Codul de etică AI al Grupului LEGIER și "SANDIC by LEGIER"

Tabel de conținut

Notă: Dacă directorul automat apare gol, faceți clic dreapta în Word → "Actualizare câmp".

1. preambul și domeniul de aplicare

Prezentul cod stabilește principii, procese și controale obligatorii pentru dezvoltarea, achiziționarea, exploatarea și utilizarea IA în cadrul Grupului LEGIER. Acesta se aplică la nivelul întregului grup angajaților, managerilor, procesatorilor contractuali, furnizorilor și partenerilor.

Acesta integrează orientările existente ale Grupului (protecția datelor, procesele serviciilor digitale, guvernanța corporativă, durabilitatea, politica privind drepturile omului, declarația privind sclavia modernă) și le extinde pentru a include cerințe specifice IA.

Obiectiv este de a favoriza beneficiile și inovarea, de a face riscurile gestionabile și de a proteja drepturile utilizatorilor, clienților și publicului larg.

2. valori de bază și principii directoare

Demnitatea umană și drepturile fundamentale se situează deasupra eficienței economice. IA este în slujba oamenilor - niciodată invers.
Conformitate juridică: Conformitatea cu Legea UE privind inteligența artificială, GDPR, DSA și standardele specifice sectorului. Neutilizarea practicilor interzise.
Responsabilitate și răspundere: Un proprietar responsabil este desemnat pentru fiecare sistem AI; deciziile sunt trasabile și contestabile.
Proporționalitate: Echilibrul dintre scop, risc, intensitatea intervenției și impactul social.
Transparență și explicabilitate: Informații, documentație și canale de comunicare adecvate privind funcționalitatea, situația datelor și limitările.
Echitate și incluziune: Testarea sistematică a prejudecăților, protecția grupurilor vulnerabile, accesibilitatea și multilingvismul.
Securitate și reziliență: Securitate prin concepție, apărare în profunzime, întărire și monitorizare continuă.
Sustenabilitate: Eficiența modelelor și a centrelor de date (energie, PUE/CFE), vizualizarea ciclului de viață al datelor/modelelor.

3. guvernanță și responsabilități (AI Ethics Board, RACI)

Consiliul de etică al IA (AIEB): Interdisciplinar (tehnic, juridic/conformitate, protecția datelor, securitate, editorial/produs, personal). Sarcini: Actualizarea politicilor, emiterea de aprobări (în special cele cu risc ridicat), luarea de decizii privind conflictele, monitorizarea rapoartelor.

Roluri: Proprietarul cazului de utilizare, proprietarul modelului, responsabilul cu gestionarea datelor, responsabilul cu protecția datelor, responsabilul cu securitatea, editorul responsabil, proprietarul serviciului, responsabilul cu achizițiile.

Comitete și portaluri: Aprobarea AIIA înainte de punerea în funcțiune; consiliul consultativ pentru schimbări pentru schimbările materiale; revizuiri anuale ale managementului.

Principiul RACI: Atribuirea clară a responsabilității pentru fiecare activitate (Responsabil, Răspunzător, Consultat, Informat).

4. cadrul juridic și de standardizare (Legea UE privind inteligența artificială, GDPR, DSA, dreptul de autor, dreptul comercial)

EU-AI-Act: Cadru bazat pe riscuri cu interdicții, obligații pentru sistemele cu risc ridicat, documentație, înregistrare, guvernanță, obligații de transparență; aplicabilitate eșalonată din 2025/2026.
GDPR: Temeiuri juridice (art. 6/9), drepturile persoanelor vizate, confidențialitatea prin design/default, evaluarea impactului asupra protecției datelor (DPIA), transferuri din țări terțe (art. 44 și urm.).
DSA: Procesele platformelor pentru notificare, reclamații, rapoarte de transparență, evaluări de risc ale platformelor mari.
Drepturi de autor și drepturi conexe / drepturi personale: Lanțuri de licențe clare, drepturi asupra imaginii/numelui, drepturi de domiciliu ale terților.
Cerințe specifice industriei (de exemplu, legislația privind aviația/maritimă/sănătatea) trebuie, de asemenea, să fie respectate.

5. clasificarea riscurilor și evaluarea impactului AI (AIIA)

Clasificare:

Practici interzise (nepermise)
Sisteme cu risc ridicat (obligații stricte)
Risc limitat (transparență)
Risc minimizat

Procedura AIIA: Descriere Scop/scop, părți interesate, temei juridic, surse de date; analiză de risc (juridic, etic, siguranță, părtinire, impact asupra mediului); plan de atenuare; decizie (aprobare AIEB).

Reevaluări: Pentru modificări semnificative, anual pentru risc ridicat; documentarea în registrul central.

