AI Act pentru HR: Ce trebuie sa faca angajatorii romani pana in august 2026

Daca firma ta foloseste AI oriunde in recrutare sau managementul angajatilor, probabil operezi un sistem AI cu risc ridicat conform legislatiei UE. Nu "poate." Nu "depinde de interpretare." Regulamentul EU AI Act listeaza explicit domeniul ocuparii fortei de munca, managementului lucratorilor si accesului la activitati independente ca domeniu cu risc ridicat. Punct.

Nu e o problema teoretica. Angajatorii romani adopteaza instrumente HR bazate pe AI in ritm alert - platforme de screening CV-uri, interviuri prin chatbot, scoring automat de performanta, analiza video pentru evaluarea candidatilor. Majoritatea acestor instrumente, asa cum sunt folosite astazi, ar pica un audit de conformitate cu AI Act.

Termenul limita pentru conformarea sistemelor AI cu risc ridicat este 2 august 2026. Mai sunt mai putin de 18 luni. Iata ce cere legea concret si ce trebuie sa faci.

Care instrumente HR sunt clasificate ca risc ridicat?

Articolul 6 din EU AI Act, impreuna cu Anexa III punctul 4, defineste categoria de risc ridicat pentru domeniul ocuparii fortei de munca. Regulamentul acopera sistemele AI destinate a fi utilizate pentru:

Recrutare si selectie:

• Instrumente de screening si filtrare CV-uri (inclusiv sisteme bazate pe cuvinte-cheie si clasificare ML)
• Interviuri chatbot care noteaza sau clasifica candidatii
• Analiza interviurilor video (expresii faciale, ton, micro-expresii)
• Sourcing automat de candidati cu clasare sau filtrare
• Instrumente psihometrice sau de evaluare a personalitatii bazate pe AI

Managementul fortei de munca:

• Sisteme de scoring si evaluare a performantei
• Algoritmi de promovare si alocare a sarcinilor
• Instrumente de monitorizare care profileaza tiparele de comportament ale angajatilor
• Sisteme de distribuire a volumului de munca folosind modele predictive
• Sisteme automate de recomandare a concedierii sau masurilor disciplinare

Acces la activitati independente si contracte:

• Algoritmi de platforma care determina accesul la munca de tip gig
• Sisteme AI care evalueaza eligibilitatea sau clasarea freelancerilor

Cuvantul-cheie din regulament este "destinate a fi utilizate." Daca furnizorul l-a proiectat pentru decizii HR - sau daca tu folosesti un instrument AI de uz general specific pentru decizii HR - se califica. Dai CV-uri in ChatGPT si folosesti output-ul ca sa faci shortlist? Asta e o utilizare cu risc ridicat.

Problema celor 70% pentru angajatorii romani

Un studiu PwC Romania din 2025 a aratat ca peste 70% din companiile medii si mari romanesti au adoptat cel putin un instrument HR bazat pe AI. Cel mai frecvent: screening-ul de CV-uri (folosit de 45% din companiile chestionate), urmat de interviuri initiale prin chatbot (28%) si dashboarduri de analytics de performanta cu functii predictive (22%).

Majoritatea acestor implementari s-au facut fara nicio evaluare a riscului. Instrumentele au fost achizitionate ca produse SaaS, integrate de echipele HR si niciodata evaluate pentru bias, documentatie sau conformitate regulatorie.

Asa cum a subliniat JURIDICE.ro in analiza lor "AI in resurse umane," expunerea juridica este semnificativa. Dar aspectul juridic e doar jumatate din problema. Cerintele tehnice - testarea bias-ului, pipeline-uri de monitorizare, sisteme de documentare - sunt zona in care majoritatea companiilor se vor impotmoli.

Ce cere legea concret

Sistemele AI cu risc ridicat conform EU AI Act trebuie sa indeplineasca cerinte in sase domenii. Iata ce inseamna fiecare in termeni practici pentru HR.

