EU AI Act

Aplicarea AI Act in Romania: ANCOM, ASF, ANSPDCP

Petru Constantin
--14 min lectura
#eu-ai-act#romania#ancom#anspdcp#conformitate#aplicare

Cine aplica AI Act in Romania: ANCOM, ASF, ANSPDCP - Ghid complet

Pe 12 martie 2026, Guvernul Romaniei a adoptat un memorandum care desemneaza autoritatile nationale responsabile de aplicarea Regulamentului european privind inteligenta artificiala (Regulamentul 2024/1689 - AI Act). Articolul 70 din regulament cerea fiecarui stat membru sa desemneze autoritati competente pana la 2 august 2025. Romania a intarziat sapte luni.

Dar desemnarile sunt acum oficiale. Daca operezi sisteme AI in Romania - fie ca le-ai dezvoltat, fie ca doar le folosesti - stii acum exact cine va verifica conformitatea.

Iata structura completa: cine ce face, ce competente are, si ce trebuie sa faci tu.

Memorandumul din 12 martie: ce s-a decis

Guvernul a aprobat cadrul institutional pentru aplicarea AI Act prin atribuirea de responsabilitati catre autoritati de reglementare existente. Nu s-a creat o agentie noua dedicata AI. Aceasta este abordarea pe care au ales-o majoritatea statelor membre UE - suprapunerea supravegherii AI peste regulatorii care inteleg deja sectoarele unde AI-ul este implementat.

Desemnarile principale:

  • ANCOM (Autoritatea Nationala pentru Administrare si Reglementare in Comunicatii) - autoritate de supraveghere a pietei si punct national de contact
  • ASF (Autoritatea de Supraveghere Financiara) si BNR (Banca Nationala a Romaniei) - supravegherea AI in sectorul financiar
  • ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal) - AI biometric, aplicarea legii, migratie, justitie si procese democratice
  • ADR (Autoritatea pentru Digitalizarea Romaniei) - autoritate de notificare pentru organismele de evaluare a conformitatii
  • ASRO / CT 401 - comitetul de standardizare pentru inteligenta artificiala

Sa le luam pe rand.

ANCOM: autoritatea principala

ANCOM este autoritatea de supraveghere a pietei pentru AI Act in Romania. Aceasta este desemnarea centrala. Daca esti furnizor sau utilizator de AI in Romania si sistemul tau nu intra sub un regulator sectorial, ANCOM este organismul tau principal de supraveghere.

Ce face ANCOM in cadrul AI Act

Supravegherea pietei. ANCOM va inspectaa sistemele AI plasate pe piata din Romania pentru a verifica conformitatea cu regulamentul. Asta inseamna verificarea documentatiei tehnice, a sistemelor de gestionare a riscurilor, a practicilor de guvernanta a datelor, a mecanismelor de supraveghere umana si a declaratiilor de conformitate.

Punct national de contact. ANCOM reprezinta Romania in coordonarea cu Biroul European pentru AI si cu celelalte state membre. Cand Comisia Europeana trebuie sa comunice cu Romania pe teme legate de AI Act, ANCOM este interfata.

Monitorizarea AI de uz general (GPAI). Desi Biroul European pentru AI are supraveghere primara asupra modelelor GPAI (cum ar fi modelele fundationale si modelele lingvistice mari), ANCOM va gestiona supravegherea pietei pentru sistemele GPAI implementate in Romania.

Reclamatii si raportare. ANCOM va primi reclamatii despre sisteme AI neconforme din partea cetatenilor, organizatiilor si altor autoritati. Daca cineva raporteaza ca sistemul tau AI incalca regulamentul, raportul ajunge la ANCOM.

Ce inseamna in practica

ANCOM reglementeaza deja telecomunicatiile si comunicatiile electronice. Stiu sa desfasoare inspectii, sa emita amenzi si sa impuna termene de conformitate. Nu pornesc de la zero. Dar reglementarea AI este un domeniu fundamental diferit de alocarea spectrului si licentele de telecomunicatii, asa ca asteapta-te la o perioada de adaptare - si asteapta-te ca ANCOM sa inceapa cu cele mai vizibile implementari AI cu profil ridicat.

