1. Home
  2. Legal
  3. Inteligența Artificială și Protecția Datelor: Apel pentru o aplicare fermă a GDPR în era algoritmică

Inteligența Artificială și Protecția Datelor: Apel pentru o aplicare fermă a GDPR în era algoritmică

Legal   
Inteligența Artificială și Protecția Datelor: Apel pentru o aplicare fermă a GDPR în era algoritmică
Parteneri Profit.ro
Parteneri Profit.ro

Autor: Cristina Săvulescu, Head of Whistleblowing & GDPR Bradu Neagu & Asociații

În contextul dezvoltării exponențiale a inteligenței artificiale (IA), aplicarea riguroasă a Regulamentului General privind Protecția Datelor (RGPD/GDPR) devine mai importantă ca niciodată. Apariția unor sisteme algoritmice avansate – de la recunoaștere facială la chatbot-uri conversaționale – a generat beneficii inovative, dar și riscuri semnificative pentru viața privată și drepturile fundamentale. Lansarea serviciilor de IA generativă precum ChatGPT(considerată cea mai rapid adoptată aplicație din istorie) a declanșat o atenție sporită din partea autorităților de reglementare, evidențiind necesitatea ca principiile GDPR să fie aplicate strict în era algoritmică. Astfel, Uniunea Europeană își consolidează cadrul legislativ (prinpregătirea AI Act-ului) și își orientează autoritățile de supraveghere spre o cooperare sporită pentru a asigura respectarea normelor de protecție a datelor în dezvoltarea și utilizareasistemelor de IA.

Urmărește-ne și pe Google News

Riscurile IA pentru protecția datelor

Implementarea pe scară largă a sistemelor de inteligență artificială ridică o serie de riscuri intrinseci pentru protecția datelor cu caracter personal. Dintre cele mai importante, se remarcă:

  • Colectarea masivă de date și legalitatea prelucrării – Multe modele de IA se antrenează pe volume uriașe de date (inclusiv date personale) prelucrate în mod automat, uneori fără temei legal adecvat sau fără informarea și consimțământul persoanelor vizate. De exemplu, există tendința de a utiliza cantități enorme de date personale în faza de antrenare a algoritmilor, uneori fără știrea sau acordul indivizilor ale căror date sunt utilizatedataprotection.ie. Acest lucru contravine principiilor de legalitate, echitate și transparență impuse de GDPR.
  • Lipsa transparenței și explicabilității – Algoritmii complexi (în special modelele machine learning de tip black box) fac dificil pentru operatori să explice în mod inteligibil modul în care iau decizii sau prelucrează datele. Această opacitate îngreunează exercitarea drepturilor persoanelor vizate și contravine obligațiilor de informareprevăzute de GDPR (art. 13-14). Autoritățile subliniază că atât în etapa de dezvoltare, cât și în cea de implementare, operatorii trebuie să asigure transparența – inclusiv explicarea logicii din spatele deciziilor automatizate – pentru a respecta RGPD și a menține încrederea publicului.
  • Inexactitate și BIAS al datelor – Calitatea datelor de intrare influențează direct calitatea rezultatelor IA. Datele de antrenare eronate, incomplete sau prejudiciate pot genera erori factuale și prejudecăți sistematice în deciziile algoritmilor, afectând persoane sau grupuri. În cazul ChatGPT, de pildă, autoritatea italiană a constatat că informațiile furnizate pot fi inexacte și nu corespund datelor reale, încălcând principiul exactității (art. 5(1)(d) GDPR). Totodată, BIAS-ul algoritmic poate conduce la discriminări ilegale, ceea ce intră în conflict atât cu RGPD (principiul echității), cât și cu alte norme privind nediscriminarea.
  • Stocare nedefinită și reutilizare neprevăzută a datelor – Modelele de IA pot reține volume mari de date pe perioade lungi, uneori peste limitele necesității, încălcând principiul limitării stocării din GDPR. Mai mult, datele personale folosite inițial pentru antrenarea unui model ar putea fi reutilizate ulterior în contexte noi, fără ca persoanele vizate să fie conștiente sau de acord. De exemplu, un model IA antrenat pe date personale poate fi partajat sau vândut către terți, care îl folosesc în alte scopuri, expunând datele la prelucrări neanticipatedataprotection.ie. Aceasta contravine atât principiului limitării scopului, cât și obligației de a obține un temei legal nou pentru utilizări secundare.
  • Impactul asupra copiilor și grupurilor vulnerabile – Fără măsuri de protecție adecvate, IA poate expune minorii la riscuri grave. Un exemplu este aplicația Replika, un chatbot AI folosit ca “prieten virtual”: în februarie 2023, Garante (autoritatea italiană) a constatat că lipsa verificării vârstei a permis accesul minorilor la interacțiuni nepotrivite și la prelucrări de date fără consimțământul părinților. De asemenea, ChatGPT a fost temporar blocat în Italia deoarece nu avea un mecanism eficient de restricționare a accesului pentru cei sub 13 ani. Protejarea copiilor în mediile AI este esențială, iar nerespectarea cerințelor GDPR privind consimțământul părinților și minimizarea datelor despre minoripoate atrage sancțiuni severe.
  • Decizii automatizate cu efect juridic sau similar semnificativ – Tot mai multe organizații folosesc IA pentru profilare și luarea de decizii automatizate (de ex., filtrarea CV-urilor, acordarea de credite, evaluări de risc) care pot afecta semnificativ indivizii. GDPR (art. 22) interzice deciziile bazate exclusiv pe prelucrări automatizate care produc efecte juridice sau semnificative asupra persoanelor, în absența garanțiilor (cum ar fi consimțământul explicit sau necesitatea contractuală, plus dreptul la intervenție umană). Utilizarea IA în astfel de scopuri ridică întrebări privind legalitatea (există temei valid sau excepție aplicabilă?), precum și obligația de a oferi o posibilitate de intervenție umană și de a realiza o evaluare de impact asupra protecției datelor (DPIA) înainte de implementare. Nerespectarea acestor cerințe poate constitui o încălcare gravă a RGPD – de exemplu, o autoritate de supraveghere din UE a amendat o bancă pentru decizii automate de creditare fără evaluare prealabilă și fără informarea corespunzătoare a clienților (caz ipotetic ilustrativ).

