Construiește o strategie de conformare GDPR + AI pentru firme

Construiește o strategie de conformare GDPR + AI pentru firme

În articolul anterior,  https://ionescu-novac.ro/ai-act-si-gdpr-cadrul-legal-pentru-aplicatiile-bazate-pe-inteligenta-artificiala-in-romania-2/  ,  am analizat cadrul normativ aplicabil aplicațiilor bazate pe inteligență artificială în România, din perspectiva Regulamentului general privind protecția datelor (GDPR) și a Regulamentului privind inteligența artificială (AI Act).

În continuare, rămâne întrebarea esențială pentru mediul de afaceri:

Cum se conformează concret o firmă, fără a bloca inovația și fără a transforma conformarea într-un exercițiu birocratic lipsit de substanță?

Răspunsul corect nu este „mai multă hârtie”, ci o strategie juridică integrată, care să trateze datele personale și inteligența artificială ca pe două fațete ale aceleiași realități: impactul tehnologiei asupra omului.

1. De ce nu mai este suficientă conformarea clasică GDPR

Mulți operatori economici pornesc de la o premisă greșită:
„Suntem conformi GDPR, deci suntem acoperiți și din perspectiva utilizării inteligenței artificiale.”

În realitate, AI Act nu dublează GDPR, ci îl completează.
Dacă GDPR reglementează ce date pot fi prelucrate și în ce condiții, AI Act se concentrează pe cum sunt utilizate sistemele care generează, analizează sau influențează decizii prin mecanisme automate sau semi-automate. Acest lucru este afirmat explicit de legiuitorul european, care subliniază că dreptul protecției datelor rămâne pe deplin aplicabil sistemelor de inteligență artificială.

GDPR reglementează legalitatea prelucrării datelor, în timp ce AI Act se concentrează pe riscurile generate de funcționarea sistemelor de inteligență artificială, în special atunci când acestea pot afecta drepturi fundamentale.

Astfel, o firmă poate fi perfect conformă GDPR și, totuși, neconformă AI Act, în special atunci când:

• utilizează sisteme de evaluare automată a persoanelor (recrutare, scoring, monitorizare);
• implementează chatbot-uri sau asistenți virtuali fără transparență;
• se bazează exclusiv pe decizii generate de algoritmi, fără control uman real.

2. Primul pas: identificarea utilizărilor reale ale inteligenței artificiale

Primul pas într-o strategie de conformare este inventarierea reală a proceselor.

GDPR impune deja obligația de evidență a activităților de prelucrare, potrivit art. 30, iar această evidență devine esențială și din perspectiva AI Act

Nu doar aplicațiile dezvoltate intern sunt relevante, ci și:

• soluțiile SaaS utilizate în HR, marketing, vânzări sau suport clienți;
• CRM-uri „inteligente”;
• instrumente de analiză comportamentală;
• platforme de recrutare sau evaluare a performanței.

În practică, multe companii folosesc deja funcționalități bazate pe AI fără a le percepe ca atare, ceea ce le expune unor riscuri juridice semnificative.

Utilizarea unor astfel de instrumente fără o analiză juridică prealabilă contravine principiului responsabilității operatorului, consacrat de art. 5 alin. (2) GDPR.

Conform art 30 din GDPR, Registrul activităților de prelucrare (RoPA) este documentul concret prin care faci inventarierea reală a proceselor. Tot restul (DPIA, politici AI, informări) derivă din el.

Acest registru trebuie să conțină, printre altele:

• scopurile prelucrării;
• categoriile de date;
• categoriile de persoane vizate;
• destinatarii;
• transferurile;
• măsurile de securitate.

Legea nr. 190/2018 confirmă rolul acestui registru ca instrument central de control și probă în relația cu ANSPDCP.

3. Clasificarea riscurilor: cheia abordării AI Act – Construiește o strategie de conformare GDPR + AI pentru firme

AI Act introduce o logică juridică nouă pentru mediul privat: abordarea bazată pe risc. Regulamentul pornește de la premisa că anumite sisteme „pot genera prejudicii grave drepturilor fundamentale” și impune obligații diferențiate în funcție de acest risc. Această abordare este convergentă cu legislația română de aplicare a GDPR, care permite restricții și garanții suplimentare atunci când prelucrarea prezintă riscuri ridicate pentru persoanele vizate (Legea nr. 190/2018, art. 3–6).

Pe scurt:

• anumite utilizări ale AI sunt interzise;
• altele sunt permise, dar considerate cu risc ridicat;
• unele impun obligații de transparență;
• restul sunt tolerate ca risc minim.

