Τρία χρόνια μετά την υποβολή της πρότασης της Ευρωπαϊκής Επιτροπής, η άρτι ψηφισθείσα AI Act έφτασε στον προορισμό της, φέροντας το ‘βάρος’ υψηλών προσδοκιών και τη φιλοδοξία να αποτελέσει παγκόσμιο πρότυπο για τη ρύθμιση της τεχνητής νοημοσύνης.
Habemus AI Act
Στις 21 Μαΐου είδαμε λευκό καπνό να βγαίνει από το Συμβούλιο της Ευρωπαϊκής Ένωσης, το οποίο ενέκρινε την Πράξη για την Τεχνητή Νοημοσύνη (AI Act), ολοκληρώνοντας έναν κύκλο διαπραγματεύσεων που ξεκίνησε η Ευρωπαϊκή Επιτροπή το 2021, με όραμα να καταστεί η Ευρώπη παγκόσμιος κόμβος αξιόπιστης τεχνητής νοημοσύνης (ΤΝ).
Το Συμβούλιο παρέλαβε τη σκυτάλη από το Ευρωπαϊκό Κοινοβούλιο, το οποίο στις 13 Μαρτίου είχε εγκρίνει το κείμενο της Πράξης με ευρεία πλειοψηφία (523 ψήφοι υπέρ, 46 ψήφοι κατά και 49 αποχές), σε συνέχεια της προσωρινής συμφωνίας που είχε επιτευχθεί τον Δεκέμβριο του 2023, μεταξύ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου. Όπως ανέφερε χαρακτηριστικά ο Mathieu Michel, Υπουργός του Βελγίου για θέματα ψηφιοποίησης, “με την υιοθέτηση της ΑΙ Act, η Ευρώπη υπογραμμίζει τη σημασία της εμπιστοσύνης, της διαφάνειας και της λογοδοσίας στη ρύθμιση των νέων τεχνολογιών, διασφαλίζοντας ταυτόχρονα ότι αυτή η ταχέως αναπτυσσόμενη τεχνολογία μπορεί να ανθίσει και να δώσει ώθηση στην Ευρωπαϊκή καινοτομία”.
Τρία χρόνια μετά την υποβολή της πρότασης της Επιτροπής για τη ρύθμιση της τεχνητής νοημοσύνης και με την τελευταία να αποτελεί πλέον αναπόσπαστο κομμάτι της καθημερινότητάς μας, η άρτι ψηφισθείσα AI Act έφτασε στον προορισμό της, φέροντας το ‘βάρος’ υψηλών προσδοκιών και τη φιλοδοξία να αποτελέσει παγκόσμιο πρότυπο για τη ρύθμιση της τεχνητής νοημοσύνης. Το πρωτοποριακό αυτό νομοθέτημα επιδιώκει να υποστηρίξει την ανάπτυξη και εφαρμογή αξιόπιστων και ασφαλών συστημάτων ΤΝ, διασφαλίζοντας ταυτόχρονα τον σεβασμό των θεμελιωδών ανθρωπίνων δικαιωμάτων και ενθαρρύνοντας τις επενδύσεις και την καινοτομία στο πεδίο της ΤΝ στην Ευρώπη.
Το πλαίσιο για την ΤΝ
Η Πράξη για την Τεχνητή Νοημοσύνη εφαρμόζεται μόνο σε τομείς που εμπίπτουν στο δίκαιο της ΕΕ και προβλέπει εξαιρέσεις, όπως για συστήματα ή μοντέλα ΤΝ που χρησιμοποιούνται αποκλειστικά για στρατιωτικούς και αμυντικούς σκοπούς ή σκοπούς εθνικής ασφάλειας, καθώς και εκείνα που αναπτύσσονται ειδικά και τίθενται σε λειτουργία με αποκλειστικό σκοπό την επιστημονική έρευνα και ανάπτυξη.
Αξιοσημείωτο ότι η νέα Πράξη θεσπίζει ένα πλαίσιο φιλικό προς την καινοτομία, προβλέποντας τα Ρυθμιστικά Δοκιμαστήρια ΤΝ (AI Regulatory Sandboxes), τα οποία δημιουργούν ένα ελεγχόμενο περιβάλλον για την ανάπτυξη, τη δοκιμή και την επικύρωση καινοτόμων συστημάτων ΤΝ. Αυτά θα θεσπίζονται από τις δημόσιες αρχές κάθε κράτους και θα πρέπει να σχεδιάζονται κατά τέτοιο τρόπο ώστε να επιτρέπουν τη δοκιμή των συστημάτων σε πραγματικές συνθήκες και πριν τη διάθεση αυτών προς χρήση.