În esență, riscurile IA în sfera datelor personale decurg din volumul și complexitatea prelucrărilor, care pot scăpa controlului tradițional al individului asupra datelor sale. Aceste riscuri impun o aplicare fermă a principiilor GDPR – legalitate, transparență, echitate, minimizare, acuratețe, limitare la scop și stocare – încă din faza de concepere a sistemelor IA (privacy by design). Autoritățile subliniază că dezvoltarea IA este compatibilă cu protecția datelor numai dacă aceste principii sunt respectate riguros: “dezvoltarea sistemelor de IA este compatibilă cu provocările protejării vieții private… doar astfel cetățenii își vor putea pune încrederea în aceste tehnologii”. Pentru operatori, aceasta se traduce în obligația de a identifica și mitiga riscurile prin măsuri tehnice și organizatorice adecvate (inclusiv evaluări de impact și audituri periodice), asigurând totodată posibilitatea exercitării drepturilor persoanelor vizate (acces, ștergere, opoziție etc.) chiar și în contexte algoritmice complexe.

Exemple recente de enforcement în domeniul IA

Autoritățile europene de protecție a datelor au demonstrat, în ultimii ani, o abordare fermă și proactivă în sancționarea abuzurilor și încălcărilor GDPR legate de sisteme bazate pe IA. Mai jos sunt prezentate câteva cazuri relevante și exemplare, care ilustrează tendința de enforcement și servesc drept lecții pentru industria tehnologică:

Clearview AI – Un caz emblematic privind recunoașterea facială și colectarea masivă de date biometrice fără consimțământ. Clearview AI, o companie americană, a „extras” (scraping) peste 20 de miliarde de imagini de pe internet (inclusiv de pe rețele sociale) pentru a-și construi un instrument de identificare facială, vândut apoi autorităților de aplicare a legii. Această practică a fost considerată o încălcare flagrantă a GDPR în multiple jurisdicții UE: autoritatea italiană (Garante) a amendat Clearview cu 20 de milioane € și i-a interzis orice prelucrare ulterioară a datelor persoanelor din Italia, dispunând și ștergerea tuturor datelor colectate ilegal. În mod similar, autoritatea franceză (CNIL) a aplicat în octombrie 2022 o amendă maximă de 20 de milioane € și a somat compania să șteargă datele cetățenilor francezi din baza sa de date. Pentru nerespectarea acestor ordine, CNIL a impus ulterior penalități suplimentare de 5,2 milioane € (mai 2023). Și alte autorități, precum ICO din Marea Britanie și autoritatea elenă, au sancționat Clearview, totalizând zeci de milioane de euro amenzi la nivel european. Cazul Clearview evidențiază că prelucrarea de imagini faciale (date biometrice sensibile) fără un temei legal valid și fără informarea persoanelor vizate este considerată ilegală – iar faptul că operatorul era extra-UE nu l-a scutit de răspundere, RGPD având efect extraterritorial (art. 3(2)). Mesajul transmis de autorități este clar: tehnologiile de supraveghere biometrică în masă, dacă încalcă drepturile la viață privată, vor fi sancționate drastic, pentru a proteja cetățenii de o „societate a monitorizării” incompatibilă cu valorile europene.

OpenAI – ChatGPT – Apariția modelului lingvistic generativ ChatGPT (lansat de OpenAI) a testat limitele aplicării GDPR la IA generativă și a declanșat primele acțiuni coordonate la nivel european. În martie 2023, după un incident de breșă de securitate care a expus datele unor utilizatori, autoritatea italiană de protecție a datelor a emis un ordin urgent prin care a suspendat temporar ChatGPT în Italia. Garante a invocat mai multe încălcări prezumate ale RGPD de către OpenAI: lipsa informării adecvate a utilizatorilor și persoanelor ale căror date au fost colectate (încălcarea art. 13-14), absența unui temei legal pentru prelucrarea datelor personale în scopul antrenării algoritmului (nu s-a putut invoca interesul legitim în acest context), inexactitudinea datelor prelucrate (modelul furnizând adesea informații eronate despre persoane) și neimplementarea unui mecanism de verificare a vârstei (permițând accesul minorilor sub 13 ani la conținut potențial inadecvat). Acesta a fost primul caz de restricționare a unui serviciu de IA la nivel național pe temeiul protecției datelor, marcând o abordare curajoasă a Garante, care a dat companiei un termen de 20 de zile să remedieze deficiențele.

OpenAI a răspuns prin implementarea rapidă a unor măsuri: a actualizat politicile de confidențialitate și informările pentru utilizatori, a introdus un formular prin care persoanele (inclusiv non-utilizatorii) pot solicita ștergerea datelor lor din setul de antrenament, și a implementat un filtru de vârstă (auto-declarativ) pentru a bloca accesul minorilor ca urmare, la 28 aprilie 2023, autoritatea italiană a ridicat interdicția, permițând reluarea ChatGPT în Italia, condiționat de respectarea în continuare a planului de conformare convenit. Acest plan includea, între altele, realizarea unei campanii de informare publică în Italia despre modul de funcționare a ChatGPT și modul în care sunt folosite datele pentru antrenarea algoritmilor – o măsură inedită, menită să sporească transparența față de public.

În paralel, alte autorități europene au demarat acțiuni similare: de exemplu, autoritatea spaniolă (AEPD) a deschis în aprilie 2023 o investigație propriu-zisă asupra OpenAI privind potențiale încălcări ale RGPD, Spania devenind a doua țară care a inițiat formal o anchetă în acest sens. Totodată, AEPD a solicitat Comitetului European pentru Protecția Datelor (EDPB/CEPD) să pună subiectul ChatGPT pe agenda europeană – inițiativă care a condus la constituirea unui task force la nivelul EDPB pentru coordonarea acțiunilor autorităților privitor la instrumentele de IAgenerativă.

Investigația italiană asupra ChatGPT s-a finalizat în decembrie 2024, când Garante a anunțat rezultate importante: OpenAI a fost sancționată cu o amendă de 15 milioane € pentru încălcarea GDPR. Autoritatea a concluzionat că OpenAI a prelucrat datele personale ale utilizatorilor (și ale altor persoane, extrase din surse online) fără un temei legal adecvat pentru antrenarea algoritmului și cu nerespectarea obligațiilor de transparență față de persoane. De asemenea,s-a reținut eșecul implementării unui sistem robust de verificare a vârstei, expunând minorii la conținut nepotrivit. Pe lângă amendă, Garante a impus OpenAI obligația de a derula timp de 6 luni o campanie pe canalele mass-media din Italia pentru a educa publicul cu privire la modul de colectare și utilizare a datelor de către ChatGPT – măsură menită să îmbunătățeascătransparența și conștientizarea publicului. OpenAI a anunțat că va contesta sancțiunea, pe care o consideră „neproporțională”, subliniind totodată că a luat măsuri de conformare și că veniturile sale din Italia au fost modeste comparativ cu cuantumul amenzii. Cazul ChatGPT confirmă faptul că modelele IA care prelucrează masiv date personale intră sub incidența directă a RGPD, iar inovația nu scutește companiile de obligațiile legale fundamentale: transparență, consimțământ (ori alt temei valid), protejarea minorilor și securitatea datelor.

