Regulamentul UE privind IA: termen 2 august 2026 pentru sistemele cu risc ridicat
Regulamentul (UE) 2024/1689 privind inteligenta artificiala ajunge la un moment-cheie pe 2 august 2026: obligatii complete pentru sistemele IA cu risc ridicat. Ghid practic pentru furnizori si utilizatori din Romania.
Regulamentul european privind IA: moment decisiv la 2 august 2026
Regulamentul (UE) 2024/1689 — cunoscut drept "AI Act" sau "Regulamentul privind IA" — a intrat in vigoare pe 1 august 2024 si se aplica etapizat. Urmatoarea bariera majora este 2 august 2026, data la care devin pe deplin aplicabile obligatiile pentru sistemele IA cu risc ridicat enumerate in anexa III. Acest ghid explica ce se schimba, cine este afectat si ce pasi concreti trebuie facuti pana la vara.
De ce se aplica regulamentul direct in Romania
Regulamentul este un act normativ al UE cu aplicabilitate directa in toate cele 27 de state membre — fara transpunere nationala. In Romania, obligatiile se aplica automat, indiferent de stadiul unui eventual act normativ intern de implementare.
Regulamentul are si efecte extrateritoriale (art. 2): daca sistemul dumneavoastra IA este plasat pe piata UE, utilizat in UE sau daca rezultatul sau este folosit in UE, sunteti acoperit chiar daca societatea este inregistrata in afara Uniunii.
Calendarul de aplicare (art. 113)
- 2 februarie 2025: practicile interzise (art. 5) si obligatiile de alfabetizare IA (art. 4, "AI literacy").
- 2 august 2025: guvernanta, obligatii pentru modelele IA de uz general (GPAI), regimul sanctiunilor.
- 2 august 2026: obligatii complete pentru sistemele cu risc ridicat din anexa III — subiectul acestui articol.
- 2 august 2027: sisteme cu risc ridicat incorporate in produse deja reglementate (anexa II: dispozitive medicale, masini, jucarii etc.).
Ce inseamna "risc ridicat" conform anexei III?
Anexa III identifica opt domenii in care IA este considerata cu risc ridicat:
- Biometrie: identificare la distanta, categorizare biometrica, recunoasterea emotiilor (exceptand scopuri medicale si de siguranta).
- Infrastructuri critice: gestionarea traficului rutier, alimentarea cu apa, gaz si energie electrica.
- Educatie si formare profesionala: admitere, evaluarea examenelor, detectarea fraudei la examene.
- Ocuparea fortei de munca si gestionarea lucratorilor: trierea CV-urilor, evaluarea performantei, alocarea sarcinilor.
- Accesul la servicii esentiale publice si private: scoring de credit, tarifarea asigurarilor de viata si de sanatate, triaj de urgenta, eligibilitate pentru beneficii publice.
- Aplicarea legii.
- Migratie, azil, controlul frontierelor.
- Administrarea justitiei si procesele democratice.
Obligatii pentru furnizori (art. 8 - 22)
- Sistem de management al riscului pe intregul ciclu de viata (art. 9).
- Guvernanta datelor: calitate, reprezentativitate, diminuarea biasului (art. 10).
- Documentatie tehnica si jurnalizare automata (art. 11 si 12).
- Transparenta si instructiuni de utilizare clare (art. 13).
- Supraveghere umana efectiva (art. 14).
- Acuratete, robustete, securitate cibernetica (art. 15).
- Evaluare a conformitatii si marcaj CE inainte de punerea pe piata.
- Inregistrare in baza de date UE pentru sistemele IA cu risc ridicat.
Obligatii pentru utilizatori (implementatori, art. 26)
Daca organizatia dumneavoastra utilizeaza un sistem IA cu risc ridicat furnizat de un tert — de exemplu, un instrument HR pentru preselectie candidatilor sau un motor de scoring pentru credite —, deveniti utilizator (deployer). Obligatiile includ:
- Utilizarea sistemului conform instructiunilor furnizorului.
- Asigurarea unei supravegheri umane efective de catre personal competent si instruit.
- Monitorizarea datelor de intrare aflate sub controlul dumneavoastra pentru relevanta si reprezentativitate.
- Pastrarea jurnalelor generate automat cel putin 6 luni.
- Informarea persoanelor afectate atunci cand fac obiectul unor decizii bazate pe sistem.
- Realizarea, dupa caz, a unei evaluari a impactului asupra drepturilor fundamentale (FRIA) conform art. 27 — obligatorie pentru autoritatile publice si pentru entitatile din sectorul bancar si al asigurarilor in contextul bonitatii si al tarifarii riscurilor.
Sanctiuni (art. 99)
- Pana la 35 milioane EUR sau 7% din cifra de afaceri anuala mondiala pentru practicile interzise (art. 5).
- Pana la 15 milioane EUR sau 3% pentru alte incalcari (risc ridicat, GPAI, transparenta).
- Pana la 7,5 milioane EUR sau 1% pentru furnizarea de informatii incorecte autoritatilor.
