AI Act și GDPR: cadrul legal pentru aplicațiile bazate pe inteligență artificială în România

Ai creat o aplicație bazată pe inteligență artificială și urmează să o lansezi către utilizatori din întreaga lume. Este un pas extraordinar, dar în același timp ridică o întrebare delicată: ce legislație se aplică și unde trebuie să fii atent?

De multe ori, antreprenorii cred că e suficient să respecți „legea românească” și eventual câteva norme de bun-simț privind protecția datelor. În realitate, domeniul inteligenței artificiale este reglementat printr-un „puzzle” de norme suprapuse: unele vin direct de la Uniunea Europeană, altele din dreptul intern, iar unele țin de relația ta cu utilizatori aflați în alte state.

1. Cadrul european: AI Act, GDPR și alte reglementări aplicabile aplicațiilor AI

Primul și cel mai important este Regulamentul european privind inteligența artificială, cunoscut drept AI Act. Adoptat în 2024, acest regulament nu trebuie transpus în dreptul românesc, ci se aplică direct tuturor celor care creează sau folosesc sisteme de inteligență artificială în Uniunea Europeană, iar aplicarea este etapizată (intrare în vigoare și termene de aplicare pentru anumite prevederi).

Ce face acest regulament? El clasifică aplicațiile în funcție de riscul pe care îl pot avea pentru persoane și societate. Sunt interzise acele utilizări considerate periculoase pentru drepturile fundamentale (de exemplu, sisteme care manipulează comportamentul oamenilor într-un mod ascuns sau recunoașterea facială în masă). Apoi, există categoria sistemelor cu „risc ridicat” — aici intră aplicațiile de recrutare, cele folosite pentru acordarea de credite, în sănătate sau în justiție. Acestea sunt permise, dar dezvoltatorii trebuie să respecte reguli stricte de documentație, audit, supraveghere umană și transparență. Alte aplicații au doar obligații de informare: de pildă, dacă cineva vorbește cu un chatbot, trebuie să știe clar că nu discută cu un om.

Ce ai tu de făcut pentru produsul tău? Clasifică soluțiile tale (este produsul tău “high risk” conform anexelor?), realizează evaluări de risc, asigură documentație tehnică, registre de instruire și testare, transparență (inclusiv avertismente pentru utilizator când interacționează cu un sistem generativ/chatbot), mecanisme de remediere, evaluări de conformitate înaintea punerii pe piață (unde e cazul) și cooperare cu autoritățile naționale de supraveghere.

Pe lângă AI Act, nu putem ocoli Regulamentul general privind protecția datelor (GDPR), deja celebru. El se aplică ori de câte ori prelucrezi date cu caracter personal, fie că e vorba de numele și adresa de e-mail a utilizatorilor, fie că sistemul tău analizează vocea sau imaginea acestora. În cazul inteligenței artificiale, regulile devin și mai sensibile atunci când există decizii automatizate sau profilări (de exemplu, o aplicație care „scorizează” oamenii).

Un alt instrument european important este Digital Services Act (DSA), care privește platformele online. Dacă aplicația ta funcționează ca o platformă unde utilizatorii postează sau generează conținut, DSA îți impune obligații suplimentare de moderare, transparență și raportare.

Nu în ultimul rând, Uniunea Europeană a întărit și regulile privind securitatea cibernetică, prin noua directivă NIS2. România a început deja să o transpună, ceea ce înseamnă că operatorii de servicii digitale trebuie să respecte standarde mai ridicate și să raporteze rapid incidentele de securitate.

2. Legislația românească privind aplicațiile AI

România nu are, la acest moment, o lege proprie, separată, care să reglementeze inteligența artificială. Există însă câteva repere importante:

Strategia Națională pentru Inteligență Artificială 2024–2027, un document de politici publice, care trasează direcțiile de dezvoltare și instituțiile responsabile. Nu este lege în sens sancționator, dar arată unde se îndreaptă statul român.
Legea 190/2018, care completează GDPR și stabilește aplicarea acestuia la nivel național.
Legea nr. 58 din 14 martie 2023 privind securitatea și apărarea cibernetică a României, precum și pentru modificarea și completarea unor acte normative.