Replika – Un alt exemplu relevant este intervenția autorităților față de chatbot-urile AI destinate interacțiunii cu utilizatorii, care pot prelucra date sensibile și afecta categorii vulnerabile. Replika este o aplicație AI ce oferă utilizatorilor un “prieten virtual” cu care pot conversa liber, inclusiv pe teme intime. În februarie 2023, Garante (Italia) a emis o măsură de urgență prin care a interzis Replika să prelucreze datele personale ale utilizatorilor din Italia. Decizia a venit în urma plângerilor privind impactul negativ asupra minorilor (care puteau accesa aplicația și primi răspunsuri nepotrivite vârstei lor) și a constatării că Replika prelucra date sensibile (emoții, stări psihologice) fără vreun temei legal sau mecanisme de consimțământ corespunzătoare. Autoritatea italiană a considerat că un astfel de serviciu, deși bazat pe IA inovatoare, nu poate funcționa într-un vid de responsabilitate legală: operatorul are obligația să respecte RGPD încă din faza de proiectare, prin asigurarea filtrării utilizatorilor minori, informarea clară a adulților cu privire la modul în care conversațiile lor sunt stocate și utilizate, și obținerea consimțământului explicit dacă sunt prelucrate categorii speciale de date (de ex. date privind sănătatea mintală inferabile din discuții). Cazul Replika subliniază că ”experimentarea” cu IA pe utilizatori reali, fără protecții, atrage intervenția promptă a autorităților pentru a preveni potențiale abuzuri emoționale sau de confidențialitate, mai ales când sunt implicați minori.

X (fostul Twitter) – Rețelele sociale reprezintă un teren bogat în date personale folosite pentru antrenarea algoritmilor IA, iar practicile de colectare și utilizare a acestor date sunt atent monitorizate de autorități. Un exemplu recent vizează platforma X/Twitter și planurile sale de a folosi postările publice ale utilizatorilor pentru a antrena modele de inteligență artificială (inclusiv propriul model denumit Grok). În iulie 2024, sub noua conducere, X a modificat politica de confidențialitate astfel încât utilizatorii din UE ar fi trebuit să renunțe explicit (opt-out) dacă nu doreau ca postările lor publice să fie folosite de companie în scop de antrenare IA. Autoritatea irlandeză (DPC), fiind autoritatea principală pentru X în UE, și-a exprimat îngrijorarea că o asemenea prelucrare masivă a datelor utilizatorilor europeni ar putea încălca RGPD (mai ales principiile legalității și transparenței). DPC a inițiat o acțiune de urgență și a sesizat Curtea Supremă din Irlanda, argumentând că aceste schimbări ar putea viola drepturile la viață privată ale cetățenilor. În august 2024, s-a ajuns la un acord fără precedent: X a consimțit să suspende orice colectare și utilizare a datelor utilizatorilor din UE pentru antrenarea IA . Practic, companiaa promis să nu mai includă tweet-urile cetățenilor europeni în seturile de date pentru modelul său Grok, decât dacă ar obține consimțământul acestora.

DPC a salutat acest rezultat, subliniind că drepturile utilizatorilor din UE au fost protejate. Cu toate acestea, cazul nu s-a încheiat aici. Autoritatea irlandeză a ridicat problema în cadrul EDPB, solicitând o poziție unitară la nivel european cu privire la legalitatea folosirii postărilor publice din social media pentru antrenarea IA. EDPB a fost sesizat să determine dacă acțiunile X au constituit sau nu o încălcare a RGPD (procedură conform art. 64-65 GDPR). Totodată, organizația NOYB a depus plângeri separate în mai multe țări împotriva xAI (compania soră care dezvoltă Grok), acuzând încălcarea a 16 articole din legislația UE privind confidențialitatea. X a catalogat ordinul DPC drept „nejustificat și care discriminează platforma față de alte companii ce fac scraping”, invocând faptul că multe companii de IA extrag date de pe internet. Indiferent de aceste obiecții, cazul X/Twitter demonstrează că autoritățile europene sunt dispuse să recurgă la măsuri legale imediate pentru a preveni prelucrări masive de date fără bază legală, forțândchiar giganți tehnologici să se conformeze. De asemenea, evidențiază importanța cooperării între autorități la nivel UE, pentru a aborda uniform astfel de practici ce afectează utilizatori în multiplețări.

Meta (Facebook/Instagram) – Marile platforme de social media și tehnologie au fost și ele forțate să își adapteze modele de afaceri ca urmare a enforcement-ului GDPR, mai ales în ceea ce privește profilarea algoritmică pentru publicitate țintită și transferurile internaționale de date – aspecte strâns legate de utilizarea IA în personalizarea serviciilor. Un punct de cotitură l-a reprezentat decizia din ianuarie 2023 a Comisiei pentru Protecția Datelor din Irlanda (DPC) în colaborare cu EDPB, referitoare la legalitatea anunțurilor personalizate livrate de Meta pe Facebook și Instagram. În urma unor plângeri strategice (formulate de organizația NOYB a activistului Max Schrems), s-a constatat că Meta a forțat consimțământul utilizatorilor pentru publicitate comportamentală, ascunzând de fapt prelucrarea datelor sub pretextul “necesității pentru executarea contractului” (acceptarea termenilor de utilizare). EDPB a stabilit printr-o decizie obligatorie că această practică este ilegală – personalizarea reclamelor nu este necesară pentru furnizarea serviciului contractual de rețea socială, ci reprezintă o prelucrare separată ce necesită un alt temei legal (practic, consimțământ explicit). Ca urmare, DPC a emis decizia finală prin care a amendat Meta cu 390 de milioane € (210 milioane pentru Facebook și 180 milioane pentru Instagram) și a ordonat companiei să își alinieze prelucrările la cerințele RGPD în termen de 3 luni. Această sancțiune majoră a forțat Meta să renunțe, treptat, la modelul bazat pe “contract” pentru reclame personalizate în UE – la sfârșitul lui 2023 Meta anunțând opțiuni de opt-out din publicitatea targetată și intenția de a solicita consimțământul utilizatorilor europeni pentru astfel de prelucrări de date.

