Ghid de conformitate EU AI Act pentru companii: ce ai de făcut până la 2 august 2026
· 12 min de citit
Ghid practic de conformitate cu EU AI Act pentru companii: cine e vizat, calendarul real al obligațiilor (2 august 2026, 2 decembrie 2026, 2 decembrie 2027), checklist pe roluri (furnizor vs. utilizator) și greșelile care costă până la 35 mil. € sau 7% din cifra de afaceri.
Pe 2 august 2026, EU AI Act intră în aplicare generală. Dacă firma ta folosește un chatbot pe site, un sistem AI de scoring, automatizări cu LLM-uri sau orice integrare AI care atinge clienți ori angajați din UE, de la acea dată ai obligații legale concrete — indiferent dacă ai dezvoltat tu sistemul sau doar îl folosești.
Vestea bună: pentru majoritatea companiilor, conformitatea nu înseamnă un proiect juridic de un an, ci câteva acțiuni clare care pot fi finalizate în săptămânile rămase. Vestea proastă: amenzile merg până la 35 de milioane de euro sau 7% din cifra de afaceri globală, iar „nu știam că ne aplică" nu este o apărare.
Acest ghid îți arată exact: dacă ești vizat, în ce rol, ce obligații ai pe fiecare termen și cu ce să începi astăzi.
Ce este EU AI Act, pe scurt
EU AI Act (Regulamentul UE 2024/1689) este prima lege comprehensivă din lume care reglementează inteligența artificială. Este un regulament, nu o directivă — se aplică direct în România, fără transpunere națională.
Logica legii este simplă: obligațiile cresc odată cu riscul. Sistemele AI sunt împărțite în patru categorii:
- Risc inacceptabil — interzise complet (din februarie 2025): manipulare subliminală, social scoring, recunoaștere a emoțiilor la locul de muncă, scraping nedirecționat de imagini faciale.
- Risc ridicat (high-risk) — permise, dar cu obligații stricte: AI folosit în recrutare și evaluarea angajaților, credit scoring, educație, infrastructură critică, dispozitive medicale, identificare biometrică.
- Risc limitat — obligații de transparență: chatboții trebuie să spună că sunt AI, conținutul generat trebuie marcat.
- Risc minim — fără obligații specifice: filtre de spam, recomandări de produse, majoritatea automatizărilor interne.
Calendarul real al aplicării (actualizat 2026)
Calendarul a fost modificat recent prin pachetul Digital Omnibus, deci multe articole din 2024–2025 sunt depășite. Situația la zi:
- 2 februarie 2025 (deja aplicabil) — Interdicțiile pentru practici cu risc inacceptabil + obligația de alfabetizare AI a angajaților (art. 4).
- 2 august 2025 (deja aplicabil) — Obligațiile pentru modelele de AI de uz general (GPAI) + structura de guvernanță și sancțiuni.
- 2 august 2026 — Aplicarea generală a regulamentului: obligațiile de transparență pentru chatboți și sisteme care interacționează cu oameni (art. 50), obligațiile furnizorilor (art. 9–17) și ale utilizatorilor (art. 26) pentru sistemele high-risk.
- 2 decembrie 2026 — Marcarea obligatorie a conținutului generat de AI (amânată cu 4 luni).
- 2 decembrie 2027 — Obligațiile pentru anumite categorii high-risk din Anexa III (biometrie, infrastructură critică, educație, ocuparea forței de muncă, migrație).
Te afectează? Testul în 3 întrebări
1. Folosești vreun sistem AI?
Chatbot pe site, asistent intern pe documente, scoring de clienți, automatizări cu GPT/Claude/Gemini, AI în recrutare, OCR inteligent pe facturi — toate contează. Dacă răspunsul e da, legea te privește.
2. Ești furnizor sau utilizator (deployer)?
Aceasta este distincția centrală a legii, și locul unde majoritatea companiilor se încadrează greșit:
- Furnizor — dezvoltă un sistem AI și îl pune pe piață sub numele propriu. Obligațiile mari (documentație tehnică, management al riscului, marcaj CE pentru high-risk) sunt aici.
- Utilizator (deployer) — folosește un sistem AI în activitatea profesională. Obligații mai ușoare, dar reale: utilizare conform instrucțiunilor, supraveghere umană, informarea persoanelor afectate.
Atenție la capcană: dacă iei un model existent și îl integrezi într-un produs pe care îl vinzi sub brandul tău, sau îl modifici substanțial, poți deveni furnizor fără să-ți dai seama — cu tot pachetul de obligații aferent.
3. Atingi persoane din UE?
Legea se aplică extrateritorial: contează unde sunt folosite rezultatele sistemului, nu unde e sediul firmei sau serverul.
Situația tipică a unui IMM: chatbot pentru suport clienți + asistent intern pe documente + scoring automat la onboarding. Încadrare: deployer pentru toate trei. Obligații până la 2 august 2026: chatbotul trebuie să declare că e AI, scoringul trebuie verificat ca posibil high-risk, angajații trebuie instruiți. Efort realist: 2–4 săptămâni.
Checklist de conformitate până la 2 august 2026
Pasul 1: Inventarul AI (săptămâna 1)
Listează toate sistemele AI din companie — inclusiv cele „ascunse" în SaaS-urile pe care le folosești (CRM cu scoring, HR-tech cu filtrare de CV-uri, marketing automation cu generare de conținut). Pentru fiecare: ce face, cine îl furnizează, ce date procesează, cine e afectat.
Pasul 2: Clasificarea pe risc (săptămâna 1–2)
Încadrează fiecare sistem: interzis / high-risk / risc limitat / minim. Zonele sensibile care devin rapid high-risk: recrutare și evaluare angajați, acces la credit sau asigurări, educație, sănătate.