Προσέγγιση βάσει κινδύνου
Ως είναι γνωστό, το νέο πλαίσιο για την τεχνητή νοημοσύνη ακολουθεί μια προσέγγιση βάσει κινδύνου, το οποίο πρακτικά σημαίνει ότι όσο μεγαλύτερος είναι ο κίνδυνος από τα συστήματα ΤΝ, τόσο αυστηρότεροι και οι κανόνες που ρυθμίζουν τη χρήση αυτών.
Ως σύστημα ΤΝ ορίζεται “ένα μηχανικό σύστημα που έχει σχεδιαστεί για να λειτουργεί με διαφορετικά επίπεδα αυτονομίας και μπορεί να παρουσιάζει προσαρμοστικότητα μετά την εφαρμογή του και το οποίο, για ρητούς ή σιωπηρούς στόχους, συνάγει, από τα στοιχεία εισόδου που λαμβάνει, πώς να παράγει στοιχεία εξόδου, όπως προβλέψεις, περιεχόμενο, συστάσεις ή αποφάσεις που μπορούν να επηρεάσουν υλικά ή εικονικά περιβάλλοντα”.
Η έννοια του κινδύνου ορίζεται ως “ο συνδυασμός της πιθανότητας πρόκλησης βλάβης και της σοβαρότητας της εν λόγω βλάβης”.
Η AI Act αποσκοπεί στην ανάπτυξη και εφαρμογή αξιόπιστων και ασφαλών συστημάτων ΤΝ, διασφαλίζοντας ταυτόχρονα τον σεβασμό των θεμελιωδών ανθρωπίνων δικαιωμάτων και ενθαρρύνοντας τις επενδύσεις και την καινοτομία
Πιο συγκεκριμένα, τα συστήματα ΤΝ ταξινομούνται σε:
Ελαχίστου κινδύνου: Η πλειονότητα των εφαρμογών ΑΙ, που ενέχουν ελάχιστο κίνδυνο, θα απολαμβάνουν την ελευθερία ανάπτυξης χωρίς πρόσθετες κανονιστικές υποχρεώσεις.
Περιορισμένου κινδύνου, στα οποία περιλαμβάνονται εφαρμογές ΤΝ όπως είναι τα chatbots, και τα οποία θα υποχρεούνται να διατηρούν ένα επίπεδο διαφάνειας, ώστε να ενημερώνονται οι χρήστες ότι αλληλοεπιδρούν με σύστημα τεχνητής νοημοσύνης.
Υψηλού κινδύνου, τα οποία βρίσκονται και στο επίκεντρο της νέας νομοθεσίας και τα οποία ναι μεν θα επιτρέπονται, ωστόσο θα υπόκεινται σε συγκεκριμένες υποχρεώσεις και απαιτήσεις, προκειμένου να αποκτήσουν πρόσβαση στην αγορά της Ευρωπαϊκής Ένωσης.
Όπως επισημαίνει η κα Κική Τσουρού, Υπεύθυνη Προστασίας Δεδομένων της ΤΕΙΡΕΣΙΑΣ Α.Ε. και μέλος του (ISC)2 Ηellenic Chapter, ‘η Πράξη καθιερώνει έναν διττό τρόπο ταξινόμησης της χρήσης συστημάτων Τ.Ν. υψηλού κινδύνου, με κριτήριο εάν υπόκεινται σε αξιολόγηση συμμόρφωσης από τρίτους ή εμπίπτουν σε οποιαδήποτε από τις περιπτώσεις χρήσης που περιλαμβάνονται στο Παράρτημα III’.