6. etica și protecția datelor (temeiul juridic, DPIA, module cookie, țară terță)

Minimizarea datelor și limitarea scopului; Pseudonimizare/anonimizare preferată.
Transparență: Informații privind protecția datelor, canale de informare și ștergere; portabilitate; opțiuni de opoziție.
Cookie-uri/Tracking: Gestionarea consimțământului; revocarea; anonimizarea IP; numai instrumente aprobate.
Transferuri din țări terțe: Numai cu garanții adecvate (SCC/adecvare); testarea periodică a subprocesatorilor.
DPIA: Obligatoriu pentru prelucrarea cu risc ridicat; documentați măsurile tehnice/organizaționale (TOM).

7. modelul și ciclul de viață al datelor (ciclul de viață ML, carduri de date, carduri de model)

Ciclul de viață al datelor: Achiziție → Curățare → Etichetare → Porți de calitate → Versionare → Păstrare/Deletare.

Ciclul de viață al modelului: Definirea problemei → Selectarea arhitecturii → Formare/ajustare → Evaluare (offline/online) → Lansare → Exploatare → Monitorizare → Recalificare/retragere.

Carduri de date: Origine, reprezentativitate, calitate, concluzii părtinitoare, restricții privind utilizarea.

Modele de carduri: Scop, date de formare, repere, măsurători, limitări, tipare de erori preconizate, ce să faceți și ce să nu faceți.

Proveniență și reproductibilitate: Hash-uri, versiuni ale datelor/modelului, verificări ale conductei.

8. transparență, explicabilitate și instrucțiuni de utilizare

Etichetare pentru interacțiunea cu IA și conținutul generat de IA.
Explicabilitate: Utilizați explicații adaptate fiecărui caz, ușor de înțeles de către profani (la nivel local/global).
Instrucțiuni de utilizare: Scop, factori principali de influență, limite; metode de feedback și corecție.

9. Human-in-the-loop și sarcini de supraveghere

Supravegherea umană ca standard pentru deciziile relevante (în special cele cu risc ridicat).
Principiul celor patru ochi pentru misiunile sensibile din punct de vedere editorial/social.
Funcții de suprascriere/anulare; căi de escaladare; documentație.

10. securitate, robustețe și red-teaming (prompt injection, jailbreaks)

Modelarea amenințărilor (STRIDE + specific IA): Injectarea promptă, otrăvirea datelor de instruire, furtul de modele, scurgerea protecției datelor.
Red teaming și teste adversare; prevenirea jailbreak-ului; limitarea vitezei; filtrarea rezultatelor; scanarea secretă.
Robustețe: Indicații de rezervă, bare de protecție, planuri de revenire; lansări canare; teste haotice pentru siguranță.

11. lanțul de aprovizionare, drepturile omului și munca echitabilă (sclavie modernă, LkSG-analog)

Diligența cu privire la drepturile omului: Analiza riscurilor, codul de conduită al furnizorului, angajamentele contractuale, auditurile, măsurile corective.
Sclavia modernă: Declarație anuală, sensibilizare, canale de raportare.
Standarde de muncă: Salarii echitabile, ore de lucru, protecția sănătății; protecția denunțătorilor.

12. gestionarea prejudecăților, echitate și incluziune (clienți vulnerabili, accesibilitate)

Verificări părtinitoare: Analize ale seturilor de date, echilibrare, diverse grupuri de testare, metrici de corectitudine; atenuare documentată.
Clienți în pericol: Obiective de protecție, canale alternative, limbaj clar; nicio exploatare a slăbiciunilor cognitive.
Accesibilitate: WCAG-Conformism; multilingvism; abordare incluzivă.

13. IA generativă, dovada originii și etichetarea (C2PA, filigran)

Etichetare: Etichete/metadate vizibile pentru conținutul AI; indicii pentru interacțiuni.
Garanții de origine: C2PA-context, semnături/marci, în măsura în care este posibil din punct de vedere tehnic.
Drepturile de autor/protecția serviciilor: Clarificați licențele; instruiți conformitatea datelor; documentați lanțul drepturilor.

14. conținut, moderare și procese DSA (raportare, reclamații, transparență)

Canale de raportare: Raportarea utilizatorilor cu prag scăzut; procesarea prioritară a conținutului ilegal.
Procese de soluționare a reclamațiilor: Justificare transparentă, obiecții, escaladare.
Rapoarte de transparență: Publicarea periodică a cifrelor-cheie și a măsurilor relevante.

15. utilizare specifică unui domeniu (știri, date, sănătate, aviație, iahturi, imobiliare, plată/trade/trust/coin, mașini)

Știri/Publicații: Asistență în cercetare, traducere, moderare; etichetarea clară a conținutului generativ.
DATE SCANDALOASE: Infrastructură AI/HPC sigură, separarea clienților, HSM/KMS, observabilitate, artefacte de conformitate.
Sănătate: Utilizare bazată pe dovezi, decizie finală umană, fără diagnostice netestate.
Aviație/iahturi: Procese de siguranță, supraveghere umană, proceduri de urgență.
Estate: Modele de evaluare cu verificări ale corectitudinii; integrarea ESG.
Plătiți/tranzacționați/confidați/monede: Prevenirea fraudei, KYC/AML, supravegherea pieței, decizii explicabile.
Mașini: Servicii personalizate cu protecție strictă a datelor.