Pasul 3: Stabilirea rolului (săptămâna 2)
Pentru fiecare sistem: ești furnizor sau deployer? Documentează decizia. Dacă ai dezvoltat sau ai comandat dezvoltarea unui sistem AI propriu, analizează cu atenție — aici apar majoritatea surprizelor.
Pasul 4: Transparența (săptămâna 2–3)
- Chatboții și asistenții AI trebuie să informeze utilizatorul că interacționează cu un sistem AI — clar, la primul contact.
- Pregătește marcarea conținutului generat de AI (obligatorie din 2 decembrie 2026).
Pasul 5: Guvernanța minimă (săptămâna 3–4)
- Desemnează un responsabil AI intern (poate fi extinderea rolului de DPO).
- Instruiește angajații care folosesc sisteme AI (obligație în vigoare din februarie 2025).
- Cere furnizorilor tăi de AI documentația de conformitate.
- Pentru sistemele high-risk: asigură supraveghere umană reală și păstrează log-urile.
Pasul 6: Verificarea tehnică
Conformitatea pe hârtie nu rezistă fără conformitate în cod: unde sunt găzduite datele, cine are acces la prompturi și log-uri, cum se izolează datele clienților, ce se întâmplă cu datele trimise către API-uri externe. Un audit tehnic de securitate AI scurtează drumul considerabil — verifică simultan AI Act și GDPR.
Greșelile care costă
- „Noi doar folosim ChatGPT, nu ne aplică." Utilizarea profesională te face deployer.
- „Suntem firmă mică, legea e pentru corporații." Nu există excepție de mărime.
- Confuzia furnizor/deployer. Vinzi un produs cu AI integrat sub brandul tău? Probabil ești furnizor.
- Ignorarea AI-ului din SaaS-uri. Sistemul HR care filtrează CV-uri cu AI e în inventarul tău.
- Amânarea pe motiv de „se mai schimbă legea". Transparența intră în vigoare ferm pe 2 august 2026.
- Tratarea conformității ca proiect juridic pur. Jumătate din cerințe sunt tehnice.
Amenzile, concret
- până la 35 mil. € sau 7% din cifra de afaceri globală — pentru practici interzise;
- până la 15 mil. € sau 3% — pentru încălcarea majorității obligațiilor;
- până la 7,5 mil. € sau 1% — pentru informații incorecte furnizate autorităților.
Cum te ajută Visual-AI-Labs
Construim sisteme AI conforme prin design — găzduire în UE, modele private, izolarea datelor și jurnalizare integrată de la prima zi. Pentru sistemele existente, auditul nostru de securitate AI verifică într-un singur pas încadrarea AI Act, transparența, fluxul datelor către modele externe și alinierea GDPR.
Programează un audit AI înainte de 2 august →
FAQ
Se aplică EU AI Act firmelor din România?
Da, direct și integral. Fiind regulament european, se aplică în toate statele membre fără legislație națională suplimentară. Orice firmă din România care dezvoltă sau folosește sisteme AI intră sub incidența lui.
Ce se întâmplă exact pe 2 august 2026?
Regulamentul devine general aplicabil: obligațiile de transparență pentru chatboți și sistemele care interacționează cu persoane, plus obligațiile pentru furnizorii și utilizatorii de sisteme high-risk (cu excepția categoriilor amânate până în decembrie 2027).
Folosim doar ChatGPT/Claude/Gemini prin abonament. Avem obligații?
Da. Utilizarea profesională vă încadrează ca deployer: angajații trebuie instruiți, iar dacă AI-ul interacționează cu clienții sau generează conținut public, se aplică obligațiile de transparență.
Chatbotul nostru trebuie să spună că e AI?
Da, din 2 august 2026. Informarea trebuie să fie clară și la primul contact — nu ascunsă în termeni și condiții. Excepție: situațiile în care e evident din context că interlocutorul e un sistem AI.
Suntem deployer sau furnizor dacă am comandat o aplicație AI custom?
Depinde de cine o pune pe piață și sub ce nume. Dacă aplicația rulează intern sau e oferită clienților sub brandul vostru, există risc real să fiți încadrați ca furnizor. E una dintre cele mai importante analize de făcut în scris înainte de august.
Sistemul nostru de recrutare cu AI e high-risk?
Aproape sigur da — recrutarea, promovarea și evaluarea angajaților sunt explicit listate în Anexa III. Obligațiile specifice au fost extinse până la 2 decembrie 2027, dar pregătirea (inventar, documentație, supraveghere umană) merită începută acum.
Ce înseamnă obligația de „alfabetizare AI"?
Angajații care operează sau folosesc sisteme AI trebuie să aibă un nivel suficient de înțelegere: ce poate și ce nu poate sistemul, cum se verifică rezultatele, ce riscuri există. Obligația e în vigoare din februarie 2025.
Trebuie marcat conținutul generat de AI?
Da, de la 2 decembrie 2026. Textele, imaginile, audio și video generate sau modificate substanțial de AI trebuie marcate ca atare, într-un format detectabil tehnic.
Cum interacționează AI Act cu GDPR?
Se aplică în paralel, nu se înlocuiesc. GDPR guvernează datele personale procesate de sistemele AI; AI Act guvernează sistemul în sine. Un audit serios le verifică împreună.
Cât durează realist conformarea pentru un IMM?
Pentru o firmă care e doar deployer: 2–6 săptămâni. Pentru firme cu produse AI proprii sau sisteme high-risk: 2–4 luni, deci startul în iunie e deja târziu, dar fezabil.