Στο κείμενο της Πράξης απαριθμούνται οι τομείς στους οποίους χρησιμοποιούνται ή ενδέχεται να χρησιμοποιηθούν συστήματα ΤΝ υψηλού κινδύνου ως ακολούθως:
- Βιομετρικά στοιχεία
- Υποδομές ζωτικής σημασίας
- Εκπαίδευση και επαγγελματική κατάρτιση
- Απασχόληση, διαχείριση εργαζομένων και πρόσβαση στην αυτοαπασχόληση
- Πρόσβαση και απόλαυση βασικών ιδιωτικών υπηρεσιών και βασικών δημόσιων υπηρεσιών και παροχών
- Επιβολή του νόμου
- Διαχείριση της μετανάστευσης, του ασύλου και των συνοριακών ελέγχων
- Απονομή δικαιοσύνης και δημοκρατικές διαδικασίες
Ιδιαίτερο ενδιαφέρον παρουσιάζει, κατά την κα Τσουρού, ‘το γεγονός ότι η Πράξη κατατάσσει μεν τα συστήματα βαθμολόγησης πιστοληπτικής ικανότητας (credit scoring), τα οποία χρησιμοποιούν Τ.Ν., σε υψηλού κινδύνου, εισάγει ωστόσο μία «μεταβατική διάταξη», η οποία εξαιρεί όλα τα προϋφιστάμενα συστήματα Τ.Ν. από τον Κανονισμό, εκτός εάν αυτά υπαχθούν σε ουσιώδεις αλλαγές και μεταβάλουν τον σχεδιασμό ή τον σκοπό τους’.
Τα συστήματα ΤΝ υψηλού κινδύνου θα πρέπει να σχεδιάζονται και να αναπτύσσονται κατά τρόπο ώστε να επιτυγχάνουν κατάλληλο επίπεδο ακρίβειας, στιβαρότητας και κυβερνοασφάλειας καθ’ όλον τον κύκλο ζωής του συστήματος και να διασφαλίζουν ότι η λειτουργία τους είναι επαρκώς διαφανής, ώστε οι φορείς εφαρμογής1 να ερμηνεύουν τη λειτουργία του συστήματος και να το χρησιμοποιούν κατάλληλα, χάρη και στις οδηγίες που το συνοδεύουν.
Μεταξύ των υποχρεώσεων των παρόχων συστημάτων ΤΝ υψηλού κινδύνου συγκαταλέγονται ειδικότερα η κατάρτιση τεχνικού φακέλου πριν από τη διάθεση του συστήματος στην αγορά ή τη θέση του σε λειτουργία και συνεχής επικαιροποίηση αυτού, η εφαρμογή ενός συστήματος διαχείρισης κινδύνου, η τήρηση αρχείων καταγραφής χρήσης, η διαφάνεια και η πληροφόρηση των φορέων εφαρμογής και η ανθρώπινη εποπτεία. Παράλληλα, οι πολίτες θα έχουν το δικαίωμα να υποβάλουν καταγγελίες με αίτημα παροχής εξηγήσεων σχετικά με τυχόν αποφάσεις που βασίστηκαν σε συστήματα υψηλού κινδύνου και επηρεάζουν τα δικαιώματά τους.
Απαγορευμένες πρακτικές: Τα συστήματα ΤΝ που παρουσιάζουν απαράδεκτο κίνδυνο θα απαγορεύονται άνευ ετέρου στην ΕΕ.
Σε αυτά ανήκουν συστήματα συμπεριφορικής χειραγώγησης (manipulative AI), η κοινωνική βαθμολόγηση (social scoring systems), τα συστήματα αναγνώρισης συναισθημάτων σε εργασιακά και εκπαιδευτικά περιβάλλοντα, η τυχαία/αυθαίρετη συλλογή δεδομένων αναγνώρισης προσώπου από το διαδίκτυο ή μέσω κλειστού κυκλώματος τηλεόρασης (CCTV) και η επεξεργασία βιομετρικών στοιχείων για την εξαγωγή συμπερασμάτων σχετικά με τον σεξουαλικό προσανατολισμό ή τις θρησκευτικές πεποιθήσεις του ατόμου.
Η ρύθμιση των μοντέλων ΤΝ γενικής χρήσης (General Purpose AI-GPAI)
Η Πράξη για την ΤΝ ρυθμίζει επίσης τη χρήση μοντέλων ΤΝ γενικής χρήσης (GPAI). Πρόκειται για συστήματα που εκτελούν ένα ευρύ φάσμα διανοητικών εργασιών, αντανακλώντας τις γνωσιακές ικανότητες του ανθρώπου. Σε αντίθεση με τα συστήματα ΤΝ που έχουν σχεδιαστεί για να εκτελούν συγκεκριμένες εργασίες, τα μοντέλα GPAI προσπαθούν να μιμηθούν την ανθρώπινη νοημοσύνη σε διάφορες δραστηριότητες.
