AI Act 2026: Ce Obligații Au Companiile Care Folosesc sau Integrează AI — Ghid Practic pentru Decidenți

2 august 2026: data pe care niciun director nu ar trebui să o ignore

Pe 2 august 2026, Regulamentul European privind Inteligența Artificială — cunoscut ca AI Act — intră în vigoare deplin pentru marea majoritate a sistemelor AI folosite în mediul de business. Nu este o dată simbolică. Este termenul de la care autoritățile de reglementare pot aplica sancțiuni concrete: amenzi de până la 35 de milioane de euro sau 7% din cifra de afaceri globală anuală.

Dacă compania ta folosește deja AI — un chatbot pe site, un sistem de scoring pentru clienți, un tool de recrutare asistată sau orice alt sistem care ia sau influențează decizii — există probabilitatea că ești vizat de cel puțin unele prevederi ale acestui regulament.

Ce este AI Act-ul și de ce contează pentru companiile din România

AI Act (Regulamentul UE 2024/1689) este primul cadru legal comprehensiv dedicat inteligenței artificiale la nivel global. A intrat în vigoare în august 2024 și se aplică gradual, cu termene diferite pentru categorii diferite de sisteme.

Spre deosebire de GDPR, care reglementează datele personale, AI Act reglementează sistemele și aplicațiile de inteligență artificială în sine — modul în care sunt proiectate, testate, documentate și utilizate.

Regulamentul se aplică oricărei companii care dezvoltă sisteme AI pentru piața europeană, importă sau distribuie sisteme AI în UE sau utilizează sisteme AI în operațiunile sale, în calitate de „deployer". Această ultimă categorie este cea mai relevantă pentru IMM-urile românești care nu produc AI, ci îl integrează.

Logica regulamentului: clasificarea pe niveluri de risc

Risc inacceptabil — sisteme interzise (din februarie 2025)

• Sisteme de scoring social al cetățenilor pe baza comportamentului
• Manipulare subliminală a comportamentului uman fără consimțământ
• Identificare biometrică în timp real în spații publice (cu excepții limitate)
• Sisteme de inferență a emoțiilor la locul de muncă sau în educație

Sancțiunile sunt maxime: până la 35 milioane EUR sau 7% din cifra de afaceri globală.

Risc ridicat — obligații extinse (de la 2 august 2026)

Sistemele de risc ridicat includ, conform Anexei III: recrutare și evaluare a angajaților; creditare și scorare financiară; educație și formare profesională; servicii esențiale; administrarea justiției.

Pentru aceste sisteme, deployer-ii trebuie să: realizeze o evaluare de conformitate înainte de deployment; mențină use logs pentru cel puțin 6 luni; informeze angajații; desemneze un responsabil de supraveghere umană; notifice autoritățile naționale în caz de incidente grave.

Risc limitat și risc minim

Chatboții și asistenții virtuali sunt risc limitat — obligația principală este transparența. Filtrele de spam, recomandările simple — risc minim, fără obligații specifice.

Ce trebuie să faci concret dacă folosești AI în companie

Pasul 1: Inventarierea sistemelor AI existente

Primul pas — și cel mai urgent — este să știi ce sisteme AI folosești efectiv. Multe companii au adoptat instrumente cu componente AI fără evidență centralizată: plugin-uri de screening în HR, module de scoring în CRM, chatboți achiziționați de departamente individuale. Creează un registru al sistemelor AI.

Pasul 2: Clasificarea pe niveluri de risc

Fiecare sistem trebuie evaluat: influențează decizii care afectează drepturile sau oportunitățile unor persoane? Procesează date despre angajați, candidați, clienți? Există automatizare a deciziilor fără intervenție umană?

Pasul 3: Verificarea furnizorilor

Furnizorii care plasează produse pe piața europeană au propriile obligații. Solicită documentația de conformitate. Atenție: conformitatea furnizorului nu te scutește automat pe tine ca deployer.

Pasul 4: Implementarea supravegherii umane

Pentru sistemele de risc ridicat, regulamentul impune supraveghere umană reală — nu formală. Cine monitorizează deciziile sistemului AI, cum sunt gestionate erorile și cum poate fi oprit sistemul dacă este necesar.

Pasul 5: Documentarea și logging-ul

Implementează sisteme de audit logging pentru aplicațiile AI critice. Log-urile trebuie să fie suficient de detaliate pentru investigarea unui incident și accesibile autorităților în caz de audit.

Intersecția cu GDPR: dublul cadru de conformitate

Un sistem AI care procesează date personale trebuie să respecte simultan GDPR (legalitatea prelucrării, minimizarea datelor, dreptul la ștergere) și AI Act (transparența sistemului, documentația tehnică, supravegherea umană, logging-ul). O arhitectură bine proiectată poate satisface ambele seturi de cerințe fără efort dublu.

În noiembrie 2025, Comisia Europeană a inclus în pachetul „Digital Omnibus" o propunere de amânare a obligațiilor pentru Anexa III până în decembrie 2027. Pe 7 mai 2026, Parlamentul și Consiliul au ajuns la un acord provizoriu. Totuși, această amânare nu a fost adoptată definitiv. O companie care se trezește fără extensie oficială în august are opțiuni limitate și expunere reală la sancțiuni.

Cum influențează AI Act deciziile de integrare AI în 2026

• Alegerea furnizorului: preferă furnizori care pot documenta conformitatea cu AI Act
• Arhitectura datelor: separare clară între datele personale și procesele AI, cu mecanisme de ștergere
• Documentarea de la bun început: nu este opțională pentru sistemele de risc ridicat
• Supraveghere umană integrată în flux — nu ca o bifă formală

Situația specifică a IMM-urilor: obligații proporționale

AI Act recunoaște că IMM-urile nu au aceleași resurse ca marile corporații: acces la documentație tehnică simplificată din partea furnizorilor pentru sisteme high-risk; posibilitatea de a utiliza sandbox-uri de testare puse la dispoziție de autoritățile naționale; sancțiuni cu plafoane mai mici pentru microîntreprinderi.

Checklist practic înainte de integrarea oricărui sistem AI

• Ce nivel de risc AI Act are acest sistem, conform clasificării furnizorului?
• Furnizorul poate oferi documentație tehnică conform cerințelor AI Act?
• Datele mele sunt procesate în UE sau în afara UE?
• Există opțiune de zero data retention sau on-premise?
• Ce mecanisme de supraveghere umană sunt integrate în sistem?
• Sistemul generează audit logs accesibile pentru mine ca deployer?
• Cum gestionează furnizorul incidentele de securitate și cine este notificat?
• Termenii contractuali menționează explicit responsabilitățile legate de AI Act?

Concluzie: conformitatea nu este un cost — este o decizie de arhitectură

Privit corect, AI Act-ul este un set de principii de design pentru sisteme AI responsabile: transparență, supraveghere umană reală, documentare și logging, protecția drepturilor persoanelor afectate de decizii algoritmice.

La Visual AI Labs, proiectăm integrările AI cu conformitatea ca cerință de la nivel zero — arhitectura de securitate, logging-ul, mecanismele de supraveghere și documentația sunt parte din livrabil, nu opțiuni extra.

Solicită sesiune de audit AI Act — gratuit →