Inteligența Artificială 2026 – obligații pentru mediul de afaceri

De către
Redacție
-

Material susținut de Av. Alexandru Mușătoiu, Managing Partner Alexandru Mușătoiu – Cabinet de Avocat Timișoara

Prezentul articol analizează Regulamentul (UE) 2024/1689 de stabilire a unor norme armonizate privind inteligența artificială (AI Act) din perspectiva operatorilor economici români. Dincolo de abordarea exclusiv restrictivă, studiul demonstrează că acest prim cadru legislativ comprehensiv la nivel mondial în domeniul inteligenței artificiale oferă întreprinderilor proactive oportunitatea de a transforma conformitatea într-un veritabil avantaj competitiv. Sunt examinate jurisprudența relevantă a Curții de Justiție a Uniunii Europene, calendarul obligațiilor, regimul sancționator și măsurile practice de conformare, cu accent pe sectoarele cele mai expuse: resursele umane, serviciile financiare și relațiile cu consumatorii.

I. CONTEXTUL EUROPEAN

Într-o eră definită de transformarea digitală accelerată, inteligența artificială a depășit cu mult stadiul de simplă inovație tehnologică, devenind un factor determinant al competitivității economice și al reconfigurării raporturilor sociale. Potrivit datelor Comisiei Europene, piața globală a inteligenței artificiale urmează să atingă 2,74 trilioane USD până în 2032, iar aproximativ 50% dintre întreprinderile europene utilizează deja cel puțin o aplicație bazată pe IA.

În acest context de expansiune tehnologică fără precedent, Uniunea Europeană a adoptat o abordare pionieră la nivel mondial, consacrând prin Regulamentul (UE) 2024/1689 al Parlamentului European și al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligența artificială, publicat în Jurnalul Oficial al Uniunii Europene L 2024/1689 la 12 iulie 2024, primul cadru legislativ la nivel mondial destinat reglementării acestui domeniu.¹

Regulamentul a intrat în vigoare la 1 august 2024, aplicându-se direct în toate statele membre, inclusiv în România, fără a fi necesară adoptarea unor măsuri naționale de transpunere. Această aplicabilitate directă, caracteristică regulamentelor europene conform art. 288 TFUE, impune operatorilor economici o adaptare imediată la noile cerințe, sub sancțiunea unor penalități care pot atinge 35 de milioane EUR sau 7% din cifra de afaceri mondială anuală – cele mai substanțiale sancțiuni din întregul drept al Uniunii Europene.²

II. DE LA GDPR LA AI ACT

Înaintea intrării în vigoare a AI Act, protecția persoanelor vizate în raport cu sistemele decizionale automatizate era asigurată preponderent prin dispozițiile art. 22 din Regulamentul (UE) 2016/679 (GDPR), care consacră dreptul persoanei de a nu fi supusă unei decizii bazate exclusiv pe prelucrarea automatizată. Interpretarea acestei dispoziții a fost clarificată în mod decisiv de Curtea de Justiție a Uniunii Europene prin Hotărârea din 7 decembrie 2023, cauza C-634/21, OQ c. Land Hessen (SCHUFA).³

În această cauză de referință, Curtea a statuat că stabilirea automatizată de către o agenție de credit a unei valori de probabilitate privind capacitatea unei persoane de a-și onora angajamentele de plată constituie în sine o decizie în sensul art. 22 alin. (1) GDPR, în măsura în care terții cărora le este transmisă această valoare se bazează în mod determinant pe aceasta pentru deciziile lor privind încheierea, executarea sau încetarea unui raport contractual.

Relevanța acestei jurisprudențe pentru mediul de afaceri este considerabilă: sistemele de scoring utilizate în procesele de recrutare, evaluarea performanței angajaților sau selecția furnizorilor sunt susceptibile de a intra sub incidența acestor restricții, chiar dacă decizia finală este adoptată formal de un operator uman. Curtea a subliniat că o interpretare restrictivă, potrivit căreia stabilirea valorii de probabilitate ar constitui doar un act pregătitor, ar conduce la o lacună în protecția juridică, incompatibilă cu obiectivele GDPR.

