Conformare în utilizarea inteligenței artificiale

Un material practic și explicativ pentru orice afacere — indiferent de produsul sau serviciul oferit — care folosește, integrează sau dezvoltă inteligență artificială. Acoperă atât regulile de fond ale Regulamentului (UE) 2024/1689 (AI Act), cât și legislația conexă esențială, în special GDPR.

Actualizat Iunie 2026 Cadru legal Reg. (UE) 2024/1689 · GDPR · L. 190/2018 · CJUE · EDPB Destinatari Companii care utilizează, integrează sau dezvoltă AI
Amendă maximă · interdicții
35 mil. € / 7%
Amendă · alte obligații
15 mil. € / 3%
Raportare incident grav
≤ 15 zile
Jurnale risc ridicat
≥ 6 luni
Cum se citește acest material
Ghidul sintetizează surse oficiale (EUR-Lex, CURIA, EDPB, Comisia Europeană, Consiliul UE, Gov.ro, ANSPDCP) și acoperă atât regulile de fond (clasificarea riscurilor, obligații, interdicții), cât și cele procedurale (calendar, autorități, sancțiuni), precum și legislația conexă esențială, în special GDPR. Nu constituie consultanță juridică — cadrul AI Act evoluează, în special calendarul, aflat în curs de modificare prin „Digital Omnibus" (vezi capitolul 11).
Capitolul 1

De ce contează AI Act pentru afacerea ta

Prima lege orizontală din lume privind inteligența artificială — și de ce te privește chiar dacă „doar folosești" instrumente AI

Regulamentul (UE) 2024/1689 („AI Act") este primul cadru juridic cuprinzător din lume dedicat inteligenței artificiale. Este un regulament, deci se aplică direct în România, fără a fi nevoie de transpunere printr-o lege națională. A intrat în vigoare la 1 august 2024 și se aplică etapizat până în 2027 și 2028.

Trei idei pe care orice firmă trebuie să le internalizeze

  • Te privește chiar dacă nu dezvolți AI. Majoritatea firmelor sunt „deployeri" (utilizatori profesioniști de AI) și au obligații proprii, distincte de cele ale furnizorului. Un chatbot de suport, un instrument de screening CV-uri sau ChatGPT folosit la birou intră toate în domeniu.
  • Se aplică extrateritorial. Regulamentul prinde și firme din afara UE dacă rezultatul sistemului AI este folosit în Uniune (art. 2 din Reg. 2024/1689). Nu există prag de mărime — se aplică și IMM-urilor.
  • Amenzile sunt mari. Până la 35 mil. € sau 7% din cifra de afaceri mondială pentru practici interzise (art. 99). În paralel, GDPR se aplică deja integral oricărei prelucrări de date prin AI.
Logica de bază a regulamentului
AI Act nu reglementează „tehnologia" în sine, ci utilizarea ei. Aceeași tehnologie poate fi minimă, cu risc ridicat sau interzisă, în funcție de scopul și contextul de folosire. De aceea, primul pas pentru orice afacere este să își inventarieze sistemele AI și să le clasifice pe niveluri de risc (vezi capitolul 15).
Capitolul 2

Domeniu de aplicare și definiții cheie

Ce este un „sistem AI", cine este vizat și ce este exclus

Ce înseamnă „sistem de IA" (art. 3 alin. (1))

Un sistem de IA este „un sistem bazat pe mașini, conceput să funcționeze cu diferite niveluri de autonomie și care poate prezenta adaptabilitate după implementare și care, pentru obiective explicite sau implicite, deduce, din datele de intrare pe care le primește, modul de generare a unor rezultate precum predicții, conținut, recomandări sau decizii ce pot influența medii fizice sau virtuale". Definiția este aliniată cu cea a OCDE. Comisia a publicat orientări (februarie 2025) pentru delimitarea de software-ul clasic.

Pe cine vizează — domeniul teritorial (art. 2)

  • Furnizori care introduc pe piață sisteme AI în UE, indiferent dacă sunt stabiliți în UE sau într-o țară terță.
  • Deployeri (utilizatori profesioniști) stabiliți sau aflați în UE.
  • Furnizori și deployeri din afara UE atunci când rezultatul sistemului este folosit în Uniune — principalul „cârlig" extrateritorial.
  • Importatori, distribuitori, fabricanți de produse și reprezentanți autorizați.

Ce este exclus din domeniu

ExcludereConținut și limite
Militar, apărare, securitate naționalăExcluse integral atunci când sunt folosite exclusiv în aceste scopuri (art. 2 alin. (3)).
Cercetare și dezvoltare științificăSistemele dezvoltate doar pentru C&D științifică și activitatea de testare/dezvoltare înainte de introducerea pe piață (art. 2 alin. (6) și (8)). Testarea în condiții reale NU e exclusă.
Uz personal neprofesionalPersoane fizice care folosesc AI într-o activitate pur personală (art. 2 alin. (10)).
Software liber și open-sourceExclus, cu excepția cazului în care e cu risc ridicat, intră sub interdicțiile art. 5 sau sub transparența art. 50 (alin. (12)).
Dreptul protecției datelor rămâne integral aplicabil
Art. 2 alin. (7) confirmă expres că GDPR, Directiva ePrivacy și Directiva privind aplicarea legii continuă să se aplice oricărei prelucrări de date cu caracter personal realizate prin AI. AI Act se adaugă peste GDPR, nu îl înlocuiește.
Capitolul 3

Rolurile în lanțul valoric — cine ești tu?