Tot în cazul Meta, o altă acțiune de răsunet a vizat transferurile transatlantice de date (problema conformității cu RGPD a transferului datelor europenilor către SUA, în urma invalidării mecanismului Privacy Shield prin decizia Schrems II a CJUE). După un lung proces de investigare și coordonare între autorități, în mai 2023 DPC Irlanda – obligată de EDPB prin procedura de rezolvare a litigiilor – a aplicat companiei Meta Platforms o amendă record de 1,2 miliarde €, cea mai mare amendă GDPR de până acum. Sancțiunea a fost justificată de gravitatea încălcării: Meta a continuat să transfere către SUA datele personale ale utilizatorilor Facebook din UE, în mod sistematic și repetitiv, fără garanții adecvate, încălcând art. 46 din RGPD. De asemenea,companiei i s-a impus să suspende orice transfer viitor și să aducă operațiunile în conformitate cu capitolul V al RGPD (protecția datelor transferate în afara SEE) în maximum 6 luni. Președinta EDPB, Andrea Jelinek, a subliniat semnificația acestui rezultat: “Amenda fără precedent este un semnal puternic că încălcările serioase au consecințe de amploare”. Mesajul către industrie este că nici măcar corporațiile globale nu sunt mai presus de legea europeană a datelor – dimpotrivă, cu cât volumul de date și impactul asupra cetățenilor este mai mare, cu atât mai fermă va fi reacția autorităților. Cazul Meta evidențiază că respectarea cerințelor de protecție a datelor trebuie integrată în modul de operare al algoritmilor de business, fie că este vorbade targeting comportamental sau de transferuri internaționale în rețele globale de IA.

Exemplele de mai sus, alături de multe altele (precum investigațiile asupra algoritmilor de recomandare de conținut sau a sistemelor de scor de credit bazate pe IA), confirmă o tendință clară: autoritățile UE de protecție a datelor nu ezită să aplice sancțiuni maxime și măsuri corective fără precedent atunci când tehnologiile bazate pe IA încalcă GDPR. De la amenzide ordinul sutelor de milioane de euro la ordonanțe de suspendare a serviciilor, paleta de instrumente de enforcement este utilizată din plin pentru a asigura că drepturile persoanelor sunt protejate și în era digitală algoritmică. Aceste acțiuni au un dublu rol – de sancționare a ilegalităților și de descurajare (efect de exemplu) – și transmit dezvoltatorilor și operatorilor un apel ferm: inovația trebuie să fie responsabilă, iar conformitatea cu RGPD este un minim necesar, nu un obstacol opțional.

Implicații juridice pentru operatorii de date și dezvoltatorii de IA

Enforcement-ul tot mai intens al GDPR în raport cu tehnologiile IA aduce în prim-plan o serie de implicații juridice practice pe care operatorii de date și dezvoltatorii de soluții algoritmice trebuie să le aibă în vedere. În această secțiune, analizăm principalele obligații legale și aspecte de conformare evidențiate de cazurile discutate și de ghidajele autorităților.

1. Alegerea și documentarea temeiului legal pentru prelucrare. Sistemele de IA care prelucrează date cu caracter personal (fie în faza de antrenare, fie în faza de utilizare/serviciu) trebuie să se întemeieze pe un temei juridic valid conform art. 6 GDPR. Cazurile recente arată că invocarea inadecvată a interesului legitim sau a executării unui contract va fi contestată de autorități. De exemplu, antrenarea unui model IA pe date colectate din surse publice nu se poate baza pur și simplu pe interesul comercial al dezvoltatorului, dacă afectează în mod disproporționat drepturile indivizilor (așa cum s-a stabilit în cazul Clearview AI, unde “interesul legitim” invocat de companie a fost respins). Similar, personalizarea reclamelor prin profilare nu poate fi ascunsă sub pretext contractual, ci necesită consimțământ explicit. Implicația practică este că operatorii trebuie să efectueze o analiză atentă a temeiului legal: în multe cazuri, consimțământul informat al persoanelor vizate (art. 6(1)(a)) va fi cel mai adecvat, mai ales dacă prelucrarea este invazivă sau nu este strict necesară serviciului de bază. Acolo unde se invocă interesul legitim (art. 6(1)(f)), este imperativ să se deruleze un test de balansare riguros și să se implementeze garanții (ex: opțiuni de opt-out, minimizarea datelor) pentru a trece de controlul autorităților. Totodată, dacă sunt implicate categorii speciale de date (art. 9, precum biometrie sau date privind sănătatea inferate de IA), trebuie identificată și o excepție valabilă (consimțământ explicit, interes public substanțial prevăzut de lege etc.), altfel prelucrarea este interzisă.

  1.  
  1.  

2. Respectarea principiului transparenței și informarea adecvată. Operatorii care dezvoltă sau folosesc sisteme IA trebuie să ofere informații clare, accesibile și complete despre prelucrările efectuate, așa cum cer articolele 13 și 14 GDPR. Aceasta include: ce date colectează și utilizează algoritmul, în ce scop, care este baza legală, cât timp sunt stocate datele, cui sunt divulgate (inclusiv dacă sunt partajate cu alți furnizori sau transferate în afara UE) și existența oricărui proces decizional automatizat semnificativ. Cazurile arată că absența unei asemenea transparențe este sancționată sever: OpenAI a fost amendată în principal pentru că nu a informat persoanele că le folosește datele online la antrenarea ChatGPT, iar Meta a fost sancționată deoarece termenii serviciilor nu explicau clar utilizatorilor cum le sunt prelucrate datele în scop de publicitate. Pentru a se conforma, companiile ar trebui să întocmească și să pună la dispoziție politici de confidențialitate specifice modulului IA, eventual secțiuni de FAQ explicative sau chiar instrumente interactive care să arate utilizatorilor, într-un mod inteligibil, logica generală a prelucrării algoritmice (în limitele secretelor comerciale). De asemenea, în cazul utilizării datelor colectate din surse terțe (ex. scraping de pe web), devine aplicabilă obligația de informare a persoanelor din surse indirecte (art. 14 GDPR), ceea ce presupune notificarea lor (dacă posibil) sau publicarea unor informări generale și posibilitatea de opt-out. Neîndeplinirea acestor cerințe poate duce la ordine de ștergere a datelor și amenzi (CNIL, de exemplu, a ordonat Clearview să șteargă datele cetățenilor pentru că nu i-a informat și nu le-a onorat drepturile).

3. Asigurarea drepturilor persoanelor vizate în contextul IA. Chiar dacă tehnologia este complexă, persoanele vizate nu își pierd drepturile consacrate de GDPR asupra datelor lor prelucrate de sisteme IA. Aceste drepturi includ, printre altele: dreptul de acces la datele proprii (inclusiv la datele introduse în sistem și, într-o anumită măsură, la output-urile referitoare la ele), dreptul la rectificare a datelor inexacte, dreptul la ștergere (mai ales dacă datele au fost prelucrate ilegal), dreptul la opoziție la prelucrările bazate pe interes legitim și dreptul de a nu fi supus unei decizii automatizate(în condițiile art. 22). Operatorii IA trebuie să pună în practică proceduri și mijloace tehnice pentru a facilita exercitarea acestor drepturi. De exemplu, în cazul unui model generativ, să ofere utilizatorilor și non-utilizatorilor un canal prin care pot solicita ștergerea informațiilor despre ei din setul de date de antrenament sau blocarea generării de conținut referitor la eiÎn cazul profilării pentru ads, să ofere mecanisme de opt-out ușor accesibile. Clearview AI a încălcat grav dreptul de acces și opoziție – ignorând solicitările persoanelor de a-și verifica și elimina fotografiile – lucru care a cântărit în deciziile autorităților de a impune sancțiuni și interdicții. Așadar, implementarea efectivă a drepturilor (inclusiv prin procese automatizate, acolo unde volumul de date e mare) este o obligație esențială. În plus, în contextul deciziilor automatizate, trebuie asigurată intervenția umană la cerere și posibilitatea persoanei de a-și exprima punctul de vedere sau de a contesta decizia (art. 22(3)), chiar dacă decizia inițială a fost generată de IA.

