EU AI Act vs GDPR: Ce trebuie sa stie DPO-ul tau

DPO-ul tau deja cunoaste jumatate din ce urmeaza

Daca organizatia ta are un DPO functional, nu pornesti de la zero cu EU AI Act. GDPR a construit un muschi de conformare pe care majoritatea companiilor nu-l aveau inainte de 2018: activitati de prelucrare documentate, evaluari de impact, relatii cu autoritatile de supraveghere, fluxuri de lucru pentru drepturile persoanelor vizate. AI Act construieste pe aceasta fundatie.

Dar "construieste pe" nu inseamna "este acelasi lucru". AI Act introduce concepte cu care DPO-ul tau nu a lucrat niciodata: clasificarea riscurilor pentru sistemele AI, evaluari de conformitate, documentatie tehnica conform Anexei IV si o cerinta de supraveghere umana care depaseste cu mult ceea ce solicita Articolul 22 din GDPR.

Acest articol compara cele doua regulamente una langa alta. Unde se suprapun, unde difera si unde DPO-ul tau trebuie sa-si extinda competentele sau sa apeleze la specialisti.

Domeniu de aplicare: Ce acopera fiecare regulament

GDPR se aplica prelucrarii datelor cu caracter personal. Daca sistemul tau atinge date personale in orice mod - le colecteaza, le stocheaza, le analizeaza, ia decizii pe baza lor - GDPR se aplica. Nu conteaza daca AI este implicat sau nu.

EU AI Act se aplica sistemelor AI indiferent daca prelucreaza date personale. Un algoritm de mentenanta predictiva care analizeaza date de vibratie de la echipamente industriale intra sub incidenta AI Act chiar daca nu sunt implicate date personale. Un sistem AI care evalueaza performanta angajatilor intra sub ambele regulamente.

Impactul practic: registrul actual de activitati de prelucrare al DPO-ului tau (Articolul 30 GDPR) acopera doar componenta de date. AI Act necesita un inventar separat de sisteme AI care mapeaza fiecare sistem dupa categoria de risc - inacceptabil, ridicat, limitat sau minim. Multe sisteme AI cu risc ridicat din Anexa III prelucreaza si date personale, ceea ce inseamna obligatii duale.

Ce trebuie sa faca DPO-ul tau: Construieste un inventar de sisteme AI care sa faca referinta incrucisata cu ROPA-ul existent. Fiecare sistem AI care prelucreaza date personale trebuie sa apara in ambele registre. Fiecare sistem AI care intra sub Anexa III necesita documentatie suplimentara, indiferent de implicarea datelor personale.

Abordarea riscului: DPIA vs Evaluarea Impactului asupra Drepturilor Fundamentale

DPO-ul tau ruleaza DPIA-uri. Cunoaste Articolul 35 GDPR: cand prelucrarea este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, evaluezi impactul inainte de a incepe prelucrarea.

AI Act introduce Evaluarea Impactului asupra Drepturilor Fundamentale (FRIA) conform Articolului 27. Se aplica utilizatorilor de sisteme AI cu risc ridicat. FRIA este mai larga decat o DPIA. In timp ce DPIA se concentreaza pe riscurile de confidentialitate si protectie a datelor, FRIA evalueaza riscurile pentru toate drepturile fundamentale din Carta UE: nediscriminare (Articolul 21), demnitate umana (Articolul 1), libertatea de exprimare (Articolul 11), dreptul la o cale de atac eficienta (Articolul 47) si altele.