Jurisprudența CJUE a fost ulterior consolidată prin Hotărârea din 27 februarie 2025, cauza C-203/22, CK c. Dun & Bradstreet Austria GmbH, care a clarificat dreptul persoanei vizate de a primi o explicație semnificativă privind logica implicată în deciziile automatizate, în conformitate cu art. 15 alin. (1) lit. h) GDPR. Această decizie trasează o direcție clară în sensul consolidării transparenței algoritmice ca principiu fundamental.

III. REGULAMENTUL PRIVIND INTELIGENȚA ARTIFICIALĂ

Abordarea bazată pe risc: rațiunea legiuitorului european

AI Act adoptă o abordare graduală, fundamentată pe evaluarea riscurilor pe care sistemele de inteligență artificială le prezintă pentru drepturile fundamentale, sănătatea, siguranța și valorile democratice. Această metodologie, inspirată din reglementările privind siguranța produselor și protecția consumatorilor, asigură proporționalitatea între intensitatea obligațiilor și gravitatea potențialelor consecințe adverse.

Regulamentul instituie patru categorii de risc, fiecare cu un regim juridic distinct: (i) risc inacceptabil – practici interzise în mod absolut; (ii) risc ridicat – obligații stricte de conformitate, documentare și supraveghere; (iii) risc limitat – cerințe de transparență; (iv) risc minim sau inexistent – libertate de utilizare fără obligații specifice.

Este esențial de subliniat că această clasificare nu reprezintă o prohibiție generalizată a inteligenței artificiale, ci un cadru care permite utilizarea legitimă a tehnologiilor avansate sub rezerva respectării unor garanții proporționale cu riscurile identificate. Pentru marea majoritate a aplicațiilor comerciale – filtre antispam, jocuri video, sisteme de recomandare pentru conținut – nu există obligații suplimentare.

Practicile interzise (art. 5): limitele absolute

Articolul 5 din AI Act enumeră limitativ practicile considerate incompatibile cu valorile fundamentale ale Uniunii Europene, interzise în mod absolut din 2 februarie 2025:

  1. Tehnici subliminale sau manipulatoare – sisteme care denaturează semnificativ comportamentul unei persoane prin împiedicarea apreciabilă a capacității de a lua o decizie în cunoștință de cauză [art. 5 alin. (1) lit. a)]
  2. Exploatarea vulnerabilităților – sisteme care exploatează vârsta, dizabilitățile sau situația socio-economică [art. 5 alin. (1) lit. b)]
  3. Scorul social – clasificarea persoanelor pe baza comportamentului social pentru tratament defavorabil în contexte nejustificate [art. 5 alin. (1) lit. c)]
  4. Predicția criminalității pe baza profilării – evaluarea riscului infracțional exclusiv pe baza trăsăturilor de personalitate [art. 5 alin. (1) lit. d)]
  5. Extragerea nețintită de imagini faciale – colectarea de pe internet sau din sisteme de supraveghere pentru baze de date de recunoaștere facială [art. 5 alin. (1) lit. e)]
  6. Recunoașterea emoțiilor la locul de muncă și în educație – cu excepția motivelor medicale sau de siguranță [art. 5 alin. (1) lit. f)]
  7. Categorizarea biometrică pentru date sensibile – deducerea rasei, opiniilor politice, apartenenței sindicale sau orientării sexuale [art. 5 alin. (1) lit. g)]
  8. Identificarea biometrică în timp real în spații publice – cu excepții stricte pentru forțele de ordine [art. 5 alin. (1) lit. h)]

Pentru mediul de afaceri, este relevant că aceste interdicții vizează practici extreme, iar utilizarea legitimă a inteligenței artificiale în procesele comerciale rămâne pe deplin permisă. Sistemele de filtrare a CV-urilor, evaluare a performanței sau analiză a datelor comerciale nu intră sub incidența interdicțiilor, fiind însă susceptibile de clasificare ca sisteme cu risc ridicat.