4. Realizarea de evaluări de impact (DPIA) și gestionarea riscurilor. GDPR impune efectuarea unei Evaluări a Impactului asupra Protecției Datelor (DPIA) atunci când un tip de prelucrare este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor (art. 35). Multe aplicații de IA intră în această categorie – de exemplu, utilizarea de tehnologii noi sau inovatoare, prelucrarea pe scară largă a datelor sensibile, profilarea sistematică – care apar explicit pe lista situațiilor ce necesită DPIA. Prin urmare, dezvoltatorii și operatorii ar trebui, înainte de implementarea unui sistem IA, să evalueze în mod formal riscurile la adresa datelor personale și să documenteze măsurile de atenuare. O DPIA robustă va analiza, printre altele: proporționalitatea prelucrării (este IA necesară scopului propus?), măsuri pentru reducerea volumului de date (ex. anonimizare sau sintentizarea datelor de antrenament, acolo unde este posibil), impactul potențial asupra persoanelor în caz de eroare a algoritmului, riscul de discriminare sau excludere, precum și planuri de remediere a eventualelor prejudicii. Autoritățile de supraveghere pot solicita consultare prealabilă (art. 36) dacă DPIA indică riscuri reziduale ridicate. Neefectuarea unei DPIA când era obligatorie constituie ea însăși o încălcare – de exemplu, dacă o bancă implementează un sistem AI de scoring de credit fără DPIA, autoritatea poate aplica amenzi chiar și independent de existența unui incident. În plus, abordarea de tip “privacy by design” (art. 25) impune dezvoltatorilor de IA să integreze încă din faza de proiectare măsuri de minimizare a datelor și de protecție (ex. pseudonimizarea datelor de antrenament, includerea de mecanisme de ștergere, auditabilitatea deciziilor algoritmice). Planurile de conformareprezentate de OpenAI Garante-ului – precum introducerea de opțiuni de ștergere și informare – pot fi privite ca un rezultat tardiv al unei DPIA care inițial a lipsit. Ideal, astfel de măsuri ar trebui anticipate proactiv de operatori, nu impuse reactiv de autorități după o încălcare.

5. Responsabilitatea și delimitarea rolurilor în lanțul IA. Ecosistemul IA implică adesea mai mulți actori: dezvoltatorul modelului de bază (provider), entitatea care îl customizează sau îl oferă ca serviciu către alți operatori (provider secundar sau processor), și operatorul final care îl integrează în activitatea sa (utilizator). Conform GDPR, este esențial să se stabilească corect rolurile fiecărui actor – operator de date (controller), persoană împuternicită (processor) sau operatori asociați (joint controllers) – pentru a aloca responsabilitățile privind conformitatea. De exemplu, dacă o companie folosește un serviciu AI de la un furnizor terț (cloud) care prelucrează datele clienților companiei, atunci compania este operatorul de date, iar furnizorul de IA este persoană împuternicită, necesitând un contract conform art. 28 ce impune clauze de protecție a datelor. Pe de altă parte, dacă furnizorul reutilizează datele mai multor clienți pentru a-și îmbunătăți propriul model, ar putea deveni operator în comun cu acele companii, împărțind responsabilitatea. Ghidul recent al CNIL subliniază importanța determinării regimului juridic aplicabil și a clasificării juridice a actorilor (operator vs. împuternicit) încă de la începutul proiectelor IA. Lipsa clarității în această privință poate duce la lacune de responsabilitate: de exemplu, după incidentul de securitate al ChatGPT din martie 2023, a fost neclar inițial dacă OpenAI (ca furnizor) va notifica utilizatorii finali, iar companiile care foloseau API-ul ChatGPT au trebuit și ele să evalueze dacă incidentul le afecta și obligațiile de notificare a încălcărilor. Prin urmare, toate părțile implicate într-un sistem IA trebuie să își înțeleagă și să își documenteze rolul conform RGPD, să încheie acorduri de prelucrare acolo unde este cazul și să asigure, fiecare, partea de conformare ce le revine.

6. Transferurile internaționale de date și accesul extratereștrilor. Mulți furnizori de soluții IA avansate sunt stabiliți în afara Spațiului Economic European (de exemplu, OpenAI în SUA). Conform capitolului V din GDPR, transferul datelor personale către țări terțe implică restricții și necesită asigurarea unui nivel adecvat de protecție. Cazul Meta – 1,2 miliarde € amendă subliniază consecințele nerespectării acestor reguli. Pentru dezvoltatorii de IA, implicația este că dacă antrenează modele pe date personale colectate din UE și stocate pe servere în afara UE, trebuie să aibă mecanisme legale precum clauze contractuale standard (SCC) aprobate, reguli corporatiste (BCR) sau să se asigure că destinatarul este într-o țară cu decizie de adecvare. În lipsa acestora, prelucrarea este ilegală. De asemenea, autoritățile sunt vigilente la accesul guvernamental la date – de exemplu, dacă un furnizor american de IA poate permite accesul autorităților americane la datele europenilor, acest fapt (conform jurisprudenței Schrems II) trebuie contrabalansat prin garanții suplimentare sau poate duce la interdicția utilizării serviciului respectiv în UE. Orice flux transfrontalier de date în contextul IA trebuie deci atent mapat și acoperit de clauze contractuale și evaluări case-by-case (așa-numitele evaluări de transfer, TIA). În plus, dacă se intenționează publicarea sau open-source a unui model ce conține eventual date personale (sau din care s-ar putea extrage date personale memorate), acest lucru ar echivala cu un transfer către orice destinatar global, ridicând probleme serioase de compatibilitate cu regulile GDPR.