ASF si BNR: AI-ul in sectorul financiar

Sectorul financiar primeste supraveghere AI dedicata, impartita intre doi regulatori:

ASF acopera sistemele AI utilizate in asigurari, piete de capital si pensii private. Daca implementezi un sistem AI pentru scoring de credit la o institutie financiara nebancara, subscriere de asigurari, tranzactionare algoritmica sau consultanta automatizata de investitii, ASF este regulatorul tau.

BNR acopera sistemele AI utilizate in sectorul bancar si servicii de plati. Scoring de credit la banci, sisteme de detectie a fraudelor, aprobare automata a creditelor - toate intra sub supravegherea BNR.

De ce sectorul financiar primeste tratament special

AI Act clasifica mai multe cazuri de utilizare financiara ca prezentand risc ridicat (Anexa III, punctul 5b): sistemele AI utilizate pentru evaluarea bonitatii si scoring-ul de credit al persoanelor fizice. Regulatorii financiari au deja expertiza profunda in gestionarea riscurilor, validarea modelelor si examinare prudentiala. Are sens sa lasi ASF si BNR sa gestioneze conformitatea AI in domeniile lor, in loc sa ceri ANCOM sa dezvolte expertiza in sectorul financiar de la zero.

Ce trebuie sa astepte institutiile financiare

ASF si BNR vor integra probabil cerintele AI Act in cadrele lor de supraveghere existente. Daca esti banca sau companie de asigurari, asteapta-te ca conformitatea AI sa devina parte din examinarile prudentiale obisnuite. Regulatorii vor emite probabil ghiduri sectoriale privind modul de indeplinire a cerintelor AI Act in contexte financiare - similar cu ce a inceput deja sa faca EBA (Autoritatea Bancara Europeana) la nivel UE.

ANSPDCP: AI biometric, politie si justitie

ANSPDCP - autoritatea romana de protectie a datelor si organismul de aplicare a GDPR - preia unele dintre cele mai sensibile categorii AI din regulament.

Domeniile ANSPDCP in cadrul AI Act

Identificare si categorizare biometrica. Sisteme de identificare biometrica la distanta in timp real si post-hoc, sisteme de recunoastere a emotiilor, categorizare biometrica. Acestea sunt unele dintre cele mai restrictionate aplicatii AI din regulament, mai multe dintre ele intrand direct in categoria "interzise."

AI in aplicarea legii. Sisteme AI utilizate de politie si autoritati judiciare pentru evaluarea riscurilor, poligraf, evaluarea probelor, predictia criminalitatii si profilare. Agentiile de aplicare a legii din Romania care implementeaza instrumente AI vor raspunde in fata ANSPDCP pentru conformitate.

Migratie si control la frontiera. Sisteme AI utilizate pentru cererile de azil, supravegherea frontierelor si evaluarea riscurilor de migratie.

Justitie si procese democratice. Sisteme AI utilizate in proceduri judiciare, cercetare si interpretare juridica, si AI utilizat in procese democratice, inclusiv aplicatii legate de alegeri.

De ce ANSPDCP e alegerea logica

ANSPDCP aplica deja GDPR, care se intersecteaza puternic cu prelucrarea datelor biometrice, datele din aplicarea legii si protectia drepturilor fundamentale. Autoritatea are experienta cu evaluarile de impact asupra protectiei datelor (DPIA), care impartasesc metodologie semnificativa cu evaluarile de impact asupra drepturilor fundamentale (FRIA) cerute de AI Act pentru sistemele cu risc ridicat. Citeste ghidul nostru despre evaluarile de impact asupra drepturilor fundamentale pentru detalii.

Suprapunerea dintre GDPR si AI Act este semnificativa in aceste domenii. Prelucrarea biometrica necesita deja garantiile din Articolul 9 GDPR. Prelucrarea datelor in aplicarea legii este reglementata de Directiva privind aplicarea legii (LED). ANSPDCP le aplica pe amandoua, asa ca adaugarea supravegherii AI Act este o extensie naturala.

ADR: autoritatea de notificare

Autoritatea pentru Digitalizarea Romaniei (ADR) are un rol specific si limitat: actioneaza ca autoritate de notificare pentru organismele de evaluare a conformitatii.

