AI, date personale si raspundere juridica: cum se intersecteaza AI Act cu GDPR in practica
Lansarea unei aplicatii bazate pe inteligenta artificiala reprezinta simultan un aspect tehnologic si unul juridic. In practica, orice solutie AI se integreaza intr-un cadru normativ complex, in care regulile europene se aplica direct, iar legislatia nationala completeaza si detaliaza anumite aspecte. Din aceasta perspectiva, discutia vizeaza corelarea mai multor reglementari aplicabile simultan, in functie de specificul produsului si al pietelor vizate.
De unde incepe analiza: sistem AI sau simpla aplicatie software?
Primul pas, adesea ignorat, este delimitarea corecta a produsului. Doar aplicatiile digitale care utilizeaza modele capabile sa invete, sa genereze continut sau sa ia decizii autonome ori semi-autonome intra sub incidenta Regulamentul (UE) 2024/1689. In aceste situatii, solutia este calificata drept „sistem de inteligenta artificiala” in sensul regulamentului, calificare cu consecinte juridice directe: odata incadrat ca sistem AI, produsul trebuie analizat prin prisma riscurilor pe care le genereaza.
Logica AI Act: reglementarea in functie de risc, nu de tehnologie
Spre deosebire de alte reglementari IT, AI Act iese din sfera stabilirii obligatiilor uniforme, operand o clasificare graduala. Regulamentul (UE) 2024/1689 introduce o abordare diferentiata, structurata pe niveluri de risc, in locul unui set uniform de obligatii aplicabile tuturor aplicatiilor. Astfel, fiecare sistem este evaluat in functie de impactul potential asupra drepturilor fundamentale.
In aceasta logica, anumite utilizari sunt calificate ca fiind incompatibile cu valorile protejate si sunt interzise, in special acele sisteme care afecteaza autonomia sau demnitatea persoanei. O categorie distincta o reprezinta sistemele cu risc ridicat, precum cele utilizate in recrutare, acordarea de credite sau furnizarea de servicii publice. Pentru acestea, cadrul legal impune cerinte extinse privind calitatea datelor de antrenare, documentatia tehnica, supravegherea umana si monitorizarea continua dupa introducerea pe piata.
In cazul sistemelor cu risc limitat sau minim, reglementarea se concentreaza pe asigurarea transparentei fata de utilizatori. De exemplu, interactiunea cu un chatbot trebuie comunicata in mod clar si explicit.
Structurarea pe niveluri de risc, determina integrarea cerintelor de conformitate inca din etapa de proiectare a produsului, transformand conformitatea intr-un proces continuu, corelat cu intregul ciclu de viata al aplicatiei.
GDPR ramane nucleul: orice AI care „vede” persoane implica date personale
Indiferent de clasificarea din AI Act, daca aplicatia prelucreaza date cu caracter personal, devine aplicabil Regulamentul (UE) 2016/679. In realitate, majoritatea aplicatiilor AI intra in aceasta categorie, chiar si indirect.
Specificul inteligentei artificiale ridica insa probleme suplimentare fata de prelucrarile obisnuite. In primul rand, apare dificultatea identificarii unui temei legal aplicabil, mai ales in cazul antrenarii modelelor pe volume mari de date. In al doilea rand, intervine problematica deciziilor automatizate si a profilarii, reglementata expres de art. 22 GDPR.
Daca sistemul produce efecte juridice sau afecteaza utilizatorul (de exemplu, scoruri de risc, evaluari automate), operatorul trebuie sa asigure garantii suplimentare: interventie umana, dreptul la explicatii si posibilitatea contestarii deciziei.
In plus, utilizarea datelor sensibile (biometrice, medicale etc.) este, ca regula, interzisa, cu exceptii limitate, ceea ce restrange mult modul in care pot fi dezvoltate anumite solutii AI.