Sisteme cu risc ridicat: cerințe și oportunități

Anexa III a Regulamentului identifică domeniile în care sistemele de IA sunt clasificate ca prezentând risc ridicat. Pentru operatorii economici, cele mai relevante categorii sunt:

  • Ocuparea forței de muncă și managementul lucrătorilor – sisteme utilizate pentru recrutare, filtrare a candidaturilor, evaluare a performanței, luarea deciziilor privind promovarea sau încetarea raporturilor de muncă [Anexa III pct. 4]
  • Accesul la servicii esențiale – scoring de credit, evaluarea riscurilor în asigurări, triaj medical, accesul la prestații sociale [Anexa III pct. 5]
  • Educație și formare profesională – sisteme de admitere, evaluare automată, stabilirea nivelului de educație [Anexa III pct. 3]

Obligațiile pentru sistemele cu risc ridicat devin aplicabile din 2 august 2026 și includ: sistemul de management al riscurilor pe întreg ciclul de viață (art. 9), guvernanța datelor pentru asigurarea calității și reprezentativității seturilor de antrenament (art. 10), documentația tehnică (art. 11), înregistrarea și jurnalizarea operațiunilor (art. 12), transparența față de utilizatori (art. 13), supravegherea umană (art. 14) și cerințele de precizie și robustețe (art. 15).

Obligații specifice pentru angajatori

Articolul 26 alin. (7) din AI Act instituie o obligație specifică pentru angajatorii care utilizează sisteme de IA cu risc ridicat la locul de muncă: aceștia trebuie să informeze reprezentanții lucrătorilor și lucrătorii afectați cu privire la faptul că vor fi supuși utilizării sistemului de IA cu risc ridicat. Această obligație se adaugă dispozițiilor existente din dreptul muncii privind consultarea comitetelor de sănătate și securitate.

În dreptul român, art. 40 alin. (2) lit. d) din Codul muncii obligă angajatorul să comunice periodic salariaților situația economică și financiară a unității, iar art. 17 alin. (3) lit. n) impune informarea prealabilă privind procedurile de evaluare a activității profesionale. Utilizarea sistemelor de IA în aceste procese va necesita o informare suplimentară specifică, în conformitate cu cerințele AI Act.

IV. ETAPELE IMPLEMENTĂRII

AI Act prevede o implementare etapizată, oferind operatorilor economici timp pentru adaptare:

  • 2 februarie 2025 – Practicile interzise (art. 5) și obligația de alfabetizare în domeniul IA (art. 4) [ÎN VIGOARE]
  • 2 august 2025 – Modele de IA de uz general (GPAI), guvernanță, regim sancționator [ÎN VIGOARE]
  • 2 august 2026 – Obligații pentru sistemele cu risc ridicat din Anexa III (inclusiv HR, scoring credit) [7 luni]
  • 2 august 2027 – Obligații pentru sistemele cu risc ridicat în produse reglementate (Anexa I)

La data prezentului articol, obligația de alfabetizare în domeniul IA (AI literacy) este deja în vigoare. Potrivit art. 4, furnizorii și utilizatorii de sisteme de IA trebuie să asigure un nivel adecvat de cunoștințe pentru personalul implicat în operarea acestora, proporțional cu contextul de utilizare și cu persoanele vizate.

V. SEVERITATEA CA INSTRUMENT DE CONFORMARE

Articolul 99 din AI Act instituie un regim sancționator de o severitate fără precedent în dreptul Uniunii:

  • 35.000.000 EUR sau 7% din cifra de afaceri mondială – pentru încălcarea practicilor interzise (art. 5)
  • 15.000.000 EUR sau 3% din cifra de afaceri mondială – pentru nerespectarea obligațiilor privind sistemele cu risc ridicat
  • 7.500.000 EUR sau 1% din cifra de afaceri mondială – pentru furnizarea de informații incorecte autorităților

Se aplică întotdeauna cuantumul mai mare dintre cele două variante. Pentru IMM-uri și întreprinderi nou-înființate, Regulamentul prevede posibilitatea unor sancțiuni reduse proporțional, sub rezerva evaluării circumstanțelor fiecărui caz.