În lumina celor de mai sus, este evident că dezvoltatorii și operatorii de IA din UE (sau care vizează persoane din UE) trebuie să includă conformitatea GDPR ca parte integrantă a strategiei lor de dezvoltare și business. Mai mult, managementul riscurilor juridice legate dedate ar trebui să fie o preocupare centrală – nu doar pentru a evita amenzi usturătoare, ci și pentru a asigura sustenabilitatea și acceptarea socială a produselor de IA. După cum arată ghidurile recente, respectarea RGPD nu este un obstacol în calea inovării, ci o condiție pentru o IA de încredere, aliniată valorilor europene. Operatorii care ignoră aceste obligații se expun nu doarsancțiunilor, ci și pierderii încrederii utilizatorilor și partenerilor, ceea ce pe termen lung poate fi la fel de dăunător ca o penalitate financiară. În schimb, cei care implementează principiile privacy by design, care documentează și justifică transparent modul în care utilizează datele și care cooperează cu autoritățile, vor fi mai bine poziționați într-un mediu legal și reputațional tot mai exigent.

Orientări recente ale autorităților UE în materie de IA și protecția datelor

Pentru a sprijini atât industria, cât și drepturile cetățenilor, autoritățile de protecție a datelor din UE au intensificat în ultimii doi ani eforturile de a clarifica regulile și bunele practici privind aplicarea GDPR în contextul IA. Aceste orientări recente oferă un cadru de conformare șievidențiază așteptările reglementatorilor. În continuare, trecem în revistă cele mai notabile inițiative și ghiduri:

  • Planul de acțiune și ghidurile CNIL (Franța) – CNIL, reputata autoritate franceză de protecție a datelor, a demarat încă din 2022 un amplu program focalizat pe IA responsabilă. În mai 2023, CNIL a publicat un plan d’action IA și a lansat consultări cu părțile interesate pentru a identifica provocările aplicării RGPD la IA. Ca rezultat, în octombrie 2023 și ulterior în iunie 2024, CNIL a emis primele recomandări oficiale privind dezvoltarea de sisteme de IA în conformitate cu RGPD. Ghidul CNILsubliniază că ”dezvoltarea sistemelor de IA poate fi conciliată cu respectul vieții private” și oferă principii și fișe practice (“AI how-to sheets”) pentru operatori. Printrerecomandările-cheie se numără:
  1. Respectarea limitării scopului: sistemele de IA trebuie dezvoltate pentru scopuri specifice și legitime, clar definite încă de la început – un scop vag de tipul “îmbunătățirea algoritmului” nu este considerat valid. Orice extindere a scopului inițial necesită reevaluare și, posibil, consimțământ nou.
  2. Minimizarea datelor: se recomandă utilizarea cât mai puținor date personale posibil la antrenarea și operarea IA. De exemplu, CNIL sugerează anonimizarea sau sintetizarea datelor ori de câte ori finalitatea poate fi atinsă astfel, reducând dependența de date personale brute.
  3. Determinarea rolurilor și responsabilităților: ghidul oferă criterii pentru a stabili cine este operator de date și cine este persoană împuternicită în diferitele configurații ale dezvoltării IA, evitând zona gri a unei prelucrări fără asumarea responsabilității.
  4. Alegerea temeiului legal potrivit: CNIL reiterează că, în multe situații de utilizare a IA (mai ales cele secundare scopului principal), consimțământul rămâne temeiul preferabil, iar atunci când se invocă interesul legitim, acesta trebuie documentat temeinic. De asemenea, se atrage atenția asupra prelucrării categoriilor speciale de date în contextul IA (de exemplu, recunoașterea emoțiilor este considerată prelucrare de date sensibile ce necesită temei special).
  5. Drepturile persoanelor: CNIL dedică recomandări modului de facilitare a drepturilor persoanelor vizate în proiectele IA. Se arată că aceste drepturi trebuie respectate atât la nivelul seturilor de date de antrenament (persoanele au dreptul să știe dacă și ce date ale lor au fost folosite) cât și la nivelul modelelor (persoanele pot solicita, de exemplu, ștergerea datelor lor dintr-un model antrenat, dacă identificarea este posibilă).
  6. Evaluări de impact: pentru proiectele de IA, CNIL recomandă realizarea timpurie a DPIA, adaptată specificului tehnologiei, și implicarea DPO-ului în toate etapele dezvoltării.

vii. Securitatea și prevenirea riscurilor: se pun în vedere măsuri de securitate cibernetică, având în vedere că modelele IA pot fi ținta unor atacuri (de tip model inversion sau membership inference care pot extrage date personale din model). Protecția împotriva accesului neautorizat și jurnalizarea accesului la datele de antrenament sunt esențiale.

Recomandările CNIL sunt însoțite de exemple concrete și studii de caz, fiind menite să ofere un reper practiccompaniilor din domeniul AI. Aceste ghiduri confirmă, în esență, interpretarea conform căreia GDPR oferă deja un cadru suficient de cuprinzător pentru a acoperi majoritatea provocărilor aduse de IA – cheia constă în aplicareaprincipiilor existente la noile contexte tehnologice. CNIL a anunțat că va continua să emită și alte seturi de “fișe” pe subiecte specifice (ex. anonimizarea în contextul IA, evaluarea și prevenirea BIAS-ului algoritmic, etc.), consolidând astfel arsenalul de compliance la dispoziția profesioniștilor.

  • Inițiativele Garante (Italia) – Deși cunoscută mai ales pentru acțiunile sale de enforcement, autoritatea italiană a oferit și ghidaj informal post-factum în urma cazurilor ChatGPT și Replika. După ridicarea blocajului asupra ChatGPT, Garante a publicat detaliile cerințelor impuse OpenAI, care pot servi drept bune practici: implementarea unui formular online prin care oricine (inclusiv non-utilizatori) să poată obiecta la utilizarea datelor lor în training, includerea unei informări dedicate în interfața serviciului despre faptul că datele conversaționale pot fi folosite la perfecționarea modelului, realizarea unei campanii de educare publică despre IA, precum și accelerarea dezvoltării unui sistem de verificare robustă a vârsteiDe asemenea, Garante a inițiat în 2023 un grup de lucru național pe IA, reunind experți pentru a elabora linii directoare privind evaluarea riscurilor IA, care se vor alinia cu viitorul regulament european. Italia subliniază importanța cooperării între autoritatea de protecție a datelor și alte autorități sectoriale (ex. Autoritatea de Concurență, Autoritatea de Comunicații) atunci când IA afectează domenii conexe, abordare care anticipează mecanismele de cooperare din AI Act.
  • Ghidul DPC Irlanda privind IA și LLM – Ca autoritate responsabilă de supravegherea marilor companii tehnologice, DPC Irlanda a publicat la 18 iulie 2024 o analiză șighid privind „AI, Large Language Models și protecția datelor”dataprotection.ie. Documentul (sub forma unui articol pe blogul DPC) descrie într-un limbaj accesibil riscurile pe care le implică utilizarea produselor de tip LLM, atât pentru organizații cât și pentru indivizi, și oferă recomandări practice. DPC evidențiază riscuri precum:
  • Folosirea excesivă a datelor personale la antrenarea modelelor, fără cunoștința sau acordul persoanelor vizatedataprotection.ie.
  • Probleme de acuratețe și retenție a datelor – modele care pot genera conținut eronat despre persoane sau care pot reține datele introduse de utilizatori mai mult decât e necesardataprotection.ie.
  • Posibilitatea difuzării datelor personale către terți prin împărtășirea modelelor (fără ca persoanele să știe sau să consimtă la noile scopuri)dataprotection.ie.
  • BIAS și discriminare rezultate din seturi de date incomplete sau părtinitoare, care pot conduce la decizii incorecte ce afectează persoane sau grupuridataprotection.ie.
  1.  
  1.  

