékenységhez közvetlenül kapcsolódó, objektív és ellenőrizhető tények;
d)
la introducción en el mercado, la puesta en servicio para este fin específico o el uso de un sistema de IA para realizar evaluaciones de riesgos de personas físicas con el fin de valorar o predecir el riesgo de que una persona física cometa un delito basándose únicamente en la elaboración del perfil de una persona física o en la evaluación de los rasgos y características de su personalidad; esta prohibición no se aplicará a los sistemas de IA utilizados para apoyar la valoración humana de la implicación de una persona en una actividad delictiva que ya se base en hechos objetivos y verificables directamente relacionados con una actividad delictiva;
e)
olyan MI-rendszerek forgalomba hozatala, e konkrét célra történő üzembe helyezése vagy használata, amelyek az arcképek internetről vagy zártláncú televízió-felvételekből való, nem célzott lekérdezésével arcfelismerő adatbázisokat hoznak létre vagy ilyeneket bővítenek;
e)
la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de IA que creen o amplíen bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión;
f)
a természetes személyek érzelmeiből következtetést levonó MI-rendszerek forgalomba hozatala, e konkrét célra történő üzembe helyezése, illetve használata a munkahelyek és az oktatási intézmények területén, kivéve amennyiben az MI-rendszer használata, üzembe helyezése vagy forgalomba hozatala orvosi vagy biztonsági okokból történik;
f)
la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de IA para inferir las emociones de una persona física en los lugares de trabajo y en los centros educativos, excepto cuando el sistema de IA esté destinado a ser instalado o introducido en el mercado por motivos médicos o de seguridad;
g)
olyan biometrikus kategorizálási rendszerek forgalomba hozatala, e konkrét célra történő üzembe helyezése, illetve használata, amelyek természetes személyeket biometrikus adataik alapján egyénileg kategorizálnak, hogy ezáltal levezessék vagy kikövetkeztessék faji hovatartozásukat, politikai véleményüket, szakszervezeti tagságukat, vallási vagy világnézeti meggyőződésüket, szexuális életüket vagy szexuális irányultságukat; ez a tilalom nem terjed ki a jogszerűen megszerzett biometrikus adatkészletek – például képek – biometrikus adatok szerint történő jogszerű címkézésére vagy szűrésére, illetve a biometrikus adatoknak a bűnüldözés területén való kategorizálására;
g)
la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de categorización biométrica que clasifiquen individualmente a las personas físicas sobre la base de sus datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual; esta prohibición no incluye el etiquetado o filtrado de conjuntos de datos biométricos adquiridos lícitamente, como imágenes, basado en datos biométricos ni la categorización de datos biométricos en el ámbito de la garantía del cumplimiento del Derecho;
h)
„valós idejű” távoli biometrikus azonosító rendszerek használata a nyilvánosság számára hozzáférhető helyeken bűnüldözési célokból, kivéve, ha és amennyiben az ilyen használat a következő célok egyikéhez feltétlenül szükséges:
h)
el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, salvo y en la medida en que dicho uso sea estrictamente necesario para alcanzar uno o varios de los objetivos siguientes:
i.
emberrablás, emberkereskedelem vagy szexuális kizsákmányolás konkrét áldozatainak célzott felkutatása, valamint az eltűnt személyek utáni kutatás;
i)
la búsqueda selectiva de víctimas concretas de secuestro, trata de seres humanos o explotación sexual de seres humanos, así como la búsqueda de personas desaparecidas,
ii.
természetes személyek életét vagy fizikai biztonságát fenyegető konkrét, jelentős és közvetlen veszély, illetve terrortámadás tényleges és valós vagy tényleges és előre látható veszélyének megelőzése;
ii)
la prevención de una amenaza específica, importante e inminente para la vida o la seguridad física de las personas físicas o de una amenaza real y actual o real y previsible de un atentado terrorista,
iii.
bűncselekmények gyanúsítottjainak lokalizálása vagy azonosítása nyomozás vagy büntetőeljárás lefolytatása vagy büntetőjogi szankció végrehajtása céljából olyan, a II. mellékletben említett bűncselekmény miatt, amelynek esetében az érintett tagállamban a büntetési tétel felső határa legalább négyévi szabadságvesztés vagy szabadságelvonással járó intézkedés.
iii)
la localización o identificación de una persona sospechosa de haber cometido un delito a fin de llevar a cabo una investigación o un enjuiciamiento penales o de ejecutar una sanción penal por alguno de los delitos mencionados en el anexo II que en el Estado miembro de que se trate se castigue con una pena o una medida de seguridad privativas de libertad cuya duración máxima sea de al menos cuatro años.
Az első albekezdés h) pontja nem érinti az (EU) 2016/679 rendelet 9. cikkét a biometrikus adatoknak a bűnüldözéstől eltérő célokból történő kezelése tekintetében.
El párrafo primero, letra h), se entiende sin perjuicio de lo dispuesto en el artículo 9 del Reglamento (UE) 2016/679 en lo que respecta al tratamiento de datos biométricos con fines distintos de la garantía del cumplimiento del Derecho.
(2) A „valós idejű” távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözés céljából, az (1) bekezdés első albekezdésének h) pontjában említett célok bármelyike tekintetében történő használata az említett pontban meghatározott célokból, csak a konkrét célszemély személyazonosságának megerősítése érdekében indítható el, és annak során figyelembe kell venni a következő elemeket:
2. El uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho para cualquiera de los objetivos mencionados en el apartado 1, párrafo primero, letra h), debe desplegarse para los fines establecidos en dicha letra, únicamente para confirmar la identidad de la persona que constituya el objetivo específico y tendrá en cuenta los siguientes aspectos:
a)
a lehetséges használatot eredményező helyzet jellege, különösen azon kár súlyossága, valószínűsége és mértéke, amely a rendszer használatának elmaradásakor keletkezne;
a)
la naturaleza de la situación que dé lugar al posible uso, y en particular la gravedad, probabilidad y magnitud del perjuicio que se produciría de no utilizarse el sistema;
b)
a rendszer használatának valamennyi érintett személy jogaira és szabadságaira gyakorolt következményei, különösen e következmények súlyossága, valószínűsége és mértéke.
b)
las consecuencias que tendría el uso del sistema en los derechos y las libertades de las personas implicadas, y en particular la gravedad, probabilidad y magnitud de dichas consecuencias.
Emellett a „valós idejű” távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözés céljából, az e cikk (1) bekezdése első albekezdésének h) pontjában említett célok bármelyike tekintetében történő használatának meg kell felelnie – az annak használatát engedélyező nemzeti joggal összhangban – a használattal kapcsolatos szükséges és arányos biztosítékoknak és feltételeknek, különösen az időbeli, földrajzi és személyi korlátozások tekintetében. A valós idejű távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken történő használata csak akkor engedélyezhető, ha a bűnüldöző hatóság – a 27. cikk rendelkezéseinek megfelelően – elvégezte az alapvetőjogi hatásvizsgálatot, és – a 49. cikkel összhangban – nyilvántartásba vette a rendszert az uniós adatbázisban. Kellően indokolt sürgős esetekben azonban az ilyen rendszerek használata az uniós adatbázisban történő regisztráció nélkül is elindítható, feltéve, hogy az ilyen regisztrációra indokolatlan késedelem nélkül sor kerül.
Además, el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho para cualquiera de los objetivos mencionados en el apartado 1, párrafo primero, letra h), del presente artículo deberá cumplir garantías y condiciones necesarias y proporcionadas en relación con el uso de conformidad con el Derecho nacional que autorice dicho uso, en particular en lo que respecta a las limitaciones temporales, geográficas y personales. El uso del sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público solo se autorizará si la autoridad garante del cumplimiento del Derecho ha completado una evaluación de impacto relativa a los derechos fundamentales según lo dispuesto en el artículo 27 y ha registrado el sistema en la base de datos de la UE de conformidad con el artículo 49. No obstante, en casos de urgencia debidamente justificados, se podrá empezar a utilizar tales sistemas sin el registro en la base de datos de la UE, siempre que dicho registro se complete sin demora indebida.
(3) Az (1) bekezdés első albekezdésének h) pontja és a (2) bekezdés alkalmazása céljából a „valós idejű” távoli biometrikus azonosító rendszer nyilvánosság számára hozzáférhető helyeken, bűnüldözési célokra történő minden használata a használat helye szerinti tagállam igazságügyi hatósága vagy független közigazgatási hatósága – amelynek határozata kötelező erejű – által kiadott előzetes engedélyhez kötött, amelyet indokolt megkeresésre, a (5) bekezdésben említett nemzeti jogszabályok részletes szabályaival összhangban bocsátanak ki. Kellően indokolt sürgős esetben azonban a rendszer használata engedély nélkül is megkezdhető, feltéve, hogy az ilyen engedély megkérésére indokolatlan késedelem nélkül, legkésőbb 24 órán belül sor kerül. Ha az ilyen engedélyt elutasítják, a használatot azonnali hatállyal le kell állítani, valamint az említett használat valamennyi eredményét és kimenetét azonnal meg kell semmisíteni, és törölni kell.
3. A los efectos del apartado 1, párrafo primero, letra h), y el apartado 2, todo uso de un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho estará supeditado a la concesión de una autorización previa por parte de una autoridad judicial o una autoridad administrativa independiente cuya decisión sea vinculante del Estado miembro en el que vaya a utilizarse dicho sistema, que se expedirá previa solicitud motivada y de conformidad con las normas detalladas del Derecho nacional mencionadas en el apartado 5. No obstante, en una situación de urgencia debidamente justificada, se podrá empezar a utilizar tal sistema sin autorización siempre que se solicite dicha autorización sin demora indebida, a más tardar en un plazo de veinticuatro horas. Si se rechaza dicha autorización, el uso se interrumpirá con efecto inmediato y todos los datos, así como los resultados y la información de salida generados por dicho uso, se desecharán y suprimirán inmediatamente.
Az illetékes igazságügyi hatóság vagy olyan független közigazgatási hatóság, amelynek határozata kötelező erejű, csak akkor adhatja meg az engedélyt, ha az elé terjesztett objektív bizonyítékok vagy egyértelmű jelzések alapján meggyőződött arról, hogy az érintett „valós idejű” távoli biometrikus azonosító rendszer használata az (1) bekezdés első albekezdésének h) pontjában meghatározott, a megkeresésben azonosított célok valamelyikének eléréséhez szükséges és azzal arányos, továbbá különösen, hogy az időtartam, valamint a földrajzi és személyi hatály tekintetében a feltétlenül szükséges mértékre korlátozódik. A megkeresésről való döntés során az említett hatóságnak figyelembe kell vennie a (2) bekezdésben említett tényezőket. Kizárólag a „valós idejű” távoli biometrikus azonosító rendszer kimenete alapján nem hozható olyan döntés, amely egy személyre nézve kedvezőtlen joghatással jár.
La autoridad judicial competente o una autoridad administrativa independiente cuya decisión sea vinculante únicamente concederá la autorización cuando tenga constancia, sobre la base de pruebas objetivas o de indicios claros que se le aporten, de que el uso del sistema de identificación biométrica remota «en tiempo real» es necesario y proporcionado para alcanzar alguno de los objetivos especificados en el apartado 1, párrafo primero, letra h), el cual se indicará en la solicitud, y, en particular, se limita a lo estrictamente necesario en lo que se refiere al período de tiempo, así como al ámbito geográfico y personal. Al pronunciarse al respecto, esa autoridad tendrá en cuenta los aspectos mencionados en el apartado 2. Dicha autoridad no podrá adoptar ninguna decisión que produzca efectos jurídicos adversos para una persona exclusivamente sobre la base de los resultados de salida del sistema de identificación biométrica remota «en tiempo real».
(4) A (3) bekezdés sérelme nélkül, a „valós idejű” biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözési célból történő használatáról minden esetben – az (5) bekezdésben említett nemzeti szabályokkal összhangban – értesíteni kell az érintett piacfelügyeleti hatóságot és a nemzeti adatvédelmi hatóságot. Az értesítésnek tartalmaznia kell legalább a (6) bekezdésben meghatározott információkat, és nem tartalmazhat érzékeny operatív adatokat.
4. Sin perjuicio de lo dispuesto en el apartado 3, todo uso de un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho se notificará a la autoridad de vigilancia del mercado pertinente y a la autoridad nacional de protección de datos de conformidad con las normas nacionales a que se refiere el apartado 5. La notificación contendrá, como mínimo, la información especificada en el apartado 6 y no incluirá datos operativos sensibles.
(5) A tagállamok dönthetnek úgy, hogy az (1) bekezdés első albekezdésének h) pontjában, valamint a (2) és (3) bekezdésben felsorolt korlátokon belül és feltételek mellett lehetővé teszik a „valós idejű” távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözési célokból történő használatának teljes vagy részleges engedélyezését. Az érintett tagállamok a nemzeti jogukban meghatározzák a (3) bekezdésben említett engedélyek kérelmezésére, kiadására és felhasználására, valamint az azokkal kapcsolatos felügyeletre és jelentéstételre vonatkozó szükséges részletes szabályokat. Ezekben a szabályokban azt is meg kell határozni, hogy az (1) bekezdés első albekezdésének h) pontjában felsorolt célok közül melyek tekintetében, valamint az említett bekezdés h) pontjának iii. alpontjában említett bűncselekmények közül melyek tekintetében engedélyezhető az illetékes hatóságok számára az említett rendszerek bűnüldözési célú használata. A tagállamok az említett szabályokról legkésőbb azok elfogadása után 30 nappal értesítik a Bizottságot. A tagállamok az uniós joggal összhangban szigorúbb jogszabályokat is bevezethetnek a távoli biometrikus azonosító rendszerek használatára vonatkozóan.
5. Los Estados miembros podrán decidir contemplar la posibilidad de autorizar, ya sea total o parcialmente, el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho dentro de los límites y en las condiciones que se indican en el apartado 1, párrafo primero, letra h), y los apartados 2 y 3. Los Estados miembros de que se trate deberán establecer en sus respectivos Derechos nacionales las normas detalladas necesarias aplicables a la solicitud, la concesión y el ejercicio de las autorizaciones a que se refiere el apartado 3, así como a la supervisión y la presentación de informes relacionadas con estas. Dichas normas especificarán también para qué objetivos de los enumerados en el apartado 1, párrafo primero, letra h), y en su caso en relación con qué delitos de los indicados en la letra h), inciso iii), se podrá autorizar a las autoridades competentes para que utilicen esos sistemas con fines de garantía del cumplimiento del Derecho. Los Estados miembros notificarán dichas normas a la Comisión a más tardar treinta días después de su adopción. Los Estados miembros podrán adoptar, de conformidad con el Derecho de la Unión, leyes más restrictivas sobre el uso de sistemas de identificación biométrica remota.
(6) Azon tagállami nemzeti piacfelügyeleti hatóságok és nemzeti adatvédelmi hatóságok, amelyek a (4) bekezdésnek megfelelően értesítést kaptak a „valós idejű” távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözési célból történő használatáról, éves jelentéseket nyújtanak be a Bizottságnak az ilyen használatról. E célból a Bizottság sablont bocsát a tagállamok és a nemzeti piacfelügyeleti és adatvédelmi hatóságok rendelkezésére, amely tartalmazza az azon határozatok számára, valamint azok eredményére vonatkozó információkat, amelyeket – a (3) bekezdés szerinti, engedély iránti megkeresésre – az illetékes igazságügyi hatóságok vagy olyan független közigazgatási hatóság hozott, amelynek határozata kötelező erejű.
6. Las autoridades nacionales de vigilancia del mercado y las autoridades nacionales de protección de datos de los Estados miembros a las que se haya notificado el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho con arreglo al apartado 4 presentarán a la Comisión informes anuales sobre dicho uso. A tal fin, la Comisión facilitará a los Estados miembros y a las autoridades nacionales de vigilancia del mercado y de protección de datos un modelo que incluya información sobre el número de decisiones adoptadas por las autoridades judiciales competentes o una autoridad administrativa independiente cuya decisión sea vinculante en relación con las solicitudes de autorización de conformidad con el apartado 3, así como su resultado.
(7) A Bizottság a (6) bekezdésben említett éves jelentések nyomán a tagállamokban összesített adatok alapján éves jelentéseket tesz közzé a valós idejű távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken történő, bűnüldözési célú használatáról. Az említett éves jelentések nem tartalmazhatják a kapcsolódó bűnüldözési tevékenységek érzékeny operatív adatait.
7. La Comisión publicará informes anuales sobre el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho elaborados basados en datos agregados relativos a los Estados miembros sobre la base de los informes anuales a que se refiere el apartado 6. Dichos informes anuales no incluirán datos operativos sensibles de las actividades de garantía del cumplimiento del Derecho conexas.
(8) Ez a cikk nem érinti az abban az esetben alkalmazandó tilalmakat, ha valamely MI-gyakorlat más uniós jogot sért.
8. El presente artículo no afectará a las prohibiciones aplicables cuando una práctica de IA infrinja otras disposiciones de Derecho de la Unión.
A nagy kockázatú MI-rendszerekre vonatkozó besorolási szabályok
Reglas de clasificación de los sistemas de IA de alto riesgo
(1) Tekintet nélkül arra, hogy egy MI-rendszert az a) és b) pontban említett termékektől függetlenül hozzák-e forgalomba vagy helyezik-e üzembe, az említett MI-rendszer nagy kockázatúnak minősül, ha mindkét következő feltétel teljesül:
1. Con independencia de si se ha introducido en el mercado o se ha puesto en servicio sin estar integrado en los productos que se mencionan en las letras a) y b), un sistema de IA se considerará de alto riesgo cuando reúna las dos condiciones que se indican a continuación:
a)
az MI-rendszert az I. mellékletben felsorolt uniós harmonizációs jogszabályok hatálya alá tartozó termék biztonsági alkotórészeként kívánják használni, vagy az MI-rendszer önmagában ilyen termék;
a)
que el sistema de IA esté destinado a ser utilizado como componente de seguridad de un producto que entre en el ámbito de aplicación de los actos legislativos de armonización de la Unión enumerados en el anexo I, o que el propio sistema de IA sea uno de dichos productos, y
b)
azon terméket, amelynek biztonsági alkatórésze az a) pont alapján az MI-rendszer, vagy magát az MI-rendszert mint terméket harmadik fél által végzett megfelelőségértékelésnek kell alávetni a terméknek az I. mellékletben felsorolt uniós harmonizációs jogszabályok értelmében való forgalomba hozatala vagy üzembe helyezése érdekében.
b)
que el producto del que el sistema de IA sea componente de seguridad con arreglo a la letra a), o el propio sistema de IA como producto, deba someterse a una evaluación de la conformidad de terceros para su introducción en el mercado o puesta en servicio con arreglo a los actos legislativos de armonización de la Unión enumerados en el anexo I.
(2) Az (1) bekezdésben említett nagy kockázatú MI-rendszerek mellett a III. mellékletben említett MI-rendszereket nagy kockázatúnak kell tekinteni.
2. Además de los sistemas de IA de alto riesgo a que se refiere el apartado 1, también se considerarán de alto riesgo los sistemas de IA contemplados en el anexo III.
(3) A (2) bekezdéstől eltérve, valamely, a III. mellékletben hivatkozott MI-rendszer nem tekinthető nagy kockázatúnak, amennyiben nem jelent jelentős károkozó kockázatot természetes személyek egészségére, biztonságára vagy alapvető jogaira nézve, többek között azáltal, hogy nem befolyásolja lényegesen a döntéshozatal kimenetelét.
3. No obstante lo dispuesto en el apartado 2, un sistema de IA a que se refiere el anexo III no se considerará de alto riesgo cuando no plantee un riesgo importante de causar un perjuicio a la salud, la seguridad o los derechos fundamentales de las personas físicas, también al no influir sustancialmente en el resultado de la toma de decisiones.
Az első albekezdés alkalmazandó, amennyiben a következő feltételek bármelyike teljesül:
El párrafo primero se aplicará cuando se cumpla cualquiera de las condiciones siguientes:
a)
az MI-rendszer rendeltetése jól körülhatárolt eljárási feladat ellátása;
a)
que el sistema de IA esté destinado a realizar una tarea de procedimiento limitada;
b)
az MI-rendszer rendeltetése egy korábban elvégzett emberi tevékenység eredményének a javítása;
b)
que el sistema de IA esté destinado a mejorar el resultado de una actividad humana previamente realizada;
c)
az MI-rendszer rendeltetése döntéshozatali minták vagy korábbi döntéshozatali mintáktól való eltérések észlelése, és nem célja a korábban elvégzett emberi értékelés megfelelő emberi felülvizsgálat nélküli kiváltása vagy befolyásolása; vagy
c)
que el sistema de IA esté destinado a detectar patrones de toma de decisiones o desviaciones con respecto a patrones de toma de decisiones anteriores y no esté destinado a sustituir la valoración humana previamente realizada sin una revisión humana adecuada, ni a influir en ella, o
d)
az MI-rendszer rendeltetése egy, a III. mellékletben felsorolt felhasználási esetek céljainak szempontjából releváns értékeléshez kapcsolódó előkészítő feladat elvégzése.
d)
que el sistema de IA esté destinado a realizar una tarea preparatoria para una evaluación que sea pertinente a efectos de los casos de uso enumerados en el anexo III.
Az első albekezdés ellenére egy, a III. mellékletben említett MI-rendszert mindig nagy kockázatúnak kell tekinteni, ha az MI-rendszer természetes személyekre vonatkozó profilalkotást végez.
No obstante lo dispuesto en el párrafo primero, los sistemas de IA a que se refiere el anexo III siempre se considerarán de alto riesgo cuando el sistema de IA efectúe la elaboración de perfiles de personas físicas.
(4) Azon szolgáltatónak, amely úgy ítéli meg, hogy valamely, a III. mellékletben említett MI-rendszer nem nagy kockázatú, az adott rendszer forgalomba hozatala vagy üzembe helyezése előtt dokumentálnia kell értékelését. Az ilyen szolgáltatóra a 49. cikk (2) bekezdésében meghatározott regisztrációs kötelezettség vonatkozik. Az illetékes nemzeti hatóságok kérésére a szolgáltatónak be kell nyújtania az értékelés dokumentációját.
4. El proveedor que considere que un sistema de IA contemplado en el anexo III no es de alto riesgo documentará su evaluación antes de que dicho sistema sea introducido en el mercado o puesto en servicio. Dicho proveedor estará sujeto a la obligación de registro establecida en el artículo 49, apartado 2. A petición de las autoridades nacionales competentes, el proveedor facilitará la documentación de la evaluación.
(5) A Bizottság a Mesterséges Intelligenciával Foglalkozó Európai Testülettel (a továbbiakban: a Testület) folytatott konzultációt követően legkésőbb 2026. február 2-ig iránymutatásokat nyújt, amelyekben meghatározza e cikknek a 96. cikkel összhangban történő gyakorlati végrehajtását, valamint a nagy kockázatú és a nem nagy kockázatú MI-rendszerek felhasználási eseteire vonatkozó gyakorlati példák átfogó listáját.