Normele de drept comun: Codul civil și Codul penal, care pot interveni în caz de prejudicii cauzate de utilizarea unui sistem IA.

Pe lângă acest cadru național, se aplică și legislația generală în materie de dreptul consumatorilor. Astfel, dacă oferi servicii către persoane fizice în Uniunea Europeană, trebuie să respecți regulile privind informarea precontractuală, clauzele abuzive, dreptul de retragere și garanțiile legale. În cazul sistemelor de IA care iau decizii cu impact asupra vieții utilizatorilor – cum ar fi aplicațiile de recrutare sau de creditare – apare și un risc suplimentar de răspundere civilă, ce trebuie evaluat și acoperit, fie prin asigurări, fie prin clauze contractuale adaptate.

Un alt domeniu sensibil este cel al proprietății intelectuale. Dacă folosești date, texte, imagini sau fișiere protejate pentru antrenarea unui model, este obligatoriu să deții drepturile necesare sau licențele corespunzătoare. În anumite situații se pot aplica excepțiile legale privind text and data mining, dar pentru scopuri comerciale licențierea rămâne regula. La nivel european există deja discuții privind responsabilitatea juridică a conținutului generat de IA, iar evaluarea riscului devine indispensabilă.

Nu trebuie ignorate nici regulile privind transferurile internaționale de date. Dacă datele personale colectate de aplicația ta ajung în afara Uniunii Europene, aceste transferuri sunt reglementate strict de GDPR. Poți folosi mecanisme precum deciziile de adecvare, clauzele contractuale standard sau, unde e cazul, derogările limitate. Situația trebuie verificată atent, mai ales după jurisprudența Schrems II, care obligă operatorii să se asigure că protecția este efectivă în statul de destinație.

AI Act și GDPR: cadrul legal pentru aplicațiile bazate pe inteligență artificială în România

3. Aplicații românești cu utilizatori internaționali: ce legislație se aplică

Faptul că ești stabilit în România nu înseamnă că scapi de regulile altor jurisdicții. Dacă vizezi activ utilizatori din SUA, de exemplu, trebuie să ții cont de legislațiile lor privind protecția consumatorilor și a datelor (California are deja reguli similare GDPR-ului). În Marea Britanie există un cadru propriu post-Brexit. În alte state, de la Canada la Brazilia, există inițiative legislative în plină dezvoltare.

Practic, trebuie să respecți regulile europene și românești ca bază, iar apoi să verifici punctual legislația țărilor unde intri activ pe piață.

Dacă aplicația este una clasică, fără componente de inteligență artificială, rămâi în zona „tradițională”: GDPR (dacă procesezi date personale), legislația de securitate, protecția consumatorului, drepturi de autor, și eventual regulile pentru platforme digitale.

Dacă însă aplicația folosește IA, atunci, pe lângă toate cele de mai sus, devine aplicabil și AI Act, cu obligațiile sale de clasificare, transparență și conformitate. În plus, impactul sub GDPR devine mai accentuat atunci când există decizii automate, iar riscul de răspundere civilă pentru prejudicii crește.

3.1 Ce rămâne valabil indiferent de tehnologie

GDPR: orice prelucrare de date cu caracter personal trebuie să respecte principiile (temei legal, minimizare, transparență, drepturile persoanei vizate, securitate). Obligațiile de protecţie a datelor se aplică indiferent de tehnologie.
Drepturi de autor / baze de date: respectarea licențelor, obținerea drepturilor de utilizare pentru conținut protejat. Directiva DSM stabilește reguli privind TDM (text and data mining), dar aplicabilitatea poate varia în funcție de scopuri și surse.
Securitate cibernetică și notificare incidente: obligaţii minime de protecție a infrastructurii și raportare (legislație națională).
Consumer protection, publicitate, concurență, răspundere civilă: reguli clasice aplicabile produselor/serviciilor digitale (incl. DSA dacă aplicaţia este o platformă).