Ce inseamna asta

In cadrul AI Act, sistemele AI cu risc ridicat care nu sunt acoperite de legislatia UE de armonizare existenta trebuie sa treaca prin evaluarea conformitatii de catre organisme terte. ADR va fi responsabila de:

  • Evaluarea si desemnarea acestor organisme de evaluare a conformitatii ("organisme notificate")
  • Monitorizarea faptului ca organismele notificate isi mentin competenta si independenta
  • Notificarea Comisiei Europene cu privire la organismele desemnate

Daca esti o organizatie de evaluare a conformitatii si vrei sa devii organism notificat pentru AI Act in Romania, ADR este punctul tau de contact.

Pentru majoritatea furnizorilor si utilizatorilor de AI, rolul ADR este indirect. Vei interactiona cu organismele notificate direct, nu cu ADR.

ASRO si CT 401: standardizare

ASRO (Asociatia de Standardizare din Romania) gazduieste CT 401, comitetul tehnic care lucreaza la standardizarea AI. CT 401 reflecta activitatea ISO/IEC JTC 1/SC 42 (Inteligenta Artificiala) la nivel international si CEN-CENELEC JTC 21 la nivel european.

De ce conteaza standardizarea pentru conformitate

AI Act se bazeaza puternic pe standarde europene armonizate. Cand CEN-CENELEC va publica standarde armonizate pentru AI (asteptate pe parcursul 2026-2027), conformitatea cu aceste standarde va crea o "prezumtie de conformitate" cu regulamentul. Pe romaneste: daca urmezi standardul, esti prezumat conform cu cerintele legale.

CT 401 asigura participarea Romaniei la dezvoltarea acestor standarde si accesul organizatiilor romanesti la ele prin ASRO. Daca vrei sa urmaresti ce standarde vin si cum iti vor afecta obligatiile de conformitate, programul de lucru al CT 401 merita atentia ta.

La ce sa te astepti de la inspectii

AI Act ofera autoritatilor de supraveghere a pietei competente semnificative. Iata cum ar putea arata o inspectie ANCOM (sau a unui regulator sectorial):

Cereri de documente. Autoritatile pot solicita acces la documentatia ta tehnica, evaluarile de conformitate, inregistrarile sistemului de management al calitatii, documentatia datelor de antrenament si jurnalele de monitorizare post-piata. Daca nu le ai pregatite, ai o problema.

Acces la sistem. Inspectorii pot solicita acces la sistemul AI insusi, inclusiv la codul sursa "acolo unde este strict necesar" pentru a evalua conformitatea. Nu este un drept general asupra proprietatii tale intelectuale - este limitat la ce este necesar pentru aplicarea legii. Dar exista.

Testare. Autoritatile pot testa sisteme AI in conditii reale sau simulate pentru a verifica declaratiile de conformitate. Daca declaratia ta de conformitate spune ca sistemul tau are un anumit nivel de acuratete sau prag de bias, pot verifica asta.

Masuri corective. Sistemele neconforme pot fi scoase de pe piata, li se poate cere sa fie modificate sau li se poate restrictiona utilizarea. Autoritatile pot emite si avertismente publice.

Amenzi. AI Act stabileste amenzi maxime la 35 milioane EUR sau 7% din cifra de afaceri globala (pentru practici interzise), 15 milioane EUR sau 3% (pentru alte incalcari), si 7,5 milioane EUR sau 1% (pentru furnizarea de informatii incorecte autoritatilor). Legislatia nationala de implementare a Romaniei va stabili intervalele specifice de amenzi in cadrul acestor maxime UE.

Cum te pregatesti acum

Nu astepta sa inceapa primele inspectii. Prevederile privind practicile interzise sunt deja in vigoare (din 2 februarie 2025). Cerintele pentru risc ridicat se aplica din 2 august 2026. Iata ce ai de facut:

1. Inventariaza-ti sistemele AI

Fa un inventar al fiecarui sistem AI pe care il dezvolti, implementezi sau distribui. Clasifica fiecare sistem in categoriile de risc din AI Act. Daca nu esti sigur cum, incepe cu ghidul nostru de conformitate AI Act.

2. Verifica daca rulezi AI interzis

Revizuieste lista de practici interzise din Articolul 5 in raport cu implementarile tale AI actuale. Scoring social, AI manipulativ, anumite aplicatii biometrice - daca vreuna din acestea se potriveste cu ce rulezi, trebuie sa opresti imediat. Interdictia este deja activa.