Cea mai importantă distincție din tot regulamentul — majoritatea obligațiilor depind de rolul tău

RolDefiniție și obligații-cheie
Furnizor (provider)
(art. 3 pct. 3)		Cel care dezvoltă un sistem AI sau un model GPAI (ori îl pune să fie dezvoltat) și îl introduce pe piață sub numele/marca proprie, cu sau fără plată. Poartă cele mai grele obligații (documentație tehnică, evaluare a conformității, marcaj CE etc.).
Deployer (utilizator profesionist)
(art. 3 pct. 4)		Cel care folosește un sistem AI sub autoritatea sa, în context profesional. Aici se încadrează majoritatea firmelor. Are obligații proprii (supraveghere umană, informarea persoanelor, păstrarea jurnalelor, DPIA/FRIA).
Importator / distribuitor / reprezentant autorizatRoluri intermediare în lanțul de distribuție (art. 3 pct. 5–7). Termenul umbrelă pentru toate este „operator" (art. 3 pct. 8).
Capcana: un deployer poate „deveni" furnizor (art. 25)
Te transformi în furnizor, cu toate obligațiile aferente, dacă: (1) îți pui numele/marca pe un sistem cu risc ridicat, (2) aduci o modificare substanțială (ex. fine-tuning major al unui model) sau (3) schimbi scopul sistemului într-unul cu risc ridicat. Aceasta este capcana cea mai frecventă pentru firmele care personalizează instrumente AI existente.
Capitolul 4

Piramida celor patru niveluri de risc

Inima regulamentului: cu cât riscul este mai mare, cu atât obligațiile sunt mai stricte

NivelConținutRegim
1. Risc inacceptabil8 categorii de practici AI listate la art. 5Interzis · amendă până la 35 mil. € / 7%
2. Risc ridicatSisteme acoperite de art. 6 + Anexele I / III (HR, scoring, biometrie etc.)Obligații complete (art. 8–17, 26, 27) · amendă până la 15 mil. € / 3%
3. Risc limitatChatboți, conținut generat, deepfakes, recunoaștere emoții/biometrieObligații de transparență (art. 50) · amendă până la 15 mil. € / 3%
4. Risc minimMarea majoritate a aplicațiilor (filtre antispam, AI în jocuri, gestiunea stocurilor, productivitate)Fără obligații specifice — doar alfabetizare AI + GDPR

Marea majoritate a sistemelor AI folosite de firme sunt cu risc minim și nu au obligații specifice, în afară de alfabetizarea AI (art. 4) și respectarea GDPR. Capitolele următoare detaliază fiecare nivel.

Capitolul 5

Practici interzise (art. 5)

În vigoare de la 2 februarie 2025 · cea mai mare amendă: 35 mil. € sau 7% din cifra de afaceri mondială

Cele opt categorii de practici AI interzise în UE:

  1. Tehnici subliminale, manipulatoare sau înșelătoare. Sisteme care folosesc tehnici dincolo de conștiința persoanei pentru a-i distorsiona material comportamentul, afectându-i capacitatea de a lua o decizie informată și cauzând (sau fiind probabil să cauzeze) un prejudiciu semnificativ (art. 5 alin. (1) lit. a)). Relevant pentru „dark patterns" avansate.
  2. Exploatarea vulnerabilităților datorate vârstei, dizabilității sau situației socio-economice pentru a distorsiona comportamentul, cu risc de prejudiciu semnificativ (lit. b)).
  3. Scoring social. Evaluarea/clasificarea persoanelor pe baza comportamentului social sau a caracteristicilor personale, ducând la tratament defavorabil în contexte fără legătură cu datele originale ori disproporționat (lit. c)).
  4. Poliție predictivă individuală. Evaluarea riscului ca o persoană să comită o infracțiune bazată exclusiv pe profilare sau pe trăsături de personalitate (lit. d)). Excepție: AI care sprijină o evaluare umană deja bazată pe fapte obiective.
  5. Extragerea neselectivă de imagini faciale. Crearea/extinderea bazelor de recunoaștere facială prin scraping neselectiv de pe internet sau din camere CCTV (lit. e)).
  6. Recunoașterea emoțiilor la locul de muncă și în educație. Inferarea emoțiilor angajaților sau elevilor/studenților, interzisă, cu excepția scopurilor medicale sau de siguranță (lit. f)). Foarte relevant pentru orice angajator care evaluează „starea" personalului.
  7. Categorizare biometrică după atribute sensibile. Deducerea, din date biometrice, a rasei, opiniilor politice, apartenenței sindicale, convingerilor religioase/filozofice, vieții sexuale sau orientării sexuale (lit. g)).
  8. Identificare biometrică la distanță „în timp real" în spații publice pentru aplicarea legii — interzisă în principiu, cu excepții stricte și autorizare judiciară prealabilă (căutarea victimelor, prevenirea unei amenințări teroriste etc.) (lit. h)).
Noutate propusă (Digital Omnibus, 2026)
Se intenționează adăugarea unei noi interdicții privind generarea de imagini intime neconsensuale („nudifiers") și material de abuz sexual asupra copiilor, cu o perioadă tranzitorie până la 2 decembrie 2026 (Consiliul UE, comunicat 7 mai 2026). Vezi capitolul 11.
Capitolul 6