5. La Comisión, previa consulta al Consejo Europeo de Inteligencia Artificial (en lo sucesivo, «Consejo de IA»), y a más tardar el 2 de febrero de 2026, proporcionará directrices que especifiquen la aplicación práctica del presente artículo en consonancia con el artículo 96, junto con una lista exhaustiva de ejemplos prácticos de casos de uso de sistemas de IA que sean de alto riesgo y que no sean de alto riesgo.
(6) A Bizottság felhatalmazást kap arra, hogy a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el e cikk (3) bekezdése második albekezdésének módosítása céljából, új feltételekkel egészítve ki az ott megállapított feltételeket, vagy módosítva azokat, amennyiben konkrét és megbízható bizonyíték áll rendelkezésre a III. melléklet hatálya alá tartozó, de a természetes személyek egészségére, biztonságára vagy alapvető jogaira nézve károkozó kockázatot nem jelentő MI-rendszerek meglétére vonatkozóan.
6. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar el apartado 3, párrafo segundo, del presente artículo, añadiendo nuevas condiciones a las establecidas en dicho apartado, o modificando estas, cuando existan pruebas concretas y fiables de la existencia de sistemas de IA que entren en el ámbito de aplicación del anexo III, pero que no planteen un riesgo importante de causar un perjuicio a la salud, la seguridad o los derechos fundamentales de las personas físicas.
(7) A Bizottság a 97. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogad el e cikk (3) bekezdése második albekezdésének módosítása céljából az ott meghatározott feltételek bármelyikének törlésével, amennyiben konkrét és megbízható bizonyítékok állnak rendelkezésre arra vonatkozóan, hogy ez szükséges az egészség, a biztonság és az alapvető jogok védelme e rendeletben előírt szintjének fenntartásához.
7. La Comisión adoptará actos delegados con arreglo al artículo 97 al objeto de modificar el apartado 3, párrafo segundo, del presente artículo, suprimiendo cualquiera de las condiciones establecidas en él, cuando existan pruebas concretas y fiables de que es necesario para mantener el nivel de protección de la salud, la seguridad y los derechos fundamentales previsto en el presente Reglamento.
(8) A (3) bekezdés második albekezdésében meghatározott feltételek – e cikk (6) vagy (7) bekezdésével összhangban elfogadott – bármely módosítása nem csökkentheti az egészség, a biztonság és az alapvető jogok védelmének e rendelet által előírt általános szintjét, továbbá biztosítania kell a 7. cikk (1) bekezdése alapján elfogadott, felhatalmazáson alapuló jogi aktusokkal való összhangot, és figyelembe kell vennie a piaci és technológiai fejleményeket.
8. Ninguna modificación de las condiciones establecidas en el apartado 3, párrafo segundo, adoptada de conformidad con los apartados 6 y 7 del presente artículo, reducirá el nivel global de protección de la salud, la seguridad y los derechos fundamentales previsto en el presente Reglamento, y cualquier modificación garantizará la coherencia con los actos delegados adoptados con arreglo al artículo 7, apartado 1, y tendrá en cuenta la evolución tecnológica y del mercado.
Kockázatkezelési rendszer
Sistema de gestión de riesgos
(1) A nagy kockázatú MI-rendszerek tekintetében kockázatkezelési rendszert kell létrehozni, bevezetni, dokumentálni és fenntartani.
1. Se establecerá, implantará, documentará y mantendrá un sistema de gestión de riesgos en relación con los sistemas de IA de alto riesgo.
(2) A kockázatkezelési rendszer alatt olyan megszakítás nélkül végzett iteratív folyamatot kell érteni, amelyet a nagy kockázatú MI-rendszer egész életciklusára terveztek és működtetnek, és amely rendszeres és szisztematikus felülvizsgálatot és aktualizálást igényel. A folyamatnak a következő lépéseket kell tartalmaznia:
2. El sistema de gestión de riesgos se entenderá como un proceso iterativo continuo planificado y ejecutado durante todo el ciclo de vida de un sistema de IA de alto riesgo, que requerirá revisiones y actualizaciones sistemáticas periódicas. Constará de las siguientes etapas:
a)
azon ismert, valamint észszerűen előre látható kockázatok azonosítása és elemzése, amelyeket a nagy kockázatú MI-rendszer rendeltetésszerű használata esetén az egészségre, a biztonságra és az alapvető jogokra jelenthet;
a)
la determinación y el análisis de los riesgos conocidos y previsibles que el sistema de IA de alto riesgo pueda plantear para la salud, la seguridad o los derechos fundamentales cuando el sistema de IA de alto riesgo se utilice de conformidad con su finalidad prevista;
b)
a nagy kockázatú MI-rendszer rendeltetésszerű használata, valamint észszerűen előre látható rendellenes használata esetén felmerülő kockázatok becslése és értékelése;
b)
la estimación y la evaluación de los riesgos que podrían surgir cuando el sistema de IA de alto riesgo se utilice de conformidad con su finalidad prevista y cuando se le dé un uso indebido razonablemente previsible;
c)
egyéb esetlegesen felmerülő kockázatok értékelése a 72. cikkben említett forgalomba hozatal utáni nyomonkövetési rendszerből gyűjtött adatok elemzése alapján;
c)
la evaluación de otros riesgos que podrían surgir, a partir del análisis de los datos recogidos con el sistema de vigilancia poscomercialización a que se refiere el artículo 72;
d)
az a) pont alapján azonosított kockázatok kezelésére irányuló megfelelő és célzott kockázatkezelési intézkedések elfogadása.
d)
la adopción de medidas adecuadas y específicas de gestión de riesgos diseñadas para hacer frente a los riesgos detectados con arreglo a la letra a).
(3) Az e cikkben említett kockázatok alatt csak azok értendők, amelyek a nagy kockázatú MI-rendszer fejlesztése vagy tervezése, vagy a megfelelő műszaki információk biztosítása révén észszerűen enyhíthetők vagy kiküszöbölhetők.
3. Los riesgos a que se refiere el presente artículo son únicamente aquellos que pueden mitigarse o eliminarse razonablemente mediante el desarrollo o el diseño del sistema de IA de alto riesgo o el suministro de información técnica adecuada.
(4) A (2) bekezdés d) pontjában említett kockázatkezelési intézkedések tekintetében kellően figyelembe kell venni az e szakaszban meghatározott követelmények együttes alkalmazásából eredő hatásokat és lehetséges kölcsönhatást a kockázatok hatékonyabb minimalizálása érdekében, egyúttal megfelelő egyensúlyt elérve az említett követelmények teljesítését célzó intézkedések végrehajtása során.
4. Las medidas de gestión de riesgos mencionadas en el apartado 2, letra d), tendrán debidamente en cuenta los efectos y la posible interacción derivados de la aplicación combinada de los requisitos establecidos en la presente sección, con vistas a reducir al mínimo los riesgos de manera más eficaz al tiempo que se logra un equilibrio adecuado en la aplicación de las medidas para cumplir dichos requisitos.
(5) A (2) bekezdés d) pontjában említett kockázatkezelési intézkedéseket úgy kell kialakítani, hogy az egyes veszélyekhez kapcsolódó releváns fennmaradó kockázatot, valamint a nagy kockázatú MI-rendszerek teljes fennmaradó kockázatát elfogadhatónak ítéljék.
5. Las medidas de gestión de riesgos mencionadas en el apartado 2, letra d), considerarán aceptables los riesgos residuales pertinentes asociados a cada peligro, así como el riesgo residual general de los sistemas de IA de alto riesgo.
A legmegfelelőbb kockázatkezelési intézkedések meghatározásakor a következőket kell biztosítani:
A la hora de determinar las medidas de gestión de riesgos más adecuadas, se procurará:
a)
a (2) bekezdés alapján azonosított és értékelt kockázatok megszüntetése vagy csökkentése – amennyiben műszakilag megvalósítható – a nagy kockázatú MI-rendszer megfelelő tervezése és fejlesztése révén;
a)
eliminar o reducir los riesgos detectados y evaluados de conformidad con el apartado 2 en la medida en que sea técnicamente viable mediante un diseño y un desarrollo adecuados del sistema de IA de alto riesgo;
b)
adott esetben a nem megszüntethető kockázatok kezelésére szolgáló kockázatcsökkentő és ellenőrző intézkedések végrehajtása;
b)
implantar, cuando proceda, unas medidas de mitigación y control apropiadas que hagan frente a los riesgos que no puedan eliminarse;
c)
a 13. cikk alapján előírt tájékoztatás, valamint adott esetben képzés nyújtása az alkalmazók számára.
c)
proporcionar la información requerida conforme al artículo 13 y, cuando proceda, impartir formación a los responsables del despliegue.
A nagy kockázatú MI-rendszer használatával kapcsolatos kockázatok megszüntetése vagy csökkentése céljából kellő figyelmet kell fordítani az alkalmazó által elvárt műszaki ismeretekre, tapasztalatokra, oktatásra és képzésre, valamint azon körülményekre, amelyek között a rendszert feltételezhetően használni kívánják.
Con vistas a eliminar o reducir los riesgos asociados a la utilización del sistema de IA de alto riesgo, se tendrán debidamente en cuenta los conocimientos técnicos, la experiencia, la educación y la formación que se espera que posea el responsable del despliegue, así como el contexto en el que está previsto que se utilice el sistema.
(6) A nagy kockázatú MI-rendszereket tesztelni kell a legmegfelelőbb és célzott kockázatkezelési intézkedések azonosítása céljából. A tesztelés biztosítja, hogy a nagy kockázatú MI-rendszerek következetesen működjenek a rendeltetésüknek megfelelően, és megfeleljenek az e szakaszban meghatározott követelményeknek.
6. Los sistemas de IA de alto riesgo serán sometidos a pruebas destinadas a determinar cuáles son las medidas de gestión de riesgos más adecuadas y específicas. Dichas pruebas comprobarán que los sistemas de IA de alto riesgo funcionan de manera coherente con su finalidad prevista y cumplen los requisitos establecidos en la presente sección.
(7) A tesztelési eljárások a 60. cikkel összhangban valós körülmények közötti tesztelést is magukban foglalhatnak.
7. Los procedimientos de prueba podrán incluir pruebas en condiciones reales de conformidad con el artículo 60.
(8) A nagy kockázatú MI-rendszerek tesztelését adott esetben a fejlesztési folyamat során bármikor, de mindenképpen a forgalomba hozatalt vagy az üzembe helyezést megelőzően kell elvégezni. A tesztelést a nagy kockázatú MI-rendszer rendeltetése szempontjából megfelelő, előzetesen meghatározott mérőszámok és valószínűségi küszöbértékek alapján kell elvégezni.
8. Las pruebas de los sistemas de IA de alto riesgo se realizarán, según proceda, en cualquier momento del proceso de desarrollo y, en todo caso, antes de su introducción en el mercado o puesta en servicio. Las pruebas se realizarán utilizando parámetros y umbrales de probabilidades previamente definidos que sean adecuados para la finalidad prevista del sistema de IA de alto riesgo.
(9) Az (1)–(7) bekezdésben meghatározott kockázatkezelési rendszer végrehajtása során a szolgáltatóknak megfontolás tárgyává kell tenniük azt, hogy a nagy kockázatú MI-rendszer – a rendeltetése szempontjából – valószínűleg kedvezőtlen hatást gyakorol-e a 18 év alatti személyekre és adott esetben más kiszolgáltatott csoportokra.
9. Cuando se implante el sistema de gestión de riesgos previsto en los apartados 1 a 7, los proveedores prestarán atención a si, en vista de su finalidad prevista, es probable que el sistema de IA de alto riesgo afecte negativamente a las personas menores de dieciocho años y, en su caso, a otros colectivos vulnerables.
(10) A nagy kockázatú MI-rendszerek azon szolgáltatói esetében, amelyek az uniós jog egyéb vonatkozó rendelkezéseinek értelmében belső kockázatkezelési folyamatokra vonatkozó követelmények hatálya alá tartoznak, az (1)–(9) bekezdésben leírt szempontok az említett jog alapján létrehozott kockázatkezelési eljárások részét képezhetik vagy azokhoz társulhatnak.
10. En el caso de los proveedores de sistemas de IA de alto riesgo que estén sujetos a requisitos relativos a procesos internos de gestión de riesgos con arreglo a otras disposiciones pertinentes del Derecho de la Unión, los aspectos previstos en los apartados 1 a 9 podrán formar parte de los procedimientos de gestión de riesgos establecidos con arreglo a dicho Derecho, o combinarse con ellos.
Datos y gobernanza de datos
(1) A modellek adatokkal való tanítását magukban foglaló technikákat használó nagy kockázatú MI-rendszereket olyan tanító-, validálási és tesztadatkészletek alapján kell fejleszteni, amelyek – az ilyen adatkészletek használatakor – megfelelnek a (2)–(5) bekezdésben említett minőségi kritériumoknak.
1. Los sistemas de IA de alto riesgo que utilizan técnicas que implican el entrenamiento de modelos de IA con datos se desarrollarán a partir de conjuntos de datos de entrenamiento, validación y prueba que cumplan los criterios de calidad a que se refieren los apartados 2 a 5 siempre que se utilicen dichos conjuntos de datos.
(2) A tanító-, a validálási és a tesztadatkészleteket a nagy kockázatú MI-rendszer rendeltetésének megfelelő adatkormányzási és adatgazdálkodási gyakorlatoknak kell alávetni. Ezek a gyakorlatok különösen a következőket érintik:
2. Los conjuntos de datos de entrenamiento, validación y prueba se someterán a prácticas de gobernanza y gestión de datos adecuadas para la finalidad prevista del sistema de IA de alto riesgo. Dichas prácticas se centrarán, en particular, en lo siguiente:
a)
a vonatkozó tervezési döntések;
a)
las decisiones pertinentes relativas al diseño;
b)
az adatgyűjtési eljárások és az adatok eredete, valamint személyes adatok esetében az adatgyűjtés eredeti célja;
b)
los procesos de recogida de datos y el origen de los datos y, en el caso de los datos personales, la finalidad original de la recogida de datos;
c)
a releváns adatelőkészítési műveletek, mint például annotálás, címkézés, tisztítás, frissítés, gazdagítás és összesítés;
c)
las operaciones de tratamiento oportunas para la preparación de los datos, como la anotación, el etiquetado, la depuración, la actualización, el enriquecimiento y la agregación;
d)
feltételezések megfogalmazása, különös tekintettel azon információkra, amelyeket az adatoknak az elvárás szerint mérniük kell és meg kell jeleníteniük;
d)
la formulación de supuestos, en particular en lo que respecta a la información que se supone que miden y representan los datos;
e)
a szükséges adatkészletek rendelkezésre állásának, mennyiségének és alkalmasságának értékelése;
e)
una evaluación de la disponibilidad, la cantidad y la adecuación de los conjuntos de datos necesarios;
f)
az esetleges olyan torzítások vizsgálata, amelyek valószínűleg hatnak a személyek egészségére és biztonságára, negatív hatást gyakorolnak az alapvető jogokra, vagy az uniós jog által tiltott megkülönböztetéshez vezetnek, különösen akkor, ha az adatok kimenetei befolyásolják a jövőbeli műveletek bemeneteit;
f)
el examen atendiendo a posibles sesgos que puedan afectar a la salud y la seguridad de las personas, afectar negativamente a los derechos fundamentales o dar lugar a algún tipo de discriminación prohibida por el Derecho de la Unión, especialmente cuando las salidas de datos influyan en las informaciones de entrada de futuras operaciones;
g)
az f) ponttal összhangban azonosított esetleges torzítások felderítését, megelőzését és enyhítését célzó megfelelő intézkedések;
g)
medidas adecuadas para detectar, prevenir y mitigar posibles sesgos detectados con arreglo a la letra f);
h)
az e rendeletnek való megfelelést akadályozó releváns adathiányok vagy hiányosságok azonosítása, valamint e hiányok és hiányosságok kezelésének módja.
h)
la detección de lagunas o deficiencias pertinentes en los datos que impidan el cumplimiento del presente Reglamento, y la forma de subsanarlas.
(3) A tanító-, a validálási és a tesztadatkészleteknek relevánsnak, kellően reprezentatívnak, valamint – a rendeltetés szempontjából – a lehető legnagyobb mértékben hibáktól mentesnek és teljesnek kell lenniük. Rendelkezniük kell a megfelelő statisztikai tulajdonságokkal is, többek között adott esetben azon személyek vagy személyek csoportjai tekintetében, akikkel vagy amelyekkel kapcsolatosan a nagy kockázatú MI-rendszert használni kívánják. Az említett adatkészletek e jellemzői teljesíthetők az egyes adatkészletek szintjén vagy azok kombinációjának a szintjén.
3. Los conjuntos de datos de entrenamiento, validación y prueba serán pertinentes, suficientemente representativos y, en la mayor medida posible, carecerán de errores y estarán completos en vista de su finalidad prevista. Asimismo, tendrán las propiedades estadísticas adecuadas, por ejemplo, cuando proceda, en lo que respecta a las personas o los colectivos de personas en relación con los cuales está previsto que se utilice el sistema de IA de alto riesgo. Los conjuntos de datos podrán reunir esas características para cada conjunto de datos individualmente o para una combinación de estos.
(4) Az adatkészleteknek – a rendeltetéstől függően szükséges mértékben – figyelembe kell venniük azon jellemzőket vagy elemeket, amelyek azon sajátos földrajzi, kontextuális, magatartási vagy funkcionális környezethez kapcsolódnak, amelyben a nagy kockázatú MI-rendszert használni kívánják.
4. Los conjuntos de datos tendrán en cuenta, en la medida necesaria para la finalidad prevista, las características o elementos particulares del entorno geográfico, contextual, conductual o funcional específico en el que está previsto que se utilice el sistema de IA de alto riesgo.
(5) A nagy kockázatú MI-rendszerekkel kapcsolatos torzítás észlelésének és korrekciójának biztosításához feltétlenül szükséges mértékben – e cikk (2) bekezdésének f) és g) pontjával összhangban – az ilyen rendszerek szolgáltatói kivételesen kezelhetik a személyes adatok különleges kategóriáit, figyelemmel a természetes személyek alapvető jogaira és szabadságaira vonatkozó megfelelő biztosítékokra. Ahhoz, hogy az ilyen feldolgozás megtörténhessen, az (EU) 2016/679 és az (EU) 2018/1725 rendeletben, valamint az (EU) 2016/680 irányelvben meghatározott rendelkezéseken túlmenően, a következő feltételek mindegyikének teljesülnie kell:
5. En la medida en que sea estrictamente necesario para garantizar la detección y corrección de los sesgos asociados a los sistemas de IA de alto riesgo de conformidad con lo dispuesto en el apartado 2, letras f) y g), del presente artículo, los proveedores de dichos sistemas podrán tratar excepcionalmente las categorías especiales de datos personales siempre que ofrezcan las garantías adecuadas en relación con los derechos y las libertades fundamentales de las personas físicas. Además de las disposiciones establecidas en los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva (UE) 2016/680, para que se produzca dicho tratamiento deben cumplirse todas las condiciones siguientes:
a)
a torzítás észlelése és korrekciója más adatok – köztük szintetikus vagy anonimizált adatok – feldolgozásával nem valósítható meg hatékonyan;
a)
que el tratamiento de otros datos, como los sintéticos o los anonimizados, no permita efectuar de forma efectiva la detección y corrección de sesgos;
b)
a személyes adatok különleges kategóriái a személyes adatok további felhasználására vonatkozó technikai korlátozások, valamint a legkorszerűbb biztonsági és magánéletvédelmi intézkedések – köztük az álnevesítés – hatálya alá tartoznak;
b)
que las categorías especiales de datos personales estén sujetas a limitaciones técnicas relativas a la reutilización de los datos personales y a medidas punteras en materia de seguridad y protección de la intimidad, incluida la seudonimización;
c)
a személyes adatok különleges kategóriái olyan intézkedések hatálya alá tartoznak, amelyek célja annak biztosítása, hogy a feldolgozott személyes adatok biztonságosak és védettek legyenek, megfelelő biztosítékok hatálya alá tartozzanak – ideértve a szigorú ellenőrzést és a hozzáférés dokumentálását –, valamint a rendellenes használat elkerülése és annak garantálása, hogy az említett személyes adatokhoz csak felhatalmazott és megfelelő titoktartási kötelezettségek alá tartozó személyek férjenek hozzá;
c)
que las categorías especiales de datos personales estén sujetas a medidas para garantizar que los datos personales tratados estén asegurados, protegidos y sujetos a garantías adecuadas, incluidos controles estrictos y documentación del acceso, a fin de evitar el uso indebido y garantizar que solo las personas autorizadas tengan acceso a dichos datos personales con obligaciones de confidencialidad adecuadas;
d)
a különleges kategóriájú személyes adatok nem továbbíthatók, nem ruházhatók át, és nem tehetők harmadik felek által egyéb módon hozzáférhetővé;
d)
que las categorías especiales de datos personales no se transmitan ni transfieran a terceros y que estos no puedan acceder de ningún otro modo a ellos;
e)
a különleges kategóriájú személyes adatok törlésre kerülnek, amint a torzítást korrigálták, vagy a személyes adatok megőrzési időszaka lejárt, attól függően, hogy melyik következik be előbb;
e)
que las categorías especiales de datos personales se eliminen una vez que se haya corregido el sesgo o los datos personales hayan llegado al final de su período de conservación, si esta fecha es anterior;
f)
az adatkezelési tevékenységeknek az (EU) 2016/679 és az (EU) 2018/1725 rendelet, valamint az (EU) 2016/680 irányelv szerinti nyilvántartásai tartalmazzák annak magyarázatát, hogy a személyes adatok különleges kategóriáinak kezelése miért volt feltétlenül szükséges a torzítások felderítéséhez és korrekciójához, és hogy ez a cél miért nem volt elérhető más adatok kezelésével.
f)
que los registros de las actividades de tratamiento con arreglo a los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva (UE) 2016/680 incluyan las razones por las que el tratamiento de categorías especiales de datos personales era estrictamente necesario para detectar y corregir sesgos, y por las que ese objetivo no podía alcanzarse mediante el tratamiento de otros datos.
(6) Az MI-modellek tanítását magukban foglaló technikákat nem alkalmazó nagy kockázatú MI-rendszerek fejlesztése esetében a (2)–(5) bekezdés csak a tesztadatkészletekre alkalmazandó.
6. Para el desarrollo de sistemas de IA de alto riesgo que no empleen técnicas que impliquen el entrenamiento de modelos de IA, los apartados 2 a 5 se aplicarán únicamente a los conjuntos de datos de prueba.
(1) A nagy kockázatú MI-rendszerek műszaki dokumentációját a rendszer forgalomba hozatala vagy üzembe helyezése előtt kell elkészíteni, és naprakészen kell tartani.
1. La documentación técnica de un sistema de IA de alto riesgo se elaborará antes de su introducción en el mercado o puesta en servicio, y se mantendrá actualizada.