Dincolo de AI Act si GDPR: un ecosistem de reglementari conexe
In practica, conformitatea depaseste limita celor doua instrumente. De exemplu, daca aplicatia functioneaza ca platforma digitala, devine aplicabil Regulamentul (UE) 2022/2065, care introduce obligatii privind moderarea continutului, transparenta algoritmilor si mecanismele de contestare.
Pe zona de securitate, cerintele sunt consolidate prin Directiva NIS2 si legislatia nationala de implementare, cum este Legea nr. 58/2023, reglementari care impun standarde ridicate de protectie a infrastructurii si obligatii de raportare a incidentelor.
Nu trebuie ignorat nici domeniul proprietatii intelectuale. Utilizarea datelor pentru antrenarea modelelor AI este influentata de Directiva (UE) 2019/790, care reglementeaza inclusiv exceptiile privind text and data mining. In practica, pentru utilizari comerciale, licentierea ramane regula.
La nivel national, aplicarea GDPR este detaliata prin Legea nr. 190/2018 privind masuri de punere in aplicare a Regulamentului (UE) 2016/679, iar cadrul pentru serviciile digitale este completat de Legea nr. 50/2024 privind stabilirea unor masuri pentru aplicarea Regulamentului (UE) 2022/2.065.
Transferuri internationale: riscul invizibil al aplicatiilor globale
Un aspect frecvent subestimat este circulatia datelor in afara Uniunii Europene. In contextul aplicatiilor AI, infrastructura tehnica (cloud, API-uri, modele externe) implica adesea transferuri internationale.
GDPR permite aceste transferuri doar in conditii stricte: existenta unei decizii de adecvare sau utilizarea unor mecanisme precum clauzele contractuale standard. Dupa jurisprudenta Schrems II, simpla semnare a acestor clauze nu mai este suficienta; este necesara o analiza concreta a nivelului de protectie din statul de destinatie.
Raspunderea juridica: de la teorie la risc financiar real
Pe masura ce sistemele AI influenteaza decizii, creste si riscul de raspundere, care poate imbraca mai multe forme: contractuala (fata de utilizatori), delictuala (pentru prejudicii cauzate) sau chiar contraventionala (amenzi pentru nerespectarea GDPR sau AI Act).
In lipsa unor reglementari nationale specifice pentru AI, dreptul comun - Codul civil si legislatia privind protectia consumatorului - ramane pe deplin aplicabil. In cazul aplicatiilor care afecteaza decizii economice sau sociale, evaluarea riscului juridic trebuie facuta din faza de proiectare.
Ce inseamna, concret, conformitatea pentru un dezvoltator din Romania
In practica, conformitatea impune redactarea unor politici, ceea ce presupune o abordare integrata: evaluarea riscului conform AI Act, documentarea fluxurilor de date si a temeiurilor legale conform GDPR, implementarea masurilor de securitate si adaptarea relatiei contractuale cu utilizatorii.
Un element important este documentatia: registrele de antrenare, testare si validare, analiza impactului asupra protectiei datelor (DPIA), precum si mecanismele de monitorizare post-lansare. In lipsa acestora, chiar si un produs tehnic solid poate deveni vulnerabil din punct de vedere juridic.
Concluzie
Pentru aplicatiile bazate pe inteligenta artificiala, cadrul juridic aplicabil in Romania este, in esenta, unul european. AI Act stabileste regulile specifice pentru sisteme AI, iar GDPR ramane pilonul central pentru protectia datelor. In jurul acestora graviteaza un set de reglementari conexe care nu pot fi ignorate.
In acest context, conformitatea devine o conditie majora de functionare. Abordata corect, reduce riscurile si se transforma intr-un avantaj competitiv, consolidand increderea utilizatorilor si a partenerilor intr-un domeniu aflat in continua evolutie.
Cum vi s-a parut articolul?
Newsletter PortalCodulFiscal.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalCodulFiscal.ro si primesti cadou Raportul special "Modificari fiscale 2026"!
Un produs marca 