Χαρακτηριστικά παραδείγματα αποτελούν:
- Οι ψηφιακοί προσωπικοί βοηθοί (virtual personal assistants), όπως οι Siri, Google Assistant και Alexa, που κατανοούν τη φυσική γλώσσα, ερμηνεύουν φωνητικές εντολές και εκτελούν εργασίες όπως η θέση υπενθυμίσεων, η απάντηση σε ερωτήσεις και ο έλεγχος έξυπνων οικιακών συσκευών.
- Τα αυτόνομα οχήματα (autonomous vehicles), τα οποία χρησιμοποιούν συστήματα ΤΝ γενικής χρήσης για να πλοηγούνται χωρίς ανθρώπινη παρέμβαση. Εξοπλισμένα με αισθητήρες και κάμερες, τα εν λόγω οχήματα συλλέγουν δεδομένα για το περιβάλλουν τους, τα οποία η ΤΝ ερμηνεύει προκειμένουν να λάβει, σε πραγματικό χρόνο, αποφάσεις για την οδήγηση, το φρενάρισμα και την επιτάχυνση.
- Οι υπηρεσίες μετάφρασης, όπως είναι το Google Translate, εκπαιδεύονται σε γλωσσικά μοτίβα που βασίζονται σε εκτενείς σειρές δεδομένων, προκειμένου να κατανοήσουν και να μεταφράσουν κείμενα από/σε άλλες γλώσσες.
Σύμφωνα με την AI Act, όλοι οι πάροχοι μοντέλων GPAI πρέπει να παρέχουν τεχνική τεκμηρίωση, οδηγίες χρήσης, να συμμορφώνονται με την Οδηγία για τα Πνευματικά Δικαιώματα (Copyright Directive) και να δημοσιεύουν αναφορές και περιλήψεις σχετικά με το περιεχόμενο που χρησιμοποιείται για την εκπαίδευση των συστημάτων.
Οι πάροχοι μοντέλων GPAI με ελεύθερη και ανοικτή άδεια χρήσης ενέχουν υποχρέωση συμμόρφωσης μόνον με το πλαίσιο προστασίας των δικαιωμάτων πνευματικής ιδιοκτησίας, καθώς και δημοσίευσης της περίληψης των δεδομένων εκπαίδευσης, εκτός εάν παρουσιάζουν συστημικό κίνδυνο.
Όσοι εκ των παρόχων GPAI παρουσιάζουν συστημικό κίνδυνο θα πρέπει επίσης να διενεργούν αξιολογήσεις μοντέλων, αντιπαραθετικές δοκιμές, να παρακολουθούν και να αναφέρουν σοβαρά περιστατικά και να λαμβάνουν μέτρα για την κυβερνοασφάλεια.
Κυρώσεις
Σε ό,τι αφορά τις κυρώσεις για παραβάσεις των διατάξεών της, η Πράξη για την ΤΝ ακολουθεί μια προσέγγιση αντίστοιχη αυτής του GDPR, προβλέποντας πρόστιμα τα οποία καθορίζονται ως ποσοστό του παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης (κατά το προηγούμενο οικονομικό έτος) ή ως προκαθορισμένο ποσό, όποιο είναι υψηλότερο. Ο κανονισμός προβλέπει και ορισμένες εξαιρέσεις για τις μικρότερες εταιρείες, με περιορισμένες κυρώσεις για τις μικρομεσαίες και τις νεοφυείς επιχειρήσεις.
AI Act & GDPR
Η αλληλεπίδραση της ΤΝ με την ιδιωτικότητα παρουσιάζει ιδιαίτερο ενδιαφέρον, αν αναλογιστούμε ότι τα συστήματα τεχνητής νοημοσύνης ‘ζουν και αναπνέουν’ χάρη στους τεράστιους όγκους δεδομένων που τροφοδοτούν και εκπαιδεύουν έναν αλγόριθμο. Ταυτόχρονα, η διαφάνεια, ως θεμελιώδης αρχή του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ-GDPR), έρχεται αντιμέτωπη με το μαύρο κουτί της τεχνητής νοημοσύνης, το οποίο φαίνεται να κρατά ως ‘επτασφράγιστο μυστικό’ το μοντέλο και τον τρόπο λήψης των αποφάσεων.