O comparatie practica:

DPIA (Articolul 35 GDPR):

• Declansata de prelucrarea datelor personale cu risc ridicat
• Se concentreaza pe riscurile de confidentialitate pentru persoanele vizate
• Evalueaza necesitatea si proportionalitatea prelucrarii
• Necesita consultarea DPO-ului (Articolul 35(2))
• Trebuie efectuata inainte de inceperea prelucrarii
• Revizuita cand prelucrarea se modifica

FRIA (Articolul 27 AI Act):

• Declansata de implementarea unui sistem AI cu risc ridicat (Anexa III)
• Acopera toate drepturile fundamentale din Carta UE, nu doar confidentialitatea
• Evalueaza impactul asupra grupurilor afectate, inclusiv efectele indirecte
• Necesita contributii de la mai multi actori, nu doar de la DPO
• Trebuie finalizata inainte de prima implementare
• Trebuie actualizata cand apar modificari semnificative

Vestea buna: Articolul 27(4) permite explicit combinarea FRIA cu o DPIA existenta. Daca deja rulezi o DPIA temeinica pe un sistem AI care prelucreaza date personale, aproximativ 30-40% din munca FRIA este deja facuta - in special sectiunile de risc legate de protectia datelor si evaluarea impactului asupra persoanelor.

Vestea proasta: celelalte 60-70% sunt teritoriu nou. Evaluarea riscurilor pentru nediscriminare, acces la justitie sau participare democratica nu este ceva pentru care majoritatea DPO-urilor au fost pregatiti. Aici un consultant juridic cu expertiza in AI sau un partener extern de conformitate adauga valoare.

Pentru o analiza mai detaliata, citeste ghidul nostru despre conformitatea duala GDPR si AI Act.

Cerinte de documentare: Filosofie similara, rezultate diferite

Ambele regulamente sunt intensive in documentatie. DPO-ul tau este obisnuit sa mentina Registre de Activitati de Prelucrare (Articolul 30), rapoarte DPIA, registre de incalcari de date, evidente de consimtamant si jurnale de cereri ale persoanelor vizate. AI Act solicita propriul set de documentatie.

Documentatia GDPR pe care DPO-ul tau deja o mentine:

• Registre de Activitati de Prelucrare (Articolul 30)
• Evaluari de Impact asupra Protectiei Datelor (Articolul 35)
• Evidente de notificare a incalcarilor de date (Articolele 33-34)
• Jurnale de cereri ale persoanelor vizate (Articolele 15-22)
• Acorduri cu imputernicitii si documentatie de transfer (Articolele 28, 46)
• Evaluari de interes legitim (Articolul 6(1)(f))

Documentatia AI Act care este noua:

• Documentatie tehnica conform Anexei IV (arhitectura sistemului, provenienta datelor de antrenament, metrici de performanta, decizii de proiectare, limitari cunoscute)
• Rezultatele evaluarii de conformitate (pentru sistemele cu risc ridicat)
• Documentatia sistemului de management al calitatii (Articolul 17)
• Inregistrarea sistemului AI in baza de date UE (Articolul 71)
• Planul de monitorizare post-piata (Articolul 72)
• Jurnalele de inregistrare automata (Articolul 19) - pastrate minimum 6 luni
• Documentatia cu instructiuni de utilizare pentru utilizatorii din aval (Articolul 13)

Documentatia tehnica din Anexa IV este cea mai mare cerinta noua. Solicita detalii care se afla in departamentul de inginerie, nu in biroul DPO-ului: descrieri ale arhitecturii modelului, caracteristicile datelor de antrenament si validare, decizii de proiectare si motivatiile lor, resurse computationale utilizate, metrici de performanta pe subgrupuri de populatie. DPO-ul tau nu poate produce asta singur. Are nevoie de o linie directa catre echipa de inginerie AI.

Ce trebuie sa faca DPO-ul tau: Stabileste un flux de documentare in care DPO-ul detine stratul GDPR, iar echipa de conformitate AI (sau persoana desemnata) detine stratul AI Act, cu puncte clare de transfer. Nu duplica efortul. Un sistem unificat de gestionare a documentelor care mapeaza cerintele ambelor regulamente pe acelasi sistem AI economiseste timp semnificativ.

Supraveghere: Rolul DPO vs Supravegherea umana conform Articolului 14

Sub GDPR, rolul DPO-ului este definit in Articolele 37-39: informeaza si consiliaza, monitorizeaza conformitatea, coopereaza cu autoritatea de supraveghere, serveste ca punct de contact. DPO-ul nu ia decizii de afaceri. El consiliaza.