Sisteme cu risc ridicat (art. 6 + Anexele I și III)

Categoria cu cele mai multe obligații — aici se află AI-ul din HR, scoring de credit, asigurări, dispozitive medicale, infrastructură critică

Două „drumuri" spre clasificarea ca risc ridicat

  • Drumul 1 — produs reglementat (art. 6 alin. (1)): sistemul AI este o componentă de siguranță a unui produs (sau este el însuși produsul) acoperit de legislația de armonizare din Anexa I (mașini, jucării, dispozitive medicale, lifturi, autovehicule, aviație) și acel produs trece prin evaluare de conformitate de către un terț.
  • Drumul 2 — cazuri de utilizare din Anexa III (art. 6 alin. (2)): sistemul intră într-unul dintre cele 8 domenii enumerate în Anexa III. Aceasta este ruta relevantă pentru majoritatea afacerilor non-industriale.
Filtrul de la art. 6 alin. (3) — și excepția lui
Un sistem din Anexa III nu e cu risc ridicat dacă nu prezintă un risc semnificativ (ex. execută o sarcină procedurală îngustă sau pregătitoare). DAR orice sistem care realizează profilarea persoanelor fizice este întotdeauna cu risc ridicat.

Cele 8 domenii din Anexa III

DomeniuExemple tipice de business
1. BiometrieIdentificare biometrică la distanță (nu verificarea 1:1), categorizare biometrică, recunoașterea emoțiilor
2. Infrastructură criticăAI ca componentă de siguranță în trafic, apă, gaz, electricitate, infrastructură digitală
3. Educație și formareAdmitere, evaluarea rezultatelor, detectarea fraudei la examene
4. Ocuparea forței de muncă / HRRecrutare, filtrarea candidaturilor, evaluarea candidaților, decizii de promovare/concediere, monitorizarea performanței
5. Servicii esențialeEligibilitate la beneficii publice, scoring de credit / bonitate, evaluarea riscului și tarifarea în asigurări de viață și sănătate, triajul apelurilor de urgență
6. Aplicarea legiiEvaluarea riscului, evaluarea fiabilității probelor, profilare în anchete
7. Migrație, azil, control la frontierăExaminarea cererilor de viză/azil, evaluarea riscurilor de securitate
8. Justiție și procese democraticeAsistarea autorității judiciare, influențarea rezultatului alegerilor/referendumurilor

Obligațiile FURNIZORULUI de sistem cu risc ridicat (art. 8–17)

  • Sistem de management al riscului (art. 9) — proces continuu și documentat pe întreg ciclul de viață.
  • Guvernanța datelor (art. 10) — seturi de date relevante, reprezentative, fără erori, examinate pentru bias.
  • Documentație tehnică (art. 11 + Anexa IV) — întocmită înainte de introducerea pe piață, ținută la zi.
  • Înregistrarea evenimentelor / jurnalizare (art. 12) — logging automat pentru trasabilitate.
  • Transparență și instrucțiuni (art. 13) — instrucțiuni de utilizare clare către deployeri.
  • Supraveghere umană (art. 14) — proiectat pentru control uman efectiv, cu mecanism de „stop".
  • Acuratețe, robustețe, securitate cibernetică (art. 15) — rezistență la erori și la atacuri (data poisoning, adversarial).
  • Sistem de management al calității (art. 17) + evaluarea conformității (art. 43), declarația UE (art. 47), marcaj CE (art. 48), înregistrare în baza de date UE (art. 49).

Obligațiile DEPLOYERULUI de sistem cu risc ridicat (art. 26 și 27)

  • Folosirea conform instrucțiunilor furnizorului și asigurarea unei supravegheri umane de către persoane competente și instruite (alin. (1) și (2)).
  • Monitorizarea funcționării și suspendarea utilizării + raportarea incidentelor grave (alin. (5)).
  • Păstrarea jurnalelor cel puțin 6 luni (alin. (6)).
  • Informarea reprezentanților lucrătorilor și a angajaților înainte de a folosi un sistem cu risc ridicat la locul de muncă (alin. (7)).
  • Notificarea persoanelor fizice că sunt supuse unui sistem cu risc ridicat care le afectează deciziile (alin. (11)).
  • Efectuarea unui DPIA (art. 35 GDPR) folosind informațiile de la art. 13 (alin. (9)).
FRIA — evaluarea impactului asupra drepturilor fundamentale (art. 27)
Obligatorie înainte de utilizare pentru: (i) deployeri care sunt organisme publice sau entități private care prestează servicii publice, și (ii) toți deployerii de sisteme de scoring de credit (Anexa III 5(b)) și de tarifare a asigurărilor de viață/sănătate (5(c)). Aceasta prinde inclusiv băncile și asigurătorii privați. FRIA completează DPIA-ul GDPR, nu îl înlocuiește.
Capitolul 7

Obligații de transparență — risc limitat (art. 50)

Se aplică de la 2 august 2026 · relevant pentru chatboți, conținut generat de AI și deepfakes — adică pentru aproape orice firmă cu prezență digitală