Pentru firme, această clasificare nu este un exercițiu teoretic, ci un instrument practic:

• determină obligațiile aplicabile;
• influențează nivelul de documentație necesar;
• devine probă esențială în cazul unui control sau litigiu.

4. DPIA – punctul de întâlnire dintre GDPR și AI Act

Evaluarea impactului asupra protecției datelor (DPIA) nu mai este doar un instrument GDPR, ci devine element central de conformare integrată.

GDPR impune realizarea unei DPIA atunci când o prelucrare este „susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice” (art. 35)

În contextul inteligenței artificiale, evaluarea impactului asupra protecției datelor (DPIA) capătă o nouă dimensiune

Atunci când un sistem AI:

• realizează profilări;
• influențează decizii economice, profesionale sau juridice;
• utilizează date sensibile sau volume mari de date,

DPIA trebuie să includă, pe lângă elementele clasice GDPR:

• riscuri de discriminare algoritmică;
• erori sistemice;
• lipsa explicabilității deciziilor;
• posibilitatea contestării rezultatelor.

În acest sens, DPIA devine instrumentul central de conformare integrată GDPR + AI Act.

5. Controlul uman: principiu juridic, nu slogan tehnologic

Un principiu comun ambelor reglementări este necesitatea intervenției umane.

GDPR limitează deciziile bazate exclusiv pe prelucrare automată care produc efecte juridice sau similare asupra persoanei vizate (art. 22).

AI Act consolidează această exigență, subliniind că sistemele de inteligență artificială trebuie să fie „centrate pe factorul uman” și să permită controlul și supravegherea umană efectivă

Aceeași idee este reluată la nivel internațional de Convenția-cadru a Consiliului Europei, care consacră respectarea demnității umane și a autonomiei individuale ca principii fundamentale în ciclul de viață al sistemelor AI

Tradus juridic, aceasta înseamnă că:

• deciziile cu impact asupra persoanelor nu pot fi lăsate exclusiv algoritmilor;
• trebuie să existe o intervenție umană reală, nu formală;
• responsabilitatea trebuie să fie clar atribuită.

Din perspectivă juridică, acest principiu este cât se poate de clasic: nu există decizie fără responsabil. Cu alte cuvinte, din perspectiva GDPR, responsabilitatea pentru deciziile care implică prelucrarea datelor cu caracter personal revine operatorului de date, indiferent dacă decizia este luată de o persoană sau este asistată de un sistem automatizat. Regulamentul nu recunoaște algoritmul ca subiect de drept și nu permite transferul răspunderii către tehnologie. În consecință, orice decizie care afectează persoana vizată trebuie să poată fi atribuită unei entități identificabile, capabile să explice, să justifice și să răspundă juridic pentru respectiva decizie.

Si în contextul utilizării sistemelor de inteligență artificială, responsabilitatea juridică nu aparține algoritmului, ci revine întotdeauna unei entități identificabile. Operatorul de date sau utilizatorul sistemului AI este responsabil pentru deciziile generate cu sprijinul acestuia, fiind obligat să asigure existența unui control uman efectiv. Din perspectivă juridică, nu poate exista decizie fără un responsabil clar determinat.

Această responsabilitate nu este una abstractă sau pur teoretică, ci este susținută de un mecanism clar de control și sancționare, care implică mai multe autorități și forme de răspundere. Din perspectiva GDPR, compania poate fi trasă la răspundere în principal de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), care are competența de a declanșa controale, de a solicita documentația relevantă (precum registrul activităților de prelucrare, evaluările de impact sau politicile interne), de a dispune măsuri corective și de a aplica amenzi administrative ce pot ajunge, în cazurile grave, până la 20 milioane euro sau 4% din cifra de afaceri globală. În practica națională, deși nivelul amenzilor este adesea sub plafonul maxim prevăzut de regulament, măsurile corective pot avea un impact mult mai sever asupra activității economice, mergând până la suspendarea unor prelucrări sau blocarea unor procese de business esențiale.

În paralel, nerespectarea GDPR poate genera și răspundere civilă, persoanele vizate având dreptul să solicite despăgubiri pentru prejudicii materiale sau morale suferite ca urmare a unor prelucrări nelegale, inclusiv în situații de decizii automatizate, discriminare, profilare excesivă sau lipsă de transparență. În funcție de domeniul de activitate, pot interveni și alte autorități de control – precum ITM, ANAF, ANPC, ASF – ceea ce transformă protecția datelor într-o problemă transversală de conformitate și guvernanță corporativă, nu doar într-o obligație izolată a departamentului juridic sau IT.