Pentru organizațiile care intenționează să folosească instrumente de IA, DPC recomandă o abordare diligentă: să efectueze un audit intern al datelor utilizate de instrument (ce date introducem? unde ajung aceste date? sunt stocate de furnizor? sunt folosite la retraining?)dataprotection.ie, să analizeze condițiile furnizorului (dacă acesta acționează ca operator sau împuternicit, și dacă oferă garanții de confidențialitate), și să implementeze procese de control. De exemplu, DPC sugerează că dacă angajații introduc date personale ale clienților într-un serviciu gen ChatGPT, organizația devine controller și trebuie să asigure respectarea GDPR – eventual prin politici care să interzică introducerea datelor sensibile sau identificabile în astfel de servicii cloud nesigure. Ghidul irlandez mai accentuează nevoia de facilitare a drepturilor persoanelor: companiile care utilizează IA trebuie să fie pregătite să răspundă dacă o persoană le cere “ce date despre mine ai introdus într-un model AI și ce ai făcut cu ele?”. În plus, DPC menționează importanța responsabilizării (accountability) – adică documentarea deciziilor legate de implementarea IA, instruirea personalului privind utilizarea etică a noilor unelte și actualizarea politicilor de protecție a datelor ale organizației pentru a reflecta eventualele prelucrări prin IA.

  • Acțiunile altor autorități europene – Numeroase autorități și organisme europene au emis în ultima perioadă declarații și recomandări pe tema IA:
  1. Comitetul European pentru Protecția Datelor (EDPB/CEPD) a demonstrat un interes crescut: după crearea Taskforce-ului ChatGPT în 2023, în februarie 2025 EDPB a decis extinderea acestuia într-un Taskforce general de enforcement privind IA. Scopul este de a asigura cooperarea între autorități în investigarea sistemelor IA și de a pregăti linii directoare comune. De altfel, în iulie 2024, EDPB a adoptat o Declarație asupra rolului autorităților de protecție a datelor în cadrul AI Act, subliniind expertiza de care acestea dispun în materie de drepturi fundamentale și recomandând ca autoritățile de protecție a datelor să fie desemnate drept autorități de supraveghere (MSA) pentru domeniile IA care implică prelucrarea datelor personale. Totodată, EDPB a insistat asupra necesității stabilirii unor proceduri clare de cooperare între viitoarele autorități de supraveghere a IA și autoritățile de protecția datelor, precum și a unei cooperări strânse între Oficiul UE pentru IA și EDPB însuși. Aceste poziții prefațează modul în care regimul GDPR și viitorul regim AI Act vor interacționa (după cum detaliem în secțiunea următoare).
  2. Autoritatea spaniolă (AEPD) a publicat încă din 2020 o ghidare detaliată privind adaptarea la RGPD a sistemelor ce încorporează IA (orientată către ingineri și responsabili IT). De asemenea, AEPD a dezvoltat instrumente gratuite, cum ar fi un generator de evaluări de impact pentru sisteme IA și o metodologie de identificare a BIAS-ului, arătând o abordare foarte practică.
  3. Autoritatea olandeză (AP) a publicat în 2023 un raport asupra impact assessment-urilor algoritmice și a recomandat includerea unor experți independenți în evaluarea sistemelor IA guvernamentale, ca parte a transparenței decizionale.
  4. ICO (Marea Britanie) – chiar dacă UK nu mai face parte din UE, experiența ICO merită menționată: ICO a emis în 2020 un amplu Ghid AI și Protecția Datelor, care rămâne un reper tehnic, abordând subiecte precum fairness, explicații pentru decizii algoritmice și machine learning security. Multe autorități din UE au valorificat aceste concepte în propriile ghiduri.
  5. Consiliul Europei (organizație distinctă de UE) lucrează la un Tratat privind Inteligența Artificială, care va include referințe puternice la respectarea protecției datelor și la rolul autorităților specializate. Opiniile și standardele europene astfel se aliniază: protecția datelor este recunoscută ca un element central al ecosistemului de guvernanță a IA.

Prin aceste orientări multiple – de la nivel național la nivelul EDPB – se conturează un set de bune practici și așteptări normative. Mesajul comun este că GDPR oferă deja principiile de bază,iar actorii din domeniul IA trebuie să operationalizeze aceste principii în designul și utilizarea sistemelor. Totodată, se pregătește terenul pentru viitorul cadru legal specific IA (AI Act), autoritățile de protecția datelor asumând un rol activ în definirea interpretărilor și sinergiilor. Pentru profesioniștii din domeniu, familiarizarea cu aceste ghiduri este esențială: ele nu doar explicitează obligațiile legale, dar oferă și soluții practice (de ex., cum să asiguri transparența algoritmică, cum să acorzi drepturi într-un model black box, ce proceduri interne să implementezi la adoptarea unui serviciu IA). O bibliografie riguroasă, prezentată la finalul articolului, reunește principalele documente – regulamente, opinii, rapoarte, decizii – care stau la baza acestor orientări și pot servi drept referință pentru studiu aprofundat.

Relația GDPR – AI Act: reglementări complementare într-un ecosistem comun

Pe măsură ce Uniunea Europeană se pregătește să adopte Regulamentul privind Inteligența Artificială (AI Act) – primul cadru juridic dedicat IA la nivel global – devine crucial săînțelegem cum va interacționa acesta cu RGPD și ce implicații practice vor decurge din coexistența celor două regimuri normative. În esență, GDPR și AI Act sunt complementare: ele abordează problematica IA din unghiuri diferite, dar converg în obiectivul comun de a asigura că dezvoltarea și utilizarea algoritmilor respectă drepturile fundamentale ale indivizilor.