Σε επίπεδο νομοθεσίας, η AI Act και ο GDPR παρουσιάζουν καταρχήν συνέργειες και αλληλοεπικαλύψεις, κυρίως ως προς την ρυθμιστική εστίαση, τους τύπους των δεδομένων που ρυθμίζονται, το λειτουργικό πλαίσιο και τις υποχρεώσεις συμμόρφωσης, όπως αναφέρει η κα Βιργινία Κόκιου, Διευθύντρια Γραφείου / νομική σύμβουλος Ειδικού Γραμματέα Μακροπρόθεσμου Σχεδιασμού στην Προεδρία της Κυβέρνησης.
Η ΑΙ Αct προβλέπει τα AI Regulatory Sandboxes, τα οποία δημιουργούν ένα ελεγχόμενο περιβάλλον για την ανάπτυξη, τη δοκιμή και την επικύρωση καινοτόμων συστημάτων ΤΝ
Πράγματι, αμφότερα τα νομοθετήματα επιδιώκουν την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών, υιοθετώντας μια προσέγγιση που προωθεί την αξιολόγηση του κινδύνου και την ασφάλεια, επί τη βάσει των αρχών της νομιμότητας, της διαφάνειας και της προστασίας εκ του σχεδιασμού (by design). Ο κος Σπύρος Τάσσης, Πρόεδρος Ελληνικής Ένωσης για την Προστασία Προσωπικών Δεδομένων και Ιδιωτικότητας, Partner, POTAMITISVEKRIS, εξηγεί ειδικότερα ότι ‘ο ΓΚΠΔ διασφαλίζει την προστασία της ιδιωτικής ζωής και των δεδομένων, απαιτώντας διαφάνεια, συγκατάθεση και ελαχιστοποίηση των δεδομένων και η AI Act ενισχύει, θεσπίζοντας ένα πλαίσιο που επικεντρώνεται στη διαχείριση κινδύνων, τη λογοδοσία και τη διαφάνεια. Αυτή η συνέργεια προωθεί την προστασία των ατόμων και τη διασφάλιση ότι τα συστήματα ΤΝ αναπτύσσονται και χρησιμοποιούνται σύμφωνα με αυστηρά πρότυπα προστασίας δεδομένων, προωθώντας έτσι την εμπιστοσύνη, την ασφάλεια και την ηθική χρήση της ΤΝ’.
Ο κος Θωμάς Ευαγγ. Στάικος, Δικηγόρος LL.M., σημειώνει οι βασικές αρχές των δυο Κανονισμών συγκλίνουν ειδικότερα στα πεδία της προστασίας δικαιωμάτων των ατόμων, της κανονιστικής συμμόρφωσης και των ευθυνών, της διαφάνειας και λογοδοσίας, της επιβολής κυρώσεων και της αξιολόγησης κινδύνων. Ο κος Στάικος υποστηρίζει ότι, πέραν των βασικών αρχών, υπάρχουν ομοιότητες και στο καθαρά κανονιστικό πλαίσιο των δυο ευρωπαϊκών νομοθετημάτων και συγκεκριμένα στους κανόνες επεξεργασίας προσωπικών δεδομένων, τη νομιμοποιητική βάση επεξεργασίας, τα δικαιώματα των υποκειμένων των δεδομένων, την ενημέρωση, την Εκτίμηση Αντικτύπου Προστασίας Δεδομένων (DPIA) και τη λήψη τεχνικών και οργανωτικών μέτρων ασφαλείας.
Από την άλλη πλευρά, φαίνεται ότι υπάρχουν αρκετά σημεία ‘σύγκρουσης’ και ερμηνευτικές ασάφειες μεταξύ των νομοθετημάτων, οι οποίες απορρέουν από το γεγονός ότι η αποτελεσματική λειτουργία των μοντέλων ΤΝ εξαρτάται από την επεξεργασία προσωπικών δεδομένων (συχνά σε μεγάλη κλίμακα), ενεργοποιώντας την εφαρμογή θεμελιωδών διατάξεων του GDPR. Όπως εξηγεί η κα Αφροδίτη Κουσουνή, Δικηγόρος, Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ), ‘οι ερμηνευτικές ασάφειες εντοπίζονται κυρίως κατά την ερμηνεία των διατάξεων που αφορούν την ελαχιστοποίηση των δεδομένων, τον περιορισμό του σκοπού και τη συγκατάθεση, καθώς οι αυστηρές απαιτήσεις του ΓΚΠΔ ενδέχεται να συγκρούονται με την ευελιξία της AI Act και συνεπώς να λειτουργούν ως τροχοπέδη για την ανάπτυξη της Τεχνητής Νοημοσύνης’.