1. Sistem de management al riscului (Articolul 9)

Ai nevoie de un proces documentat, viu, de management al riscului - nu o evaluare facuta o singura data. Pentru AI in HR, asta inseamna:

• Identifica riscurile: Ce se intampla cand screener-ul de CV-uri are un fals negativ? Ce grupuri demografice ar putea fi filtrate disproportionat? Ce se intampla daca scoring-ul de interviu chatbot penalizeaza vorbitorii non-nativi?
• Estimeaza si evalueaza: Cuantifica riscurile. Ruleaza instrumentul pe pool-uri diverse de candidati. Masoara ratele de impact disparat.
• Atenueaza: Implementeaza controale. Stabileste praguri minime pentru revizuirea umana. Creeaza cai de escaladare pentru cazuri la limita.
• Monitorizeaza: Asta e continuu. Nu un raport scris o data si bagat in sertar.

Sistemul de management al riscului trebuie actualizat pe tot parcursul ciclului de viata al sistemului AI. De fiecare data cand furnizorul livreaza un update de model, evaluarea ta de risc trebuie revizuita.

2. Guvernanta datelor (Articolul 10)

Seturile de date de antrenare, validare si testare trebuie sa indeplineasca criterii de calitate. Pentru instrumentele HR, asta inseamna:

• Relevanta: Datele de antrenare sunt reprezentative pentru piata muncii din Romania? Un model antrenat pe tipare de CV-uri americane s-ar putea sa nu functioneze pentru CV-uri romanesti.
• Completitudine: Setul de date acopera toate grupurile demografice prezente in pool-ul tau de candidati?
• Examinarea bias-ului: Ai testat pentru impact disparat pe caracteristici protejate - gen, varsta, etnie, dizabilitate?
• Documentatia datelor: Trebuie sa stii pe ce date a fost antrenat AI-ul. Daca furnizorul nu poate sa-ti spuna, e un semnal de alarma.

Majoritatea instrumentelor HR de tip SaaS folosesc date de antrenare proprietare. Conform AI Act, implementatorii (adica tu, angajatorul) trebuie sa asigure calitatea datelor. Daca furnizorul tau nu poate oferi documentatie de guvernanta a datelor, ai un gol de conformitate.

3. Documentatie tehnica (Articolul 11)

Aceasta e partea care surprinde majoritatea companiilor. Ai nevoie de documentatie tehnica cuprinzatoare care sa acopere:

Documentatie necesara:
  - Descriere generala a sistemului AI
  - Descriere detaliata a elementelor si procesului de dezvoltare
  - Mecanisme de monitorizare, functionare si control
  - Informatii privind managementul riscului
  - Descrierea modificarilor de-a lungul ciclului de viata
  - Metrici si benchmarkuri de performanta
  - Masuri de guvernanta a datelor luate
  - Scenarii previzibile de utilizare gresita si masuri preventive
  - Masuri de supraveghere umana
  - Durata de viata asteptata a sistemului si programul de mentenanta

Pentru un produs SaaS achizitionat, mare parte din aceasta documentatie ar trebui sa vina de la furnizor. Dar documentatia de implementare - cum il folosesti, ce decizii influenteaza, ce supraveghere ai - este integral responsabilitatea ta.

4. Pastrarea inregistrarilor si logare (Articolul 12)

Sistemele AI cu risc ridicat trebuie sa logeze automat evenimentele in timpul functionarii. Pentru instrumentele HR, logurile relevante includ:

• Fiecare decizie de screening al candidatilor (acceptat, respins, notat)
• Datele de intrare folosite pentru fiecare decizie
• Versiunea modelului activa la momentul deciziei
• Orice interventie umana asupra recomandarilor AI
• Metricile de performanta ale sistemului in timp

Aceste loguri trebuie pastrate o perioada adecvata scopului intentionat al sistemului AI. Pentru decizii de recrutare, aliniaza-te cu politicile de retentie GDPR (de obicei 6-12 luni pentru candidatii respinsi in Romania).