A műszaki dokumentációt úgy kell összeállítani, hogy bizonyítsa, hogy a nagy kockázatú MI-rendszer megfelel az e szakaszban meghatározott követelményeknek, és hogy belőle az illetékes nemzeti hatóságok és a bejelentett szervezetek világos és érthető formában hozzájussanak az annak értékeléséhez szükséges információkhoz, hogy az MI-rendszer megfelel-e az említett követelményeknek. A műszaki dokumentációnak tartalmaznia kell legalább a IV. mellékletben meghatározott elemeket. A kkv-k – köztük az induló innovatív vállalkozások – egyszerűsített formában nyújthatják be a IV. mellékletben meghatározott technikai dokumentáció elemeit. E célból a Bizottság létrehozza a kis- és mikrovállalkozások igényeinek megfelelő, egyszerűsített műszaki dokumentációs formanyomtatványt. Amennyiben valamely kkv – például induló innovatív vállalkozás – úgy dönt, hogy a IV. mellékletben előírt információkat egyszerűsített formában nyújtja be, e célra az e bekezdésben említett formanyomtatványt kell használnia. A bejelentett szervezeteknek a megfelelőségértékelés céljára el kell fogadniuk a formanyomtatványt.
La documentación técnica se redactará de modo que demuestre que el sistema de IA de alto riesgo cumple los requisitos establecidos en la presente sección y que proporcione de manera clara y completa a las autoridades nacionales competentes y a los organismos notificados la información necesaria para evaluar la conformidad del sistema de IA con dichos requisitos. Contendrá, como mínimo, los elementos contemplados en el anexo IV. Las pymes, incluidas las empresas emergentes, podrán facilitar los elementos de la documentación técnica especificada en el anexo IV de manera simplificada. A tal fin, la Comisión establecerá un formulario simplificado de documentación técnica orientado a las necesidades de las pequeñas empresas y las microempresas. Cuando una pyme, incluidas las empresas emergentes, opte por facilitar la información exigida en el anexo IV de manera simplificada, utilizará el formulario a que se refiere el presente apartado. Los organismos notificados aceptarán dicho formulario a efectos de la evaluación de la conformidad.
(2) Olyan termékhez kapcsolódó nagy kockázatú MI-rendszer forgalomba hozatala vagy üzembe helyezése esetén, amelyre az I. melléklet A. szakaszában felsorolt uniós harmonizációs jogszabályok vonatkoznak, egyetlen műszaki dokumentációs csomagot kell készíteni, amely tartalmazza az (1) bekezdésben meghatározott valamennyi információt, valamint az említett jogi aktusokban előírt információkat.
2. Cuando se introduzca en el mercado o se ponga en servicio un sistema de IA de alto riesgo asociado a un producto que entre en el ámbito de aplicación de los actos legislativos de armonización de la Unión mencionados en el anexo I, sección A, se elaborará un único conjunto de documentos técnicos que contenga toda la información mencionada en el apartado 1, así como la información que exijan dichos actos legislativos.
(3) A Bizottság felhatalmazást kap arra, hogy a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el, hogy szükség esetén módosítsa a IV. mellékletet annak biztosítása érdekében, hogy a műszaki dokumentáció a műszaki fejlődés fényében minden szükséges információt megadjon annak értékeléséhez, hogy a rendszer megfelel-e az e szakaszban meghatározott követelményeknek.
3. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar el anexo IV, cuando sea necesario, para garantizar que, en vista de los avances técnicos, la documentación técnica proporcione toda la información necesaria para evaluar si el sistema cumple los requisitos establecidos en la presente sección.
(1) A nagy kockázatú MI-rendszereket úgy kell megtervezni és fejleszteni – többek között megfelelő ember–gép interfész eszközökkel –, hogy azokat a használatuk időtartama alatt természetes személyek hatékonyan felügyelhessék.
1. Los sistemas de IA de alto riesgo se diseñarán y desarrollarán de modo que puedan ser vigilados de manera efectiva por personas físicas durante el período que estén en uso, lo que incluye dotarlos de herramientas de interfaz humano-máquina adecuadas.
(2) Az emberi felügyelet célja az egészséget, a biztonságot vagy az alapvető jogokat érintő azon kockázatok megelőzése vagy minimalizálása, amelyek a nagy kockázatú MI-rendszer rendeltetésszerű használata vagy észszerűen előrelátható rendellenes használata esetén merülhetnek fel, különösen, amennyiben az ilyen kockázatok az e szakaszban meghatározott egyéb követelmények alkalmazásának ellenére tartósan fennállnak.
2. El objetivo de la supervisión humana será prevenir o reducir al mínimo los riesgos para la salud, la seguridad o los derechos fundamentales que pueden surgir cuando se utiliza un sistema de IA de alto riesgo conforme a su finalidad prevista o cuando se le da un uso indebido razonablemente previsible, en particular cuando dichos riesgos persistan a pesar de la aplicación de otros requisitos establecidos en la presente sección.
(3) A felügyeleti intézkedéseknek arányban kell állniuk a nagy kockázatú MI-rendszer kockázataival, autonómia-szintjével és felhasználási kontextusával, és azokat a következő intézkedéstípusok közül az egyik vagy mindkettő révén kell biztosítani:
3. Las medidas de supervisión serán proporcionales a los riesgos, al nivel de autonomía y al contexto de uso del sistema de IA de alto riesgo, y se garantizarán bien mediante uno de los siguientes tipos de medidas, bien mediante ambos:
a)
a szolgáltató által a nagy kockázatú MI-rendszer forgalomba hozatala vagy üzembe helyezése előtt azonosított és – amennyiben műszakilag megvalósítható – a nagy kockázatú MI-rendszerbe beépített intézkedések;
a)
las medidas que el proveedor defina y que integre, cuando sea técnicamente viable, en el sistema de IA de alto riesgo antes de su introducción en el mercado o su puesta en servicio;
b)
a szolgáltató által a nagy kockázatú MI-rendszer forgalomba hozatala vagy üzembe helyezése előtt azonosított, és az alkalmazó általi alkalmazásra megfelelő intézkedések.
b)
las medidas que el proveedor defina antes de la introducción del sistema de IA de alto riesgo en el mercado o de su puesta en servicio y que sean adecuadas para que las ponga en práctica el responsable del despliegue.
(4) Az (1), a (2) és a (3) bekezdés végrehajtása céljából a nagy kockázatú MI-rendszert oly módon kell az alkalmazó rendelkezésére bocsátani, hogy az emberi felügyelettel megbízott természetes személyek – adott esetben és arányos módon – képessé váljanak a következőkre:
4. A efectos de la puesta en práctica de lo dispuesto en los apartados 1, 2 y 3, el sistema de IA de alto riesgo se ofrecerá al responsable del despliegue de tal modo que las personas físicas a quienes se encomiende la supervisión humana puedan, según proceda y de manera proporcionada a:
a)
megfelelően megérteni a nagy kockázatú MI-rendszer releváns képességeit és korlátait, valamint tudni kellően nyomon követni annak működését, többek között a rendellenességek, zavarok és a váratlan teljesítmény felderítése és kezelése érdekében;
a)
entender adecuadamente las capacidades y limitaciones pertinentes del sistema de IA de alto riesgo y poder vigilar debidamente su funcionamiento, por ejemplo, con vistas a detectar y resolver anomalías, problemas de funcionamiento y comportamientos inesperados;
b)
tudatában maradni a nagy kockázatú MI-rendszerek által előállított kimenetre való automatikus vagy túlzott mértékű támaszkodás tendenciájának („automatizálási torzítás”), különösen azon nagy kockázatú MI-rendszerek esetében, amelyeket információ vagy ajánlások nyújtására használnak a természetes személyek által hozandó döntésekhez;
b)
ser conscientes de la posible tendencia a confiar automáticamente o en exceso en los resultados de salida generados por un sistema de IA de alto riesgo («sesgo de automatización»), en particular con aquellos sistemas que se utilizan para aportar información o recomendaciones con el fin de que personas físicas adopten una decisión;
c)
helyesen értelmezni a nagy kockázatú MI-rendszer kimenetét, figyelembe véve például a rendelkezésre álló értelmezési eszközöket és módszereket;
c)
interpretar correctamente los resultados de salida del sistema de IA de alto riesgo, teniendo en cuenta, por ejemplo, los métodos y herramientas de interpretación disponibles;
d)
bármely konkrét helyzetben dönteni arról, hogy nem használják a nagy kockázatú MI-rendszert, vagy más módon figyelmen kívül hagyják, felülírják vagy visszafordítják a nagy kockázatú MI-rendszer kimenetét;
d)
decidir, en cualquier situación concreta, no utilizar el sistema de IA de alto riesgo o descartar, invalidar o revertir los resultados de salida que este genere;
e)
beavatkozni a nagy kockázatú MI-rendszer működésébe, vagy megszakítani a rendszert egy „stop” gomb vagy olyan, hasonló eljárás révén, amely lehetővé teszi a rendszer biztonságos állapotban történő leállását.
e)
intervenir en el funcionamiento del sistema de IA de alto riesgo o interrumpir el sistema pulsando un botón de parada o mediante un procedimiento similar que permita que el sistema se detenga de forma segura.
(5) A III. melléklet 1. pontjának a) alpontjában említett nagy kockázatú MI-rendszerek esetében az e cikk (3) bekezdésében említett intézkedéseknek olyanoknak kell lenniük, amelyek biztosítják, hogy emellett az alkalmazó a rendszerből származó azonosítás alapján ne hozzon intézkedést vagy döntést, kivéve, ha az említett azonosítást legalább két, a szükséges kompetenciával, képzettséggel és hatáskörrel rendelkező természetes személy – egymástól függetlenül – ellenőrizte és megerősítette.
5. En el caso de los sistemas de IA de alto riesgo mencionados en el anexo III, punto 1, letra a), las medidas a que se refiere el apartado 3 del presente artículo garantizarán, además, que el responsable del despliegue no actúe ni tome ninguna decisión basándose en la identificación generada por el sistema, salvo si al menos dos personas físicas con la competencia, formación y autoridad necesarias han verificado y confirmado por separado dicha identificación.
A legalább két természetes személy által egymástól függetlenül végzett ellenőrzésre vonatkozó követelmény nem alkalmazandó a bűnüldözés, a migráció, a határellenőrzés vagy a menekültügy céljaira használt nagy kockázatú MI-rendszerekre, amennyiben az uniós vagy a nemzeti jog e követelmény alkalmazását aránytalannak tekinti.
El requisito de la verificación por parte de al menos dos personas físicas por separado no se aplicará a los sistemas de IA de alto riesgo utilizados con fines de garantía del cumplimiento del Derecho, de migración, de control fronterizo o de asilo cuando el Derecho nacional o de la Unión considere que la aplicación de este requisito es desproporcionada.
Pontosság, stabilitás és kiberbiztonság
Precisión, solidez y ciberseguridad
(1) A nagy kockázatú MI-rendszereket úgy kell megtervezni és fejleszteni, hogy megfelelő szintű pontosságot, stabilitást és kiberbiztonságot érjenek el, továbbá, hogy e tekintetben a teljes életciklusuk során következetesen teljesítsenek.
1. Los sistemas de IA de alto riesgo se diseñarán y desarrollarán de modo que alcancen un nivel adecuado de precisión, solidez y ciberseguridad y funcionen de manera uniforme en esos sentidos durante todo su ciclo de vida.
(2) A pontosság és a stabilitás (1) bekezdésben meghatározott szintjeinek mérésével kapcsolatos technikai szempontok figyelembevétele érdekében a Bizottság – a releváns érdekelt felekkel és szervezetekkel, így például a metrológiai és teljesítményértékelési hatóságokkal együttműködve – adott esetben ösztönzi a referenciaértékek és mérési módszertanok kidolgozását.
2. Para abordar los aspectos técnicos sobre la forma de medir los niveles adecuados de precisión y solidez establecidos en el apartado 1 y cualquier otro parámetro de rendimiento pertinente, la Comisión, en cooperación con las partes interesadas y organizaciones pertinentes, como las autoridades de metrología y de evaluación comparativa, fomentará, según proceda, el desarrollo de parámetros de referencia y metodologías de medición.
(3) A nagy kockázatú MI-rendszerek pontossági szintjeit és vonatkozó pontossági mérőszámait a mellékelt használati utasításban kell feltüntetni.
3. En las instrucciones de uso que acompañen a los sistemas de IA de alto riesgo se indicarán los niveles de precisión de dichos sistemas, así como los parámetros pertinentes para medirla.
(4) A nagy kockázatú MI-rendszereknek a lehető leginkább reziliensnek kell lenniük azon hibák, meghibásodások vagy következetlenségek tekintetében, amelyek a rendszeren vagy a rendszer működési környezetén belül előfordulhatnak, különösen a természetes személyekkel vagy más rendszerekkel való kölcsönhatásuk miatt. E tekintetben technikai és szervezeti intézkedéseket kell hozni.
4. Los sistemas de IA de alto riesgo serán lo más resistentes posible en lo que respecta a los errores, fallos o incoherencias que pueden surgir en los propios sistemas o en el entorno en el que funcionan, en particular a causa de su interacción con personas físicas u otros sistemas. Se adoptarán medidas técnicas y organizativas a este respecto.
A nagy kockázatú MI-rendszerek stabilitása elérhető műszaki redundanciamegoldásokkal, amelyek magukban foglalhatnak biztonsági vagy vészüzemi terveket is.
La solidez de los sistemas de IA de alto riesgo puede lograrse mediante soluciones de redundancia técnica, tales como copias de seguridad o planes de prevención contra fallos.
Azon nagy kockázatú MI-rendszereket, amelyek a forgalomba hozatalt vagy az üzembe helyezést követően is tanulnak, úgy kell fejleszteni, hogy kiküszöböljék vagy a lehető legnagyobb mértékben csökkentsék annak kockázatát, hogy az esetlegesen torzított kimenetek befolyásolják a jövőbeli műveletek bemenetét (visszacsatolási hurkok), valamint biztosítva azt, hogy az ilyen visszacsatolási hurkokat megfelelő kockázatcsökkentő intézkedésekkel kielégítően kezeljék.
Los sistemas de IA de alto riesgo que continúan aprendiendo tras su introducción en el mercado o puesta en servicio se desarrollarán de tal modo que se elimine o reduzca lo máximo posible el riesgo de que los resultados de salida que pueden estar sesgados influyan en la información de entrada de futuras operaciones (bucles de retroalimentación) y se garantice que dichos bucles se subsanen debidamente con las medidas de reducción de riesgos adecuadas.
(5) A nagy kockázatú MI-rendszereknek reziliensnek kell lenniük a jogosulatlan harmadik felek arra irányuló kísérleteivel szemben, hogy a rendszer sebezhetőségeinek kiaknázása révén megváltoztassák a rendszer használatát, kimeneteit vagy teljesítményét.
5. Los sistemas de IA de alto riesgo serán resistentes a los intentos de terceros no autorizados de alterar su uso, sus resultados de salida o su funcionamiento aprovechando las vulnerabilidades del sistema.
A nagy kockázatú MI-rendszerek kiberbiztonságának biztosítását célzó műszaki megoldásoknak megfelelőnek kell lenniük a releváns körülmények és a kockázatok szempontjából.
Las soluciones técnicas encaminadas a garantizar la ciberseguridad de los sistemas de IA de alto riesgo serán adecuadas a las circunstancias y los riesgos pertinentes.
Az MI-specifikus sebezhetőségek kezelésére szolgáló műszaki megoldásoknak adott esetben magukban kell foglalniuk azon intézkedéseket, amelyek a tanítóadat-készlet manipulálását megkísérlő támadásoknak (adatmérgezés) vagy a tanítás során használt előtanított összetevők manipulálását megkísérlő támadásoknak („modellmérgezés”), a modell hibájának előidézésére szolgáló bemeneteknek (támadó szempontú példák vagy modellkijátszás), a bizalmasság elleni támadásoknak vagy a modellhibáknak a megelőzésére, felderítésére, az azokra való reagálásra, azok megoldására és ellenőrzésére irányulnak.
Entre las soluciones técnicas destinadas a subsanar vulnerabilidades específicas de la IA figurarán, según corresponda, medidas para prevenir, detectar, combatir, resolver y controlar los ataques que traten de manipular el conjunto de datos de entrenamiento («envenenamiento de datos»), o los componentes entrenados previamente utilizados en el entrenamiento («envenenamiento de modelos»), la información de entrada diseñada para hacer que el modelo de IA cometa un error («ejemplos adversarios» o «evasión de modelos»), los ataques a la confidencialidad o los defectos en el modelo.
Minőségirányítási rendszer
Sistema de gestión de la calidad
(1) A nagy kockázatú MI-rendszerek szolgáltatóinak minőségirányítási rendszert kell bevezetniük, amely biztosítja az e rendeletnek való megfelelést. Ezt a rendszert írásbeli szabályzatok, eljárások és utasítások formájában szisztematikus és rendezett módon dokumentálni kell, és annak legalább a következő szempontokra kell kiterjednie:
1. Los proveedores de sistemas de IA de alto riesgo establecerán un sistema de gestión de la calidad que garantice el cumplimiento del presente Reglamento. Dicho sistema deberá consignarse de manera sistemática y ordenada en documentación en la que se recojan las políticas, los procedimientos y las instrucciones e incluirá, al menos, los siguientes aspectos:
a)
a jogszabályi rendelkezések tiszteletben tartását célzó stratégia, beleértve a megfelelőségértékelési eljárásoknak, valamint a nagy kockázatú MI-rendszer módosításának kezelését célzó eljárásoknak való megfelelést is;
a)
una estrategia para el cumplimiento de la normativa, incluido el cumplimiento de los procedimientos de evaluación de la conformidad y de los procedimientos de gestión de las modificaciones de los sistemas de IA de alto riesgo;
b)
a nagy kockázatú MI-rendszer tervezéséhez, tervezés-ellenőrzéséhez és tervezés-igazolásához alkalmazandó technikák, eljárások és módszeres intézkedések;
b)
las técnicas, los procedimientos y las actuaciones sistemáticas que se utilizarán en el diseño y el control y la verificación del diseño del sistema de IA de alto riesgo;
c)
a nagy kockázatú MI-rendszer fejlesztésére, minőség-ellenőrzésére és minőségbiztosítására alkalmazandó technikák, eljárások és módszeres intézkedések;
c)
las técnicas, los procedimientos y las actuaciones sistemáticas que se utilizarán en el desarrollo del sistema de IA de alto riesgo y en el control y el aseguramiento de la calidad de este;
d)
a nagy kockázatú MI-rendszer fejlesztése előtt, alatt és után végrehajtandó vizsgálati, tesztelési és validálási eljárások, valamint azok elvégzésének előírt gyakorisága;
d)
los procedimientos de examen, prueba y validación que se llevarán a cabo antes, durante y después del desarrollo del sistema de IA de alto riesgo, así como la frecuencia con que se ejecutarán;
e)
az alkalmazandó műszaki előírások, beleértve a szabványokat, valamint – amennyiben a vonatkozó harmonizált szabványokat nem alkalmazzák teljes mértékben, vagy azok nem terjednek ki a 2. szakaszban meghatározott valamennyi releváns követelményre – az annak biztosítására szolgáló eszközök, hogy a nagy kockázatú MI-rendszer megfeleljen az említett követelményeknek;
e)
las especificaciones técnicas, incluidas las normas, que se aplicarán y, cuando las normas armonizadas pertinentes no se apliquen en su totalidad o no cubran todos los requisitos pertinentes establecidos en la sección 2, los medios que se utilizarán para velar por que el sistema de IA de alto riesgo cumpla dichos requisitos;
f)
adatgazdálkodási rendszerek és eljárások, beleértve az adatszerzést, az adatgyűjtést, az adatelemzést, az adatcímkézést, az adattárolást, az adatszűrést, az adatbányászatot, az adatösszesítést, az adatmegőrzést és a nagy kockázatú MI-rendszerek forgalomba hozatala vagy üzembe helyezése előtt és céljából végzett bármely más, az adatokkal kapcsolatos műveletet;
f)
los sistemas y procedimientos de gestión de datos, lo que incluye su adquisición, recopilación, análisis, etiquetado, almacenamiento, filtrado, prospección, agregación, conservación y cualquier otra operación relacionada con los datos que se lleve a cabo antes de la introducción en el mercado o puesta en servicio de sistemas de IA de alto riesgo y con esa finalidad;
g)
a 9. cikkben említett kockázatkezelési rendszer;
g)
el sistema de gestión de riesgos que se menciona en el artículo 9;
h)
a 72. cikkel összhangban a forgalomba hozatal utáni nyomonkövetési rendszer kidolgozása, végrehajtása és fenntartása;
h)
el establecimiento, aplicación y mantenimiento de un sistema de vigilancia poscomercialización de conformidad con el artículo 72;
i)
a 73. cikkel összhangban a súlyos váratlan események bejelentésével kapcsolatos eljárások;
i)
los procedimientos asociados a la notificación de un incidente grave con arreglo al artículo 73;
j)
az illetékes nemzeti hatóságokkal, egyéb releváns – többek között az adatokhoz való hozzáférést biztosító vagy támogató – hatóságokkal, a bejelentett szervezetekkel, más gazdasági szereplőkkel, ügyfelekkel vagy más érdekelt felekkel folytatott kommunikáció kezelése;
j)
la gestión de la comunicación con las autoridades nacionales competentes, otras autoridades pertinentes, incluidas las que permiten acceder a datos o facilitan el acceso a ellos, los organismos notificados, otros operadores, los clientes u otras partes interesadas;
k)
valamennyi releváns dokumentáció és információ nyilvántartására szolgáló rendszerek és eljárások;
k)
los sistemas y procedimientos para llevar un registro de toda la documentación e información pertinente;
l)
erőforrás-gazdálkodás, beleértve az ellátás biztonságával kapcsolatos intézkedéseket;
l)
la gestión de los recursos, incluidas medidas relacionadas con la seguridad del suministro;
m)
elszámoltathatósági keret, amely meghatározza a vezetőség és az egyéb személyzet felelősségi körét az e bekezdésben felsorolt valamennyi szempont tekintetében.
m)
un marco de rendición de cuentas que defina las responsabilidades del personal directivo y de otra índole en relación con todos los aspectos enumerados en este apartado.
(2) Az (1) bekezdésben említett szempontok megvalósításának arányosnak kell lennie a szolgáltató szervezetének méretével. A szolgáltatóknak minden esetben tiszteletben kell tartaniuk a nagy kockázatú MI-rendszereik e rendeletnek való megfelelésének biztosításához szükséges szigorúsági mértéket és védelmi szintet.
2. La aplicación de los aspectos mencionados en el apartado 1 será proporcional al tamaño de la organización del proveedor. Los proveedores respetarán, en todo caso, el grado de rigor y el nivel de protección requerido para garantizar la conformidad de sus sistemas de IA de alto riesgo con el presente Reglamento.
