Sistemul Tau de AI Intra Sub Incidenta Atat a GDPR Cat si a AI Act. Iata Cum Sa Gestionezi Situatia.

Doua Regulamente, Un Singur Sistem AI, Zero Ghidare

Daca firma ta foloseste AI pentru scorarea cererilor de credit, filtrarea candidatilor la angajare sau trierea simptomelor pacientilor, felicitari: acum raspunzi in fata a doua regulamente europene simultan. GDPR guverneaza procesarea datelor tale personale din 2018. EU AI Act adauga un al doilea strat de obligatii pentru sistemele AI cu risc ridicat, cu aplicarea Anexei III incepand cu 2 august 2026.

Iata problema despre care nimeni nu vorbeste clar: cele doua cadre legislative se suprapun. Un sistem AI care proceseaza date personale pentru un caz de utilizare cu risc ridicat declanseaza o Evaluare a Impactului asupra Protectiei Datelor (DPIA) conform Articolului 35 GDPR SI o Evaluare a Impactului asupra Drepturilor Fundamentale (FRIA) conform Articolului 27 AI Act. Baze juridice diferite. Domeniu de aplicare diferit. Organisme de aplicare diferite. Acelasi sistem.

Cele mai multe companii trateaza conformitatea GDPR si conformitatea AI Act ca doua proiecte separate, conduse de doua echipe separate. Aceasta este abordarea gresita si le va costa scump.

EDPB a Clarificat In Sfarsit Regulile pentru Datele de Antrenament AI

Timp de ani de zile, cea mai mare intrebare in conformitatea AI a fost daca poti antrena modele pe date personale fara consimtamant explicit. EDPB a raspuns in Opinia 28/2024 (decembrie 2024): da, interesul legitim POATE servi ca baza juridica pentru antrenarea modelelor AI. Dar doar daca treci un test de echilibrare in trei pasi.

Testul iti cere sa:

1. Identifici un interes legitim care justifica procesarea. "Vrem un model mai bun" nu este suficient de specific. "Detectarea fraudei pentru tranzactii bancare" este.
2. Dovedesti necesitatea. Ai putea obtine acelasi rezultat cu mai putine date sau date sintetice? Daca da, pici la acest pas.
3. Echilibrezi cu drepturile persoanelor vizate. EDPB cere explicit "transparenta sporita" dincolo de Articolele standard 13 si 14 GDPR, pseudonimizare si mecanisme de opt-out de la inceput.

Amenda de 15 milioane EUR a Garante-ului italian impotriva OpenAI (decembrie 2024) arata ce se intampla cand omiti acest test. OpenAI a antrenat ChatGPT pe date personale fara sa identifice mai intai o baza juridica. Garante-ul a constatat incalcari ale transparentei, bazei juridice si cerintelor de verificare a varstei, toate deodata.

Opinia EDPB a introdus si un concept critic: modelele AI POT fi considerate anonime daca "identificarea si extragerea datelor sunt foarte improbabile". Asta conteaza pentru ca modelele anonime nu intra sub incidenta GDPR. Dar dovedirea anonimizarii necesita dovezi tehnice, nu doar o declaratie in politica de confidentialitate.

Unde AI Act Adauga un Al Doilea Strat

AI Act nu inlocuieste GDPR. Se suprapune peste el. Daca sistemul tau AI proceseaza date personale SI se incadreaza in categoriile cu risc ridicat din Anexa III (angajare, scorare creditara, identificare biometrica, triaj medical, aplicarea legii), te confrunti cu ambele seturi de obligatii simultan.

Iata unde lucrurile devin concrete:

Calitatea datelor de antrenament (AI Act Articolul 10): Sistemele cu risc ridicat trebuie sa foloseasca seturi de date de antrenament care sunt "relevante, reprezentative, fara erori si complete". Principiul minimizarii datelor din GDPR spune sa colectezi cat mai putin posibil. Articolul 10 din AI Act spune ca datele tale trebuie sa fie suficient de cuprinzatoare pentru a evita bias-ul. Acestea trag in directii opuse. Ai nevoie de un cadru de guvernanta a datelor care sa le satisfaca pe amandoua, ceea ce inseamna documentarea motivului pentru care fiecare categorie de date este necesara pentru calitatea modelului, minimizand in acelasi timp ceea ce retii efectiv.

Evaluarile de impact (GDPR Articolul 35 + AI Act Articolul 27): Un DPIA evalueaza riscurile de confidentialitate pentru persoanele vizate. Un FRIA evalueaza riscurile pentru toate drepturile fundamentale din Carta UE, inclusiv nediscriminarea, procesul echitabil si demnitatea umana. Vestea buna: Articolul 27(4) din AI Act iti permite explicit sa reutilizezi DPIA-ul ca input pentru FRIA. In practica, un DPIA detaliat acopera aproximativ 30-40% din ceea ce necesita un FRIA, in special riscurile legate de procesarea datelor si impactul asupra persoanelor vizate.

Documentatie si transparenta: Ambele regulamente cer documentatie extinsa, dar formatele difera. GDPR cere registre de activitati de procesare (Articolul 30) si un raport DPIA. AI Act cere documentatie tehnica conform Anexei IV, acoperind totul, de la arhitectura sistemului la provenienta datelor de antrenament. Conducerea acestora ca proiecte de documentatie separate inseamna munca dubla. Conducerea lor ca un proces unificat economiseste saptamani.