5. Transparenta si informarea implementatorilor (Articolul 13)

Sistemul AI trebuie proiectat sa fie suficient de transparent. In practica:

• Candidatii trebuie informati ca se foloseste AI in procesul de selectie
• Sistemul trebuie sa ofere explicatii pentru output-urile sale (de ce a fost un candidat clasat mai jos?)
• Implementatorii trebuie sa inteleaga capacitatile si limitarile sistemului
• Instructiunile de utilizare trebuie sa acopere scopul intentionat, nivelurile de performanta si riscurile cunoscute

Conform legislatiei muncii din Romania (Codul Muncii) si Articolului 22 GDPR, luarea deciziilor automatizate in domeniul muncii necesita deja transparenta. AI Act adauga un strat tehnic deasupra: sistemul insusi trebuie proiectat pentru interpretabilitate, nu doar declarat intr-o nota de confidentialitate.

6. Supraveghere umana (Articolul 14)

Aceasta este cea mai solicitanta cerinta din punct de vedere operational. Sistemele AI cu risc ridicat trebuie proiectate astfel incat oamenii sa poata:

• Intelege output-urile sistemului si sa le interpreteze corect
• Anula sau inversa decizia AI
• Intrerupe sistemul (cerinta "butonului de stop")
• Monitoriza sistemul in timpul functionarii

Pentru HR, asta inseamna ca nu poti avea un pipeline complet automatizat in care CV-urile intra si emailurile de respingere ies fara niciun om in circuit. Cineva calificat trebuie sa revizuiasca recomandarile AI inainte ca acestea sa devina decizii.

"Calificat" e cuvantul-cheie. Persoana care supravegheaza AI-ul trebuie sa inteleaga cum functioneaza, care sunt limitarile si cand sa intervina. A valida automat output-urile AI nu inseamna supraveghere umana - este bias de automatizare, si AI Act abordeaza explicit acest lucru in Considerentul 73.

Monitorizarea bias-ului: provocarea tehnica

Monitorizarea bias-ului in AI pentru HR nu este optionala. Articolul 10 cere examinarea bias-ului in datele de antrenare, iar Articolul 9 cere monitorizare continua a riscurilor. Impreuna, creeaza o obligatie continua de monitorizare a bias-ului.

Iata cum arata un framework practic de monitorizare a bias-ului pentru un sistem AI de HR:

Metrici de urmarit

Metrici de impact disparat:
  - Raportul ratei de selectie (regula 4/5 ca baza)
  - Distributia scorurilor pe grup demografic
  - Rate de fals pozitiv/negativ pe grup
  - Analiza intersectionala (ex. gen x varsta)
 
Metrici operationale:
  - Rata de interventie (cat de des schimba oamenii deciziile AI)
  - Rata de succes a contestatiilor
  - Tiparele de feedback ale candidatilor
  - Varianta timpului pana la decizie

Cadenta testarii

• Inainte de implementare: Audit complet de bias pe date istorice
• Lunar: Verificari automate de impact disparat pe deciziile live
• Trimestrial: Revizuire umana a cazurilor la limita si interventiilor
• Anual: Re-audit complet cu date demografice actualizate

Ce faci cand gasesti bias

Gasirea bias-ului nu e problema - orice sistem AI are un anumit grad de performanta diferentiata intre grupuri. Intrebarea e ce faci in legatura cu asta:

1. Documenteaza: Inregistreaza constatarea, metrica si grupul afectat
2. Evalueaza gravitatea: E peste pragul regulii 4/5? Afecteaza o caracteristica protejata?
3. Analiza cauza-radacina: E de la datele de antrenare, setul de trasaturi sau arhitectura modelului?
4. Atenueaza: Ajusteaza pragurile, reantreneaza cu date echilibrate, adauga revizuire umana pentru grupurile afectate
5. Verifica: Re-testeaza pentru a confirma ca atenuarea a functionat
6. Raporteaza: Include in documentatia de conformitate