(3) A nagy kockázatú MI-rendszerek azon szolgáltatói, amelyek a minőségirányítási rendszerekre vagy a releváns ágazati uniós jog szerinti valamely egyenértékű funkcióra vonatkozó kötelezettségek hatálya alá tartoznak, az (1) bekezdésben felsorolt szempontokat az említett jog alapján létrehozott minőségirányítási rendszerek részévé tehetik.
3. Los proveedores de sistemas de IA de alto riesgo que estén sujetos a obligaciones relativas a los sistemas de gestión de la calidad o una función equivalente con arreglo al Derecho sectorial pertinente de la Unión podrán incluir los aspectos enumerados en el apartado 1 como parte de los sistemas de gestión de la calidad con arreglo a dicho Derecho.
(4) Azon szolgáltatók esetében, amelyek a pénzügyi szolgáltatásokra vonatkozó uniós jog értelmében a belső irányításukra, rendszerükre vagy eljárásaikra vonatkozó követelmények hatálya alá tartozó pénzügyi intézmények, az e cikk (1) bekezdésének g), h) és i) pontja kivételével a minőségirányítási rendszer létrehozására vonatkozó kötelezettséget a pénzügyi szolgáltatásokra vonatkozó uniós jog szerinti, belső irányítási rendszerekre vagy eljárásokra vonatkozó szabályoknak való megfeleléssel teljesítettnek kell tekinteni. E célból figyelembe kell venni a 40. cikkben említett harmonizált szabványokat.
4. En el caso de los proveedores que sean entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros, se considerará que se ha cumplido la obligación de establecer un sistema de gestión de la calidad, salvo en relación con lo dispuesto en el apartado 1, letras g), h) e i), del presente artículo cuando se respeten las normas sobre los sistemas o procesos de gobernanza interna de acuerdo con el Derecho pertinente de la Unión en materia de servicios financieros. A tal fin, se tendrán en cuenta todas las normas armonizadas que se mencionan en el artículo 40.
A nagy kockázatú MI-rendszerek meghatalmazott képviselői
Representantes autorizados de los proveedores de sistemas de IA de alto riesgo
(1) A nagy kockázatú MI-rendszereiknek az Unió piacán való forgalmazását megelőzően a harmadik országokban letelepedett szolgáltatóknak írásbeli megbízással ki kell nevezniük egy, az Unióban letelepedett meghatalmazott képviselőt.
1. Antes de comercializar sus sistemas de IA de alto riesgo en el mercado de la Unión, los proveedores establecidos en terceros países tendrán que nombrar, mediante un mandato escrito, a un representante autorizado que esté establecido en la Unión.
(2) A szolgáltatónak lehetővé kell tennie a meghatalmazott képviselője számára, hogy elvégezze a szolgáltatótól kapott megbízásban meghatározott feladatokat.
2. Los proveedores permitirán que su representante autorizado pueda efectuar las tareas especificadas en el mandato recibido del proveedor.
(3) A meghatalmazott képviselőknek el kell ellátniuk a szolgáltatótól kapott megbízásban meghatározott feladatokat. A megbízás egy példányát kérésre a piacfelügyeleti hatóságok rendelkezésére kell bocsátaniuk az Unió intézményeinek egyik hivatalos, az illetékes hatóság által megjelölt nyelvén. E rendelet alkalmazása céljából a megbízásban fel kell hatalmazni a meghatalmazott képviselőt a következő feladatok elvégzésére:
3. Los representantes autorizados efectuarán las tareas especificadas en el mandato recibido del proveedor. Facilitarán a las autoridades de vigilancia del mercado, cuando lo soliciten, una copia del mandato en una de las lenguas oficiales de las instituciones de la Unión según lo indicado por la autoridad de competente. A los efectos del presente Reglamento, el mandato habilitará al representante autorizado para realizar las tareas siguientes:
a)
annak ellenőrzése, hogy elkészült-e a 47. cikkben említett EU-megfelelőségi nyilatkozat és a 11. cikkben említett műszaki dokumentáció, valamint hogy a szolgáltató elvégzett-e egy megfelelő megfelelőségértékelési eljárást;
a)
verificar que se han elaborado la declaración UE de conformidad a que se refiere el artículo 47 y la documentación técnica a que se refiere el artículo 11 y que el proveedor ha llevado a cabo un procedimiento de evaluación de la conformidad adecuado;
b)
a nagy kockázatú MI-rendszer forgalomba hozatalát vagy üzembe helyezését követő tízéves időtartamra az illetékes hatóságok és a 74. cikk (10) bekezdésében említett nemzeti hatóságok vagy szervek számára a következők elérhetővé tétele: azon szolgáltató elérhetőségei, aki vagy amely kinevezte a meghatalmazott képviselőt, a 47. cikkben említett EU-megfelelőségi nyilatkozat egy példánya, a műszaki dokumentáció és adott esetben a bejelentett szervezet által kiadott tanúsítvány;
b)
conservar a disposición de las autoridades competentes y de las autoridades u organismos nacionales a que se refiere el artículo 74, apartado 10, durante un período de diez años a contar desde la introducción en el mercado o la puesta en servicio del sistema de IA de alto riesgo, los datos de contacto del proveedor que haya nombrado al representante autorizado, una copia de la declaración UE de conformidad a que se refiere el artículo 47, la documentación técnica y, en su caso, el certificado expedido por el organismo notificado;
c)
indokolt kérésre az annak igazolásához szükséges minden információnak és dokumentációnak – beleértve az ezen albekezdés b) pontjában említetteket is – az illetékes hatóság rendelkezésére bocsátása, hogy a nagy kockázatú MI-rendszer megfelel a 2. szakaszban foglalt követelményeknek, ideértve a nagy kockázatú MI-rendszer által automatikusan generált, a 12. cikk (1) bekezdésében említett naplókhoz való hozzáférést is, amennyiben az ilyen naplók a szolgáltató ellenőrzése alatt állnak;
c)
proporcionar a una autoridad competente, previa solicitud motivada, toda la información y la documentación, incluida la mencionada en el presente párrafo, letra b), que sean necesarias para demostrar la conformidad de un sistema de IA de alto riesgo con los requisitos establecidos en la sección 2, incluido el acceso a los archivos de registro a que se refiere el artículo 12, apartado 1, generados automáticamente por ese sistema, en la medida en que dichos archivos estén bajo el control del proveedor;
d)
indokolt kérésre együttműködés az illetékes hatóságokkal a nagy kockázatú MI-rendszerrel kapcsolatban – különösen a nagy kockázatú MI-rendszer jelentette kockázatok csökkentését és enyhítését illetően – e hatóságok által tett bármely intézkedés tekintetében;
d)
cooperar con las autoridades competentes, previa solicitud motivada, en todas las acciones que estas emprendan en relación con el sistema de IA de alto riesgo, en particular para reducir y mitigar los riesgos que este presente;
e)
adott esetben a 49. cikk (1) bekezdésében említett nyilvántartásba vételi kötelezettségek teljesítése, vagy – ha a nyilvántartásba vételt maga a szolgáltató végzi – a VIII. melléklet A. szakaszának 3. pontjában említett információk helyességének biztosítása.
e)
cuando proceda, cumplir las obligaciones de registro a que se refiere el artículo 49, apartado 1, o si el registro lo lleva a cabo el propio proveedor, garantizar que la información a que se refiere el anexo VIII, sección A, punto 3, es correcta.
A megbízásban fel kell hatalmazni a meghatalmazott képviselőt arra, hogy az illetékes hatóságok hozzá forduljanak – a szolgáltató mellett vagy helyett – az e rendeletnek való megfelelés biztosításával kapcsolatos minden kérdést illetően.
El mandato habilitará al representante autorizado para que las autoridades competentes se pongan en contacto con él, además de con el proveedor o en lugar de con el proveedor, con referencia a todas las cuestiones relacionadas con la garantía del cumplimiento del presente Reglamento.
(4) A meghatalmazott képviselőnek meg kell szüntetnie a megbízást, ha úgy ítéli meg, vagy oka van úgy megítélni, hogy a szolgáltató az e rendelet szerinti kötelezettségeivel ellentétesen jár el. Ilyen esetben a megbízás megszüntetéséről és annak okairól haladéktalanul tájékoztatnia kell a releváns piacfelügyeleti hatóságot és adott esetben a releváns bejelentett szervezetet is.
4. El representante autorizado pondrá fin al mandato si considera o tiene motivos para considerar que el proveedor contraviene las obligaciones que le atañen con arreglo al presente Reglamento. En tal caso, además, informará de inmediato de la terminación del mandato y de los motivos de esta medida a la autoridad de vigilancia del mercado pertinente, así como, cuando proceda, al organismo notificado pertinente.
Az importőrök kötelezettségei
Obligaciones de los importadores
(1) Valamely nagy kockázatú MI-rendszer forgalomba hozatala előtt az importőröknek biztosítaniuk kell, hogy a rendszer megfeleljen e rendeletnek a következők ellenőrzésével:
1. Antes de introducir un sistema de IA de alto riesgo en el mercado, los importadores se asegurarán de que el sistema sea conforme con el presente Reglamento verificando que:
a)
a nagy kockázatú MI-rendszer szolgáltatója elvégezte a 43. cikkben említett releváns megfelelőségértékelési eljárást;
a)
el proveedor del sistema de IA de alto riesgo haya llevado a cabo el procedimiento de evaluación de la conformidad pertinente a que se refiere el artículo 43;
b)
a szolgáltató elkészítette a műszaki dokumentációt a 11. cikknek és a IV. mellékletnek megfelelően;
b)
el proveedor haya elaborado la documentación técnica de conformidad con el artículo 11 y el anexo IV;
c)
a rendszeren feltüntették az előírt CE-jelölést, valamint mellékelték ahhoz a 47. cikkben említett EU-megfelelőségi nyilatkozatot és a használati utasítást;
c)
el sistema lleve el marcado CE exigido y vaya acompañado de la declaración UE de conformidad a que se refiere el artículo 47 y de las instrucciones de uso;
d)
a szolgáltató kinevezett egy meghatalmazott képviselőt a 22. cikk (1) bekezdésének megfelelően.
d)
el proveedor haya designado a un representante autorizado de conformidad con el artículo 22, apartado 1.
(2) Amennyiben az importőrnek elegendő oka van úgy megítélni, hogy valamely nagy kockázatú MI-rendszer nem felel meg e rendeletnek, vagy azt hamisították, vagy hamisított dokumentációval rendelkezik, addig nem hozhatja forgalomba a rendszert, amíg annak megfelelőségét nem biztosították. Amennyiben a nagy kockázatú MI-rendszer a 79. cikk (1) bekezdése értelmében kockázatot jelent, az importőrnek erről tájékoztatnia kell a rendszer szolgáltatóját, a meghatalmazott képviselőket és a piacfelügyeleti hatóságokat.
2. Si el importador tiene motivos suficientes para considerar que un sistema de IA de alto riesgo no es conforme con el presente Reglamento, ha sido falsificado o va acompañado de documentación falsificada, no lo introducirá en el mercado hasta que se haya conseguido la conformidad de dicho sistema. Si el sistema de IA de alto riesgo presenta un riesgo en el sentido del artículo 79, apartado 1, el importador informará de ello al proveedor del sistema, a los representantes autorizados y a las autoridades de vigilancia del mercado.
(3) Az importőröknek fel kell tüntetniük a nagy kockázatú MI-rendszeren és annak csomagolásán vagy adott esetben a kísérő dokumentációján a nevüket, bejegyzett kereskedelmi nevüket vagy bejegyzett védjegyüket, valamint azon címet, amelyen velük a nagy kockázatú MI-rendszert illetően kapcsolatba lehet lépni.
3. Los importadores indicarán, en el embalaje del sistema de IA de alto riesgo o en la documentación que lo acompañe, cuando proceda, su nombre, su nombre comercial registrado o marca registrada y su dirección de contacto.
(4) Az importőröknek biztosítaniuk kell, hogy mindaddig, amíg ők felelnek egy nagy kockázatú MI-rendszerért, adott esetben a tárolási vagy szállítási feltételek ne veszélyeztessék a rendszer 2. szakaszban foglalt követelményeknek való megfelelőségét.
4. Mientras sean responsables de un sistema de IA de alto riesgo, los importadores se asegurarán de que las condiciones de almacenamiento o transporte, cuando proceda, no comprometan el cumplimiento de los requisitos establecidos en la sección 2 por parte de dicho sistema.
(5) Az importőröknek a nagy kockázatú MI-rendszer forgalomba hozatalát vagy üzembe helyezését követő tízéves időtartamig meg kell őrizniük a bejelentett szervezet által kiállított tanúsítvány, adott esetben a használati utasítás és a 47. cikkben említett EU-megfelelőségi nyilatkozat egy-egy példányát.
5. Los importadores conservarán, durante un período de diez años a contar desde la introducción en el mercado o la puesta en servicio del sistema de IA de alto riesgo, una copia del certificado expedido por el organismo notificado, en su caso, de las instrucciones de uso y de la declaración UE de conformidad a que se refiere el artículo 47.
(6) Az importőröknek indokolt kérésre a releváns illetékes hatóságok rendelkezésére kell bocsátaniuk minden, annak igazolásához szükséges információt és dokumentációt – ideértve az (5) bekezdésben említetteket is –, hogy a nagy kockázatú MI-rendszer megfelel a 2. szakaszban foglalt követelményeknek, az adott illetékes nemzeti hatóság számára könnyen érthető nyelven. E célból az importőröknek biztosítaniuk kell azt is, hogy a műszaki dokumentációt az említett hatóságok rendelkezésére lehessen bocsátani.
6. Los importadores proporcionarán a las autoridades competentes pertinentes, previa solicitud motivada, toda la información y la documentación, incluidas las referidas en el apartado 5, que sean necesarias para demostrar la conformidad de un sistema de IA de alto riesgo con los requisitos establecidos en la sección 2 en una lengua que estas puedan entender fácilmente. A tal efecto, velarán asimismo por que la documentación técnica pueda ponerse a disposición de esas autoridades.
(7) Az importőröknek együtt kell működniük a releváns illetékes nemzeti hatóságokkal minden olyan intézkedés tekintetében, amelyet az említett hatóságok hoznak egy olyan nagy kockázatú MI-rendszerrel kapcsolatban – különösen az általa jelentett kockázatok csökkentése és enyhítése érdekében –, amelyet az importőrök hoztak forgalomba.
7. Los importadores cooperarán con las autoridades competentes pertinentes en cualquier medida que estas adopten en relación con un sistema de IA de alto riesgo introducido en el mercado por los importadores, en particular para reducir y mitigar los riesgos que este presente.
A forgalmazók kötelezettségei
Obligaciones de los distribuidores
(1) Valamely nagy kockázatú MI-rendszer forgalmazását megelőzően a forgalmazóknak ellenőrizniük kell, hogy a nagy kockázatú MI-rendszeren fel van-e tüntetve az előírt CE- jelölés, mellékelték-e ahhoz a 47. cikkben említett EU-megfelelőségi nyilatkozat egy példányát és a használati utasítást, valamint hogy az említett rendszer szolgáltatója, illetve – adott esetben – importőre teljesítette-e a 16. cikk b) és c) pontjában, illetve a 23. cikk (3) bekezdésében foglalt kötelezettségeit.
1. Antes de comercializar un sistema de IA de alto riesgo, los distribuidores verificarán que este lleve el marcado CE exigido, que vaya acompañado de una copia de la declaración UE de conformidad a que se refiere el artículo 47 y de las instrucciones de uso, y que el proveedor y el importador de dicho sistema, según corresponda, hayan cumplido sus obligaciones establecidas en el artículo 16, letras b) y c), y el artículo 23, apartado 3, respectivamente.
(2) Amennyiben a forgalmazó a birtokában lévő információk alapján úgy ítéli meg, vagy oka van úgy megítélni, hogy egy nagy kockázatú MI-rendszer nem felel meg a 2. szakaszban meghatározott követelményeknek, nem forgalmazhatja a nagy kockázatú MI-rendszert mindaddig, amíg a rendszert nem hozták összhangba az említett követelményekkel. Továbbá, amennyiben a nagy kockázatú MI-rendszer a 79. cikk (1) bekezdése értelmében kockázatot jelent, a forgalmazónak erről tájékoztatnia kell a rendszer szolgáltatóját vagy adott esetben importőrét.
2. Si un distribuidor considera o tiene motivos para considerar, con arreglo a la información en su poder, que un sistema de IA de alto riesgo no es conforme con los requisitos establecidos en la sección 2, no lo comercializará hasta que se haya conseguido esa conformidad. Además, si el sistema de IA de alto riesgo presenta un riesgo en el sentido del artículo 79, apartado 1, el distribuidor informará de ello al proveedor o importador del sistema, según corresponda.
(3) A forgalmazóknak biztosítaniuk kell, hogy mindaddig, amíg ők felelnek a nagy kockázatú MI-rendszerért, adott esetben a tárolási vagy szállítási feltételek ne veszélyeztessék a rendszer 2. szakaszban foglalt követelményeknek való megfelelőségét.
3. Mientras sean responsables de un sistema de IA de alto riesgo, los distribuidores se asegurarán de que las condiciones de almacenamiento o transporte, cuando proceda, no comprometen el cumplimiento por parte del sistema de los requisitos establecidos en la sección 2.
(4) Azon forgalmazónak, amely a birtokában lévő információk alapján úgy ítéli meg, vagy oka van úgy megítélni, hogy az általa forgalmazott nagy kockázatú MI-rendszer nem felel meg a 2. szakaszban foglalt követelményeknek, meg kell tennie a szükséges korrekciós intézkedéseket ahhoz, hogy a rendszert összhangba hozza az említett követelményekkel, kivonja a forgalomból vagy visszahívja, vagy biztosítania kell, hogy a szolgáltató, az importőr vagy adott esetben bármely érintett üzemeltető megtegye az említett korrekciós intézkedéseket. Amennyiben a nagy kockázatú MI-rendszer a 79. cikk (1) bekezdése értelmében kockázatot jelent, a forgalmazónak erről haladéktalanul tájékoztatnia kell a rendszer szolgáltatóját vagy importőrét, és az érintett nagy kockázatú MI-rendszerért felelős hatóságokat, részletezve különösen a meg nem felelést és a meghozott korrekciós intézkedéseket.
4. Los distribuidores que consideren o tengan motivos para considerar, con arreglo a la información en su poder, que un sistema de IA de alto riesgo que han comercializado no es conforme con los requisitos establecidos en la sección 2 adoptarán las medidas correctoras necesarias para que sea conforme, para retirarlo del mercado o recuperarlo, o velarán por que el proveedor, el importador u otro operador pertinente, según proceda, adopte dichas medidas correctoras. Cuando un sistema de IA de alto riesgo presente un riesgo en el sentido del artículo 79, apartado 1, su distribuidor informará inmediatamente de ello al proveedor o al importador del sistema y a las autoridades competentes respecto al sistema de IA de alto riesgo de que se trate y dará detalles, en particular, sobre la no conformidad y las medidas correctoras adoptadas.
(5) Valamely releváns illetékes nemzeti hatóság indokolt kérésére a nagy kockázatú MI-rendszerek forgalmazóinak az említett hatóság rendelkezésére kell bocsátaniuk az (1)–(4) bekezdés szerinti tevékenységeikre vonatkozó valamennyi olyan információt és dokumentációt, amely szükséges annak igazolásához, hogy az említett rendszer megfelel a 2. szakaszban meghatározott követelményeknek.
5. Previa solicitud motivada de una autoridad competente pertinente, los distribuidores de un sistema de IA de alto riesgo proporcionarán a esa autoridad toda la información y la documentación relativas a sus actuaciones con arreglo a los apartados 1 a 4 que sean necesarias para demostrar que dicho sistema cumple los requisitos establecidos en la sección 2.
(6) A forgalmazóknak együtt kell működniük a releváns illetékes hatóságokkal minden olyan intézkedés tekintetében, amelyet az említett hatóságok hoznak egy olyan nagy kockázatú MI-rendszerrel kapcsolatban – különösen az általa jelentett kockázat csökkentése vagy enyhítése érdekében –, amelyet a forgalmazók forgalmaznak.
6. Los distribuidores cooperarán con las autoridades competentes pertinentes en cualquier medida que estas adopten en relación con un sistema de IA de alto riesgo comercializado por los distribuidores, en particular para reducir o mitigar los riesgos que este presente.
Felelősségi körök az MI-értéklánc mentén
Responsabilidades a lo largo de la cadena de valor de la IA
(1) E rendelet alkalmazásában minden forgalmazót, importőrt, alkalmazót vagy egyéb harmadik felet nagy kockázatú MI-rendszer szolgáltatójának kell tekinteni, és arra a szolgáltatónak a 16. cikk szerinti kötelezettségei vonatkoznak a következő körülmények bármelyikének esetében:
1. Cualquier distribuidor, importador, responsable del despliegue o tercero será considerado proveedor de un sistema de IA de alto riesgo a los efectos del presente Reglamento y estará sujeto a las obligaciones del proveedor previstas en el artículo 16 en cualquiera de las siguientes circunstancias:
a)
nevüket vagy védjegyüket egy már forgalomba hozott vagy üzembe helyezett, nagy kockázatú MI-rendszeren helyezik el, olyan szerződéses megállapodások sérelme nélkül, amelyek a kötelezettségek másképp történő megosztását írják elő;
a)
cuando ponga su nombre o marca en un sistema de IA de alto riesgo previamente introducido en el mercado o puesto en servicio, sin perjuicio de los acuerdos contractuales que estipulen que las obligaciones se asignan de otro modo;
b)
jelentős módosítást hajtanak végre egy már forgalomba hozott vagy már üzembe helyezett nagy kockázatú MI-rendszeren oly módon, hogy az a 6. cikkel összhangban továbbra is nagy kockázatú MI-rendszer marad;
b)
cuando modifique sustancialmente un sistema de IA de alto riesgo que ya haya sido introducido en el mercado o puesto en servicio de tal manera que siga siendo un sistema de IA de alto riesgo con arreglo al artículo 6;
c)
jelentősen módosítják egy olyan MI-rendszer rendeltetését, beleértve az általános célú MI-rendszereket is, amelyet nem minősítettek nagy kockázatúnak, és amelyet már forgalomba hoztak vagy üzembe helyeztek, oly módon, hogy az érintett MI-rendszer a 6. cikkel összhangban nagy kockázatú MI-rendszerré válik;
c)
cuando modifique la finalidad prevista de un sistema de IA, incluido un sistema de IA de uso general, que no haya sido considerado de alto riesgo y ya haya sido introducido en el mercado o puesto en servicio, de tal manera que el sistema de IA de que se trate se convierta en un sistema de IA de alto riesgo de conformidad con el artículo 6.