3. Pregateste documentatia pentru sistemele cu risc ridicat

Pentru orice sistem clasificat ca risc ridicat, ai nevoie de: documentatie tehnica (Articolul 11), sistem de gestionare a riscurilor (Articolul 9), masuri de guvernanta a datelor (Articolul 10), prevederi de supraveghere umana (Articolul 14), documentatie privind acuratetea/robustetea/securitatea cibernetica (Articolul 15) si sistem de management al calitatii (Articolul 17).

4. Cunoaste-ti regulatorul

Pe baza desemnarilor de mai sus, identifica ce autoritate supravegheaza sistemele tale AI. Sector financiar? ASF sau BNR. Biometric sau aplicarea legii? ANSPDCP. Restul? ANCOM. Sa stii cui sa te astepti - si pe cine sa contactezi cu intrebari - reduce incertitudinea.

5. Incepe evaluarea de impact asupra drepturilor fundamentale

Daca implementezi AI cu risc ridicat, Articolul 27 cere o evaluare de impact asupra drepturilor fundamentale inainte de punerea in functiune a sistemului. Nu lasa asta pe ultimul moment. Ghidul nostru FRIA te ghideaza prin proces.

6. Cere ajutor de specialitate

Regulamentul are 144 de pagini de text juridic dens, cu standarde tehnice inca in curs de finalizare. Daca nu esti sigur de clasificarea sau starea ta de conformitate, discuta cu specialisti care inteleg atat cerintele legale, cat si pe cele tehnice.

Romania vs alte state membre UE

Abordarea Romaniei - distribuirea supravegherii AI catre regulatori sectoriali existenti - se aliniaza cu majoritatea statelor membre:

Franta a desemnat CNIL (protectia datelor) si DGCCRF (protectia consumatorilor/supravegherea pietei), cu regulatori sectoriali pentru AI financiar si sanitar.

Germania a distribuit autoritatea in structura federala, cu BaFin (supraveghere financiara) pentru AI financiar si autoritati de protectie a datelor la nivel de land.

Italia a creat AgID (Agentia pentru Italia Digitala) ca punct national de coordonare, cu AGCOM (comunicatii), Banca d'Italia, CONSOB (piete de capital) si Garante Privacy impartind supravegherea sectoriala.

Spania a infiintat AESIA (Agentia Spaniola de Supraveghere a AI) ca agentie noua dedicata - unul dintre putinele state membre care a creat un regulator AI de la zero.

Modelul Romaniei este cel mai apropiat de cel al Italiei: regulatorul de comunicatii/telecomunicatii ca lider, cu regulatorii sectoriali gestionand specializarile lor. Riscul este fragmentarea - cu mai multe autoritati implicate, coordonarea devine critica. Memorandumul adreseaza asta desemnand ANCOM ca punct de coordonare, dar cat de bine va functiona in practica ramane de vazut.

Ce mai lipseste

Memorandumul din 12 martie desemneaza autoritati, dar mai sunt necesare cateva piese:

Legislatie nationala de implementare. AI Act este un regulament UE (direct aplicabil), dar Romania are inca nevoie de legislatie nationala pentru a stabili intervale specifice de amenzi, proceduri de aplicare si mecanisme de coordonare inter-institutionala. Aceasta lege nu a fost inca publicata.

Personal si buget pentru autoritati. ANCOM, ANSPDCP si ASF au nevoie de personal tehnic capabil sa evalueze sisteme AI. Angajarea de experti AI este competitiva, iar salariile din sectorul public s-ar putea sa nu atraga talentul necesar. Cat de repede isi construiesc aceste autoritati capacitatea va determina cat de eficienta va fi aplicarea.

Ghiduri si FAQ. Niciuna dintre autoritatile desemnate nu a publicat ghiduri AI Act pentru organizatiile romanesti. Asteapta-te la asta in a doua jumatate a lui 2026, dar nu astepta publicarea lor ca sa incepi lucrul de conformitate.

Sandbox de reglementare. AI Act incurajeaza statele membre sa stabileasca sandbox-uri de reglementare AI. Romania nu a anuntat inca unul. Mai multe alte state membre (Spania, Franta, Olanda) au deja sandbox-uri operationale sau in planificare.