CategorieConținutul obligației
Chatboți / interacțiune cu AIPersoanele trebuie informate că interacționează cu o AI, cel târziu la prima interacțiune, exceptând cazurile evidente (alin. (1)).
Marcarea conținutului generatRezultatele audio/imagine/video/text generate de AI trebuie marcate într-un format citibil automat și detectabil ca artificial (alin. (2)).
Recunoașterea emoțiilor / categorizare biometricăDeployerii trebuie să informeze persoanele expuse (alin. (3)).
DeepfakesConținutul deepfake trebuie dezvăluit ca generat/manipulat artificial, chiar fără intenția de a înșela (alin. (4)). Regim mai ușor pentru opere evident artistice/satirice.
Text de interes public
Textul generat de AI și publicat pentru a informa publicul asupra unor chestiuni de interes public trebuie dezvăluit ca atare, cu excepția cazului în care există revizuire și răspundere editorială umană.

Notă de calendar: obligația de transparență art. 50 rămâne la 2 august 2026 (nu este amânată prin Digital Omnibus), cu o perioadă de grație de patru luni, până la 2 decembrie 2026, doar pentru obligația de marcare (watermarking) a sistemelor existente.

Capitolul 8

AI de uz general — modele GPAI (art. 51–56)

Reguli aplicabile de la 2 august 2025 · te privesc mai ales ca furnizor de model, dar și ca firmă care folosește ChatGPT, Copilot, Claude sau Gemini

Regim pe două niveluri

Toate modelele GPAI — furnizorii trebuie să: (a) întocmească documentație tehnică (Anexa XI), (b) ofere informații furnizorilor din aval (Anexa XII), (c) adopte o politică de respectare a dreptului de autor, inclusiv rezerva de drepturi (opt-out) din Directiva (UE) 2019/790, (d) publice un rezumat suficient de detaliat al conținutului folosit la antrenare (art. 53).

Modele GPAI cu risc sistemic

Un model este prezumat cu „capacități de mare impact" (deci risc sistemic) când calculul cumulativ de antrenare depășește 10²⁵ FLOP (art. 51). Acești furnizori au obligații suplimentare (art. 55): evaluarea modelului și testare adversarială, atenuarea riscurilor sistemice, raportarea incidentelor grave, securitate cibernetică adecvată.

Ce înseamnă pentru o firmă care DOAR folosește un LLM
Dacă folosești ChatGPT/Copilot/Claude la birou, ești deployer, nu furnizor GPAI — obligațiile grele art. 53/55 revin vendorului (OpenAI, Microsoft, Anthropic, Google). Devii furnizor doar dacă: îți pui marca pe model, faci fine-tuning substanțial sau îl integrezi într-o utilizare cu risc ridicat. Vezi sectorul „AI generativă" în capitolul 14.

Conformitatea se demonstrează, până la publicarea standardelor armonizate, prin Codul de bune practici GPAI facilitat de Biroul AI (art. 56). Amenzile pentru furnizorii GPAI sunt impuse separat de Comisie, până la 15 mil. € sau 3% (art. 101).

Capitolul 9

Alfabetizarea în domeniul AI (art. 4)

În vigoare de la 2 februarie 2025 · obligație orizontală, se aplică tuturor furnizorilor și deployerilor, indiferent de nivelul de risc

Furnizorii și deployerii trebuie să ia măsuri pentru a asigura, în măsura posibilului, un nivel suficient de alfabetizare AI în rândul personalului și al altor persoane care operează sisteme AI în numele lor, ținând cont de cunoștințele, experiența și contextul de utilizare.

Câștig rapid de conformare
Practic, înseamnă instruirea angajaților care folosesc instrumente AI, calibrată pe rol și context. Este una dintre cele mai simple și ieftine măsuri de conformare — și este deja obligatorie. Documentează formarea (cine, când, ce conținut).
Capitolul 10

Interacțiunea cu GDPR — stratul juridic activ astăzi

AI Act se aplică etapizat · GDPR se aplică deja integral · pentru majoritatea afacerilor, aici e expunerea imediată

AI Act este „fără a aduce atingere" GDPR — cele două regimuri se aplică cumulativ (art. 2 alin. (7) AI Act). Întrucât aproape orice antrenare sau utilizare de AI implică date cu caracter personal, se declanșează simultan: temei legal (art. 6 GDPR), limitarea scopului (art. 5(1)(b)), minimizarea datelor (art. 5(1)(c)) și responsabilizarea (art. 5(2)).

Art. 22 GDPR — decizii automate individuale și profilare

Persoana vizată are dreptul de a nu fi supusă unei decizii bazate exclusiv pe prelucrare automată (inclusiv profilare) care produce efecte juridice sau o afectează în mod semnificativ. CJUE a calificat acest drept ca o interdicție de principiu, nu un drept ce trebuie invocat (C-634/21 SCHUFA). Excepțiile (alin. (2)): necesitate contractuală, autorizare legală sau consimțământ explicit, fiecare cu garanții (dreptul la intervenție umană, de a-și exprima punctul de vedere și de a contesta).