16. părți terțe, achiziții publice și gestionarea riscurilor legate de furnizori

Due diligence înainte de încorporare: Nivelul de securitate/protecție a datelor, locațiile datelor, subprocesatorii, certificatele.
Contracte: Drepturi de audit, clauze de transparență și remediere, indicatori SLA/OLA.
Monitorizare: KPI de performanță, schimbul de constatări/incidente, planuri de ieșire.

17. funcționarea, observabilitatea, planurile de urgență și de repornire

Funcționare: Observabilitate (jurnale, metrici, urme), gestionarea SLO/SLI, planificarea capacității.
Urgență: Runbooks, teste DR, timpi de recuperare, planuri de comunicare.
Gestionarea configurației/secretelor: Privilegiu minim, rotații, întărire.

18. incidente și remedii (etică, protecția datelor, securitate)

Incidente etice: Discriminare nedorită, dezinformare, origine neclară - măsuri imediate și revizuirea AIEB.
Incidente legate de protecția datelor: Procese de raportare către RPD/supraveghere; informații pentru părțile afectate; analiza cauzelor principale.
Incidente de securitate: Proceduri CSIRT, criminalistică, lecții învățate, măsuri preventive.

19. măsurători, KPI și asigurare (internă/externă)

KPI obligatorii: 100 % acoperire AIIA a cazurilor productive de utilizare a IA; 95 rata de formare %; 0 constatări critice de audit deschise.
Metrici de corectitudine: Impact diferențiat, cote egalizate (utilizare specifică fiecărui caz).
Sustenabilitate: Cifrele de energie/PUE/carbon ale centrelor de date; eficiența modelelor.

20. formare, sensibilizare și schimbare culturală

Formare obligatorie (anuală): Etica IA, protecția datelor, securitate, etica mass-media; module specifice grupurilor țintă.
Campanii de sensibilizare: Ghiduri, sesiuni "brown-bag", ore de consultanță; comunități interne de practică.
Cultură: Conducerea ca model de urmat, cultura erorii, recompensarea comportamentului responsabil.

21. implementare și foaie de parcurs (0-6 / 6-12 / 12-24 luni)

0-6 luni: Inventarul cazurilor de utilizare a IA; procesul AIIA; controale minime; valul de formare; verificarea furnizorilor.
6-12 luni: Lansarea Red Teaming; primele rapoarte de transparență; programul energetic; finalizarea RACI.
12-24 luni: Alinierea la ISO/IEC-42001; asigurare limitată; îmbunătățire continuă; pregătirea CSRD/ESRS (dacă este cazul).

22. Roluri și matrice RACI

Proprietarul cazului de utilizare (A): Scop, beneficii, KPI, buget, reevaluări.
Model-proprietar (R): Date/formare/evaluare, card de model, monitorizare derivă.
DPO (C/A pentru protecția datelor): Temei juridic, DPIA, drepturile persoanelor vizate.
Responsabil cu securitatea (C): Modelarea amenințărilor, red teaming, TOMs.
Editor responsabil (C): Etica mass-media, etichetarea, registrul de corecție.
Proprietarul serviciului (R): Funcționare, SLO, gestionarea incidentelor.
Responsabil achiziții publice (R/C): Terți, contracte, planuri de ieșire.

23. liste de verificare (AIIA scurt, eliberarea datelor, go-live gate)

Verificare rapidă AIIA: Scopul? Temeiul juridic? Părțile afectate? Riscuri (juridice/etice/securitate/părtinire/ambientale)? Atenuare? Controale HIL?
Eliberarea datelor: Sursă legală? Minimizarea? Retenția? Acces? Țară terță?
Go-Live-Gate: Artefacte complete (fișe de date/model, jurnale)? Rezultatele echipei roșii au fost abordate? Monitorizarea/DR a fost stabilită?

24. formulare și șabloane (fișă model, fișă de date, raport de incident)

Model-Card-Template: Scop, date, formare, repere, limite, riscuri, persoane responsabile, contact.
Data-Card-Template: Originea, licența, calitatea, reprezentativitatea, controalele părtinitoare, restricțiile de utilizare.
Model de raport de incident: Incident, efecte, persoane afectate, măsuri imediate, cauza principală, remediu, lecții învățate.

25 Glosar și referințe

Glosar: Sistem AI, AI generativ, sistem cu risc ridicat, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI.

Referințe:

Legea UE privind inteligența artificială
GDPR
DSA
Principiile IA ale OCDE
NIST AI RMF
ISO/IEC 42001
Orientări interne (protecția datelor, procese DSA, sclavie modernă, sustenabilitate)

Notă: Acest cod AI completează orientările LEGIER existente, cum ar fi, printre altele: (protecția datelor, serviciile digitale, drepturile omului/ lanțul de aprovizionare, guvernanța corporativă, sustenabilitatea, sclavia modernă). Acesta face parte integrantă din cadrul de conformitate al grupului LEGIER (LEGIER Beteiligungs mbH).