Intrebari frecvente

Cand va incepe ANCOM sa inspecteze sistemele AI?

Prevederile privind practicile interzise sunt deja aplicabile (din 2 februarie 2025), dar ANCOM isi construieste inca capacitatea de aplicare AI. Cerintele pentru sisteme cu risc ridicat devin aplicabile pe 2 august 2026. Asteapta-te ca ANCOM sa inceapa activitatile de supraveghere a pietei pentru AI cu risc ridicat la sfarsitul lui 2026 sau inceputul lui 2027, probabil incepand cu investigatii bazate pe reclamatii, nu inspectii proactive.

Trebuie sa inregistrez sistemul meu AI la vreo autoritate romana?

Sistemele AI cu risc ridicat trebuie inregistrate in baza de date UE (Articolul 49) inainte de a fi plasate pe piata. Aceasta este o inregistrare la nivel UE, nu una nationala. Te inregistrezi in baza de date gestionata de Comisia Europeana, nu la ANCOM sau alte autoritati romanesti direct. Cerinta de inregistrare se aplica din 2 august 2026.

Ce se intampla daca sistemul meu AI intra sub mai multe autoritati?

Asta se va intampla. O banca care utilizeaza identificare biometrica pentru onboarding-ul clientilor ar putea intra atat sub BNR (sector bancar), cat si sub ANSPDCP (biometric). Memorandumul desemneaza ANCOM ca punct de coordonare pentru rezolvarea suprapunerilor. In practica, regulatorul sectorial (BNR, ASF) va prelua probabil conducerea, cu ANSPDCP consultat pentru cerintele specifice biometrice.

Pot autoritatile romane sa acceseze codul sursa al sistemului meu AI?

Articolul 74(7) ofera autoritatilor de supraveghere a pietei dreptul de a accesa codul sursa "acolo unde este strict necesar" pentru a evalua conformitatea cu regulamentul. Aceasta nu este o masura de rutina - este rezervata cazurilor in care conformitatea nu poate fi verificata prin documentatie si testare. Autoritatile trebuie sa protejeze secretele comerciale si informatiile confidentiale. In practica, asteapta-te la revizuiri ale documentatiei si testarea sistemului cu mult inainte de orice cerere de cod sursa.

Romania are acum cadrul institutional pentru aplicarea AI Act. Autoritatile sunt desemnate. Termenele sunt fixe. Ce ramane este executia - atat din partea regulatorilor care isi construiesc capacitatea, cat si din partea organizatiilor care isi construiesc programele de conformitate.

Daca ai nevoie de ajutor pentru inventarierea sistemelor AI, evaluarea clasificarilor de risc sau pregatirea documentatiei inainte de inceperea aplicarii, contacteaza echipa noastra de conformitate AI Act. Lucram cu organizatii din Romania si UE pentru a transforma cerintele de reglementare in programe practice de conformitate.

Sistemul tau AI e conform cu EU AI Act? Evaluare gratuita de risc - afla in 2 minute →

Ai nevoie de ajutor cu conformitatea EU AI Act sau securitatea AI?

Programeaza o consultatie gratuita de 30 de minute. Fara obligatii.

Programeaza un Apel

Weekly AI Security & Automation Digest

Get the latest on AI Security, workflow automation, secure integrations, and custom platform development delivered weekly.

No spam. Unsubscribe anytime.

Related Articles

EU AI Act

AI Act pentru HR: ghid angajatori romani 2026

Peste 70% din companiile romanesti care folosesc AI in HR intra sub clasificarea high-risk. Filtre de CV-uri, interviuri chatbot, scoruri de performanta.

14 min read
EU AI Act

EU AI Act Art. 4: alfabetizarea AI e obligatorie

Articolul 4 din EU AI Act a facut trainingul de AI literacy obligatoriu pentru toate companiile din 2 februarie 2025. Majoritatea companiilor au ratat.

13 min read
Compliance

NIS2 si AI Act: Dubla Conformare pentru Companiile din Romania

Peste 15.000 de companii romanesti intra sub NIS2. Multe dintre ele au nevoie si de conformitate AI Act. Iata cum gestionezi ambele regulamente cu un.

16 min read
← Inapoi la Blog