(2) Amennyiben az (1) bekezdésben említett körülmények fennállnak, az MI-rendszert eredetileg forgalomba hozó vagy üzembe helyező szolgáltató e rendelet alkalmazása céljából többé nem tekinthető az adott konkrét MI-rendszer szolgáltatójának. Az említett eredeti szolgáltatónak szorosan együtt kell működnie az új szolgáltatókkal, és rendelkezésre kell bocsátania a szükséges információkat, valamint biztosítania kell az e rendeletben meghatározott kötelezettségek teljesítéséhez szükséges, észszerűen elvárható technikai hozzáférést és egyéb segítséget, különösen a nagy kockázatú MI-rendszerek megfelelőségértékelésének való megfelelés tekintetében. E bekezdés nem alkalmazandó azokban az esetekben, amikor az eredeti szolgáltató egyértelműen meghatározta, hogy MI-rendszerét nem szabad nagy kockázatú MI-rendszerré alakítani, és ezért az ilyen esetek nem tartoznak a dokumentáció átadására vonatkozó kötelezettség hatálya alá.
2. Cuando se den las circunstancias mencionadas en el apartado 1, el proveedor que inicialmente haya introducido en el mercado el sistema de IA o lo haya puesto en servicio dejará de ser considerado proveedor de ese sistema de IA específico a efectos del presente Reglamento. Ese proveedor inicial cooperará estrechamente con los nuevos proveedores y facilitará la información necesaria, el acceso técnico u otra asistencia razonablemente previstos que sean necesarios para el cumplimiento de las obligaciones establecidas en el presente Reglamento, en particular en lo que respecta al cumplimiento de la evaluación de la conformidad de los sistemas de IA de alto riesgo. El presente apartado no se aplicará en los casos en que el proveedor inicial haya indicado claramente que su sistema de IA no debe ser transformado en un sistema de IA de alto riesgo y, por lo tanto, no está sujeto a la obligación de facilitar la documentación.
(3) Az olyan nagy kockázatú MI-rendszerek esetében, amelyek az I. melléklet A. szakaszában felsorolt uniós harmonizációs jogszabályok hatálya alá tartozó termékek biztonsági alkotórészei, a termék gyártóját kell a nagy kockázatú MI-rendszer szolgáltatójának tekinteni, és annak a 16. cikk szerinti kötelezettségek hatálya alá kell tartoznia a következő körülmények közül bármelyik esetében:
3. En el caso de los sistemas de IA de alto riesgo que sean componentes de seguridad de productos contemplados en los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, el fabricante del producto será considerado proveedor del sistema de IA de alto riesgo y estará sujeto a las obligaciones previstas en el artículo 16 en alguna de las siguientes circunstancias:
a)
a nagy kockázatú MI-rendszert a termékkel együtt, a termék gyártójának neve vagy védjegye alatt hozzák forgalomba;
a)
que el sistema de IA de alto riesgo se introduzca en el mercado junto con el producto bajo el nombre o la marca del fabricante del producto;
b)
a nagy kockázatú MI-rendszert a termék gyártójának neve vagy védjegye alatt helyezik üzembe a termék forgalomba hozatalát követően.
b)
que el sistema de IA de alto riesgo se ponga en servicio bajo el nombre o la marca del fabricante del producto después de que el producto haya sido introducido en el mercado.
(4) A nagy kockázatú MI-rendszer szolgáltatójának és a nagy kockázatú MI-rendszerben használt vagy abba integrált eszközöket, szolgáltatásokat, alkotóelemeket vagy folyamatokat szállító harmadik félnek írásbeli megállapodás révén, a technika általánosan elismert, mindenkori állása alapján meg kell határoznia a szükséges információkat, képességeket, technikai hozzáférést és egyéb segítséget, annak érdekében, hogy a nagy kockázatú MI-rendszer szolgáltatója teljes mértékben eleget tudjon tenni az e rendeletben foglalt kötelezettségeknek. Ez a bekezdés nem alkalmazandó azon harmadik felekre, akik az általános célú MI-modellektől eltérő eszközöket, szolgáltatásokat, folyamatokat vagy alkotóelemeket szabad és nyílt forráskódú licenc alapján tesznek nyilvánosan hozzáférhetővé.
4. El proveedor de un sistema de IA de alto riesgo y el tercero que suministre un sistema de IA de alto riesgo, herramientas, servicios, componentes o procesos que se utilicen o integren en un sistema de IA de alto riesgo especificarán, mediante acuerdo escrito, la información, las capacidades, el acceso técnico y otra asistencia que sean necesarios, sobre la base del estado de la técnica generalmente reconocido, para que el proveedor del sistema de IA de alto riesgo pueda cumplir plenamente las obligaciones establecidas en el presente Reglamento. El presente apartado no se aplicará a terceros que pongan a disposición del público herramientas, servicios, procesos o componentes distintos de modelos de IA de uso general, en el marco de una licencia libre y de código abierto.
Az MI-hivatal önkéntes mintafeltételeket dolgozhat ki és ajánlhat a nagy kockázatú MI-rendszerek szolgáltatói és a nagy kockázatú MI-rendszerekhez használt vagy azokba integrált eszközöket, szolgáltatásokat, alkotóelemeket vagy folyamatokat szolgáltató harmadik felek közötti szerződésekre vonatkozóan. Az említett önkéntes mintafeltételek kidolgozása során az MI-hivatalnak figyelembe kell vennie az egyes ágazatokban vagy konkrét üzleti esetekben alkalmazandó lehetséges szerződéses követelményeket. Az önkéntes mintafeltételeket könnyen használható elektronikus formátumban közzé kell tenni és díjmentesen elérhetővé kell tenni.
La Oficina de IA podrá elaborar y recomendar cláusulas contractuales tipo, de carácter voluntario, entre los proveedores de sistemas de IA de alto riesgo y terceros que suministren herramientas, servicios, componentes o procesos que se utilicen o integren en los sistemas de IA de alto riesgo. Cuando elabore esas cláusulas contractuales tipo de carácter voluntario, la Oficina de IA tendrá en cuenta los posibles requisitos contractuales aplicables en determinados sectores o modelos de negocio. Las cláusulas contractuales tipo de carácter voluntario se publicarán y estarán disponibles gratuitamente en un formato electrónico fácilmente utilizable.
(5) A (2) és a (3) bekezdés nem sérti azt, hogy a szellemitulajdon-jogokat, a bizalmas üzleti információkat és az üzleti titkokat az uniós és a nemzeti joggal összhangban tiszteletben kell tartani és védeni kell.
5. Los apartados 2 y 3 se entenderán sin perjuicio de la necesidad de observar y proteger los derechos de propiedad intelectual e industrial, la información empresarial confidencial y los secretos comerciales, de conformidad con el Derecho de la Unión y nacional.
A nagy kockázatú MI-rendszerek alkalmazóinak kötelezettségei
Obligaciones de los responsables del despliegue de sistemas de IA de alto riesgo
(1) A nagy kockázatú MI-rendszerek alkalmazóinak megfelelő technikai és szervezési intézkedéseket kell tenniük annak biztosítására, hogy ezeket a rendszereket a (3) és (6) bekezdés szerint, a rendszerekhez mellékelt használati utasításoknak megfelelően használják.
1. Los responsables del despliegue de sistemas de IA de alto riesgo adoptarán medidas técnicas y organizativas adecuadas para garantizar que utilizan dichos sistemas con arreglo a las instrucciones de uso que los acompañen, de acuerdo con los apartados 3 y 6.
(2) Az alkalmazóknak az emberi felügyeletet olyan természetes személyekre kell bízniuk, akik rendelkeznek a szükséges szakértelemmel, képzéssel és hatáskörrel, valamint a szükséges támogatással.
2. Los responsables del despliegue encomendarán la supervisión humana a personas físicas que tengan la competencia, la formación y la autoridad necesarias.
(3) Az (1) és a (2) bekezdésben meghatározott kötelezettségek nem sértik az uniós vagy nemzeti jog szerinti egyéb alkalmazói kötelezettségeket, valamint az alkalmazó azon szabadságát, hogy a szolgáltató által megjelölt emberi felügyeleti intézkedések végrehajtása céljából megszervezze saját erőforrásait és tevékenységeit.
3. Las obligaciones previstas en los apartados 1 y 2 no afectan a otras obligaciones que el Derecho nacional o de la Unión imponga a los responsables del despliegue ni a su libertad para organizar sus propios recursos y actividades con el fin de poner en práctica las medidas de supervisión humana que indique el proveedor.
(4) Az (1) és a (2) bekezdés sérelme nélkül, amennyiben az alkalmazó ellenőrzést gyakorol a bemeneti adatok felett, ezen alkalmazónak biztosítania kell, hogy a bemeneti adatok relevánsak és kellően reprezentatívak legyenek a nagy kockázatú MI-rendszer rendeltetése szempontjából.
4. Sin perjuicio de lo dispuesto en los apartados 1 y 2, el responsable del despliegue se asegurará de que los datos de entrada sean pertinentes y suficientemente representativos en vista de la finalidad prevista del sistema de IA de alto riesgo, en la medida en que ejerza el control sobre dichos datos.
(5) Az alkalmazóknak a használati utasítások alapján nyomon kell követniük a nagy kockázatú MI-rendszer működését, és adott esetben a 72. cikknek megfelelően tájékoztatniuk kell a szolgáltatót. Amennyiben az alkalmazóknak okuk van úgy megítélni, hogy a nagy kockázatú MI-rendszer utasításoknak megfelelő használata azt eredményezheti, hogy az említett MI-rendszer a 79. cikk (1) bekezdésének értelmében vett kockázatot jelent, erről indokolatlan késedelem nélkül tájékoztatniuk kell a szolgáltatót vagy a forgalmazót, valamint a releváns piacfelügyeleti hatóságot, és fel kell függeszteniük az említett rendszer használatát. Amennyiben az alkalmazók súlyos váratlan eseményt azonosítottak, haladéktalanul tájékoztatniuk kell először a szolgáltatót, majd az importőrt vagy a forgalmazót és a releváns piacfelügyeleti hatóságokat is az említett eseményről. Ha az alkalmazó nem tudja elérni a szolgáltatót, a 73. cikket kell értelemszerűen alkalmazni. Ez a kötelezettség nem terjed ki az MI-rendszerek azon alkalmazóinak érzékeny operatív adataira, amelyek bűnüldöző hatóságok.
5. Los responsables del despliegue vigilarán el funcionamiento del sistema de IA de alto riesgo basándose en las instrucciones de uso y, cuando proceda, informarán a los proveedores con arreglo al artículo 72. Cuando los responsables del despliegue tengan motivos para considerar que utilizar el sistema de IA de alto riesgo conforme a sus instrucciones puede dar lugar a que ese sistema de AI presente un riesgo en el sentido del artículo 79, apartado 1, informarán, sin demora indebida, al proveedor o distribuidor y a la autoridad de vigilancia del mercado pertinente y suspenderán el uso de ese sistema. Cuando los responsables del despliegue detecten un incidente grave, informarán asimismo inmediatamente de dicho incidente, en primer lugar, al proveedor y, a continuación, al importador o distribuidor y a la autoridad de vigilancia del mercado pertinente. En el caso de que el responsable del despliegue no consiga contactar con el proveedor, el artículo 73 se aplicará mutatis mutandis. Esta obligación no comprenderá los datos operativos sensibles de los responsables del despliegue de sistemas de IA que sean autoridades garantes del cumplimiento del Derecho.
Azon alkalmazók esetében, amelyek a pénzügyi szolgáltatásokra vonatkozó uniós jog értelmében a belső irányításukra, szabályaikra vagy eljárásaikra vonatkozó követelmények hatálya alá tartozó pénzügyi intézmények, az első albekezdésben meghatározott nyomonkövetési kötelezettséget a pénzügyi szolgáltatásokra vonatkozó releváns jog szerinti, a belső irányítási rendszerekre, eljárásokra és mechanizmusokra vonatkozó szabályoknak való megfeleléssel teljesítettnek kell tekinteni.
En el caso de los responsables del despliegue que sean entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros, se considerará que se ha cumplido la obligación de vigilancia prevista en el párrafo primero cuando se respeten las normas sobre sistemas, procesos y mecanismos de gobernanza interna de acuerdo con el Derecho pertinente en materia de servicios financieros.
(6) A nagy kockázatú MI-rendszerek alkalmazóinak meg kell őrizniük az adott nagy kockázatú MI-rendszer által automatikusan generált naplókat, amennyiben az ilyen naplók az ellenőrzésük alatt állnak a nagy kockázatú MI-rendszer rendeltetésének megfelelő – legalább hat hónapos – időtartamig, kivéve, ha az alkalmazandó uniós vagy nemzeti jog, különösen a személyes adatok védelmére vonatkozó uniós jog másként rendelkezik.
6. Los responsables del despliegue de sistemas de IA de alto riesgo conservarán los archivos de registro que los sistemas de IA de alto riesgo generen automáticamente en la medida en que dichos archivos estén bajo su control, durante un período de tiempo adecuado para la finalidad prevista del sistema de IA de alto riesgo, de al menos seis meses, salvo que se disponga otra cosa en el Derecho de la Unión o nacional aplicable, en particular en el Derecho de la Unión en materia de protección de datos personales.
Azon alkalmazóknak, amelyek a pénzügyi szolgáltatásokra vonatkozó uniós jog értelmében a belső irányításukra, szabályaikra vagy eljárásaikra vonatkozó követelmények hatálya alá tartozó pénzügyi intézmények, a naplót a pénzügyi szolgáltatásokra vonatkozó megfelelő uniós jog alapján vezetett dokumentáció részeként kell megőrizniük.
Los responsables del despliegue que sean entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros mantendrán los archivos de registro como parte de la documentación conservada en virtud del Derecho de la Unión en materia de servicios financieros.
(7) A nagy kockázatú MI-rendszer munkahelyi üzembe helyezése vagy használata előtt azon alkalmazóknak, akik munkáltatók, tájékoztatniuk kell a munkavállalók képviselőit és az érintett munkavállalókat arról, hogy esetükben nagy kockázatú MI-rendszer használatára fog sor kerülni. Ezt a tájékoztatást adott esetben a munkavállalók és képviselőik tájékoztatására vonatkozó uniós és nemzeti jogban és gyakorlatban megállapított szabályokkal és eljárásokkal összhangban kell megadni.
7. Antes de poner en servicio o utilizar un sistema de IA de alto riesgo en el lugar de trabajo, los responsables del despliegue que sean empleadores informarán a los representantes de los trabajadores y a los trabajadores afectados de que estarán expuestos a la utilización del sistema de IA de alto riesgo. Esta información se facilitará, cuando proceda, con arreglo a las normas y procedimientos establecidos en el Derecho de la Unión y nacional y conforme a las prácticas en materia de información a los trabajadores y sus representantes.
(8) A nagy kockázatú MI-rendszerek alkalmazói, amennyiben azok hatóságok vagy uniós intézmények, szervek, hivatalok vagy ügynökségek, eleget tesznek a 49. cikkben említett nyilvántartási kötelezettségeknek. Amennyiben az ilyen alkalmazók megállapítják, hogy az általuk használni kívánt nagy kockázatú MI-rendszer nincs nyilvántartva a 71. cikkben említett uniós adatbázisban, nem használhatják az adott rendszert, és erről tájékoztatják a szolgáltatót vagy a forgalmazót.
8. Los responsables del despliegue de sistemas de IA de alto riesgo que sean autoridades públicas o instituciones, órganos y organismos de la Unión cumplirán las obligaciones de registro a que se refiere el artículo 49. Cuando dichos responsables del despliegue constaten que el sistema de IA de alto riesgo que tienen previsto utilizar no ha sido registrado en la base de datos de la UE a que se refiere el artículo 71, no utilizarán dicho sistema e informarán al proveedor o al distribuidor.
(9) A nagy kockázatú MI-rendszerek alkalmazóinak az e rendelet 13. cikke szerint megadott információkat – adott esetben – arra kell használniuk, hogy eleget tegyenek az (EU) 2016/679 rendelet 35. cikke vagy adott esetben az (EU) 2016/680 irányelv 27. cikke szerinti, adatvédelmi hatásvizsgálat elvégzésére vonatkozó kötelezettségüknek.
9. Cuando proceda, los responsables del despliegue de sistemas de IA de alto riesgo utilizarán la información facilitada conforme al artículo 13 del presente Reglamento para cumplir la obligación de llevar a cabo una evaluación de impacto relativa a la protección de datos que les imponen el artículo 35 del Reglamento (UE) 2016/679 o el artículo 27 de la Directiva (UE) 2016/680.
(10) Az (EU) 2016/680 irányelv sérelme nélkül, a bűncselekmény elkövetésével gyanúsított vagy a miatt elítélt személyek célzott felkutatására irányuló nyomozás keretében a nem valós idejű távoli biometrikus azonosításra szolgáló, nagy kockázatú MI-rendszert alkalmazó személynek előzetesen vagy indokolatlan késedelem nélkül, de legkésőbb 48 órán belül engedélyt kell kérnie az adott rendszer használatára valamely igazságügyi hatóságtól vagy közigazgatási hatóságtól, amelynek határozata kötelező erejű és bírósági felülvizsgálat tárgyát képezi, kivéve, ha azt egy potenciális gyanúsítottnak a bűncselekményhez közvetlenül kapcsolódó objektív és ellenőrizhető tényeken alapuló kezdeti azonosítására használják. Minden felhasználásnak az adott bűncselekmény nyomozásához feltétlenül szükséges mértékre kell korlátozódnia.
10. No obstante lo dispuesto en la Directiva (UE) 2016/680, en el marco de una investigación cuya finalidad sea la búsqueda selectiva de una persona sospechosa de haber cometido un delito o condenada por ello, el responsable del despliegue de un sistema de IA de alto riego de identificación biométrica remota en diferido solicitará, ex ante o sin demora indebida y a más tardar en un plazo de cuarenta y ocho horas, a una autoridad judicial o administrativa cuyas decisiones sean vinculantes y estén sujetas a revisión judicial, una autorización para utilizar ese sistema, salvo cuando se utilice para la identificación inicial de un posible sospechoso sobre la base de hechos objetivos y verificables vinculados directamente al delito. Cada utilización deberá limitarse a lo que resulte estrictamente necesario para investigar un delito concreto.
Ha az első albekezdés szerint kérelmezett engedélyt elutasítják, a kért engedélyhez kapcsolódó, nem valós idejű távoli biometrikus azonosító rendszer használatát azonnali hatállyal le kell állítani, és törölni kell az azon nagy kockázatú MI-rendszer használatához kapcsolódó személyes adatokat, amelyre az engedélyt kérték.
En caso de que se deniegue la autorización contemplada en el párrafo primero, dejará de utilizarse el sistema de identificación biométrica remota en diferido objeto de la solicitud de autorización con efecto inmediato y se eliminarán los datos personales asociados al uso del sistema de IA de alto riesgo para el que se solicitó la autorización.
Az ilyen, nem valós idejű távoli biometrikus azonosításra szolgáló, nagy kockázatú MI-rendszert semmilyen esetben sem szabad nem célzott módon bűnüldözési célokra használni bűncselekményhez, büntetőeljáráshoz, bűncselekmény tényleges és valós vagy előre látható veszélyéhez vagy egy konkrét eltűnt személy felkutatásához való kapcsolódás nélkül. Biztosítani kell, hogy a bűnüldöző hatóságok ne hozhassanak kizárólag a nem valós idejű távoli biometrikus azonosító rendszer által adott eredmény alapján olyan döntést, amely egy személyre nézve kedvezőtlen joghatással jár.
Dicho sistema de IA de alto riego de identificación biométrica remota en diferido no se utilizará en ningún caso a los efectos de la garantía del cumplimiento del Derecho de forma indiscriminada, sin que exista relación alguna con un delito, un proceso penal, una amenaza real y actual o real y previsible de delito, o con la búsqueda de una persona desaparecida concreta. Se velará por que las autoridades garantes del cumplimiento del Derecho no puedan adoptar ninguna decisión que produzca efectos jurídicos adversos para una persona exclusivamente sobre la base de los resultados de salida de dichos sistemas de identificación biométrica remota en diferido.
Ez a bekezdés nem sérti az (EU) 2016/679 rendelet 9. cikkét és az (EU) 2016/680 irányelv 10. cikkét a biometrikus adatok feldolgozása tekintetében.
El presente apartado se entiende sin perjuicio del artículo 9 del Reglamento (UE) 2016/679 y del artículo 10 de la Directiva (UE) 2016/680 para el tratamiento de los datos biométricos.
Az ilyen, nagy kockázatú MI-rendszerek minden egyes használatát a vonatkozó rendőrségi nyilvántartásban – a célra vagy az alkalmazóra való tekintet nélkül – dokumentálni kell, és kérésre az érintett piacfelügyeleti hatóság és a nemzeti adatvédelmi hatóság rendelkezésére kell bocsátani, kivéve a bűnüldözéssel kapcsolatos érzékeny operatív adatok közzétételét. Ez az albekezdés nem sérti az (EU) 2016/680 irányelv által a felügyeleti hatóságokra ruházott hatásköröket.
Con independencia de la finalidad o del responsable del despliegue, se documentará toda utilización de tales sistemas de IA de alto riesgo en el expediente policial pertinente y se pondrá a disposición, previa solicitud, de la autoridad de vigilancia del mercado pertinente y de la autoridad nacional de protección de datos, quedando excluida la divulgación de datos operativos sensibles relacionados con la garantía del cumplimiento del Derecho. El presente párrafo se entenderá sin perjuicio de los poderes conferidas por la Directiva (UE) 2016/680 a las autoridades de control.
Az alkalmazóknak éves jelentéseket kell benyújtaniuk az érintett piacfelügyeleti és nemzeti adatvédelmi hatóságok számára a nem valós idejű távoli biometrikus azonosító rendszerek általuk történő használatáról, kivéve a bűnüldözéssel kapcsolatos érzékeny operatív adatok közzétételét. A jelentések összevonhatók úgy, hogy azok egynél többszöri alkalmazásra is kiterjedjenek.
Los responsables del despliegue presentarán informes anuales a la autoridad de vigilancia del mercado pertinente y a la autoridad nacional de protección de datos sobre el uso que han hecho de los sistemas de identificación biométrica remota en diferido, quedando excluida la divulgación de datos operativos sensibles relacionados con la garantía del cumplimiento del Derecho. Los informes podrán agregarse de modo que cubran más de un despliegue.
A tagállamok az uniós joggal összhangban szigorúbb jogszabályokat is bevezethetnek a nem valós idejű távoli biometrikus azonosító rendszerek használatára vonatkozóan.
Los Estados miembros podrán adoptar, de conformidad con el Derecho de la Unión, leyes más restrictivas sobre el uso de sistemas de identificación biométrica remota en diferido.
(11) E rendelet 50. cikkének sérelme nélkül, a III. mellékletben említett, természetes személyekkel kapcsolatos döntéseket hozó vagy az ilyen döntések meghozatalában segítséget nyújtó, nagy kockázatú MI-rendszerek alkalmazóinak tájékoztatniuk kell a természetes személyeket arról, hogy esetükben nagy kockázatú MI-rendszert használnak. A bűnüldözési célokra használt nagy kockázatú MI-rendszerek esetében alkalmazni kell az (EU) 2016/680 irányelv 13. cikkét.