Articolul 14 din AI Act introduce "supravegherea umana" ca cerinta de proiectare si implementare pentru sistemele cu risc ridicat. Acest lucru este fundamental diferit de rolul DPO-ului. Supravegherea umana conform Articolului 14 inseamna:

• O persoana fizica poate intelege capacitatile si limitarile sistemului AI
• Acea persoana poate interpreta corect rezultatele si poate decide cand sa le ignore
• Poate interveni sau opri sistemul (cerinta "butonului de oprire")
• Este constienta de prejudecata de automatizare si poate rezista acesteia
• Pentru sistemele de identificare biometrica, cel putin doua persoane trebuie sa verifice rezultatele inainte de a actiona

Acesta nu este un rol de monitorizare. Este un rol operational. Persoana care exercita supravegherea umana trebuie sa inteleaga sistemul AI din punct de vedere tehnic, nu doar juridic. Are nevoie de instruire privind modul in care functioneaza sistemul, care sunt modurile de esec si cand sa ignore rezultatele sale.

Poate DPO-ul sa serveasca si ca persoana de supraveghere umana? Tehnic, AI Act nu interzice asta. Practic, creeaza un conflict de interese. DPO-ul consiliaza pe conformitate. Persoana de supraveghere umana ia decizii operationale despre cand sa aiba incredere sau sa ignore rezultatele AI. Combinarea acestor roluri dilueaza ambele. Pentru sistemele cu risc ridicat, desemneaza persoane separate.

Ce trebuie sa faca DPO-ul tau: Ajuta la definirea persoanelor de supraveghere umana pentru fiecare sistem AI cu risc ridicat. Asigura-te ca acele persoane primesc instruire adecvata conform Articolului 14(4). Documenteaza aranjamentele de supraveghere ca parte a sistemului de management al calitatii.

Sanctiuni: Cifrele s-au schimbat

Sanctiunile GDPR sunt deja semnificative. DPO-ul tau cunoaste structura:

• Pana la 20 milioane EUR sau 4% din cifra de afaceri anuala mondiala totala (cea mai mare valoare) pentru cele mai grave incalcari (Articolele 5, 6, 7, 9, 12-22, 44-49)
• Pana la 10 milioane EUR sau 2% din cifra de afaceri pentru alte incalcari (Articolele 8, 11, 25-39, 42-43)

AI Act ridica plafonul:

• Pana la 35 milioane EUR sau 7% din cifra de afaceri anuala mondiala totala pentru practicile AI interzise (Articolul 99(3))
• Pana la 15 milioane EUR sau 3% din cifra de afaceri pentru incalcarile sistemelor cu risc ridicat (Articolul 99(4))
• Pana la 7,5 milioane EUR sau 1% din cifra de afaceri pentru furnizarea de informatii incorecte autoritatilor (Articolul 99(5))
• IMM-urile si startup-urile beneficiaza de plafoane proportionale (Articolul 99(6))

Pentru o companie cu 500 milioane EUR cifra de afaceri anuala, sanctiunea maxima creste de la 20 milioane EUR (GDPR) la 35 milioane EUR (AI Act). Si aceste sanctiuni se pot cumula. Un sistem AI cu risc ridicat care prelucreaza date personale fara masuri adecvate de protectie poate declansa amenzi GDPR SI amenzi AI Act de la organisme de aplicare diferite.

Riscul practic nu este doar financiar. Ambele regulamente permit autoritatilor de supraveghere sa ordone oprirea prelucrarii (Articolul 58 GDPR) sau retragerea sistemului AI de pe piata (Articolul 16(j) AI Act). Oprirea unui sistem AI poate fi mai daunatoare pentru operatiuni decat orice amenda.

Aplicare: Doi regulatori, un singur sistem

Sub GDPR, DPO-ul tau interactioneaza cu o singura autoritate de supraveghere principala (de obicei DPA din tara unde se afla sediul principal). Mecanismul ghiseului unic (Articolul 56) simplifica aplicarea transfrontaliera.

