Politica AI — EU AI Act

Blackbone construiește, integrează și operează sisteme de inteligență artificială atât pentru clienți, cât și intern. Această politică descrie principiile, controalele și obligațiile asumate conform Regulamentului (UE) 2024/1689 (AI Act), ISO/IEC 42001:2023 (AI Management System) și Regulamentului (UE) 2016/679 (GDPR).

1. Domeniu de aplicare

Politica se aplică tuturor sistemelor AI dezvoltate, integrate sau operate de Blackbone, indiferent dacă sunt LLM-uri (Claude, GPT-5, Gemini), modele de viziune, modele predictive, agenți autonomi sau pipeline-uri de tip RAG.

2. Clasificare risc (art. 5-7 AI Act)

Practici interzise (art. 5): nu dezvoltăm sisteme de scoring social, recunoaștere emoții la locul de muncă, manipulare cognitivă subliminală, extragere nediscriminată a imaginilor faciale de pe internet pentru baze biometrice.
Risc ridicat (Anexa III): pentru sisteme care intră în această categorie (de exemplu HR, credit scoring, infrastructură critică), aplicăm setul complet de obligații din art. 8-15 (gestionarea riscurilor, calitatea datelor, documentație, supraveghere umană, robustețe).
Risc limitat: sisteme generative cu interacțiune directă cu utilizatori finali — marcăm conținutul AI și informăm utilizatorul (art. 50).
Risc minim: majoritatea integrărilor de productivitate; politici interne de bună practică se aplică.

3. Principii operaționale

Supraveghere umană (art. 14): orice decizie cu impact semnificativ asupra unei persoane este review-uită de om înainte de execuție.
Transparență (art. 13, 50): conținutul generat AI este marcat ca atare în interfețe destinate utilizatorilor finali. Sistemele conversaționale dezvăluie natura AI.
Calitatea datelor (art. 10): seturile de antrenament sunt evaluate pentru reprezentativitate, bias și calitate. Documentăm sursele.
Robustețe & securitate (art. 15): evaluări adversariale, guardrails contra prompt injection, sandboxing pentru tool calls, validare output structurat.
Trasabilitate (art. 12): log-uri automate ale interacțiunilor sistemelor de risc ridicat, păstrate minim 6 luni.

4. Drepturile de autor în datele de antrenament

Respectăm Legea nr. 8/1996 și Directiva (UE) 2019/790 privind drepturile de autor în piața unică digitală, inclusiv excepția pentru text și data mining (art. 3-4) și mecanismul de opt-out. Nu antrenăm modele pe materiale care au exprimat opt-out machine-readable.

5. GDPR și AI

Atunci când sistemele AI prelucrează date personale, aplicăm:

DPIA conform art. 35 GDPR pentru toate sistemele cu profilare sau decizii automate.
Minimizarea datelor — preferăm RAG cu vector store dedicat în loc de fine-tuning cu date personale.
Anonimizare / pseudonimizare a datelor sensibile înainte de prompting (Microsoft Presidio, biblioteci proprii).
Acord explicit pentru orice decizie automatizată cu efect juridic (art. 22 GDPR).
Provideri AI cu garanții GDPR și clauze SCC (OpenAI, Anthropic, Google Cloud).

6. Conținut generat de AI

Marcăm transparent conținutul (text, imagine, video, audio) generat de sisteme AI atunci când este afișat în context care ar putea induce în eroare. Pentru deepfakes / sinteze realiste, aplicăm watermarking conform standardelor emergente (C2PA, SynthID).

7. Roluri AI Act

Blackbone poate acționa, în funcție de proiect, ca provider (când dezvoltăm sistem AI propriu), deployer (când integrăm un sistem terț pentru un client) sau distributor / importer. Documentăm clar rolul în fiecare contract și ne asumăm obligațiile specifice (art. 16-29).

8. Modele General-Purpose AI (art. 51-55)

Atunci când integrăm modele GPAI cu risc sistemic (peste 10^25 FLOPS de calcul de antrenament), verificăm conformitatea providerului cu obligațiile de transparență, gestionarea riscurilor și publicarea Code of Practice GPAI. Nu antrenăm noi modele GPAI proprii.

9. Evaluare & guvernanță internă

Comitet AI Review pentru orice produs AI nou.
Registru intern al sistemelor AI cu clasificare risc și owner.
Audit anual al guardrails și al ratei de halucinație pentru sistemele de risc ridicat.
Lucrăm către certificarea ISO/IEC 42001:2023 (AI Management System) în orizont 2026-2027.

10. Drepturile utilizatorilor

Să afli că interacționezi cu un sistem AI (art. 50 AI Act).
Să soliciți intervenție umană pentru decizii automate cu impact semnificativ.
Să primești explicații cu privire la logică, pondere, criterii decizionale (art. 86 AI Act, art. 22 GDPR).
Să raportezi un sistem AI ca neconform sau periculos.

11. Contact

Pentru orice întrebare privind sistemele AI ale Blackbone sau exercitarea drepturilor, contactează dpo@blackbone.ro (date personale) sau contact@blackbone.ro (probleme funcționale).

2. Clasificare risc (art. 5-7 AI Act)

Practici interzise (art. 5): nu dezvoltăm sisteme de scoring social, recunoaștere emoții la locul de muncă, manipulare cognitivă subliminală, extragere nediscriminată a imaginilor faciale de pe internet pentru baze biometrice.

Risc ridicat (Anexa III): pentru sisteme care intră în această categorie (de exemplu HR, credit scoring, infrastructură critică), aplicăm setul complet de obligații din art. 8-15 (gestionarea riscurilor, calitatea datelor, documentație, supraveghere umană, robustețe).

Risc limitat: sisteme generative cu interacțiune directă cu utilizatori finali — marcăm conținutul AI și informăm utilizatorul (art. 50).

Risc minim: majoritatea integrărilor de productivitate; politici interne de bună practică se aplică.

3. Principii operaționale

Supraveghere umană (art. 14): orice decizie cu impact semnificativ asupra unei persoane este review-uită de om înainte de execuție.

Transparență (art. 13, 50): conținutul generat AI este marcat ca atare în interfețe destinate utilizatorilor finali. Sistemele conversaționale dezvăluie natura AI.

Calitatea datelor (art. 10): seturile de antrenament sunt evaluate pentru reprezentativitate, bias și calitate. Documentăm sursele.

Robustețe & securitate (art. 15): evaluări adversariale, guardrails contra prompt injection, sandboxing pentru tool calls, validare output structurat.

Trasabilitate (art. 12): log-uri automate ale interacțiunilor sistemelor de risc ridicat, păstrate minim 6 luni.

5. GDPR și AI

Atunci când sistemele AI prelucrează date personale, aplicăm:

DPIA conform art. 35 GDPR pentru toate sistemele cu profilare sau decizii automate.

Minimizarea datelor — preferăm RAG cu vector store dedicat în loc de fine-tuning cu date personale.

Anonimizare / pseudonimizare a datelor sensibile înainte de prompting (Microsoft Presidio, biblioteci proprii).

Acord explicit pentru orice decizie automatizată cu efect juridic (art. 22 GDPR).

Provideri AI cu garanții GDPR și clauze SCC (OpenAI, Anthropic, Google Cloud).

10. Drepturile utilizatorilor

Să afli că interacționezi cu un sistem AI (art. 50 AI Act).

Să soliciți intervenție umană pentru decizii automate cu impact semnificativ.

Să primești explicații cu privire la logică, pondere, criterii decizionale (art. 86 AI Act, art. 22 GDPR).

Să raportezi un sistem AI ca neconform sau periculos.