11. Sin perjuicio de lo dispuesto en el artículo 50 del presente Reglamento, los responsables del despliegue de los sistemas de IA de alto riesgo a que se refiere el anexo III que tomen decisiones o ayuden a tomar decisiones relacionadas con personas físicas informarán a las personas físicas de que están expuestas a la utilización de los sistemas de IA de alto riesgo. En el caso de los sistemas de IA de alto riesgo que se utilicen a los efectos de la garantía del cumplimiento del Derecho, se aplicará el artículo 13 de la Directiva (UE) 2016/680.
(12) Az alkalmazóknak együtt kell működniük a releváns illetékes hatóságokkal a nagy kockázatú MI-rendszerrel kapcsolatos minden olyan intézkedés tekintetében, amelyeket a hatóságok e rendelet végrehajtása érdekében hoznak.
12. Los responsables del despliegue cooperarán con las autoridades competentes pertinentes en cualquier medida que estas adopten en relación con el sistema de IA de alto riesgo con el objetivo de aplicar el presente Reglamento.
A nagy kockázatú MI-rendszerekre vonatkozó alapvetőjogi hatásvizsgálat
Evaluación de impacto relativa a los derechos fundamentales para los sistemas de IA de alto riesgo
(1) A 6. cikk (2) bekezdésében említett nagy kockázatú MI-rendszer bevezetését megelőzően – a III. melléklet 2. pontjában felsorolt területen való használatra szánt nagy kockázatú MI-rendszerek kivételével – azon alkalmazóknak, amelyek közjogi szervek vagy közszolgáltatásokat nyújtó magánszervezetek, valamint a III. melléklet 5. pontjának b) és c) alpontjában említett nagy kockázatú MI-rendszerek alkalmazóinak értékelniük kell azon hatást, amelyet az ilyen rendszerek használata az alapvető jogokra gyakorolhat. E célból az alkalmazóknak értékelést kell végezniük, amely a következőkből áll:
1. Antes de desplegar uno de los sistemas de IA de alto riesgo a que se refiere el artículo 6, apartado 2, con excepción de los sistemas de IA de alto riesgo destinados a ser utilizados en el ámbito enumerado en el anexo III, punto 2, los responsables del despliegue que sean organismos de Derecho público, o entidades privadas que prestan servicios públicos, y los responsable del despliegue de sistemas de IA de alto riesgo a que se refiere el anexo III, punto 5, letras b) y c), llevarán a cabo una evaluación del impacto que la utilización de dichos sistemas puede tener en los derechos fundamentales. A tal fin, los responsables del despliegue llevarán a cabo una evaluación que consistirá en:
a)
az alkalmazó azon folyamatainak leírása, amelyekben a nagy kockázatú MI-rendszert a rendeltetésének megfelelően fogják használni;
a)
una descripción de los procesos del responsable del despliegue en los que se utilizará el sistema de IA de alto riesgo en consonancia con su finalidad prevista;
b)
azon időszak és gyakoriság leírása, amelyen belül és amellyel az egyes nagy kockázatú MI-rendszereket használni szándékoznak;
b)
una descripción del período de tiempo durante el cual se prevé utilizar cada sistema de IA de alto riesgo y la frecuencia con la que está previsto utilizarlo;
c)
a természetes személyek és csoportok azon kategóriái, akiket a rendszer használata az adott kontextusban valószínűleg érint;
c)
las categorías de personas físicas y colectivos que puedan verse afectados por su utilización en el contexto específico;
d)
az e bekezdés c) pontja alapján azonosított természetes személyek vagy személycsoportok kategóriáira valószínűleg hatást gyakorló konkrét kárkockázatok, figyelembe véve a szolgáltató által a 13. cikk szerint nyújtott információkat;
d)
los riesgos de perjuicio específicos que puedan afectar a las categorías de personas físicas y colectivos determinadas con arreglo a la letra c) del presente apartado, teniendo en cuenta la información facilitada por el proveedor con arreglo al artículo 13;
e)
az emberi felügyeleti intézkedések végrehajtásának leírása, a használati utasításnak megfelelően;
e)
una descripción de la aplicación de medidas de supervisión humana, de acuerdo con las instrucciones de uso;
f)
az említett kockázatok bekövetkezése esetén meghozandó intézkedések, ideértve a belső irányítási és panasztételi mechanizmusokra vonatkozó szabályokat.
f)
las medidas que deben adoptarse en caso de que dichos riesgos se materialicen, incluidos los acuerdos de gobernanza interna y los mecanismos de reclamación.
(2) Az (1) bekezdésben megállapított kötelezettség a nagy kockázatú MI-rendszer első használatára vonatkozik. Az alkalmazó hasonló esetekben támaszkodhat a korábban elvégzett alapjogi hatásvizsgálatokra vagy a szolgáltatók által már elvégzett, meglévő hatásvizsgálatokra. Amennyiben a nagy kockázatú MI-rendszer használata során az alkalmazó úgy ítéli meg, hogy az (1) bekezdésben felsorolt elemek bármelyike megváltozott vagy már nem naprakész, az alkalmazónak meg kell tennie a szükséges lépéseket az információk aktualizálására.
2. La obligación descrita con arreglo al apartado 1 se aplicará al primer uso del sistema de IA de alto riesgo. En casos similares, el responsable del despliegue podrá basarse en evaluaciones de impacto relativas a los derechos fundamentales realizadas previamente o a evaluaciones de impacto existentes realizadas por los proveedores. Si, durante el uso del sistema de IA de alto riesgo, el responsable del despliegue considera que alguno de los elementos enumerados en el apartado 1 ha cambiado o ha dejado de estar actualizado, adoptará las medidas necesarias para actualizar la información.
(3) Az e cikk (1) bekezdésében említett értékelés elvégzését követően az alkalmazónak értesítenie kell a piacfelügyeleti hatóságot annak eredményeiről, az értesítés részeként benyújtva az e cikk (5) bekezdésében említett kitöltött kérdőívmintát is. A 46. cikk (1) bekezdésében említett esetben az alkalmazók mentesíthetők ezen értesítési kötelezettség alól.
3. Una vez realizada la evaluación a que se refiere el apartado 1 del presente artículo, el responsable del despliegue notificará sus resultados a la autoridad de vigilancia del mercado, presentando el modelo cumplimentado a que se refiere el apartado 5 del presente artículo. En el caso contemplado en el artículo 46, apartado 1, los responsables del despliegue podrán quedar exentos de esta obligación de notificación.
(4) Ha az (EU) 2016/679 rendelet 35. cikke vagy az (EU) 2016/680 irányelv 27. cikke alapján elvégzett adatvédelmi hatásvizsgálat révén már megfeleltek az e cikkben megállapított kötelezettségek bármelyikének, az e cikk (1) bekezdésében említett alapvetőjogi hatásvizsgálatnak ki kell egészítenie az említett adatvédelmi hatásvizsgálatot.
4. Si ya se cumple cualquiera de las obligaciones establecidas en el presente artículo mediante la evaluación de impacto relativa a la protección de datos realizada con arreglo al artículo 35 del Reglamento (UE) 2016/679 o del artículo 27 de la Directiva (UE) 2016/680, la evaluación de impacto relativa a los derechos fundamentales a que se refiere el apartado 1 del presente artículo complementará dicha evaluación de impacto relativa a la protección de datos.
(5) Az MI-hivatal – többek között egy automatizált eszköz révén – kérdőívmintát dolgoz ki, hogy megkönnyítse az alkalmazók számára az e cikk szerinti kötelezettségeiknek egyszerűsített módon való megfelelést.
5. La Oficina de IA elaborará un modelo de cuestionario, también mediante una herramienta automatizada, a fin de facilitar que los responsables del despliegue cumplan sus obligaciones en virtud del presente artículo de manera simplificada.
(1) Minden tagállam kijelöl vagy létrehoz legalább egy bejelentő hatóságot, amely a megfelelőségértékelő szervezetek értékeléséhez, kijelöléséhez és bejelentéséhez, valamint nyomon követéséhez szükséges eljárások kialakításáért és végrehajtásáért felel. Az említett eljárásokat valamennyi tagállam bejelentő hatóságainak együttműködésével kell kidolgozni.
1. Cada Estado miembro nombrará o constituirá al menos una autoridad notificante que será responsable de establecer y llevar a cabo los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su supervisión. Dichos procedimientos se desarrollarán por medio de la cooperación entre las autoridades notificantes de todos los Estados miembros.
(2) A tagállamok dönthetnek úgy, hogy az (1) bekezdésben említett értékelést és nyomon követést egy, a 765/2008/EK rendelet szerinti nemzeti akkreditáló testület végzi el az említett rendelet rendelkezéseivel összhangban.
2. Los Estados miembros podrán decidir que la evaluación y la supervisión contempladas en el apartado 1 sean realizadas por un organismo nacional de acreditación en el sentido del Reglamento (CE) n.o 765/2008 y con arreglo a este.
(3) A bejelentő hatóságokat úgy kell létrehozni, megszervezni és működtetni, hogy ne merülhessen fel összeférhetetlenség a megfelelőségértékelő szervezetekkel, továbbá hogy tevékenységük objektivitása és pártatlansága biztosított legyen.
3. Las autoridades notificantes se constituirán, se organizarán y funcionarán de forma que no surjan conflictos de intereses con los organismos de evaluación de la conformidad y que se garantice la imparcialidad y objetividad de sus actividades.
(4) A bejelentő hatóságokat úgy kell megszervezni, hogy a megfelelőségértékelő szervezet bejelentésével kapcsolatos döntéseket az adott szervezet értékelését végzőktől eltérő illetékes személyek hozzák meg.
4. Las autoridades notificantes se organizarán de forma que las decisiones relativas a la notificación de los organismos de evaluación de la conformidad sean adoptadas por personas competentes distintas de las que llevaron a cabo la evaluación de dichos organismos.
(5) A bejelentő hatóságok kereskedelmi vagy piaci alapon nem kínálhatnak vagy végezhetnek sem olyan tevékenységet, amelyet megfelelőségértékelő szervezetek végeznek, sem szaktanácsadási szolgáltatást.
5. Las autoridades notificantes no ofrecerán ni ejercerán ninguna actividad que efectúen los organismos de evaluación de la conformidad, ni ningún servicio de consultoría de carácter comercial o competitivo.
(6) A bejelentő hatóságoknak a 78. cikkel összhangban meg kell őrizniük az általuk kapott információk bizalmas jellegét.
6. Las autoridades notificantes preservarán la confidencialidad de la información obtenida, de conformidad con lo dispuesto en el artículo 78.
(7) A bejelentő hatóságoknak megfelelő létszámú hozzáértő személyzettel kell rendelkezniük ahhoz, hogy megfelelően elláthassák feladataikat. A hozzáértő személyzetnek adott esetben rendelkeznie kell a feladatai ellátásához szükséges szakértelemmel olyan területeken, mint az információtechnológiák, a mesterséges intelligencia és a jog, beleértve az alapvető jogok felügyeletét is.
7. Las autoridades notificantes dispondrán de suficiente personal competente para efectuar adecuadamente sus tareas. Cuando proceda, el personal competente tendrá los conocimientos especializados necesarios para ejercer sus funciones, en ámbitos como las tecnologías de la información, la IA y el Derecho, incluida la supervisión de los derechos fundamentales.
A megfelelőségértékelő szervezet bejelentés iránti kérelme
Solicitud de notificación por parte de un organismo de evaluación de la conformidad
(1) A megfelelőségértékelő szervezetnek bejelentés iránti kérelmet kell benyújtania a letelepedési helye szerinti tagállam bejelentő hatóságához.
1. Los organismos de evaluación de la conformidad presentarán una solicitud de notificación ante la autoridad notificante del Estado miembro en el que estén establecidos.
(2) A bejelentés iránti kérelemhez csatolnia kell azon megfelelőségértékelési tevékenységek, megfelelőségértékelési modul vagy modulok és MI-rendszertípusok leírását, amelyek tekintetében a megfelelőségértékelő szervezet szakmailag alkalmasnak tekinti magát, továbbá – amennyiben van ilyen – a nemzeti akkreditáló testület által kiállított akkreditálási okiratot, amely tanúsítja, hogy a megfelelőségértékelő szervezet teljesíti a 31. cikkben megállapított követelményeket.
2. La solicitud de notificación irá acompañada de una descripción de las actividades de evaluación de la conformidad, del módulo o módulos de evaluación de la conformidad y los tipos de sistemas de IA en relación con los cuales el organismo de evaluación de la conformidad se considere competente, así como de un certificado de acreditación, si lo hay, expedido por un organismo nacional de acreditación, que declare que el organismo de evaluación de la conformidad cumple los requisitos establecidos en el artículo 31.
Csatolni kell minden érvényes, a kérelmező bejelentett szervezet bármely egyéb uniós harmonizációs jogszabály szerinti, meglévő kijelöléseivel kapcsolatos dokumentumot.
Se añadirá cualquier documento válido relacionado con las designaciones existentes del organismo notificado solicitante en virtud de cualquier otro acto de la legislación de armonización de la Unión.
(3) Amennyiben az érintett megfelelőségértékelő szervezet nem tud akkreditálási okiratot benyújtani, be kell nyújtania a bejelentő hatóság számára a 31. cikkben megállapított követelményeknek való megfelelésének ellenőrzéséhez, elismeréséhez és rendszeres nyomon követéséhez szükséges valamennyi igazoló okmányt.
3. Si el organismo de evaluación de la conformidad de que se trate no puede facilitar un certificado de acreditación, entregará a la autoridad notificante todas las pruebas documentales necesarias para verificar, reconocer y supervisar periódicamente que cumple los requisitos establecidos en el artículo 31.
(4) A bármely egyéb uniós harmonizációs jogszabály alapján kijelölt bejelentett szervezetek esetében az említett kijelölésekhez kapcsolódó valamennyi dokumentum és tanúsítvány felhasználható adott esetben az e rendelet szerinti kijelölésükre irányuló eljárás alátámasztására. A bejelentett szervezet az e cikk (2) és (3) bekezdésében említett dokumentációt minden releváns változás esetén naprakésszé teszi annak érdekében, hogy lehetővé tegye a bejelentett szervezetekért felelős hatóság számára a 31. cikkben megállapított valamennyi követelménynek való folyamatos megfelelés nyomon követését és ellenőrzését.
4. En lo que respecta a los organismos notificados designados de conformidad con cualquier otro acto legislativo de armonización de la Unión, todos los documentos y certificados vinculados a dichas designaciones podrán utilizarse para apoyar su procedimiento de designación en virtud del presente Reglamento, según proceda. El organismo notificado actualizará la documentación a que se refieren los apartados 2 y 3 del presente artículo cuando se produzcan cambios pertinentes, para que la autoridad responsable de los organismos notificados pueda supervisar y verificar que se siguen cumpliendo todos los requisitos establecidos en el artículo 31.
Procedimiento de notificación
(1) A bejelentő hatóságok csak olyan megfelelőségértékelő szervezeteket jelenthetnek be, amelyek megfelelnek a 31. cikkben megállapított követelményeknek.
1. Las autoridades notificantes solo podrán notificar organismos de evaluación de la conformidad que hayan cumplido los requisitos establecidos en el artículo 31.
(2) A bejelentő hatóságok a Bizottság által kifejlesztett és kezelt elektronikus bejelentési eszköz alkalmazásával értesítik a Bizottságot és a többi tagállamot az (1) bekezdésben említett minden egyes megfelelőségértékelő szervezetről.
2. Las autoridades notificantes notificarán a la Comisión y a los demás Estados miembros, mediante el sistema de notificación electrónica desarrollado y gestionado por la Comisión, cada organismo de evaluación de la conformidad a que se refiere el apartado 1.
(3) Az e cikk (2) bekezdésében említett bejelentésnek tartalmaznia kell részletes információkat a megfelelőségértékelési tevékenységekről, a megfelelőségértékelési modulról vagy modulokról, az érintett MI-rendszerek típusairól, valamint a szakmai alkalmasság releváns igazolását. Amennyiben a bejelentés nem a 29. cikk (2) bekezdésében említett akkreditálási okiraton alapul, a bejelentő hatóságnak rendelkezésre kell bocsátania a Bizottság és a többi tagállam számára a megfelelőségértékelő szervezet alkalmasságát és azon meglévő intézkedéseket igazoló dokumentumokat, amelyeknek biztosítják, hogy az említett szervezetet rendszeresen nyomon fogják követni, és azt, hogy az továbbra is meg fog felelni a 31. cikkben megállapított követelményeknek.
3. La notificación a que se refiere el apartado 2 del presente artículo incluirá información detallada de las actividades de evaluación de la conformidad, el módulo o módulos de evaluación de la conformidad y los tipos de sistemas de IA afectados, así como la certificación de competencia pertinente. Si la notificación no está basada en el certificado de acreditación a que se refiere el artículo 29, apartado 2, la autoridad notificante facilitará a la Comisión y a los demás Estados miembros las pruebas documentales que demuestren la competencia del organismo de evaluación de la conformidad y las disposiciones existentes destinadas a garantizar que se supervisará periódicamente al organismo y que este continuará satisfaciendo los requisitos establecidos en el artículo 31.
(4) Az érintett megfelelőségértékelő szervezet csak akkor végezheti egy bejelentett szervezet tevékenységeit, ha a Bizottság és a többi tagállam nem emel kifogást a bejelentő hatóság általi bejelentést követő két héten belül, amennyiben a bejelentés a 29. cikk (2) bekezdése szerinti akkreditálási okiratot tartalmaz, vagy a bejelentő hatóság általi bejelentést követő két hónapon belül, amennyiben a bejelentés a 29. cikk (3) bekezdése szerinti igazoló dokumentumot tartalmaz.
4. El organismo de evaluación de la conformidad de que se trate únicamente podrá realizar las actividades de un organismo notificado si la Comisión o los demás Estados miembros no formulan ninguna objeción en el plazo de dos semanas tras la notificación de una autoridad notificante cuando esta incluya el certificado de acreditación a que se refiere el artículo 29, apartado 2, o de dos meses tras la notificación de la autoridad notificante cuando esta incluya las pruebas documentales a que se refiere el artículo 29, apartado 3.
(5) Amennyiben kifogást emelnek, a Bizottság haladéktalanul konzultációkat kezdeményez a releváns tagállamokkal és a megfelelőségértékelő szervvel. Erre figyelemmel a Bizottság dönt arról, hogy az engedély indokolt-e. A Bizottság döntését az érintett tagállamnak és a releváns megfelelőségértékelő szervnek címezi.
5. Cuando se formulen objeciones, la Comisión iniciará sin demora consultas con los Estados miembros pertinentes y el organismo de evaluación de la conformidad. En vista de todo ello, la Comisión enviará su decisión al Estado miembro afectado y al organismo de evaluación de la conformidad pertinente.
A bejelentett szervezetekre vonatkozó követelmények
Requisitos relativos a los organismos notificados
(1) A bejelentett szervezeteket a tagállamok nemzeti joga alapján kell létrehozni, és azoknak jogi személyiséggel kell rendelkezniük.
1. Los organismos notificados se establecerán de conformidad con el Derecho nacional de los Estados miembros y tendrán personalidad jurídica.
(2) A bejelentett szervezeteknek eleget kell tenniük azoknak a szervezeti, minőségirányítási, erőforrásokra vonatkozó és eljárási követelményeknek, amelyek a feladataik ellátásához szükségesek, valamint megfelelő kiberbiztonsági követelményeket kell teljesíteniük.
2. Los organismos notificados satisfarán los requisitos organizativos, de gestión de la calidad, recursos y procesos, necesarios para el desempeño de sus funciones, así como los requisitos adecuados en materia de ciberseguridad.
(3) A bejelentett szervezetek szervezeti felépítésének, a szervezeten belül a felelősségi körök kijelölésének, a jelentési útvonalaknak és a bejelentett szervezetek működésének biztosítania kell a bejelentett szervezet által végzett megfelelőségértékelési tevékenységek elvégzése és az e tevékenységek eredményei iránti bizalmat.
3. La estructura organizativa, la distribución de las responsabilidades, la línea jerárquica y el funcionamiento de los organismos notificados ofrecerán confianza en su desempeño y en los resultados de las actividades de evaluación de la conformidad que realicen los organismos notificados.
(4) A bejelentett szervezeteknek függetlennek kell lenniük azon nagy kockázatú MI-rendszer szolgáltatójától, amellyel kapcsolatban megfelelőségértékelési tevékenységeket végeznek. A bejelentett szervezeteknek továbbá függetlennek kell lenniük az értékelés tárgyát képező nagy kockázatú MI-rendszerben gazdasági érdekeltséggel rendelkező bármely egyéb üzemeltetőtől, valamint a szolgáltató versenytársaitól is. Ez nem zárhatja ki az olyan értékelt nagy kockázatú MI-rendszerek használatát, amelyek a megfelelőségértékelő szervezet működéséhez szükségesek, illetve az ilyen nagy kockázatú MI-rendszerek személyes célra történő használatát.
4. Los organismos notificados serán independientes del proveedor de un sistema de IA de alto riesgo en relación con el cual lleven a cabo actividades de evaluación de la conformidad. Los organismos notificados serán independientes de cualquier otro operador con un interés económico en los sistemas de IA de alto riesgo que se evalúen, así como de cualquier competidor del proveedor. Ello no será óbice para el uso de sistemas de IA de alto riesgo evaluados que sean necesarios para las actividades del organismo de evaluación de la conformidad o para el uso de tales sistemas de alto riesgo con fines personales.
(5) Sem a megfelelőségértékelő szervezet, sem annak felső szintű vezetése, sem a megfelelőségértékelési feladatok elvégzéséért felelős személyzete nem vehet részt közvetlenül a nagy kockázatú MI-rendszerek tervezésében, fejlesztésében, forgalmazásában vagy használatában, és nem képviselhetik az ilyen tevékenységekben részt vevő feleket sem. Nem folytathatnak olyan tevékenységet, amely ellentétes lehet a bejelentett megfelelőségértékelési tevékenységekkel kapcsolatos döntéshozói függetlenségükkel vagy feddhetetlenségükkel. Ez különösen érvényes a szaktanácsadási szolgáltatásokra.
5. Los organismos de evaluación de la conformidad, sus máximos directivos y el personal responsable de la realización de las tareas de evaluación de la conformidad no intervendrán directamente en el diseño, el desarrollo, la comercialización o el uso de dichos sistemas de IA de alto riesgo, ni tampoco representarán a las partes que llevan a cabo estas actividades. Además, no efectuarán ninguna actividad que pudiera entrar en conflicto con su independencia de criterio o su integridad en relación con las actividades de evaluación de la conformidad para las que han sido notificados. Ello se aplicará especialmente a los servicios de consultoría.
(6) A bejelentett szervezetet úgy kell megszervezni és működtetni, hogy tevékenységeinek függetlensége, objektivitása és pártatlansága biztosított legyen. A bejelentett szervezeteknek olyan struktúrát és eljárásokat kell dokumentálniuk és alkalmazniuk, amelyek a szervezetük, a személyzetük és az értékelési tevékenységeik egészében biztosítják a pártatlanság megőrzését, valamint a pártatlanság elveinek az előmozdítását és alkalmazását.