Jurisprudența CJUE relevantă

  • C-634/21 SCHUFA (7 dec. 2023) — stabilirea automată a unui scor de credit de către o agenție de bonitate este „decizie automată" în sensul art. 22 atunci când un terț (banca) se bazează puternic pe acel scor pentru a încheia/refuza un contract. Consecință: entitatea care produce scorul poate fi operatorul vizat, nu doar firma din față.
  • C-203/22 Dun & Bradstreet (27 feb. 2025) — dreptul la „informații utile despre logica implicată" (art. 15(1)(h)) impune o explicație concisă, inteligibilă a procedurii și criteriilor aplicate efectiv, nu dezvăluirea algoritmului. Secretul comercial nu justifică un refuz total. Tensiunea se rezolvă prin autoritate/instanță, nu unilateral.

DPIA (art. 35 GDPR) și relația cu FRIA

Un DPIA este obligatoriu pentru prelucrările cu risc ridicat, inclusiv evaluarea sistematică prin profilare pe care se bazează decizii cu efecte juridice. ANSPDCP a adoptat o listă de prelucrări care impun DPIA (Decizia nr. 174/2018). Pentru deployerii de AI cu risc ridicat, cea mai bună practică este un DPIA + FRIA integrat — un singur exercițiu, două rezultate.

EDPB · Avizul 28/2024 privind modelele AI și datele personale (17 dec. 2024)

  • Anonimitatea modelelor: modelele antrenate pe date personale nu pot fi prezumate anonime. Se evaluează caz cu caz, testând riscul de extragere a datelor.
  • Interesul legitim (art. 6(1)(f)): posibil pentru dezvoltare/implementare, dar supus testului în trei pași. Simpla îndeplinire a transparenței nu este suficientă pentru a face prelucrarea „așteptată în mod rezonabil".
  • Prelucrare ilegală la antrenare: poate afecta legalitatea implementării ulterioare. Autoritățile pot dispune chiar ștergerea setului de date sau a modelului.
Notă
AI Act adaugă, la art. 86, un drept la explicarea deciziei individuale pentru sistemele cu risc ridicat din Anexa III, complementar drepturilor GDPR.
Capitolul 11

Calendar de aplicare

Aplicare etapizată · atenție: calendarul este în curs de modificare prin „Digital Omnibus"

DataConținut
1 august 2024Intrarea în vigoare a regulamentului.
2 februarie 2025Practicile interzise (art. 5) și alfabetizarea AI (art. 4).
2 august 2025Obligațiile GPAI (art. 51–56), guvernanța (Biroul AI, Comitetul), regimul de sancțiuni, autoritățile de notificare.
2 august 2026Aplicare generală + obligațiile de transparență (art. 50). Cea mai mare parte a sistemelor cu risc ridicat din Anexa III ar fi trebuit să se aplice acum — dar Digital Omnibus propune amânarea (vezi mai jos).
2 august 2027Sisteme cu risc ridicat pe ruta Anexa I (produse reglementate, art. 6(1)) + modelele GPAI introduse înainte de aug. 2025 trebuie conformate.
„Digital Omnibus on AI" — amânarea obligațiilor de risc ridicat (acord politic, mai 2026)
La 6 și 7 mai 2026 s-a ajuns la un acord politic provizoriu (confirmat în Consiliu la 13 mai) pentru amânarea termenelor de risc ridicat, deoarece infrastructura de implementare (standarde armonizate, organisme notificate, baza de date UE) era în întârziere:
  • Anexa III (risc ridicat de sine stătător): 2 aug. 2026 → 2 decembrie 2027.
  • Anexa I (risc ridicat în produse): 2 aug. 2027 → 2 august 2028.
  • NU se amână: interdicțiile (art. 5), alfabetizarea (art. 4), GPAI și transparența (art. 50 rămâne 2 aug. 2026).
Important: aceste date sunt provizorii până la publicarea în Jurnalul Oficial. Până atunci, datele originale din art. 113 rămân cele obligatorii din punct de vedere juridic. Recomandare: folosește răgazul pentru a construi conformarea, nu pentru a aștepta.
Capitolul 12

Guvernanță, autorități și sancțiuni

Cine supraveghează și cât te costă neconformarea

Arhitectura instituțională la nivel UE

  • Biroul AI (AI Office) — în cadrul Comisiei. Supraveghează GPAI, coordonează Codurile de bune practici (art. 64).
  • Comitetul european pentru IA — reprezentanți ai statelor membre. Coordonează aplicarea (art. 65 și 66).
  • Forumul consultativ — industrie, IMM-uri, societate civilă, mediu academic (art. 67).
  • Grupul științific de experți independenți — 60 experți, risc sistemic GPAI, „alerte calificate" (art. 68).

La nivel național, fiecare stat desemnează cel puțin o autoritate de notificare și o autoritate de supraveghere a pieței, plus un punct unic de contact (art. 70). Conformitatea sistemelor cu risc ridicat se atestă prin evaluarea conformității (art. 43), declarația UE de conformitate (art. 47), marcaj CE (art. 48) și înregistrare în baza de date UE (art. 49 și 71).