AI Act nu replica aceasta structura clara. Fiecare stat membru UE trebuie sa desemneze o autoritate nationala competenta pentru AI (Articolul 70), si nu trebuie sa fie acelasi organism ca DPA. In unele tari, DPA va gestiona ambele. In altele, o autoritate separata va gestiona aplicarea AI Act. AI Office din Bruxelles gestioneaza direct modelele AI de uz general (precum GPT-4 sau Gemini).

Ce inseamna asta pentru DPO-ul tau: poate avea nevoie de relatii cu doua autoritati de supraveghere in loc de una. DPA GDPR pentru chestiuni de protectie a datelor. Autoritatea nationala AI pentru conformitatea cu AI Act. Cand ambele regulamente sunt declansate de acelasi sistem, coordonarea intre autoritati ar trebui sa se intample (Articolul 74(9) din AI Act), dar mecanismele sunt inca in curs de stabilire.

Calendar: Ce este deja in vigoare si ce urmeaza

DPO-ul tau trebuie sa urmareasca aceste date:

Deja in vigoare:

• 2 februarie 2025: Interdictia practicilor AI interzise (Articolul 5) - sistemele cu risc inacceptabil sunt deja ilegale
• 2 februarie 2025: Obligatia de alfabetizare AI (Articolul 4) - personalul care foloseste sisteme AI trebuie instruit

In curand:

• 2 august 2025: Reguli pentru modelele AI de uz general (Capitolul V) si structurile de guvernanta
• 2 august 2026: Aplicarea completa a obligatiilor pentru sistemele AI cu risc ridicat (Anexa III). Aceasta este data importanta.
• 2 august 2027: Sistemele AI cu risc ridicat care sunt si produse reglementate (Anexa I) - dispozitive medicale, utilaje etc.

2 august 2026 este data care conteaza cel mai mult pentru DPO-ul tau. Fiecare sistem AI cu risc ridicat implementat dupa acea data trebuie sa aiba FRIA completata, documentatia tehnica pregatita, sistemele de management al calitatii implementate si aranjamentele de supraveghere umana definite.

Mai sunt aproximativ 16 luni de acum. Daca nu ai inceput inventarul sistemelor AI, esti in urma.

Ce ar trebui sa faca DPO-ul tau in urmatoarele 90 de zile

Saptamana 1-2: Inventarul sistemelor AI. Mapeaza fiecare sistem AI din organizatie. Fa referinta incrucisata cu ROPA-ul. Marcheaza sistemele care intra sub categoriile de risc ridicat din Anexa III. Prioritizeaza dupa data implementarii si sensibilitatea datelor.

Saptamana 3-4: Analiza de decalaj. Pentru fiecare sistem AI cu risc ridicat, compara documentatia GDPR curenta cu cerintele AI Act. Identifica ce lipseste: documentatie tehnica, FRIA, sistem de management al calitatii, aranjamente de supraveghere umana, plan de monitorizare post-piata.

Saptamana 5-8: Design organizational. Defineste rolurile. Cine detine conformitatea AI? Cine efectueaza supravegherea umana pentru fiecare sistem? Cum circula informatia intre DPO, echipa AI si proprietarii de afaceri? Ai nevoie de suport extern pentru FRIA sau evaluarile de conformitate?

Saptamana 9-12: Inceperea implementarii. Incepe cu sistemul AI cu cel mai mare risc. Ruleaza o DPIA/FRIA combinata. Redacteaza documentatia tehnica Anexa IV impreuna cu echipa de inginerie. Stabileste cadrul de management al calitatii. Inregistreaza sistemul in baza de date UE.

Daca suna ca mult, este. Pregatirea pentru GDPR a durat majoritatii organizatiilor 12-18 luni. AI Act adauga o complexitate comparabila, dar ai un avantaj pentru ca infrastructura de conformitate exista deja.