6. Los organismos notificados estarán organizados y gestionados de modo que se garantice la independencia, objetividad e imparcialidad de sus actividades. Los organismos notificados documentarán e implantarán una estructura y procedimientos que garanticen la imparcialidad y permitan promover y poner en práctica los principios de imparcialidad aplicables en toda su organización, a todo su personal y en todas sus actividades de evaluación.
(7) A bejelentett szervezeteknek dokumentált eljárásokkal kell rendelkezniük, amelyek biztosítják, hogy a személyzetük, a bizottságaik, a leányvállalataik, az alvállalkozóik és bármely velük kapcsolatban álló szervezet vagy külső szervezetek munkavállalói – a 78. cikknek megfelelően – tiszteletben tartsák azon információk bizalmasságát, amelyek a megfelelőségértékelési tevékenységek végzése során a birtokukba kerülnek, kivéve, ha azok közzétételét jogszabály írja elő. A bejelentett szervezetek személyzetének be kell tartania a szakmai titoktartás követelményeit minden olyan információ tekintetében, amely az e rendeletben foglalt feladataik végrehajtása során jutott a birtokába, kivéve annak a tagállamnak a bejelentő hatóságaival szemben, ahol a bejelentett szervezetek tevékenységüket végzik.
7. Los organismos notificados contarán con procedimientos documentados que garanticen que su personal, sus comités, sus filiales, sus subcontratistas y todos sus organismos asociados o personal de organismos externos mantengan, de conformidad con el artículo 78, la confidencialidad de la información que llegue a su poder en el desempeño de las actividades de evaluación de la conformidad, excepto en aquellos casos en que la ley exija su divulgación. El personal de los organismos notificados estará sujeto al secreto profesional en lo que respecta a toda la información obtenida en el ejercicio de las funciones que les hayan sido encomendadas en virtud del presente Reglamento, salvo en relación con las autoridades notificantes del Estado miembro en el que desarrollen sus actividades.
(8) A bejelentett szervezeteknek a tevékenységek ellátásához olyan eljárásokkal kell rendelkezniük, amelyek kellően figyelembe veszik a szolgáltató méretét, azon ágazatot, amelyben az működik, annak szerkezetét és az érintett MI-rendszer összetettségi fokát.
8. Los organismos notificados contarán con procedimientos para desempeñar sus actividades que tengan debidamente en cuenta el tamaño de los proveedores, el sector en que operan, su estructura y el grado de complejidad del sistema de IA de que se trate.
(9) A bejelentett szervezeteknek megfelelőségértékelési tevékenységeikre megfelelő felelősségbiztosítást kell kötniük, kivéve, ha a felelősséget a nemzeti jognak megfelelően az a tagállam vállalja, amelyben a bejelentett szervezet letelepedett, vagy ha az említett tagállam közvetlenül maga felelős a megfelelőségértékelésért.
9. Los organismos notificados suscribirán un seguro de responsabilidad adecuado para sus actividades de evaluación de la conformidad, salvo que la responsabilidad la asuma el Estado miembro en que estén establecidos con arreglo al Derecho nacional o que el propio Estado miembro sea directamente responsable de la evaluación de la conformidad.
(10) A bejelentett szervezeteknek képesnek kell lenniük az e rendelet szerinti valamennyi feladatukat a legmagasabb fokú szakmai feddhetetlenséggel és a konkrét területen megkövetelt alkalmassággal végezni, függetlenül attól, hogy az említett feladatokat a bejelentett szervezetek maguk végzik-e, vagy az ő nevükben és felelősségi körükben eljárva mások végzik-e.
10. Los organismos notificados serán capaces de llevar a cabo todas sus tareas con arreglo al presente Reglamento con el máximo grado de integridad profesional y la competencia técnica necesaria en el ámbito específico, tanto si dichas tareas las efectúan los propios organismos notificados como si se realizan en su nombre y bajo su responsabilidad.
(11) A bejelentett szervezeteknek elegendő belső szakértelemmel kell rendelkezniük ahhoz, hogy hatékonyan értékelni tudják a külső felek által a nevükben elvégzett feladatokat. A bejelentett szervezetnek állandó jelleggel elegendő olyan adminisztratív, műszaki, jogi és tudományos munkatárssal kell rendelkeznie, akik tapasztalattal és ismeretekkel rendelkeznek a vonatkozó MI-rendszertípusokkal, adatokkal és adatszámítással, valamint a 2. szakaszban foglalt követelményekkel kapcsolatban.
11. Los organismos notificados contarán con competencias técnicas internas suficientes para poder evaluar de manera eficaz las tareas que lleven a cabo agentes externos en su nombre. El organismo notificado dispondrá permanentemente de suficiente personal administrativo, técnico, jurídico y científico que tenga experiencia y conocimientos relativos a los tipos de sistemas de IA, los datos y la computación de datos pertinentes y a los requisitos establecidos en la sección 2.
(12) A bejelentett szervezeteknek részt kell venniük a 38. cikkben említett koordinációs tevékenységekben. Emellett közvetlenül részt kell venniük vagy képviseltetni kell magukat az európai szabványügyi szervezetekben, vagy gondoskodniuk kell arról, hogy tisztában legyenek a vonatkozó szabványokkal, és naprakész ismeretekkel rendelkezzenek ezekről.
12. Los organismos notificados participarán en las actividades de coordinación según lo previsto en el artículo 38. Asimismo, tomarán parte directamente o mediante representación en organizaciones europeas de normalización, o se asegurarán de mantenerse al corriente de la situación actualizada de las normas pertinentes.
A bejelentett szervezetek működési kötelezettségei
Obligaciones operativas de los organismos notificados
(1) A bejelentett szervezeteknek a 43. cikkben meghatározott megfelelőségértékelési eljárásokkal összhangban ellenőrizniük kell a nagy kockázatú MI-rendszerek megfelelőségét.
1. Los organismos notificados verificarán la conformidad de los sistemas de IA de alto riesgo siguiendo los procedimientos de evaluación de la conformidad establecidos en el artículo 43.
(2) A bejelentett szervezeteknek tevékenységeik végzése során el kell kerülniük, hogy szükségtelen terheket rójanak a szolgáltatókra, és kellően figyelembe kell venniük a szolgáltató méretét, az ágazatot, amelyben működik, a szolgáltató szerkezetét és az érintett nagy kockázatú MI-rendszer összetettségi fokát, különösen a 2003/361/EK ajánlás értelmében vett mikro- és kisvállalkozások adminisztratív terheinek és megfelelési költségeinek minimalizálására tekintettel. A bejelentett szervezetnek mindazonáltal tiszteletben kell tartania az ahhoz szükséges szigorúság mértékét és védelem szintjét, hogy a nagy kockázatú MI-rendszer megfeleljen e rendelet követelményeinek.
2. Los organismos notificados evitarán cargas innecesarias para los proveedores cuando desempeñen sus actividades, y tendrán debidamente en cuenta el tamaño del proveedor, el sector en que opera, su estructura y el grado de complejidad del sistema de IA de alto riesgo de que se trate, en particular con vistas a reducir al mínimo las cargas administrativas y los costes del cumplimiento para las microempresas y pequeñas empresas en el sentido de la Recomendación 2003/361/CE. El organismo notificado respetará, sin embargo, el grado de rigor y el nivel de protección requeridos para que el sistema de IA de alto riesgo cumpla los requisitos del presente Reglamento.
(3) A bejelentett szervezetek – kérésre – a 28. cikkben említett bejelentő hatóság számára rendelkezésre bocsátanak és benyújtanak minden releváns dokumentációt, ideértve a szolgáltatók dokumentációját is, hogy lehetővé tegyék az említett hatóság számára az értékelési, kijelölési, bejelentési és nyomonkövetési tevékenységei elvégzését, továbbá, hogy elősegítsék az e szakaszban vázolt értékelést.
3. Los organismos notificados pondrán a disposición de la autoridad notificante mencionada en el artículo 28, y le presentarán cuando se les pida, toda la documentación pertinente, incluida la documentación de los proveedores, a fin de que dicha autoridad pueda llevar a cabo sus actividades de evaluación, designación, notificación y supervisión, y de facilitar la evaluación descrita en la presente sección.
A bejelentések változásai
Cambios en las notificaciones
(1) A bejelentő hatóságok – a 30. cikk (2) bekezdésében említett elektronikus bejelentési eszközön keresztül – értesítik a Bizottságot és a többi tagállamot a bejelentett szervezet bejelentésében bekövetkezett minden releváns változásról.
1. La autoridad notificante notificará a la Comisión y a los demás Estados miembros cualquier cambio pertinente en la notificación de un organismo notificado a través del sistema de notificación electrónica a que se refiere el artículo 30, apartado 2.
(2) A bejelentés hatályának kiterjesztésére a 29. és a 30. cikkben megállapított eljárásokat kell alkalmazni.
2. Los procedimientos establecidos en los artículos 29 y 30 se aplicarán a las ampliaciones del ámbito de aplicación de la notificación.
A bejelentést érintő, a hatályának kiterjesztésétől eltérő változásokra a (3)–(9) bekezdésben megállapított eljárásokat kell alkalmazni.
Para modificaciones de la notificación distintas de las ampliaciones de su ámbito de aplicación, se aplicarán los procedimientos establecidos en los apartados 3 a 9.
(3) Amennyiben egy bejelentett szervezet úgy dönt, hogy megszünteti a megfelelőségértékelési tevékenységeit, a lehető leghamarabb – és tervezett megszüntetés esetén a tevékenységeinek megszüntetését megelőzően legalább egy évvel – tájékoztatja a bejelentő hatóságot és az érintett szolgáltatókat. A bejelentett szervezet tanúsítványai a bejelentett szervezet tevékenységeinek megszüntetését követő kilenc hónapos időszakra érvényesek maradhatnak, feltéve, hogy egy másik bejelentett szervezet írásban megerősítette, hogy vállalni fogja a felelősséget az említett tanúsítványok hatálya alá tartozó nagy kockázatú MI-rendszerekért. Az utóbbi bejelentett szervezet az említett kilenc hónapos időszak végéig elvégzi az érintett nagy kockázatú MI-rendszerek teljes értékelését, mielőtt új tanúsítványokat adna ki az említett rendszerekre vonatkozóan. Amennyiben a bejelentett szervezet megszüntette tevékenységét, a bejelentő hatóság visszavonja a kijelölést.
3. Cuando un organismo notificado decida poner fin a sus actividades de evaluación de la conformidad, informará de ello a la autoridad notificante y a los proveedores afectados tan pronto como sea posible y, cuando se trate de un cese planeado, al menos un año antes de poner fin a sus actividades. Los certificados del organismo notificado podrán seguir siendo válidos durante un plazo de nueve meses después del cese de las actividades del organismo notificado, siempre que otro organismo notificado haya confirmado por escrito que asumirá la responsabilidad de los sistemas de IA de alto riesgo cubiertos por dichos certificados. Este último organismo notificado realizará una evaluación completa de los sistemas de IA de alto riesgo afectados antes del vencimiento de ese plazo de nueve meses y antes de expedir nuevos certificados para esos sistemas. Si el organismo notificado ha puesto fin a sus actividades, la autoridad notificante retirará la designación.
(4) Amennyiben a bejelentő hatóságnak elegendő oka van úgy megítélni, hogy valamely bejelentett szervezet már nem felel meg a 31. cikkben megállapított követelményeknek, vagy elmulasztja teljesíteni a kötelezettségeit, a bejelentő hatóság a lehető legnagyobb gondossággal kivizsgálja az ügyet. Ezzel összefüggésben tájékoztatja az érintett bejelentett szervezetet a felmerült kifogásokról, és lehetőséget biztosít számára álláspontjának ismertetésére. Ha a bejelentő hatóság arra a következtetésre jut, hogy a bejelentett szervezet már nem felel meg a 31. cikkben megállapított követelményeknek, vagy elmulasztja teljesíteni a kötelezettségeit, adott esetben – az említett követelményeknek való megfelelés vagy az említett kötelezettségek teljesítése elmulasztásának súlyosságától függően – korlátozza, felfüggeszti vagy visszavonja a kijelölést. A bejelentő hatóság ennek megfelelően haladéktalanul tájékoztatja a Bizottságot és a többi tagállamot.
4. Si una autoridad notificante tiene motivo suficiente para considerar que un organismo notificado ya no cumple los requisitos establecidos en el artículo 31 o no está cumpliendo sus obligaciones, la autoridad notificante investigará el asunto sin demora y con la máxima diligencia. En ese contexto, informará al organismo notificado de que se trate acerca de las objeciones formuladas y le ofrecerá la posibilidad de exponer sus puntos de vista. Si la autoridad notificante llega a la conclusión de que el organismo notificado ya no cumple los requisitos establecidos en el artículo 31 o no está cumpliendo sus obligaciones, dicha autoridad limitará, suspenderá o retirará la designación, según el caso, dependiendo de la gravedad del incumplimiento de dichos requisitos u obligaciones. Asimismo, informará de ello inmediatamente a la Comisión y a los demás Estados miembros.
(5) Amennyiben a kijelölését felfüggesztették, korlátozták, vagy részben vagy egészben visszavonták, a bejelentett szervezet 10 napon belül tájékoztatja az érintett szolgáltatókat.
5. Cuando su designación haya sido suspendida, limitada o retirada total o parcialmente, el organismo notificado informará a los proveedores afectados a más en un plazo de diez días.
(6) A kijelölés korlátozása, felfüggesztése vagy visszavonása esetén a bejelentő hatóság megfelelő lépéseket tesz annak biztosítására, hogy az érintett bejelentett szervezet dokumentumait megőrizzék, valamint más tagállamok bejelentő hatóságai és a piacfelügyeleti hatóságok számára – azok kérésére – rendelkezésre bocsássák.
6. En caso de la limitación, suspensión o retirada de una designación, la autoridad notificante adoptará las medidas oportunas para garantizar que los archivos del organismo notificado de que se trate se conserven, y para ponerlos a disposición de las autoridades notificantes de otros Estados miembros y de las autoridades de vigilancia del mercado, a petición de estas.
(7) A kijelölés korlátozása, felfüggesztése vagy visszavonása esetén a bejelentő hatóság:
7. En caso de la limitación, suspensión o retirada de una designación, la autoridad notificante:
a)
értékeli kell, hogy ez milyen hatással jár a bejelentett szervezet által kibocsátott tanúsítványokra nézve;
a)
evaluará las repercusiones en los certificados expedidos por el organismo notificado;
b)
a kijelölést érintő változások bejelentésétől számított három hónapon belül jelentést nyújt be megállapításairól a Bizottság és a többi tagállam számára;
b)
presentará a la Comisión y a los demás Estados miembros un informe con sus conclusiones en un plazo de tres meses a partir de la notificación de los cambios en la designación;
c)
a piacon forgalmazott nagy kockázatú MI-rendszerek folyamatos megfelelőségének biztosítása érdekében előírja a bejelentett szervezet számára, hogy – a hatóság által meghatározott észszerű határidőn belül – függesszen fel vagy vonjon vissza minden jogtalanul kiadott tanúsítványt;
c)
exigirá al organismo notificado que suspenda o retire, en un plazo razonable determinado por la autoridad, todo certificado indebidamente expedido, a fin de garantizar la conformidad continua de los sistemas de IA de alto riesgo en el mercado;
d)
tájékoztatja a Bizottságot és a tagállamokat azon tanúsítványokról, amelyek felfüggesztését vagy visszavonását előírta;
d)
informará a la Comisión y a los Estados miembros de los certificados cuya suspensión o retirada haya exigido;
e)
megad a szolgáltató bejegyzett székhelye szerinti tagállam illetékes nemzeti hatóságainak minden releváns információt azon tanúsítványokról, amelyek felfüggesztését vagy visszavonását előírta; az említett hatóság szükség esetén meghozza a megfelelő intézkedéseket az egészséget, a biztonságot vagy az alapvető jogokat fenyegető potenciális kockázat elkerülése érdekében.
e)
facilitará a las autoridades nacionales competentes del Estado miembro en el que el proveedor tenga su domicilio social toda la información pertinente sobre los certificados cuya suspensión o retirada haya exigido; dicha autoridad tomará las medidas oportunas, cuando sea necesario, para evitar un riesgo para la salud, la seguridad o los derechos fundamentales.
(8) A kijelölés felfüggesztése vagy korlátozása esetén a tanúsítványok – a jogtalanul kiállított tanúsítványok kivételével – érvényesek maradnak a következő körülmények egyikének esetén:
8. Salvo en el caso de los certificados expedidos indebidamente, y cuando una designación haya sido suspendida o limitada, los certificados mantendrán su validez en una de las circunstancias siguientes:
a)
a bejelentő hatóság – a felfüggesztést vagy korlátozást követő egy hónapon belül – megerősítette, hogy a felfüggesztés vagy a korlátozás által érintett tanúsítványokkal kapcsolatban nem áll fenn az egészséget, a biztonságot vagy az alapvető jogokat fenyegető kockázat, és a bejelentő hatóság felvázolta a felfüggesztés vagy a korlátozás feloldását célzó intézkedések ütemezését; vagy
a)
cuando, en el plazo de un mes a partir de la suspensión o la limitación, la autoridad notificante haya confirmado que no existe riesgo alguno para la salud, la seguridad o los derechos fundamentales en relación con los certificados afectados por la suspensión o la limitación y haya fijado un calendario de acciones para subsanar la suspensión o la limitación, o
b)
a bejelentő hatóság megerősítette, hogy a felfüggesztés vagy korlátozás folyamán nem fognak kiadni, módosítani vagy újra kiadni a felfüggesztés szempontjából releváns tanúsítványt, és kijelenti, hogy a bejelentett szervezet képes-e folytatni a felfüggesztés vagy a korlátozás időtartamára kiadott, meglévő tanúsítványok nyomon követését, és azokért továbbra is felelősséget vállalni; abban az esetben, ha a bejelentő hatóság megállapítja, hogy a bejelentett szervezet nem képes a kiadott, meglévő tanúsítványokat támogatni, a tanúsítvány hatálya alá tartozó rendszer szolgáltatójának a felfüggesztéstől vagy korlátozástól számított három hónapon belül írásban meg kell erősítenie a bejegyzett székhelye szerinti tagállam illetékes nemzeti hatóságai felé, hogy a felfüggesztés vagy a korlátozás időtartama alatt ideiglenesen egy másik minősített bejelentett szervezet vállalja a bejelentett szervezetnek a tanúsítványok nyomon követésére és az azokért való további felelősségvállalásra vonatkozó feladatait.
b)
cuando la autoridad notificante haya confirmado que no se expedirán, modificarán ni volverán a expedir certificados relacionados con la suspensión mientras dure la suspensión o limitación, y declare si el organismo notificado tiene o no la capacidad, durante el período de la suspensión o limitación, de seguir supervisando los certificados expedidos y siendo responsable de ellos; cuando la autoridad notificante determine que el organismo notificado no tiene la capacidad de respaldar los certificados expedidos, el proveedor del sistema cubierto por el certificado deberá confirmar por escrito a las autoridades nacionales competentes del Estado miembro en que tenga su domicilio social, en un plazo de tres meses a partir de la suspensión o limitación, que otro organismo notificado cualificado va a asumir temporalmente las funciones del organismo notificado para supervisar los certificados y ser responsable de ellos durante el período de la suspensión o limitación.
(9) A kijelölés visszavonása esetén a tanúsítványok – a jogtalanul kiállított tanúsítványok kivételével – a következő körülmények esetén kilenc hónapig érvényben maradnak:
9. Salvo en el caso de los certificados expedidos indebidamente, y cuando se haya retirado una designación, los certificados mantendrán su validez durante nueve meses en las circunstancias siguientes:
a)
a tanúsítvány hatálya alá tartozó nagy kockázatú MI-rendszer szolgáltatójának bejegyzett székhelye szerinti tagállam illetékes nemzeti hatósága megerősítette, hogy nem áll fenn az egészséget, a biztonságot vagy az alapvető jogokat fenyegető, az érintett nagy kockázatú MI-rendszerekkel kapcsolatos kockázat; és
a)
la autoridad nacional competente del Estado miembro en el que tiene su domicilio social el proveedor del sistema de IA de alto riesgo cubierto por el certificado ha confirmado que no existe ningún riesgo para la salud, la seguridad o los derechos fundamentales asociado al sistema de IA de alto riesgo de que se trate, y
b)
egy másik bejelentett szervezet írásban megerősítette, hogy közvetlen felelősséget fog vállalni az említett MI-rendszerekért, és a kijelölés visszavonásától számított 12 hónapon belül elvégzi annak értékelését.
b)
otro organismo notificado ha confirmado por escrito que asumirá la responsabilidad inmediata de dichos sistemas de IA y completa su evaluación en el plazo de doce meses a partir de la retirada de la designación.
Az első albekezdésben említett körülmények esetén a tanúsítvány hatálya alá tartozó rendszer szolgáltatójának székhelye szerinti tagállam illetékes nemzeti hatósága további három hónapos időszakokkal – amelyek összességében nem haladhatják meg a 12 hónapot – meghosszabbíthatja a tanúsítványok ideiglenes érvényességét.
En las circunstancias a que se refiere el párrafo primero, la autoridad nacional competente del Estado miembro en el que tenga su domicilio social el proveedor del sistema cubierto por el certificado podrá prorrogar la validez provisional de los certificados por plazos adicionales de tres meses, sin exceder de doce meses en total.
Az illetékes nemzeti hatóság vagy a kijelölés megváltozása által érintett bejelentett szervezet feladatait ellátó bejelentett szervezet erről haladéktalanul tájékoztatja a Bizottságot, a többi tagállamot és a többi bejelentett szervezetet.
La autoridad nacional competente o el organismo notificado que asuman las funciones del organismo notificado afectado por el cambio de la designación informarán de ello inmediatamente a la Comisión, a los demás Estados miembros y a los demás organismos notificados.
A bejelentett szervezetek alkalmasságának vitatása
Cuestionamiento de la competencia de los organismos notificados
(1) A Bizottság szükség esetén kivizsgál minden olyan esetet, amikor okkal vonható kétségbe a bejelentett szervezet alkalmassága, vagy az, hogy a bejelentett szervezet folyamatosan teljesíti-e a 31. cikkben megállapított követelményeket és az alkalmazandó felelősségi köreit.
1. La Comisión investigará, cuando sea necesario, todos los casos en los que existan razones para dudar de la competencia de un organismo notificado o del cumplimiento continuo, por parte de un organismo notificado, de los requisitos establecidos en el artículo 31 y de sus responsabilidades aplicables.
(2) A bejelentő hatóság – kérésre – megad a Bizottságnak minden, az érintett bejelentett szervezet bejelentésével vagy alkalmasságának fenntartásával kapcsolatos információt.
2. La autoridad notificante facilitará a la Comisión, a petición de esta, toda la información pertinente relativa a la notificación o el mantenimiento de la competencia del organismo notificado de que se trate.