Sancțiuni (art. 99)

Tip de încălcareAmendă maximă
Practici interzise (art. 5)35 mil. € sau 7% din cifra de afaceri mondială anuală (cea mai mare)
Alte obligații ale operatorilor (risc ridicat, transparență etc.)15 mil. € sau 3%
Furnizarea de informații incorecte/înșelătoare autorităților7,5 mil. € sau 1%

Pentru IMM-uri și startup-uri, se aplică plafonul mai mic dintre procent și sumă (proporționalitate, art. 99 alin. (6)). Furnizorii GPAI sunt sancționați separat de Comisie (art. 101). Raportarea incidentelor grave: în general fără întârziere și nu mai târziu de 15 zile (art. 73) — a nu se confunda cu termenul de 72 de ore din GDPR.

Capitolul 13

România — cadrul instituțional

Ce s-a decis prin Memorandumul Guvernului din 12 martie 2026 — și ce este încă în lucru

România a desemnat autoritățile AI Act printr-un Memorandum guvernamental adoptat la 12 martie 2026. Modelul ales este unul hibrid:

AutoritateRol
ANCOMAutoritatea națională de supraveghere a pieței + punct unic de contact (organism central de coordonare)
ADR (Autoritatea pentru Digitalizarea României)Autoritate de notificare (art. 28), evaluează și monitorizează organismele de evaluare a conformității. NU este autoritatea centrală de supraveghere.
ANSPDCPSupraveghere pentru AI cu risc ridicat în biometrie, aplicarea legii, migrație/azil, justiție și procese democratice, precum și arbitru pentru AI care implică date personale
ASF și BNRSupraveghere pentru AI cu risc ridicat folosit de instituțiile financiare reglementate
Autorități sectoriale (Anexa I)ANMDMR (dispozitive medicale), ANPC, ISCIR, Inspecția Muncii, Autoritatea Navală etc.
DNSCSprijin pe aspectele de securitate cibernetică și reziliență
Ce este încă în lucru (iunie 2026)
Memorandumul este un act de politică, nu legea de implementare. Legea națională care va defini procedurile de inspecție/sancționare ale ANCOM și canalul amenzilor administrative este așteptată, dar încă neadoptată. Legislația secundară urmează. Nu există încă o decizie sau orientare ANSPDCP specifică AI. Totuși, AI Act fiind direct aplicabil, obligă firmele românești indiferent de acest decalaj. Practica ANSPDCP relevantă pentru AI vizează deocamdată zone conexe (cookies pe un director de aplicații AI, avertismente pentru recunoaștere facială la angajatori, monitorizare GPS).

Notă privind Legea 190/2018 (de aplicare a GDPR în România): art. 3 permite prelucrarea datelor genetice/biometrice/de sănătate pentru decizii automate sau profilare doar cu consimțământul explicit sau în temei legal expres — mai strict decât GDPR. Art. 5 reglementează monitorizarea la locul de muncă (consultarea reprezentanților, retenție max. 30 de zile), relevant pentru orice instrument AI de monitorizare a angajaților.

Capitolul 14

Exemple practice pe sectoare economice

Aceeași tehnologie, clasificări diferite

HR / Recrutare (screening și clasificare CV-uri) — risc ridicat

Scenariu: firma folosește un sistem AI pentru a filtra CV-uri și a clasifica candidați. Clasificare: risc ridicat, Anexa III pct. 4. Contează cazul de utilizare, nu gradul de automatizare — clasificarea pentru revizuire umană tot intră. Roluri: angajatorul = deployer; furnizorul software-ului = furnizor. Pași: folosire conform instrucțiunilor, supraveghere umană competentă, informarea reprezentanților lucrătorilor și a candidaților (art. 26 alin. (7) și (11)), jurnale ≥ 6 luni, DPIA, atenție la art. 22 GDPR dacă respingerea e pur automată. Recunoașterea emoțiilor în recrutare = interzisă (art. 5).

Servicii financiare (scoring de credit și tarifare asigurări) — risc ridicat

Scoring de credit: risc ridicat (Anexa III 5(b)), excepție pentru AI de detectare a fraudei. FRIA obligatorie (art. 27). Suprapunere puternică cu art. 22 GDPR: per hotărârea SCHUFA, scorul poate fi el însuși decizia reglementată. Decizia pur automată trebuie să treacă de o poartă art. 22 (de regulă „necesar contractului"), cu garanții (intervenție umană, contestare).

Asigurări de viață și sănătate: risc ridicat (Anexa III 5(c)), fără excepție de fraudă. Doar AI pentru cerințe prudențiale e exclus. FRIA + supraveghere umană la subscriere. Datele de sănătate = art. 9 GDPR. Art. 10(5) AI Act permite prelucrare limitată pentru detectarea/corectarea bias-ului.

Marketing și publicitate (chatboți, recomandări, deepfakes) — transparență

Sisteme de recomandare / publicitate personalizată: în general risc minim/limitat sub AI Act. Constrângerile vin din DSA și GDPR/ePrivacy. Atenție la interdicția art. 5 privind tehnicile manipulatoare și „dark patterns".

Conținut publicitar generat: obligația de marcare art. 50(2) este a furnizorului de instrument — alege unelte conforme. Textul de interes public are nevoie de dezvăluire AI sau de răspundere editorială umană documentată.

Deepfakes / voci clonate în reclame: caz de maximă atenție — dezvăluire obligatorie că e conținut AI (art. 50(4)), chiar fără intenția de a înșela. Clonarea unei persoane reale adaugă date biometrice (GDPR) + drepturi de personalitate, consimțământ explicit documentat.