Implementare practica: plan pe 12 luni

Cu august 2026 ca termen limita, iata un calendar realist pentru un angajator roman:

Lunile 1-3: Inventariere si evaluare (acum - iunie 2026)

• Cartografiaza fiecare instrument AI folosit in HR. Include platforme SaaS, scripturi interne si "functii AI" ascunse in HRIS-ul tau
• Clasifica fiecare instrument conform Anexei III punctul 4. Daca influenteaza decizii de angajare, e risc ridicat
• Auditeaza conformitatea furnizorilor: Solicita documentatie AI Act de la fiecare furnizor. Noteaza golurile
• Identifica victorii rapide: Unele instrumente pot fi reconfigurate pentru a reduce riscul (ex. folosirea AI pentru sourcing dar nu pentru screening)

Lunile 4-8: Documentatie si controale (iunie - octombrie 2026)

Stai - termenul limita e august 2026. De ce se extinde peste?

Pentru ca regulamentul cere ca sistemele "introduse pe piata sau puse in functiune" dupa 2 august 2026 sa fie conforme. Sistemele deja in uz au o perioada de tranzitie, dar implementarile noi trebuie sa fie conforme de la prima zi. Incepe acum ca sa nu te trezesti in ultima clipa.

• Construieste documentatia: Documente tehnice, inregistrari de management al riscului, fisiere de guvernanta a datelor
• Implementeaza logarea: Asigura-te ca fiecare decizie AI e logata cu intrari, iesiri si versiunea modelului
• Stabileste supravegherea umana: Defineste fluxuri de revizuire, instruieste personalul HR privind supravegherea AI
• Configureaza monitorizarea bias-ului: Pipeline-uri automate pentru urmarirea impactului disparat

Lunile 9-12: Testare si rafinare (octombrie 2026 - ianuarie 2027)

• Ruleaza audituri de bias: Testare completa pe toate caracteristicile protejate
• Testeaza supravegherea: Poate echipa ta HR sa anuleze efectiv deciziile AI? Inteleg output-urile?
• Raspuns la incidente: Ce se intampla cand sistemul produce un rezultat discriminatoriu? Exerseaza raspunsul
• Aliniere cu furnizorii: Asigura-te ca furnizorii sunt pe drumul cel bun cu propria lor conformitate

Problema furnizorilor

Majoritatea companiilor romanesti folosesc platforme SaaS internationale pentru AI in HR. Responsabilitatea conformarii se imparte intre furnizor (vendor) si implementator (angajator), dar se imparte inegal.

Responsabilitatea furnizorului:

• Evaluarea conformitatii
• Documentatia tehnica a sistemului AI
• Marcajul CE
• Sistemul de management al calitatii

Responsabilitatea ta (implementator):

• Utilizarea sistemului conform instructiunilor
• Supravegherea umana
• Calitatea datelor de intrare
• Monitorizarea si raportarea
• Informarea angajatilor si candidatilor
• Evaluarea impactului asupra protectiei datelor (suprapunere GDPR)

Adevarul dur: multi furnizori HR SaaS nu sunt pregatiti. Unii sunt companii americane care vad AI Act-ul ca o problema europeana de care se vor ocupa mai tarziu. Daca furnizorul tau nu poate oferi documentatie tehnica conform Articolului 11 pana la jumatatea lui 2026, ai nevoie de un plan de contingenta.

Acel plan de contingenta poate fi: trecerea la un furnizor conform, revenirea temporara la un proces fara AI sau construirea unui strat intern de conformitate in jurul instrumentului existent.

Sanctiuni

Structura sanctiunilor din AI Act este severa:

• Neconformitate cu cerintele de risc ridicat: Pana la 15 milioane EUR sau 3% din cifra de afaceri anuala globala
• Furnizarea de informatii incorecte autoritatilor: Pana la 7,5 milioane EUR sau 1% din cifra de afaceri globala

Pentru IMM-urile romanesti, regulamentul prevede sanctiuni proportionale. Dar "proportional" inseamna tot amenzi semnificative raportat la venituri.