(3) A Bizottság biztosítja, hogy az e cikk alapján lefolytatott vizsgálatai során a birtokába jutott valamennyi érzékeny információt a 78. cikkel összhangban bizalmasan kezeljék.
3. La Comisión garantizará el tratamiento confidencial de acuerdo con el artículo 78 de toda la información delicada recabada en el transcurso de sus investigaciones en virtud del presente artículo.
(4) Amennyiben a Bizottság megbizonyosodik arról, hogy egy bejelentett szervezet nem vagy már nem tesz eleget a rá vonatkozó bejelentés követelményeinek, ennek megfelelően tájékoztatja a bejelentő tagállamot, és felkéri a szükséges korrekciós intézkedések megtételére, ideértve szükség esetén a bejelentés felfüggesztését vagy visszavonását is. Amennyiben a tagállam elmulasztja meghozni a szükséges korrekciós intézkedéseket, a Bizottság végrehajtási jogi aktus útján felfüggesztheti, korlátozhatja vagy visszavonhatja a kijelölést. Az említett végrehajtási jogi aktust a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
4. Cuando la Comisión determine que un organismo notificado no cumple o ha dejado de cumplir los requisitos para su notificación, informará al Estado miembro notificante en consecuencia y le solicitará que adopte las medidas correctoras necesarias, incluidas la suspensión o la retirada de la designación en caso necesario. Si el Estado miembro no adopta las medidas correctoras necesarias, la Comisión, mediante un acto de ejecución, podrá suspender, limitar o retirar la designación. Dicho acto de ejecución se adoptará con arreglo al procedimiento de examen contemplado en el artículo 98, apartado 2.
Harmonizált szabványok és szabványosítási szabvány jellegű dokumentumok
Normas armonizadas y documentos de normalización
(1) Azon nagy kockázatú vagy általános célú MI-rendszerekről, amelyek megfelelnek az olyan harmonizált szabványoknak vagy azok részeinek, amelyek hivatkozásait az 1025/2012/EU rendeletnek megfelelően közzétették az Európai Unió Hivatalos Lapjában, vélelmezni kell, hogy megfelelnek az e fejezet 2. szakaszában meghatározott követelményeknek, vagy adott esetben az e rendelet V. fejezetének 2. és 3. szakaszában meghatározott kötelezettségeknek, amennyiben az említett szabványok e követelményekre vagy kötelezettségekre kiterjednek.
1. Los sistemas de IA de alto riesgo o los modelos de IA de uso general que sean conformes con normas armonizadas, o partes de estas, cuyas referencias estén publicadas en el Diario Oficial de la Unión Europea de conformidad con el Reglamento (UE) n.o 1025/2012 se presumirá que son conformes con los requisitos establecidos en la sección 2 del presente capítulo o, en su caso, con las obligaciones establecidas en el capítulo V, secciones 2 y 3, del presente Reglamento, en la medida en que dichas normas contemplen estos requisitos u obligaciones.
(2) A Bizottság – az 1025/2012/EU rendelet 10. cikkével összhangban – indokolatlan késedelem nélkül bocsátja ki az e fejezet 2. szakaszában meghatározott valamennyi követelményre kiterjedő szabványosítási kérelmeket és adott esetben az e rendelet V. fejezetének 2. és 3. szakaszában meghatározott kötelezettségekre kiterjedő szabványosítási kérelmeket. A szabványosítási kérelemben kérni kell az MI-rendszerek erőforrás-teljesítményének javítását célzó jelentéstételi és dokumentációs folyamatokra – így például életciklusa során a nagy kockázatú MI-rendszer energia- és egyéb erőforrás-fogyasztásának csökkentésére –, valamint az általános célú MI-modellek energiahatékony fejlesztésére vonatkozó szabvány jellegű dokumentumokat is. A szabványosítási kérelem elkészítésekor a Bizottság konzultál a Testülettel és a releváns érdekelt felekkel, ideértve a tanácsadó fórumot is.
2. De conformidad con el artículo 10 del Reglamento (UE) n.o 1025/2012, la Comisión formulará, sin demora indebida, peticiones de normalización que contemplen todos los requisitos establecidos en la sección 2 del presente capítulo y, según proceda, las peticiones de normalización que contemplen las obligaciones establecidas en el capítulo V, secciones 2 y 3, del presente Reglamento. La petición de normalización también incluirá la solicitud de documentos sobre los procesos de presentación de información y documentación a fin de mejorar el funcionamiento de los de los sistemas de IA desde el punto de vista de los recursos, como la reducción del consumo de energía y de otros recursos del sistema de IA de alto riesgo durante su ciclo de vida, así como sobre el desarrollo eficiente desde el punto de vista energético de los modelos de IA de uso general. Cuando prepare una petición de normalización, la Comisión consultará al Consejo de IA y a las partes interesadas pertinentes, incluido el foro consultivo.
Az európai szabványügyi szervezeteknek címzett szabványosítási kérelem kiadásakor a Bizottság meghatározza, hogy a szabványoknak világosnak és konzisztensnek kell lenniük – többek között az I. mellékletben felsorolt meglévő uniós harmonizációs jogszabályok hatálya alá tartozó termékekre vonatkozóan a különböző ágazatokban kidolgozott szabványokkal –, és annak biztosítására kell irányulniuk, hogy az Unióban forgalomba hozott vagy üzembe helyezett nagy kockázatú MI-rendszerek vagy általános célú MI-modellek megfeleljenek az e rendeletben megállapított releváns követelményeknek vagy kötelezettségeknek.
Cuando dirija una petición de normalización a las organizaciones europeas de normalización, la Comisión especificará que las normas deben ser claras, coherentes —también con las normas elaboradas en diversos sectores para los productos regulados por los actos legislativos de armonización de la Unión vigentes enumerados en el anexo I— y destinadas a garantizar que los sistemas de IA de alto riesgo o los modelos de IA de uso general introducidos en el mercado o puestos en servicio en la Unión cumplan los requisitos u obligaciones pertinentes establecidos en el presente Reglamento.
A Bizottság az 1025/2012/EU rendelet 24. cikkének megfelelően felkéri az európai szabványügyi szervezeteket, hogy igazolják az e bekezdés első és második albekezdésében említett célkitűzések elérésére tett erőfeszítéseiket.
La Comisión solicitará a las organizaciones europeas de normalización que aporten pruebas de que han hecho todo lo posible por cumplir los objetivos a que se refieren los párrafos primero y segundo del presente apartado, de conformidad con el artículo 24 del Reglamento (UE) n.o 1025/2012.
(3) A szabványosítási folyamat résztvevőinek törekedniük kell arra, hogy előmozdítsák az MI-vel kapcsolatos beruházásokat és innovációt – többek között a jogbiztonság, valamint az uniós piac versenyképességének és növekedésének fokozása révén –, hozzájáruljanak a szabványosítás terén folytatott globális együttműködés megerősítéséhez, valamint az MI területén meglévő, az uniós értékekkel, alapvető jogokkal és érdekekkel összhangban álló nemzetközi szabványok figyelembevételéhez, továbbá hogy javítsák a többszereplős irányítást, biztosítva az érdekek kiegyensúlyozott képviseletét és valamennyi érdekelt fél tényleges részvételét az 1025/2012/EU rendelet 5., 6. és 7. cikkével összhangban.
3. Los participantes en el proceso de normalización tratarán de promover la inversión y la innovación en IA, también incrementando la seguridad jurídica, así como la competitividad y el crecimiento del mercado de la Unión, de contribuir al refuerzo de la cooperación mundial en pro de la normalización, teniendo en cuenta las normas internacionales existentes en el ámbito de la IA que son coherentes con los valores, derechos fundamentales e intereses de la Unión, y de mejorar la gobernanza multilateral, garantizando una representación equilibrada de los intereses y la participación efectiva de todas las partes interesadas pertinentes de conformidad con los artículos 5, 6 y 7 del Reglamento (UE) n.o 1025/2012.
(1) A Bizottság elfogadhat az e fejezet 2. szakaszában foglalt követelményekre vagy adott esetben az V. fejezetben 2. és 3. szakaszában meghatározott kötelezettségekre vonatkozó közös előírásokat megállapító végrehajtási jogi aktusokat, amennyiben teljesültek a következő feltételek:
1. La Comisión podrá adoptar actos de ejecución por los que se establezcan especificaciones comunes para los requisitos establecidos en la sección 2 del presente capítulo o, según corresponda, para las obligaciones establecidas en el capítulo V, secciones 2 y 3, siempre que se hayan cumplido las siguientes condiciones:
a)
a Bizottság az 1025/2012/EU rendelet 10. cikkének (1) bekezdése alapján felkért egy vagy több európai szabványügyi szervezetet az e fejezet 2. szakaszában foglalt követelményekre vagy – adott esetben – az V. fejezet 2. és 3. szakaszában foglalt kötelezettségekre vonatkozó harmonizált szabvány kidolgozására, és:
a)
la Comisión ha solicitado, de conformidad con el artículo 10, apartado 1, del Reglamento (UE) n.o 1025/2012, a una o varias organizaciones europeas de normalización que elaboren una norma armonizada para los requisitos establecidos en la sección 2 del presente capítulo, o según corresponda, para las obligaciones establecidas en el capítulo V, secciones 2 y 3, y:
i.
a felkérést egyik európai szabványügyi szervezet sem fogadta be; vagy
i)
la solicitud no ha sido aceptada por ninguna de las organizaciones europeas de normalización, o
ii.
a felkérés szerinti harmonizált szabványokat nem nyújtották be az 1025/2012/EU rendelet 10. cikkének (1) bekezdésének megfelelően meghatározott határidőn belül; vagy
ii)
las normas armonizadas que responden a dicha solicitud no se han entregado en el plazo establecido de conformidad con el artículo 10, apartado 1, del Reglamento (UE) n.o 1025/2012, o
iii.
a vonatkozó harmonizált szabványok nem kezelnek kielégítő mértékben alapjogi aggályokat; vagy
iii)
las normas armonizadas pertinentes responden de forma insuficiente a las preocupaciones en materia de derechos fundamentales, o
iv.
az említett szabványok nem felelnek meg a felkérésnek; és
iv)
las normas armonizadas no se ajustan a la solicitud, y
b)
az Európai Unió Hivatalos Lapjában nem tettek közzé – az 1025/2012/EU rendeletnek megfelelően – hivatkozást az e fejezet 2. szakaszában említett követelményekre vagy adott esetben az V. fejezet 2. és 3. szakaszában említett kötelezettségekre kiterjedő harmonizált szabványokra, és észszerű időn belül várhatóan nem is tesznek közzé ilyen hivatkozást.
b)
no se ha publicado en el Diario Oficial de la Unión Europea ninguna referencia a normas armonizadas que regulen los requisitos establecidos en la sección 2 del presente capítulo, o según proceda, las obligaciones a que se refiere el capítulo V, secciones 2 y 3, de conformidad con el Reglamento (UE) n.o 1025/2012 y no se prevé la publicación de tal referencia en un plazo razonable.
A közös előírások kidolgozása során a Bizottság konzultál a 67. cikkben említett tanácsadó fórummal.
Al elaborar las disposiciones comunes, la Comisión consultará al foro consultivo a que se refiere el artículo 67.
Az e bekezdés első albekezdésében említett végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
Los actos de ejecución a que se refiere el párrafo primero del presente apartado se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 98, apartado 2.
(2) A végrehajtási jogi aktus tervezetének kidolgozása előtt a Bizottság tájékoztatja az 1025/2012/EU rendelet 22. cikkében említett bizottságot arról, hogy megítélése szerint teljesülnek az e cikk (1) bekezdésében megállapított feltételek.
2. Antes de elaborar un proyecto de acto de ejecución, la Comisión informará al comité a que se refiere el artículo 22 del Reglamento (UE) n.o 1025/2012 de que considera que se cumplen las condiciones establecidas en el apartado 1 del presente artículo.
(3) Azon nagy kockázatú MI-rendszerekről vagy általános célú MI-modellekről, amelyek megfelelnek az (1) bekezdésben említett közös előírásoknak vagy ezen előírások egyes részeinek, azt kell vélelmezni, hogy megfelelnek az e fejezet 2. szakaszában meghatározott követelményeknek, vagy adott esetben megfelelnek az V. fejezet 2. és 3. szakaszában említett kötelezettségeknek, amennyiben az említett közös előírások az említett követelményekre vagy az említett kötelezettségekre is kiterjednek.
3. Se presumirá que los sistemas de IA de alto riesgo o los modelos de IA de uso general que sean conformes con las especificaciones comunes a que se refiere el apartado 1, o partes de dichas especificaciones, son conformes con los requisitos establecidos en la sección 2 del presente capítulo o, según corresponda, para cumplir con las obligaciones a que se refiere el capítulo V, secciones 2 y 3, en la medida en que dichas especificaciones comunes contemplen esos requisitos o esas obligaciones.
(4) Amennyiben valamely európai szabványügyi szervezet harmonizált szabványt fogad el, és javasolja a Bizottságnak, hogy arra vonatkozóan tegyen közzé hivatkozást az Európai Unió Hivatalos Lapjában, a Bizottság az 1025/2012/EU rendelettel összhangban értékeli a harmonizált szabványt. Amikor egy harmonizált szabvány hivatkozását közzéteszik az Európai Unió Hivatalos Lapjában, a Bizottság hatályon kívül helyezi az (1) bekezdésben említett végrehajtási jogi aktusokat vagy azok azon részeit, amelyek az e fejezet 2. szakaszában meghatározott ugyanazon követelményekre, vagy adott esetben az V. fejezet 2. és 3. szakaszában meghatározott ugyanazon kötelezettségekre vonatkoznak.
4. Cuando una norma armonizada sea adoptada por una organización europea de normalización y propuesta a la Comisión con el fin de publicar su referencia en el Diario Oficial de la Unión Europea, la Comisión evaluará la norma armonizada de conformidad con el Reglamento (UE) n.o 1025/2012. Cuando la referencia a una norma armonizada se publique en el Diario Oficial de la Unión Europea, la Comisión derogará los actos de ejecución a que se refiere el apartado 1, o las partes de dichos actos que contemplen los mismos requisitos establecidos en la sección 2 del presente capítulo o, según corresponda, las mismas obligaciones establecidas en el capítulo V, secciones 2 y 3.
(5) Amennyiben a nagy kockázatú MI-rendszerek vagy az általános célú MI-modellek szolgáltatói nem felelnek meg az (1) bekezdésben említett közös előírásoknak, megfelelően igazolniuk kell, hogy olyan műszaki megoldásokat fogadtak el, amelyek – azokkal legalább egyenértékű szinten – megfelelnek az e fejezet 2. szakaszában említett követelményeknek, vagy adott esetben megfelelnek az V. fejezet 2. és 3. szakaszában meghatározott kötelezettségeknek.
5. Cuando los proveedores de sistemas de IA de alto riesgo o los modelos de IA de uso general no cumplan las especificaciones comunes mencionadas en el apartado 1, justificarán debidamente que han adoptado soluciones técnicas que cumplan los requisitos a que se refiere la sección 2 del presente capítulo o, según corresponda, cumplan con las obligaciones establecidas en el capítulo V, secciones 2 y 3, en un nivel como mínimo equivalente a aquellos.
(6) Amennyiben egy tagállam úgy ítéli meg, hogy valamely közös előírás nem felel meg teljes mértékben a 2. szakaszban meghatározott követelményeknek, vagy adott esetben nem felel meg teljes mértékben az V. fejezet 2. és 3. szakaszában meghatározott kötelezettségeknek, erről részletes magyarázatot mellékelve tájékoztatja a Bizottságot. A Bizottság értékeli az említett információkat, és adott esetben módosítja az érintett közös előírást megállapító végrehajtási jogi aktust.
6. Cuando un Estado miembro considere que una especificación común no cumple plenamente los requisitos establecidos en la sección 2, o, según corresponda, no cumple con las obligaciones establecidas en el capítulo V, secciones 2 y 3, informará de ello a la Comisión con una explicación detallada. La Comisión evaluará dicha información y, en su caso, modificará el acto de ejecución por el que se establece la especificación común de que se trate.
Evaluación de la conformidad
(1) A III. melléklet 1. pontjában felsorolt nagy kockázatú MI-rendszerek esetében, amennyiben valamely nagy kockázatú MI-rendszer a 2. szakaszban meghatározott követelményeknek való megfelelése igazolása során a szolgáltató a 40. cikkben említett harmonizált szabványokat, vagy adott esetben a 41. cikkben említett közös előírásokat alkalmazta, a szolgáltatónak a következőkön alapuló megfelelőségértékelési eljárások egyikét kell választania:
1. En el caso de los sistemas de IA de alto riesgo enumerados en el anexo III, punto 1, cuando, al demostrar el cumplimiento de los requisitos establecidos en la sección 2 por parte de un sistema de IA de alto riesgo, el proveedor haya aplicado las normas armonizadas a que se refiere el artículo 40, o bien, en su caso, las especificaciones comunes a que se refiere el artículo 41, el proveedor optará por uno de los procedimientos de evaluación de la conformidad siguientes:
a)
a VI. mellékletben említett belső ellenőrzés; vagy
a)
el fundamentado en el control interno, mencionado en el anexo VI, o
b)
a minőségirányítási rendszer és a műszaki dokumentáció valamely bejelentett szervezet bevonásával történő értékelése, a VII. mellékletben említettek szerint.
b)
el fundamentado en la evaluación del sistema de gestión de la calidad y la evaluación de la documentación técnica, con la participación de un organismo notificado, mencionado en el anexo VII.
Annak igazolása során, hogy valamely nagy kockázatú MI-rendszer megfelel a 2. szakaszban foglalt követelményeknek, a szolgáltatónak a VII. mellékletben meghatározott megfelelőségértékelési eljárást kell követnie a következő esetekben:
Al demostrar el cumplimiento de los requisitos establecidos en la sección 2 por parte de un sistema de IA de alto riesgo, el proveedor se atendrá al procedimiento de evaluación de la conformidad establecido en el anexo VII cuando:
a)
a 40. cikkben említett harmonizált szabványok nem léteznek, és a 41. cikkben említett közös előírások nem állnak rendelkezésre;
a)
las normas armonizadas a que se refiere el artículo 40 no existan, y no se disponga de las especificaciones comunes a que se refiere el artículo 41;
b)
a szolgáltató nem alkalmazta a harmonizált szabványt, vagy annak csak egy részét alkalmazta;
b)
el proveedor no haya aplicado la norma armonizada, o solo haya aplicado parte de esta;
c)
az a) pontban említett közös előírások léteznek, de a szolgáltató nem alkalmazta őket;
c)
existan las especificaciones comunes a que se refiere la letra a), pero el proveedor no las haya aplicado;
d)
az a) pontban említett egy vagy több harmonizált szabványt korlátozással és csak a szabvány korlátozott részére tettek közzé.
d)
una o varias de las normas armonizadas a que se refiere la letra a) se hayan publicado con una limitación, y únicamente en la parte de la norma objeto de la limitación.
A VII. mellékletben említett megfelelőségértékelési eljárás céljából a szolgáltató a bejelentett szervezetek bármelyikét választhatja. Azonban amennyiben a nagy kockázatú MI-rendszert bűnüldöző, bevándorlási vagy menekültügyi hatóságok, valamint uniós intézmények, szervek, hivatalok vagy ügynökségek szándékoznak üzembe helyezni, a 74. cikk (8) vagy – adott esetben – (9) bekezdésében említett piacfelügyeleti hatóságnak kell eljárnia bejelentett szervezetként.
A efectos del procedimiento de evaluación de la conformidad mencionado en el anexo VII, el proveedor podrá escoger cualquiera de los organismos notificados. No obstante, cuando se prevea la puesta en servicio del sistema de IA de alto riesgo por parte de las autoridades garantes del cumplimiento del Derecho, las autoridades de inmigración o las autoridades de asilo, o por las instituciones, órganos u organismos de la Unión, la autoridad de vigilancia del mercado mencionada en el artículo 74, apartado 8 o 9, según proceda, actuará como organismo notificado.
(2) A III. melléklet 2–8. pontjában említett nagy kockázatú MI-rendszerek esetében a szolgáltatóknak a VI. mellékletben említett, belső ellenőrzésen alapuló megfelelőségértékelési eljárást kell követniük, amely nem rendelkezik bejelentett szervezet bevonásáról.
2. En el caso de los sistemas de IA de alto riesgo mencionados en el anexo III, puntos 2 a 8, los proveedores se atendrán al procedimiento de evaluación de la conformidad fundamentado en un control interno a que se refiere el anexo VI, que no contempla la participación de un organismo notificado.
(3) Az I. melléklet A. szakaszában felsorolt uniós harmonizációs jogszabályok hatálya alá tartozó nagy kockázatú MI-rendszerek esetében a szolgáltatónak az említett jogi aktusokban előírt megfelelőségértékelést kell követnie. Az e fejezet 2. szakaszában foglalt követelményeket alkalmazni kell az említett nagy kockázatú MI-rendszerekre, és azoknak az említett értékelés részét kell képezniük. A VII. melléklet 4.3., 4.4., 4.5. pontja és 4.6. pontjának ötödik bekezdése szintén alkalmazandó.
3. En el caso de los sistemas de IA de alto riesgo regulados por los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, el proveedor se atendrá al procedimiento de evaluación de la conformidad pertinente exigida por dichos actos legislativos. Los requisitos establecidos en la sección 2 del presente capítulo se aplicarán a dichos sistemas de IA de alto riesgo y formarán parte de dicha evaluación. Asimismo, se aplicarán los puntos 4.3, 4.4 y 4.5 del anexo VII, así como el punto 4.6, párrafo quinto, de dicho anexo.
Az értékelés céljából az említett jogi aktusok alapján bejelentett szervezeteket fel kell jogosítani annak ellenőrzésére, hogy a nagy kockázatú MI-rendszerek megfelelnek-e a 2. szakaszban foglalt követelményeknek, feltéve, hogy az említett bejelentett szervezeteknek a 31. cikk (4), (5), (10) és (11) bekezdésében megállapított követelményeknek való megfelelését az említett jogi aktusok szerinti bejelentési eljárás keretében értékelték.
A efectos de dicha evaluación, los organismos notificados que hayan sido notificados con arreglo a dichos actos legislativos dispondrán de la facultad de controlar la conformidad de los sistemas de IA de alto riesgo con los requisitos establecidos en la sección 2, a condición de que se haya evaluado el cumplimiento por parte de dichos organismos notificados de los requisitos establecidos en el artículo 31, apartados 4, 5, 10 y 11, en el contexto del procedimiento de notificación con arreglo a dichos actos legislativos.
Amennyiben az I. melléklet A. szakaszában felsorolt valamely jogi aktus lehetővé teszik a termék gyártója számára, hogy kimaradjon egy harmadik fél által végzett megfelelőségértékelésből, feltéve, hogy a gyártó a valamennyi releváns követelményre kiterjedő valamennyi harmonizált szabványt alkalmazta, az említett gyártó csak akkor élhet e lehetőséggel, ha harmonizált szabványokat vagy adott esetben a 41. cikkben említett, az e fejez