Chatbot de relații cu clienții — transparență

Risc limitat (art. 50(1)). Utilizatorul trebuie informat că vorbește cu o AI, clar și la prima interacțiune. Asigură contractual marcarea de la vendor. Oferă o cale către un operator uman. Notă GDPR + temei legal pentru datele conversației. Devine risc ridicat doar în cazuri rare (ex. decide accesul la servicii esențiale).

Sănătate (AI de diagnostic și dispozitive medicale) — risc ridicat

Risc ridicat pe ruta produsului (art. 6(1) + Anexa I) când software-ul este dispozitiv medical care necesită evaluare de către organism notificat sub MDR (2017/745) sau IVDR (2017/746), tipic MDR clasa IIa+ / IVDR clasa B+. Dispozitivele MDR clasa I (fără organism notificat) nu sunt risc ridicat decât dacă ating și Anexa III. Dubla conformare: MDR/IVDR + AI Act (dosar tehnic unificat, guvernanța datelor, transparență, supraveghere umană, dovezi clinice). Obligațiile Anexa I se aplică de la 2 aug. 2027 → amânate la 2 aug. 2028 prin Omnibus.

AI generativă / LLM la birou (ChatGPT, Copilot, Claude) — deployer + GPAI

Ești deployer, nu furnizor GPAI — obligațiile grele revin vendorului. Devii furnizor dacă îți pui marca, faci fine-tuning substanțial sau integrezi modelul într-o utilizare cu risc ridicat. Trei riscuri concrete:

  • Transparență (art. 50) pentru conținutul public generat.
  • Drept de autor / PI: dreptul UE e centrat pe autor uman — rezultatul pur generat de AI de regulă nu este protejabil. Adaugă autorat uman dacă vrei să deții proprietatea.
  • Confidențialitate/GDPR — cel mai mare risc zilnic: introducerea de date personale, secrete comerciale sau informații privilegiate în LLM-uri publice poate încălca GDPR. Mitigare: versiuni enterprise cu „no-training" + rezidență UE + DPA, plus o politică internă de utilizare AI aplicată (unelte aprobate, clasificarea datelor, revizuire umană).

Biometrie, control acces și recunoașterea emoțiilor — interzis / risc ridicat

Recunoașterea emoțiilor la locul de muncă/educație = INTERZISĂ (art. 5(1)(f)), exceptând scopuri medicale/de siguranță. Un AI care „citește" emoțiile angajaților e interzis. Al clienților e risc ridicat + notă art. 50(3).

Control acces biometric: distincție critică — verificarea 1:1 (confirmi că persoana e cine pretinde) e în afara Anexei III. Identificarea 1:mulți e risc ridicat (Anexa III 1(a)). Art. 9 GDPR se aplică oricum: șabloanele biometrice = date sensibile, iar consimțământul la locul de muncă e de regulă invalid (dezechilibru de putere). Oferă o alternativă non-biometrică.

Categorizare biometrică pentru a deduce atribute sensibile (rasă, religie, orientare) = interzisă (art. 5(1)(g)).

Instrumente generale de productivitate — risc minim

Chiar și uneltele cu risc minim declanșează: alfabetizarea AI (art. 4, deja în vigoare — instruire) și GDPR integral (temei legal, transparență, DPIA când e cazul, disciplină în clasificarea datelor de intrare).

Capitolul 15

Foaie de parcurs pentru conformare — pas cu pas

Aplicabilă oricărei afaceri · amânarea termenelor de risc ridicat este „o amânare, nu o desființare" — începe acum

  1. Inventariază — registrul AI: fiecare sistem (scop, surse de date, sferă decizională, persoane afectate, responsabil, vendor).Scoate la suprafață „shadow AI".
  2. Clasifică riscul — interzis / risc ridicat / limitat / minim (art. 5, art. 6 + Anexele).Poți folosi Compliance Checker-ul oficial al Comisiei Europene.
  3. Stabilește rolurile — furnizor / deployer / importator / distribuitor per sistem.Verifică „capcanele" art. 25 (marcă, modificare substanțială, reorientare).
  4. Alfabetizare / instruire — pe roluri, documentată, acum (art. 4).
  5. Guvernanță și politică internă AI — proprietate, poartă de aprobare pentru unelte noi, cale de escaladare a incidentelor.
  6. Due diligence pe vendori și contracte — obține instrucțiunile art. 13, verifică marcajul CE/înregistrarea.Transferă obligații, răspundere, drepturi de audit, notificarea incidentelor.
  7. DPIA / FRIA — un singur exercițiu integrat, două rezultate.FRIA completează DPIA (obligatorie pentru populația restrânsă de la art. 27).
  8. Note de transparențăart. 50 (chatboți, deepfakes, text public, emoții/biometrie) + art. 26(11) (persoane afectate) + art. 26(7) (angajați).
  9. Supraveghere umană — supraveghetori instruiți și împuterniciți (art. 26(2)).Evită „semnătura de formă" (automation bias).
  10. Documentație și jurnalizare — păstrează documentele furnizorului. Jurnale ≥ 6 luni (art. 26(6)).
  11. Monitorizare și raportarea incidentelor — monitorizează (art. 26(5)).Raportează incidentele grave furnizorului + autorității (art. 73, în general în max. 15 zile).
Capitolul 16