Οι προβληματισμοί εντοπίζονται σε μεγάλο βαθμό στον ‘ακρογωνιαίο λίθο’ του GDPR, την αρχή της διαφάνειας, η οποία απαιτεί από τους υπεύθυνους επεξεργασίας να παρέχουν στα υποκείμενα αναλυτικές πληροφορίες σχετικά με την επεξεργασία των δεδομένων και τους σκοπούς αυτής, και μάλιστα η εν λόγω ενημέρωση πρέπει να πραγματοποιείται πριν την έναρξη της επεξεργασίας, σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση. Από την άλλη πλευρά, φαίνεται ότι η νομοθεσία για την ΤΝ επιβάλλει αυξημένες υποχρεώσεις διαφάνειας μόνον στις εφαρμογές υψηλού κινδύνου, δημιουργώντας ένα πολύ πιο ήπιο πλαίσιο για τα συστήματα περιορισμένου κινδύνου.
Ο κος Ευάγγελος Κατσάρας, LL.M., Junior Partner της ALG Manousakis Law Firm, αναφέρει ότι ‘η AI Act προβλέπει υποχρεώσεις και δυνατότητες όπως η επεξηγησιμότητα των συστημάτων ΑΙ και η επεξεργασία ευαίσθητων δεδομένων με σκοπό την αποφυγή προκαταλήψεων, οι οποίες συγκρούονται ευθέως με συγκεκριμένες αρχές και δικαιώματα του GDPR. Η δε πρόβλεψη προστατευμένου κανονιστικού περιβάλλοντος (regulatory sandbox) και η κατηγοριοποίηση των υποχρεώσεων αμιγώς βάσει του επιπέδου κινδύνου σύμφωνα με το AI Act έρχεται σε ευθεία σύγκρουση με την οριζόντια εφαρμογή των θεμελιωδών αρχών για την προστασία προσωπικών δεδομένων κατά το GDPR’.
Γεννάται, λοιπόν, το εύλογο ερώτημα ποιο από τα δυο ρυθμιστικά πλαίσια θα έχει προτεραιότητα, η δε καθοδήγηση από τις ρυθμιστικές αρχές θα είναι ουσιώδης για την αποσαφήνιση αυτών των ασαφειών και την ομαλή εφαρμογή αυτών των δύο νομικών πλαισίων, όπως αναφέρει η κα Κόκιου.
Η αλληλεπίδραση της ΤΝ με την ιδιωτικότητα παρουσιάζει ιδιαίτερο ενδιαφέρον, αν αναλογιστούμε ότι τα συστήματα τεχνητής νοημοσύνης ‘ζουν και αναπνέουν’ χάρη στους τεράστιους όγκους δεδομένων που τροφοδοτούν και εκπαιδεύουν έναν αλγόριθμο
Τα επόμενα βήματα
Η Πράξη για την ΤΝ θα δημοσιευθεί στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και μετά από 20 μέρες θα τεθεί σε εφαρμογή. Με την ημερομηνία εφαρμογής ως αφετηρία, θα ακολουθήσουν σύμφωνα με το άρθρο 113 τα εξής ορόσημα:
6 μήνες αργότερα: Τίθενται σε εφαρμογή το Κεφάλαιο Ι και Κεφάλαιο ΙΙ (Απαγορευμένες Πρακτικές στον Τομέα της ΤΝ).
12 μήνες αργότερα: Τίθενται σε εφαρμογή το Κεφάλαιο III – Τμήμα 4 (Κοινοποιούσες Αρχές και Κοινοποιημένοι Οργανισμοί), Κεφάλαιο V (Μοντέλα ΤΝ Γενικού Σκοπού), Κεφάλαιο VII (Διακυβέρνηση), Κεφάλαιο XII (Κυρώσεις) και το Άρθρο 78 (Εμπιστευτικότητα) θα εφαρμοσθεί, με την εξαίρεση του Άρθρου 101 (Πρόστιμα για παρόχους μοντέλων ΤΝ γενικού σκοπού).
24 μήνες αργότερα: Τίθεται σε εφαρμογή το σύνολο της Πράξης με εξαίρεση το άρθρο 6(1) και τις αντίστοιχες υποχρεώσεις του κανονισμού, το οποίο ενεργοποιείται 36 μήνες αργότερα.