Unde te ajuta DeviDevs

Lucram cu DPO-uri si echipe de conformitate care cunosc GDPR perfect dar au nevoie de expertiza in AI Act. Evaluarile noastre de risc EU AI Act mapeaza sistemele tale AI pe categoriile din Anexa III, identifica sistemele cu reglementare duala si produc documentatie unificata DPIA/FRIA care satisface ambele cadre.

De asemenea, ajutam cu documentatia tehnica pe care DPO-urile nu o pot produce singure - analize ale arhitecturii modelului, audituri ale datelor de antrenament si testarea bias-ului care alimenteaza direct documentatia din Anexa IV.

Consulta serviciile noastre de conformitate complete sau citeste ghidul nostru detaliat despre evaluarea unificata GDPR si AI Act.

Intrebari frecvente

AI Act inlocuieste GDPR pentru sistemele AI?

Nu. AI Act nu inlocuieste GDPR. Ambele se aplica simultan cand un sistem AI prelucreaza date personale. Articolul 2(7) din AI Act afirma explicit ca legislatia Uniunii privind protectia datelor continua sa se aplice. Obligatiile GDPR ale DPO-ului tau raman neschimbate. AI Act adauga un al doilea strat de cerinte deasupra.

Poate DPO-ul sa serveasca si ca responsabil de conformitate AI?

Legal, da - AI Act nu interzice asta. Practic, depinde de dimensiunea organizatiei si profilul de risc. Pentru organizatii cu cateva sisteme AI cu risc scazut, combinarea rolurilor poate functiona. Pentru organizatii care implementeaza mai multe sisteme AI cu risc ridicat, DPO-ul are deja un job cu norma intreaga. Cerintele de supraveghere umana din Articolul 14 singure necesita personal dedicat care sa inteleaga sistemele AI din punct de vedere tehnic, nu doar juridic.

Am nevoie de FRIA daca am deja o DPIA?

Da. O DPIA singura nu satisface cerinta FRIA din Articolul 27. Totusi, Articolul 27(4) permite reutilizarea continutului DPIA ca input pentru FRIA. FRIA acopera drepturi fundamentale dincolo de protectia datelor - nediscriminare, demnitate umana, acces la justitie - pe care o DPIA standard nu le abordeaza. Gandeste-te la asta ca la o extensie a DPIA-ului, nu ca la o inlocuire.

Ce autoritate aplica AI Act - DPA-ul meu existent sau un organism nou?

Depinde de statul tau membru. Fiecare tara trebuie sa desemneze o autoritate nationala competenta (Articolul 70). Unele tari vor atribui asta DPA-ului existent. Altele vor crea un organism nou sau il vor atribui unui alt regulator (de exemplu, o autoritate de supraveghere a pietei). Incepand cu martie 2026, mai multe state membre inca finalizeaza desemnarile. DPO-ul tau ar trebui sa urmareasca asta si sa stabileasca relatii cu autoritatea desemnata.

Ce se intampla daca ratez termenul din august 2026?

Sistemele AI cu risc ridicat implementate dupa 2 august 2026 fara conformitate adecvata se confrunta cu sanctiuni de pana la 15 milioane EUR sau 3% din cifra de afaceri anuala mondiala. Dar riscul mai mare este operational: autoritatile pot ordona retragerea sistemului AI de pe piata in totalitate. Daca acel sistem este esential pentru operatiunile tale de afaceri - sa zicem, un model de scoring de credit sau un instrument de screening HR - impactul retragerii asupra afacerii depaseste cu mult amenda.

IMM-urile sunt tratate diferit sub AI Act?

Da. Articolul 99(6) stabileste plafoane proportionale de sanctiuni pentru IMM-uri si startup-uri. AI Office dezvolta de asemenea sandbox-uri reglementare (Articolul 57) in care companiile mai mici pot testa sistemele AI sub supraveghere reglementara inainte de implementarea completa. DPO-ul tau ar trebui sa investigheze daca organizatia ta se califica si daca un sandbox este disponibil in jurisdictia ta.