Dincolo de amenzi, exista riscul de litigiu. Un candidat respins care descopera ca a fost filtrat de un sistem AI cu bias are temei pentru o plangere de discriminare conform legislatiei romanesti si europene. Cerintele de documentare ale AI Act-ului creeaza o evidenta documentara pe care avocatii reclamantilor o vor solicita.

Intrebari frecvente

Companiile mici trebuie sa se conformeze?

Da. AI Act-ul se aplica indiferent de dimensiunea companiei. Exista unele cerinte reduse de documentare pentru IMM-uri (Articolul 62), dar obligatiile de baza - managementul riscului, supravegherea umana, monitorizarea bias-ului - se aplica tuturor celor care folosesc sisteme AI cu risc ridicat.

Daca folosim doar ChatGPT ca sa filtram CV-uri?

Modelele AI de uz general (precum GPT-4 sau Claude) folosite pentru decizii HR intra sub clasificarea de risc ridicat. Faptul ca e un instrument general nu te scuteste - conteaza cazul de utilizare. Daca il folosesti sa iei sau sa influentezi decizii de angajare, e risc ridicat.

AI Act-ul se suprapune cu GDPR?

Da, semnificativ. Articolul 22 GDPR reglementeaza deja luarea deciziilor automatizate. AI Act-ul adauga cerinte tehnice deasupra. Trebuie sa te conformezi amandurora. Vestea buna: daca ai un framework solid de Articol 22 GDPR pentru HR, ai un avans la conformitatea cu AI Act.

Instrumentele AI folosite doar pentru programare sau sarcini administrative?

Instrumentele AI administrative (programatoare de intalniri, automatizarea gestionarii concediilor) nu sunt in general cu risc ridicat, decat daca influenteaza decizii de angajare. Un AI care programeaza ture e administrativ. Un AI care aloca ture pe baza scorurilor de performanta e cu risc ridicat.

Putem sa dezactivam functiile AI ca sa evitam conformarea?

Da, e o optiune valida. Daca costul conformarii depaseste beneficiul instrumentului AI, revenirea la procese manuale e legitima. Dar fii sincer daca chiar le dezactivezi - multe instrumente HR "fara AI" au functii ML care ruleaza in fundal.

Cine aplica legea in Romania?

Romania trebuie sa desemneze o autoritate nationala competenta pana la 2 august 2025. In martie 2026, desemnarea e in curs. Candidatii probabili sunt ANSPDCP (autoritatea de protectie a datelor) sau un organism nou dedicat. Indiferent cine aplica legea, obligatiile sunt deja definite in regulament.

Ce sa faci chiar acum

1. Auditeaza-ti stack-ul tehnologic HR pentru componente AI. Fiecare instrument SaaS, fiecare automatizare, fiecare functie "smart"
2. Solicita documentatie AI Act de la furnizorii tai. Raspunsul lor iti va spune mult despre gradul lor de pregatire
3. Evalueaza-ti expunerea la risc - ce instrumente influenteaza decizii reale de angajare?
4. Incepe sa construiesti documentatia - managementul riscului, guvernanta datelor, proceduri de supraveghere umana
5. Instruieste-ti echipa HR privind responsabilitatile de supraveghere AI

Daca ai nevoie de ajutor sa evaluezi care din instrumentele tale HR se califica ca risc ridicat si ce goluri de conformitate exista, incepe cu o evaluare a riscului. Suntem specializati pe partea tehnica a conformitatii cu AI Act - nu doar ce zice legea, ci ce trebuie sa faca efectiv sistemele tale.

Pentru o prezentare generala a cadrului EU AI Act, citeste ghidul nostru complet de conformitate. Pentru implementarea tehnica a sistemelor ML conforme, citeste ghidul nostru despre MLOps si conformitatea cu EU AI Act.