3.2 Ce obligații suplimentare aduce AI Act

Regulamentul UE privind inteligența artificială (AI Act) – Domeniu de aplicare: stabileşte reguli armonizate la nivel UE pentru „sisteme de IA”, cu clasificare pe nivele de risc (interzise, de risc înalt, de risc limitat, de risc minim). Operatorii/dezvoltatorii trebuie să identifice categoria şi să aplice cerinţele corespunzătoare (evaluări de risc, managementul datelor, transparenţă, documentaţie tehnică, registre, monitorizare post‑punere pe piaţă). Pentru sistemele cu risc înalt se cer proceduri de conformitate și posibilă certificare.

De exemplu, un modul IA care decide automat acordul unui credit ar putea fi „risc înalt” și implică obligaţii stricte; un chatbot simplu poate rămâne în categoria „risc limitat/minim” dar tot are obligaţii de transparenţă.

GDPR — efecte specifice – Decizii individuale automate şi profilare (art. 22 GDPR): dacă IA ia decizii care produc efecte juridice sau similare, utilizatorii au anumite drepturi (inclusiv dreptul de a nu fi supus unei decizii exclusiv automate în anumite situații) și operatorul trebuie să asigure garanții (transparență, intervenție umană, remedii). Chiar când nu e decizie „automatizată” strictă, prelucrările masive pentru antrenare pot ridica probleme (consimţământ/temei legal, minimizare, drepturile persoanei).

Date sensibile folosite la antrenare: reguli stricte (Art. 9 GDPR) — necesită temeiuri legale excepţionale.

Drepturi de autor și antrenarea modelelor – Antrenarea modelelor pe conținut protejat poate ridica probleme de copyright; Directiva DSM oferă anumite excepții de TDM, dar condițiile variază (scopuri de cercetare vs. comerciale). Trebuie verificat sursa datelor şi licenţele.
Platforme online / moderarea conținutului — DSA – Dacă aplicația este o platformă (diseminare către public, marketplace etc.), DSA impune obligaţii de notificare‑acțiune, transparență algoritmică (anumite explicații privind moderare automată), mecanisme de contestare etc. Folosirea IA pentru recomandări/curation înseamnă obligaţii mai mari (raportări, audit, transparenţă pentru utilizatori).
Securitate, testare, responsabilitate și siguranța produsului – AI Act impune cerințe legate de robustețe, managementul riscului și monitorizare post‑market; în paralel, legislaţia privind siguranţa produselor și răspunderea (inclusiv răspunderea civilă delictuală/contractuală) pot fi activate dacă IA cauzează daune. Planuri de testare, documentație tehnică și asigurări trebuie luate în calcul.
Trasabilitate și transparență – Obligaţii de a furniza utilizatorilor informații relevante despre funcționarea IA (de exemplu: când interacționează cu un sistem generativ, sau când conținutul e generat de IA), cerinţe privind explicații, limitări cunoscute și procese de escaladare la un operator uman, în anumite cazuri.

4. Pași practici pentru conformitate și lansarea aplicației AI

Dincolo de teoria juridică, câțiva pași practici pot face diferența:

Clasifică produsul/serviciul în termeni AI Act (este „high‑risk”, „interzis”, „model de uz general”, sau „risc scăzut”/transparență?). Dacă nu e clar, tratează conservator și fă o evaluare formală a riscului.
GDPR: documentează temeiul legal pentru toate prelucrările de date personale (consimțământ, contract, interes legitim etc.), redactează/actualizează politica de confidențialitate, implementează DPIA pentru prelucrări cu risc (profilare decizională automată, scoruri, procesare biometrică etc.) și verifică contractele cu procesatorii.
Transferuri: analizează fluxurile de date către/în afara UE și stabilește mecanisme de transfer conforme (SCC sau adecvare). Efectuează analiza de risc post-transfer (Schrems‑type assessment).
Securitate: implementează măsuri tehnice și organizatorice conforme (criptare, control acces, logare, backup, testare penetrări) și proceduri de notificare a incidentelor.
Conformitate cu AI Act: păstrează documentația tehnică, registrele de date de antrenament, testele de performanță, planuri de monitorizare post‑market, garanții de transparență (p. ex. indicații că utilizatorii interacționează cu un sistem IA) — aplicabil dacă IA Act îți clasifica sistemul ca având cerințe.
Consumer law & Terms: verifică T&C și notices pentru consumatori UE (limbă, informații precontractuale, drept de retragere), precum și clauze de limitare a răspunderii (adaptate la legislația obligatoare).
Asigurare juridico‑financiară: evaluează polita de răspundere profesională / cyber insurance pentru riscuri specifice IA.
Monitorizare legislație: urmărește deciziile ANSPDCP, oficiile naționale pentru IA și ghidurile Comisiei Europene (AI Office) — regulile și interpretările practice vor evolua rapid.

AI Act și GDPR: cadrul legal pentru aplicațiile bazate pe inteligență artificială în România

5. AI Act și GDPR – reguli stricte, dar și oportunități pentru aplicațiile AI

În România, nu există deocamdată o lege națională specială pentru inteligența artificială. Cadrul real este dat de AI Act, care se aplică direct, împreună cu GDPR și legislația conexă privind securitatea, consumatorii și drepturile de autor.

Diferența esențială este că, atunci când aplicația ta folosește inteligență artificială, se adaugă un strat de obligații suplimentare, menite să asigure transparență, siguranță și protecția utilizatorilor.

În esență, inteligența artificială nu mai este doar o inovație tehnologică, ci și un domeniu juridic matur. Dacă cunoști cadrul normativ aplicabil, nu doar că eviți riscurile, ci îți și consolidezi credibilitatea pe piață.

Resurse utile:

Avocat dreptul IT și al noilor tehnologii – Ionescu & Novac

Acte ale Uniunii Europene

Regulamentul (UE) 2024/1689 al Parlamentului European și al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligența artificială și de modificare a unor acte (Artificial Intelligence Act). Jurnalul Oficial al UE, L 1689, 12.7.2024. URL: http://data.europa.eu/eli/reg/2024/1689/oj
Regulamentul (UE) 2022/2065 al Parlamentului European și al Consiliului din 19 octombrie 2022 privind o piață unică pentru serviciile digitale și de modificare a Directivei 2000/31/CE (Digital Services Act). JO L 277, 27.10.2022. URL (RO): https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=CELEX:32024R1689 URL (EN): https://eur-lex.europa.eu/eli/reg/2022/2065/oj/eng
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (GDPR). JO L 119, 4.5.2016. URL (RO): https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=CELEX:32024R1689 versiune consolidată pe Portal Legislativ: https://legislatie.just.ro/Public/DetaliiDocument/201834
Directiva (UE) 2019/790 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind dreptul de autor și drepturile conexe pe piața unică digitală și de modificare a Directivelor 96/9/CE și 2001/29/CE (incluzând excepțiile TDM). JO L 130, 17.5.2019. URL: https://eur-lex.europa.eu/eli/dir/2019/790

Legislație națională

Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR. Monitorul Oficial al României. Portal Legislativ: https://legislatie.just.ro/Public/DetaliiDocument/203151
Legea nr. 58/2023 privind securitatea și apărarea cibernetică a României, precum și pentru modificarea și completarea unor acte normative. Monitorul Oficial al României. Portal Legislativ: https://legislatie.just.ro/Public/DetaliiDocument/265677
Legea nr. 50/2024 privind unele măsuri pentru aplicarea Regulamentului (UE) 2022/2065 (DSA) și desemnarea coordonatorului serviciilor digitale (ANCOM). Monitorul Oficial al României. Portal Legislativ: https://legislatie.just.ro/public/DetaliiDocument/280106

Doctrine, articole și resurse explicative