VI. CADRUL INSTITUȚIONAL DIN ROMÂNIA

Potrivit art. 70 din AI Act, statele membre au obligația de a desemna autorități naționale competente – cel puțin o autoritate de notificare și o autoritate de supraveghere a pieței – până la 2 august 2025. La data redactării prezentului articol, România nu a desemnat încă în mod formal aceste autorități, deși Strategia Națională privind Inteligența Artificială (SNIA) 2024-2027 prevede instituirea unei structuri dedicate sub coordonarea Autorității pentru Digitalizarea României (ADR) și a Ministerului Cercetării, Inovării și Digitalizării.¹⁰

În conformitate cu art. 77, România a notificat Comisiei Europene lista autorităților publice naționale competente în materia protecției drepturilor fundamentale în contextul utilizării sistemelor de IA cu risc ridicat. Această listă include: Avocatul Poporului, Autoritatea Națională pentru Protecția Consumatorilor, Consiliul Național pentru Combaterea Discriminării, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, Inspecția Muncii și alte autorități sectoriale.¹¹

Absența temporară a unei autorități unice de supraveghere nu exonerează operatorii economici de obligațiile impuse de Regulament. Aplicabilitatea directă a AI Act implică posibilitatea invocării prevederilor sale în fața instanțelor naționale și a autorităților existente cu competențe în domeniile vizate.

VII. CONFORMITATEA CA AVANTAJ COMPETITIV

Dincolo de dimensiunea sa coercitivă, AI Act poate fi interpretat ca un cadru care oferă întreprinderilor proactive multiple avantaje competitive:

  1. Reducerea riscului litigios – conformitatea proactivă diminuează semnificativ expunerea la acțiuni în justiție, atât din partea persoanelor vizate (lucrători, consumatori, candidați), cât și din partea autorităților de supraveghere;
  2. Atragerea și retenția talentelor – transparența în utilizarea IA în procesele de HR consolidează încrederea candidaților și angajaților, transformându-se într-un diferențiator pe piața muncii;
  3. Îmbunătățirea proceselor decizionale – cerințele de documentare și supraveghere umană conduc la o utilizare mai riguroasă și mai eficientă a tehnologiilor de IA;
  4. Accesul la piețe reglementate – conformitatea cu AI Act devine o condiție de acces pe piața unică europeană pentru furnizori și utilizatori de sisteme de IA;
  5. Consolidarea reputației – utilizarea etică și transparentă a inteligenței artificiale devine un element de diferențiere în relația cu partenerii de afaceri, clienții și investitorii.

VIII. MĂSURI PRACTICE DE CONFORMARE

Pentru o conformare eficientă cu AI Act, recomandăm operatorilor economici următoarea succesiune de acțiuni:

  1. Inventarierea sistemelor de IA utilizate – identificarea tuturor aplicațiilor, instrumentelor și proceselor care încorporează componente de inteligență artificială, în special în domeniile HR, relații cu clienții și analiză de date;
  2. Clasificarea după risc – evaluarea fiecărui sistem în raport cu categoriile stabilite de Regulament și verificarea dacă intră în categoria practicilor interzise sau a sistemelor cu risc ridicat;
  3. Eliminarea practicilor interzise – încetarea imediată a oricărei utilizări care ar putea fi considerată încălcare a art. 5;
  4. Implementarea programelor de alfabetizare – formarea personalului implicat în operarea sistemelor de IA conform art. 4;
  5. Pregătirea documentației tehnice – pentru sistemele cu risc ridicat, elaborarea dosarului de conformitate conform cerințelor din Anexa IV;
  6. Instituirea procedurilor de supraveghere umană – desemnarea persoanelor responsabile cu supravegherea și intervenția în procesele automatizate;
  7. Informarea lucrătorilor și a reprezentanților acestora – comunicarea utilizării sistemelor de IA cu risc ridicat conform art. 26 alin. (7).