EDPB Avertizeaza Ca Omnibus-ul Slabeste Protectiile GDPR

Opinia Comuna EDPB-EDPS 1/2026 (ianuarie 2026) a tras un semnal de alarma specific despre propunerea Digital Omnibus. Omnibus-ul introduce un nou Articol 4a care ar extinde baza juridica pentru procesarea datelor din categorii speciale (datele de la Articolul 9 GDPR, cele sensibile: sanatate, biometrie, opinii politice, orientare sexuala) pentru detectarea si corectarea bias-ului. Si s-ar aplica nu doar sistemelor AI cu risc ridicat, ci TUTUROR sistemelor si modelelor AI.

Asta inseamna ca un furnizor de chatbot ar putea teoretic sa proceseze date de sanatate pentru testarea bias-ului sub baza juridica a AI Act, chiar daca Articolul 9 GDPR in mod normal restrictioneaza aceasta procesare la un set restrans de conditii.

EDPB se opune ferm. Ingrijorarea lor: asta creeaza o usa din spate in jurul protectiilor GDPR care au durat ani sa fie stabilite. Rezultatul trilogului este incert, dar companiile ar trebui sa planifice pentru interpretarea cea mai stricta. Daca procesezi date din categorii speciale cu AI, presupune ca ai nevoie de consimtamant explicit sau o exceptie specifica sub ambele cadre.

Cum Sa Construiesti un Proces de Conformitate Unificat

Opreste-te din a rula doua proiecte paralele. Iata cum arata o evaluare unificata AI Act - GDPR in practica:

Pasul 1: Inventarul Sistemelor AI. Mapeaza fiecare sistem AI care proceseaza date personale. Pentru fiecare sistem, documenteaza: ce categorii de date personale proceseaza, pe ce baza juridica te bazezi (GDPR), daca se incadreaza in Anexa III (AI Act) si cine sunt deployerul si furnizorul (pot avea obligatii diferite).

Pasul 2: Evaluarea de Impact Unificata. Incepe cu un DPIA. Apoi extinde-l pentru a acoperi cerintele FRIA. FRIA adauga drepturi fundamentale dincolo de confidentialitate: nediscriminarea, accesul la justitie, libertatea de exprimare. Adauga sectiuni pentru riscuri specifice AI: drift-ul modelului, degradarea calitatii datelor, atacuri adversariale. Un document, doua bifari de conformitate.

Pasul 3: Auditul Datelor de Antrenament. Pentru fiecare set de date folosit in antrenarea sau ajustarea fina a modelului, documenteaza: baza juridica pentru colectare, daca testul de echilibrare in trei pasi al EDPB trece, perioadele de retentie si rezultatele evaluarii bias-ului. Verifica incrucis ca abordarea ta de minimizare a datelor (GDPR) nu compromite reprezentativitatea datelor (AI Act Articolul 10).

Pasul 4: Documentatia Tehnica. Construieste documentatia Anexei IV care face referire la constatarile DPIA. Include practicile de guvernanta a datelor, metodologia de testare a bias-ului si mecanismele de supraveghere umana. Aceasta documentatie serveste atat evaluarii de conformitate AI Act CAT si obligatiilor tale de responsabilitate GDPR.

Pasul 5: Monitorizare Continua. GDPR necesita revizuirea periodica a DPIA-urilor pentru modificari semnificative. AI Act necesita monitorizare post-piata pentru sistemele cu risc ridicat. Configureaza un singur pipeline de monitorizare care semnaleaza atat incidentele de protectie a datelor cat si degradarea performantei modelului.

Sectoarele Cele Mai Afectate

Trei sectoare se afla exact in zona de suprapunere:

Sanatate: Sistemele AI pentru triajul pacientilor sau suportul diagnostic proceseaza date de sanatate din categorii speciale (GDPR Articolul 9) si se incadreaza in Anexa III (sisteme AI ca componente de siguranta ale dispozitivelor medicale). DPIA/FRIA dual obligatoriu.

Servicii financiare: AI-ul pentru scorarea creditara si detectarea fraudei proceseaza date financiare care includ adesea date personale. Anexa III listeaza explicit sistemele AI pentru evaluarea bonitatii. Recomandarile CNIL din 2025 privind interesul legitim pentru antrenarea AI ofera cel mai clar ghid practic pentru acest sector.

HR si recrutare: Instrumentele de angajare asistate de AI proceseaza datele candidatilor si se incadreaza in Anexa III (angajare, gestionarea lucratorilor). Opinia Comuna EDPB-EDPS semnaleaza specific detectarea bias-ului in AI-ul de angajare ca un punct de coliziune intre cele doua cadre.

Ce Inseamna Asta pentru Echipa Ta de Conformitate

Companiile care vor avea cele mai mari dificultati sunt cele care trateaza GDPR si AI Act ca silozuri separate de conformitate. Doua echipe, doua evaluari, doua seturi de documentatie, de doua ori costul si lacune intre ele unde nicio echipa nu sesizeaza riscul.

Companiile care se vor misca cel mai rapid sunt cele care construiesc o functie de conformitate unificata care gestioneaza ambele cadre dintr-un singur inventar, produce evaluari integrate si monitorizeaza atat protectia datelor cat si performanta AI intr-un singur pipeline.

Daca sistemele tale AI proceseaza date personale in sanatate, finante sau HR, incepe cu evaluarea de impact unificata. Este actiunea de conformitate cu cea mai mare valoare pe care o poti lua acum, pentru ca satisface cerinte din ambele regulamente simultan. O singura evaluare, nu doua.

Am condus aceste evaluari integrate pentru companii europene care implementeaza AI in sectoare reglementate. Daca te uiti la doua proiecte separate de conformitate si te intrebi cum sa le unesti, exact aceasta este problema pe care o rezolvam.

Despre DeviDevs: Construim platforme ML, securizam sisteme AI si ajutam companiile sa se conformeze cu EU AI Act. devidevs.com