Fă-ți AI-ul un cetățean model: ghidul pentru GDPR și AI Act

Article Ghid AI Act & GDPR: Cum să folosești AI responsabil în compania ta

Folosești în compania ta Chat GPT, Gemini sau alte soluții AI? Atunci merită să acorzi câteva minute acestui articol. Îți explicăm ce presupune folosirea acestor tehnologii din punct de vedere legal și cum te poți asigura că le utilizezi în mod conform cu reglementările – fără să-ți expui businessul la riscuri inutile.

Odată cu intrarea în vigoare a Regulamentului privind Inteligența Artificială (AI Act) la nivelul Uniunii Europene — primul cadru legislativ dedicat reglementării sistemelor de inteligență artificială și în contextul aplicării continue a Regulamentului General privind Protecția Datelor (GDPR), companiile care implementează soluții bazate pe inteligență artificială trebuie să facă mai mult decât să fie inovatoare — trebuie să fie responsabile, transparente și conforme.

De ce ar trebui să-ți pese?

Pentru că riști amenzi mari și riscuri operaționale dacă ignori noile reguli.

GDPR e în vigoare din 2018 și protejează datele personale. Amenzile pot ajunge până la 4% din cifra de afaceri globală.
AI Act – a intrat în vigoare pe 1 august 2024 și se aplică în etape. E gândit să funcționeze împreună cu GDPR.

Uite ce urmează, pas cu pas:

2 februarie 2025: A fost interzis AI-ul considerat periculos („inacceptabil”) și au fost impuse obligații de informare/educare AI pentru companii. Cu alte cuvinte, trebuie să informezi și să instruiești angajații cu privire la soluțiile AI pe care le folosești.
2 august 2025: Au intrat in vigoare reguli pentru modelele de AI „de uz general” (ex. GPT).
2 august 2026: Se aplică toate celelalte reguli din AI Act.
2 august 2027: Este termenul final pentru sistemele AI cu „risc ridicat” (ex. folosite în sănătate, HR, creditare etc.).

Clasificarea corectă conform AI Act

Trebuie să te intrebi simplu – “Ce face agentul meu”?

AI Act impune obligații diferite în funcție de riscurile pe care le generează sistemul AI. Trebuie să identifici dacă agentul AI:

Este un sistem cu risc ridicat (ex. folosit în recrutare, credit scoring, evaluarea angajaților, etc)
Este un sistem cu funcții generative (ex. AI care creează conținut textual, vizual, etc)
Este destinat interacțiunii cu publicul (ex. chatboți de servicii clienți, asistenți vocali, AI de vanzări sau marketing, etc)
Se califică drept "modele de bază" (foundation model, ex. ChatGpt, Gemini, Claude, etc.)

Identifică ce risc are AI-ul tău? Iată cum îl clasifică AI Act

Această clasificare nu este opțională. Dacă folosești AI în procese critice, trebuie să știi unde te încadrezi și să aplici măsurile corespunzătoare. În joc sunt atât reputația companiei, cât și conformitatea legală.

Nivel de risc	Exemple	Ce trebuie să faci
Fără risc / minim	Chatbot intern pentru întrebări frecvente	Anunță clar că este un AI și oferă posibilitatea de a ieși din conversație.
Risc limitat	Generator de imagini folosit în public sau marketing	Menționează vizibil că imaginea a fost creată cu AI și asigură respectarea copyright-ului.
Risc ridicat	Sisteme AI în HR, creditare, sănătate, siguranță rutieră, etc	Obligatoriu: marcaj CE, manual de utilizare, control uman activ, jurnalizarea incidentelor.
Risc inacceptabil	Scoring social, recunoaștere emoțională în educație, etc	Complet interzise în UE – nu pot fi dezvoltate sau puse pe piață.

Te rog, nu uita de protecția datelor personale - Fă-ți un “test de impact” înainte de lansare

Dacă agentul AI procesează date cu caracter personal, este obligatorie realizarea unei Evaluări de Impact privind Protecția Datelor (DPIA). Acest test este practic, o listă de întrebări: “Ce s-ar putea strica? Cum repar rapid?”

Pe scurt, ea trebuie să conțină următoarele:

Scopul prelucrării
Tipul de date prelucrate
Riscurile pentru drepturile persoanelor vizate
Măsurile tehnice și organizatorice de atenuare a riscurilor

Dar întrebă Responsabilul tău cu Protecția Datelor, știe ce este de făcut.

Spune-le utilizatorilor, pe înțelesul lor, că interacționează cu un AI

Transparența este esențială atunci când folosești AI în relația cu clienții sau partenerii. Iată ce înseamnă, în practică:

Afișează un mesaj clar și vizibil – de tipul „Această conversație este asistată de un agent AI”, astfel încât utilizatorii să știe că interacționează cu un sistem automatizat.
Oferă o pagină de informare („Află mai mult”) – în care explici ce tipuri de date sunt folosite, în ce scop și care sunt drepturile persoanei vizate.
Permite ștergerea ușoară a datelor – ideal, printr-un formular simplu, cu opțiuni rapide, de tip „Șterge datele mele cu un click”.

Acești pași nu doar că îți asigură conformitatea cu AI Act și GDPR, dar contribuie și la construirea încrederii în relația cu utilizatorii.

Adu-ți aminte - mai puțin e mai bine

GDPR impune ca datele personale să fie:

Colectate doar în scopuri determinate, explicite și legitime
Limitate la minimumul necesar (principiul data minimization)
Păstrate doar atât timp cât este necesar
Securizate prin măsuri tehnice adecvate

Ține o evidență clară despre ce face AI-ul tău, testează și auditează periodic

Conform AI Act, sistemele AI trebuie să fie verificate și monitorizate regulat pentru a funcționa corect și în siguranță. Iată ce presupune acest proces:

Validarea performanței modelului – teste periodice pentru a te asigura că AI-ul face ceea ce trebuie.
Documentația tehnică – păstrează detalii clare despre cum e construit sistemul, ce date folosește și cum ia decizii.
Registrul deciziilor automate – notează deciziile pe care AI-ul le ia singur.
Fișele de evaluare a riscurilor – verifică constant dacă există riscuri, cum ar fi prejudecăți sau erori.
Audituri interne sau externe – evaluări periodice pentru a te asigura că respecți normele legale și etice.
Jurnalizarea modificărilor – ține evidența schimbărilor făcute sistemului AI și a motivelor pentru care au fost făcute.

Aceste pași te ajută să menții AI-ul sub control și să eviți problemele neprevăzute și să le ai la îndemână în cazul unui control de la Autoritate.

Pune pe cineva responsabil și asigură o organizare clară

E important să știe fiecare cine ce are de făcut când vine vorba de AI în companie:

DPO-ul (Responsabilul cu Protecția Datelor) – este implicat pe tot parcursul folosirii AI-ului, să se asigure că datele sunt în siguranță.
Responsabilul cu respectarea regulilor AI – un rol nou, dar tot mai important, care verifică dacă totul merge conform legii.
Comitetul de etică AI – o echipă care ia decizii pentru a folosi AI-ul în mod responsabil și corect.

Pe lângă asta, e nevoie de o politică clară despre cum și când se folosește AI în companie, ca totul să fie bine organizat și în regulă.

Checklist rapid înainte de lansare