IX. CONCLUZII

Regulamentul (UE) 2024/1689 privind inteligența artificială marchează un moment de cotitură în reglementarea tehnologiilor emergente la nivel mondial. Departe de a reprezenta o piedică în calea inovației, acest cadru normativ oferă întreprinderilor un set clar de reguli care, odată înțelese și implementate, pot deveni un catalizator al dezvoltării responsabile.

Pentru mediul de afaceri din România, momentul prezent reprezintă o fereastră strategică de oportunitate. Întreprinderile care vor adopta o abordare proactivă în pregătirea conformării vor beneficia de un avantaj competitiv semnificativ față de cele care vor aștepta intrarea în vigoare a obligațiilor sau, mai grav, declanșarea unor proceduri de control.

În spiritul filosofiei strategice care guvernează orice întreprindere de succes, victoria aparține celor care se pregătesc din timp, nu celor care reacționează la evenimente. AI Act nu inventează riscurile asociate inteligenței artificiale – le face vizibile și gestionabile. Iar întreprinderile care vor înțelege acest lucru vor transforma conformitatea într-un veritabil avantaj competitiv.

NOTE

¹ Regulamentul (UE) 2024/1689 al Parlamentului European și al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligența artificială, JO L 2024/1689, 12.7.2024.
² A se vedea art. 99 din Regulamentul (UE) 2024/1689; pentru comparație, amenzile maxime prevăzute de GDPR sunt de 20 milioane EUR sau 4% din cifra de afaceri.
³ CJUE, Hotărârea din 7 decembrie 2023, cauza C-634/21, OQ c. Land Hessen (SCHUFA Holding), ECLI:EU:C:2023:957.
⁴ CJUE, C-634/21, cit. supra, pct. 56-58.
⁵ CJUE, Hotărârea din 27 februarie 2025, cauza C-203/22, CK c. Dun & Bradstreet Austria GmbH, ECLI:EU:C:2025:117.
⁶ Comisia Europeană, Guidelines on Prohibited AI Practices under the AI Act, 4 februarie 2025; a se vedea și Comunicatul de presă IP/25/421.
⁷ A se vedea Capitolul III, Secțiunea 2 din Regulamentul (UE) 2024/1689, art. 9-15.
⁸ Art. 113 din Regulamentul (UE) 2024/1689 – Intrarea în vigoare și aplicarea.
⁹ Art. 99 din Regulamentul (UE) 2024/1689 – Amenzi.
¹⁰ Strategia Națională privind Inteligența Artificială 2024-2027, adoptată prin H.G. nr. 932/2024.
¹¹ Autoritatea pentru Digitalizarea României, Lista autorităților publice naționale conform art. 77 din AI Act, publicată la 13 noiembrie 2024, disponibilă la https://www.adr.gov.ro.

BIBLIOGRAFIE SELECTIVĂ

BARNARD, C., PEERS, S., European Union Law, 4th edition, Oxford University Press, 2023.
BYGRAVE, L.A., Data Privacy Law: An International Perspective, Oxford University Press, 2014.
DIMA, L., Dreptul Uniunii Europene, ed. a 2-a, Editura C.H. Beck, București, 2020.
LEENES, R., et al., Data Protection and Privacy: The Internet of Bodies, Hart Publishing, 2019.
MANYIKA, J., et al., Notes from the AI Frontier: Applications and Value of Deep Learning, McKinsey Global Institute, 2018.
SMUHA, N.A., „The EU Approach to Ethics Guidelines for Trustworthy Artificial Intelligence”, în Computer Law Review International, vol. 20, nr. 4, 2019, p. 97-106.
ȘTEFĂNESCU, I.T., Tratat teoretic și practic de drept al muncii, ed. a 5-a, revăzută și adăugită, Editura Universul Juridic, București, 2020.
UNGUREANU, C.T., Drept civil. Partea generală, ed. a 3-a, revizuită, Editura Hamangiu, București, 2022.
VEALE, M., ZUIDERVEEN BORGESIUS, F., „Demystifying the Draft EU Artificial Intelligence Act”, în Computer Law Review International, vol. 22, nr. 4, 2021, p. 97-112.

ARTICOLE SIMILAREDE LA ACELAȘI AUTOR