Aceeași logică a răspunderii se regăsește și în AI Act, care introduce un regim distinct de supraveghere și sancționare a utilizării sistemelor de inteligență artificială. Regulamentul prevede desemnarea unor autorități naționale competente și cooperarea acestora la nivel european, iar sancțiunile pot depăși chiar pragurile stabilite de GDPR, ajungând până la 35 milioane euro sau 7% din cifra de afaceri globală, în special în cazul utilizărilor de inteligență artificială considerate interzise sau cu risc ridicat. Dincolo de amenzi, autoritățile pot dispune interzicerea utilizării anumitor sisteme AI, retragerea lor de pe piață, obligarea la modificarea sau dezafectarea acestora, precum și excluderea operatorilor din proceduri de achiziții publice, cu un impact reputațional considerabil.

În practică, riscul major pentru companii îl reprezintă răspunderea cumulativă. O singură utilizare neconformă a unui sistem de inteligență artificială poate atrage simultan sancțiuni pentru încălcarea GDPR, sancțiuni în temeiul AI Act, acțiuni civile în despăgubiri și intervenția autorităților relevante. De exemplu, un sistem de recrutare automatizată care produce efecte discriminatorii poate genera, în același timp, probleme de conformare cu AI Act, încălcări ale regulilor privind profilarea în sensul GDPR, consecințe în planul dreptului muncii și pretenții civile din partea candidaților afectați.

6. Transparența față de persoane: mai mult decât o informare standard

Atât GDPR, cât și AI Act pun un accent major pe transparență. GDPR impune informarea clară și completă a persoanelor vizate (art. 12–14). AI Act și Convenția-cadru completează această obligație, solicitând ca persoanele să fie informate atunci când interacționează cu un sistem de inteligență artificială și să poată înțelege rolul acestuia în luarea deciziilor .

În contextul AI, această obligație se extinde:

• persoanele trebuie să știe că interacționează cu un sistem AI;
• trebuie să înțeleagă rolul acestuia în luarea deciziilor;
• trebuie să li se explice drepturile reale de care dispun.

Formulările generale sau ambigue nu mai sunt suficiente și pot deveni, paradoxal, o sursă de neconformare.

7. Contractele cu furnizorii de AI: zona cea mai vulnerabilă

Un risc frecvent ignorat de companii este relația contractuală cu furnizorii de tehnologie.

GDPR stabilește că operatorul rămâne responsabil pentru prelucrarea datelor, chiar dacă aceasta este realizată prin intermediul unui împuternicit (art. 28).

AI Act menține aceeași logică a responsabilității, impunând obligații clare atât furnizorilor, cât și utilizatorilor de sisteme AI

Contractele trebuie revizuite astfel încât să acopere:

• obligațiile GDPR;
• obligațiile rezultate din AI Act;
• cooperarea în caz de control;
• auditul și răspunderea juridică.

În lipsa acestor clauze, responsabilitatea va rămâne, de cele mai multe ori, la utilizatorul final.

8. Conformarea ca avantaj competitiv – Construiește o strategie de conformare GDPR + AI pentru firme

Departe de a fi doar o constrângere legală, conformarea GDPR + AI Act poate deveni un avantaj strategic:

• crește încrederea clienților și partenerilor;
• reduce riscul sancțiunilor și al litigiilor;
• oferă predictibilitate juridică într-un domeniu aflat în continuă evoluție.

Într-un mediu economic în care tehnologia avansează mai rapid decât legislația, prudența juridică devine o formă de inteligență aplicată.

Concluzie

Inteligența artificială nu mai este un subiect de viitor, ci o realitate prezentă în activitatea zilnică a firmelor. GDPR și AI Act nu trebuie privite ca obstacole, ci ca instrumente de echilibru între inovație și protecția drepturilor fundamentale.

Într-un context normativ în care utilizarea datelor și a inteligenței artificiale este supusă unui control juridic tot mai strict, conformarea nu mai poate fi tratată ca un exercițiu formal. O analiză juridică adecvată, adaptată activității concrete a fiecărei companii, permite nu doar reducerea riscurilor legale, ci și utilizarea responsabilă și predictibilă a tehnologiei. O evaluare timpurie a proceselor interne și a sistemelor utilizate poate face diferența între o strategie de conformare eficientă și o expunere inutilă la sancțiuni și litigii.

Avocat dreptul IT și al noilor tehnologii