Greșeli frecvente de evitat

Capcanele care apar cel mai des în practica firmelor

GreșealăDe ce e o capcană
1. „Nu suntem în UE, deci nu ne privește"Regulamentul e extrateritorial. Nu există prag de mărime.
2. Confuzia furnizor ↔ deployerEroarea cu cele mai mari consecințe — fiindcă determină ce obligații ai.
3. „Vendorul e certificat, deci suntem acoperiți"Deployerul are obligații independente.
4. Ignorarea alfabetizării AIE deja obligatorie (art. 4) și ușor de bifat.
5. „Shadow AI"Unelte folosite de angajați fără aprobare, neinventariate.
6. Subevaluarea risculuiProfilarea face un sistem automat risc ridicat.
7. Due diligence „o singură dată"Conformarea e pe tot ciclul de viață.
8. Ignorarea suprapunerii cu GDPRDPIA + FRIA se cumulează. GDPR se aplică deja.
9. „Human-in-the-loop" de formăSupravegherea trebuie să fie reală și împuternicită.
10. „Open-source = conform"Excepția open-source nu acoperă risc ridicat / art. 5 / art. 50.
Capitolul 17

Întrebări frecvente

Răspunsuri sintetice la întrebările pe care le primim cel mai des

Se aplică AI Act dacă firma mea e din afara UE?

Da, dacă rezultatul sistemului AI este folosit în Uniune, sau dacă introduci sistemul pe piața UE (art. 2).

Folosim ChatGPT/Copilot la birou — trebuie să facem ceva?

Ești deployer. Obligațiile minime: alfabetizare AI (instruire), o politică internă de utilizare, respectarea GDPR pentru datele introduse și transparență (art. 50) pentru conținutul public generat. Nu devii furnizor GPAI decât dacă faci fine-tuning substanțial sau îți pui marca.

Este obligatorie instruirea angajaților?

Da — art. 4 (alfabetizare AI), în vigoare din 2 februarie 2025, pentru orice furnizor sau deployer, indiferent de nivelul de risc.

Trebuie să spunem clienților că folosim AI?

Da, în cazurile art. 50: chatboți, conținut generat, deepfakes, recunoașterea emoțiilor. Pentru sistemele cu risc ridicat, trebuie notificate și persoanele afectate (art. 26(11)).

Care e diferența dintre AI Act și GDPR?

Se aplică în paralel. AI Act = legislație de tip siguranța produsului. GDPR = protecția datelor. Pentru AI cu risc ridicat care prelucrează date personale, ai nevoie de DPIA + FRIA. Raportarea incidentelor: AI Act = 15 zile (art. 73); GDPR = 72 de ore.

Ce se întâmplă dacă nu mă conformez?

Amenzi până la 35 mil. € / 7% (practici interzise), 15 mil. € / 3% (alte obligații), 7,5 mil. € / 1% (informații incorecte). IMM-urile beneficiază de plafonul mai mic (art. 99).

Termenele de risc ridicat chiar s-au amânat?

Există un acord politic provizoriu (mai 2026) care amână Anexa III la 2 dec. 2027 și Anexa I la 2 aug. 2028 — dar nu este încă publicat în Jurnalul Oficial. Până atunci, datele originale rămân obligatorii. Transparența (art. 50) și interdicțiile NU se amână.

Capitolul 18

Surse oficiale și de încredere

Textul obligatoriu rămâne cel din Jurnalul Oficial (EUR-Lex)

Legislație și texte oficiale UE

  • Regulamentul (UE) 2024/1689 (AI Act), text integral, română — EUR-Lex.
  • Regulamentul (UE) 2016/679 (GDPR) — EUR-Lex.
  • Biroul European pentru IA — Comisia Europeană (digital-strategy.ec.europa.eu).
  • Codul de bune practici GPAI — Comisia Europeană.
  • AI Act Service Desk (FAQ oficial) — Comisia Europeană.
  • FAQ alfabetizare AI (art. 4) — Comisia Europeană.
  • Consiliul UE — comunicat 7 mai 2026 (acord „Digital Omnibus").
  • Consiliul UE — pagina oficială AI Act.

Jurisprudență CJUE și orientări EDPB

  • C-634/21 SCHUFA (Scoring), 7.12.2023 — CURIA / EUR-Lex.
  • C-203/22 Dun & Bradstreet, 27.2.2025 — CURIA / EUR-Lex.
  • C-26/22 & C-64/22 SCHUFA (Discharge), 7.12.2023.
  • C-582/14 Breyer, 19.10.2016.
  • C-184/20 OT v Vyriausioji, 1.8.2022.
  • EDPB — Avizul 28/2024 privind modelele AI (17.12.2024).

România

  • Guvernul României — comunicat 12 martie 2026 (desemnarea autorităților AI Act), gov.ro.
  • ANSPDCP — registrul sancțiunilor GDPR (dataprotection.ro).
  • Legea 190/2018 (aplicare GDPR în România) — text oficial ANSPDCP.
Caracter informativ
Acest ghid sintetizează surse oficiale și nu constituie consultanță juridică. Cadrul AI Act evoluează — în special calendarul, aflat în curs de modificare prin „Digital Omnibus". Pentru o evaluare aplicată afacerii dumneavoastră, vă rugăm să ne contactați.