IMM-urile si start-up-urile beneficiaza conform art. 99 alin. (6) de plafonarea la valoarea cea mai mica dintre cele doua (procent sau suma fixa).
Autoritati de supraveghere in Romania
Fiecare stat membru trebuie sa desemneze o autoritate de supraveghere a pietei si o autoritate pentru drepturi fundamentale. Pentru Romania, arhitectura se contureaza in jurul urmatoarelor institutii:
- ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal) — pentru sistemele IA care proceseaza date personale si pentru aplicatiile biometrice.
- ANCOM si ADR — posibile roluri de coordonare pentru piata si pentru digitalizarea sectorului public.
- Autoritati sectoriale: BNR si ASF pentru credit si asigurari, Ministerul Muncii pentru IA in HR si evaluare, Ministerul Educatiei pentru IA in invatamant.
- La nivel UE, AI Office (Comisia Europeana, DG CONNECT) supravegheaza furnizorii de modele IA de uz general (GPAI).
Un act normativ intern de implementare/coordonare se afla inca in consultare. Obligatiile materiale ale regulamentului se aplica insa indiferent de adoptarea acestuia.
Relatia cu GDPR si cu alte reglementari
Regulamentul IA nu inlocuieste GDPR — il completeaza. Pentru sistemele IA cu risc ridicat care prelucreaza date personale, cele doua cadre trebuie respectate in paralel:
- DPIA (art. 35 GDPR) si FRIA (art. 27 Regulament IA) pot fi realizate integrat.
- Obligatiile de informare (art. 13/14 GDPR) si de transparenta (art. 26 alin. 11 Regulament IA) se suprapun si trebuie armonizate.
- Drepturile persoanelor vizate (acces, stergere, opozitie) raman exercitabile prin GDPR; Regulamentul IA adauga dreptul la explicarea deciziilor individuale (art. 86).
Focus: propunerea franceza Darcos din 8 aprilie 2026
Pe 8 aprilie 2026, senatorul francez Laurent Darcos a depus in Senat o propunere legislativa care vizeaza protectia drepturilor de autor si a drepturilor conexe fata de IA generativa. Masurile vizate:
- Transparenta extinsa asupra datelor de antrenament.
- Un standard tehnic pentru mecanismul de opt-out prevazut in art. 4 al Directivei (UE) 2019/790.
- Remuneratie pentru autorii si artistii interpreti ale caror opere au fost folosite la antrenarea IA.
Pentru Romania, demersul este relevant pentru ca Legea 8/1996 privind dreptul de autor transpune deja Directiva 2019/790 (inclusiv art. 98^1 si 98^2 privind exceptia TDM si opt-out-ul), iar art. 53 al Regulamentului IA obliga furnizorii de modele GPAI sa publice un rezumat suficient de detaliat al continutului folosit la antrenament si sa implementeze o politica de respectare a dreptului de autor UE. Propunerea Darcos poate genera initiative similare in alte state membre — inclusiv Romania — pentru consolidarea practica a opt-out-ului si a remuneratiei autorilor.
Foaie de parcurs practica pana la 2 august 2026
Pentru furnizori
- Cartografiati produsele IA in raport cu anexa III.
- Finalizati managementul riscului, documentatia tehnica, jurnalizarea si guvernanta datelor.
- Planificati procedura de evaluare a conformitatii (control intern conform art. 43 sau evaluare de terta parte).
- Pregatiti instructiunile de utilizare si declaratia UE de conformitate.
Pentru utilizatori (deployeri)
- Auditati aplicatiile IA deja in uz (HR, scoring, detectie frauda, chatboti cu impact decizional).
- Solicitati fiecarui furnizor declaratia UE de conformitate, marcajul CE, instructiunile de utilizare si — pentru sectoarele sensibile — informatiile necesare pentru FRIA (art. 27).
- Integrati FRIA cu DPIA-ul existent.
- Instruiti personalul — "alfabetizarea IA" este obligatorie de la 2 februarie 2025 (art. 4).
Pentru autori si detinatori de drepturi
- Exercitati opt-out-ul de la TDM (art. 98^1 din Legea 8/1996, care transpune art. 4 din Directiva 2019/790) folosind semnalele tehnice disponibile: robots.txt, metadate, ai.txt.
- Documentati-va canalele de publicare si portofoliul de opere.
- Urmariti evolutia propunerii Darcos in Franta si a initiativelor similare la nivel national pentru eventuale noi drepturi de remuneratie.
Cum va ajuta DroitAI
DroitAI acopera cadrul european si national relevant (Regulament 2024/1689, GDPR, Legea 8/1996, Directiva 2019/790). Puteti:
- Verifica daca un sistem concret intra sub anexa III.
- Analiza clauza cu clauza un contract de furnizare IA.
- Redacta o notificare de opt-out sau o somatie pentru utilizarea neautorizata a operelor in antrenarea unor modele IA.
Intervalul pana la 2 august 2026 este fereastra reala pentru a transforma principiile generale in documente concrete de conformitate.