Domeniul de aplicare și obiectivele: GDPR (în vigoare din 2018) este un regulament orizontal, ce acoperă orice prelucrare de date cu caracter personal, indiferent de tehnologie sau sector, având ca scop protejarea dreptului la viață privată și la protecția datelor. AI Act, aflat în faza finală de adoptare (un acord politic asupra textului a fost atins în decembrie 2023), este un regulament sectorial, centrat pe sisteme de inteligență artificială, indiferent dacă prelucrează sau nu date personale, obiectivul principal fiind de a asigura că IA este sigură, transparentă, etică și în acord cu valorile UE. AI Act clasifică sistemele de IA pe niveluri de risc (inacceptabil, ridicat, limitat, minim) și impune cerințe diferențiate: de la interdicții pentru anumite practici (ex. social scoring de către autorități publice, supraveghere biometrică în timp real în spațiul public – exceptând cazuri stricte) până la cerințe stricte de conformitate pentru sistemele high-risk (cum ar fi cele folosite în recrutare, creditare, educație, sănătate, infrastructuri critice, aplicarea legii etc.), cerințe de transparență pentru IA cu risc limitat (ex. obligativitatea de a semnala utilizatorilor când interacționează cu un chatbot sau când un conținut este generat de AI) și, în fine, coduri de conduită voluntare pentru IA de risc minim.

Suprapuneri și diferențe: În ceea ce privește aria de suprapunere, orice sistem de IA care prelucrează date personale(ceea ce în practică va fi cazul multor sisteme, mai ales a celor high-risk ce iau decizii despre persoane) va fi supus ambelor reglementări simultan. De exemplu, un algoritm de recrutare bazat pe IA este considerat high-risk de AI Act, deci trebuie să îndeplinească cerințe precum evaluarea datelor de instruire pentru a reduce BIAS-ul, păstrarea documentației tehnice, transparență față de utilizator (angajator) și notificare a candidaților că au fost evaluați de un sistem automat. În paralel, același algoritm, prelucrând CV-urile candidaților (date personale), intră sub incidența GDPR: compania care îl folosește trebuie să aibă temei legal (probabil consimțământul candidatului sau interesul legitim cu garanții), să facă DPIA, să asigure dreptul candidatului de a solicita intervenție umană în decizie (conform art. 22 GDPR) etc. Conformitatea cu AI Act nu derogă și nu garantează conformitatea cu GDPR, și viceversa – operatorii vor trebui să respecte cumulativ ambele seturi de obligații. De altfel, AI Act conține o clauză explicită că prevederile sale se aplică fără a aduce atingere normelor privind protecția datelor (articolele inițiale ale proiectului reafirmă aplicabilitatea GDPR).

Totuși, AI Act aduce în prim-plan și aspecte pe care GDPR le tratează doar implicit. De exemplu, cerința AI Act de a asigura calitatea seturilor de date folosite de sistemele high-risk (reprezentativitate, corectitudine, absența BIAS-ului sistematic) este complementară obligației GDPR de acuratețe a datelordataprotection.ie, dar merge mai departe prin a cere analiza potențialului efect de discriminare algoritmică. În mod similar, AI Act impune pentru sisteme high-risk crearea unui sistem de management al riscurilor și a unei documentații tehnice extinse (inclusiv logs de audit), aspecte ce nu sunt cerute direct de GDPR, dar care vor sprijini demonstrabilitatea conformității și sub aspect de protecție a datelor (ex. jurnalele pot servi la răspunsul cererilor de acces sau la investigarea unei breșe).

Un alt element cheie al AI Act este introducerea conceptului de Oficiu European pentru IA și a unor Autorități Naționale de Supraveghere a IA (Market Surveillance Authorities – MSA). Aceste organisme vor supraveghea respectarea AI Act (similar cu rolul autorităților de protecția datelor sub GDPR). Pentru a evita dublarea eforturilor și confuziile, s-a recunoscut necesitatea de coordonare strânsă între ele. EDPB a recomandat ca autoritățile de protecția datelor (DPAs) să fie desemnate MSA pentru domeniile de IA legate de prelucrarea datelor personale șichiar și pentru alte sisteme high-risk ce afectează drepturi ale persoanelor. De asemenea, EDPB solicită crearea unor mecanisme formale prin care Oficiul IA și EDPB (precum și viitorul Comitet AI) să colaboreze, să facă schimb de informații și să emită ghiduri comune pe subiecte deintersecție. În noiembrie 2024, EDPB a răspuns oficial unei scrisori a Oficiului IA reafirmând angajamentul de cooperare și importanța aliniamentului cerințelor. Practic, ne putem aștepta ca, odată AI Act intrat în vigoare (posibil în 2025, cu aplicare efectivă după o perioadă de grație de 2 ani), unele autorități de protecție a datelor să devină “regulatori duali” – purtând două “pălării”: una de DPA (aplicând GDPR), alta de MSA (aplicând AI Act) – cel puțin în anumite sectoare (cum ar fi aplicarea legii, justiție, managementul frontierelor, unde AI Act deja prevede explicit că DPA-urile vor fi co-regulatori). Acest lucru este logic, întrucât în aceste sectoare (și nu numai) majoritatea sistemelor IA implică procesarea unor volume mari de date personale, iar experiența DPA-urilor în a evalua impactul asupra persoanelor va fi crucială.

Implicații practice ale dualității GDPR–AI Act: Operatorii economici și entitățile publice care dezvoltă sau utilizează IA în UE vor trebui să țină cont simultan de ambele reglementări. Acest lucru implică, pe lângă cele discutate anterior pentru GDPR, și noi obligații introduse de AI Act, cum ar fi: efectuarea unei înregistrări a sistemelor high-risk într-o bază de date UE (pentru transparență publică), realizarea unei conformități tehnice (marcaj CE al IA high -risk, similar cu CE de siguranță a produselor), furnizarea de ghiduri de utilizare care să permită utilizatorilor să opereze sistemul în mod conform (inclusiv avertismente asupra limitărilor), notificarea autorităților în caz de incidente grave de IA etc. Este de notat că încălcările AI Act vor fi și ele sancționate cu amenzi considerabile (proiectul prevede sancțiuni de până la 6% din cifra de afaceri globală pentru anumite fapte grave, similar cu GDPR). Însă, acolo unde o încălcare constituie și violare a GDPR (ceea ce e probabil când e vorba de prelucrarea ilegală a datelor personale), companiile ar putea fi teoretic expuse la sancțiuni cumulate – de exemplu, un producător de IA high-risk care utilizează date biometrice fără consimțământ ar putea fi sancționat atât conform AI Act (pentru nerespectarea cerințelor de data governance), cât și conform GDPR (pentru lipsa temeiului legal la prelucrarea datelor sensibile). Rămâne de văzut în ce măsură autoritățile vor aplica un principiu de proporționalitate pentru a evita dubla sancționare pentru aceeași faptă, însă cadrul legal nu exclude sancțiuni paralele.

Pe de altă parte, AI Act oferă și oportunități de sinergie cu GDPR. De exemplu, obligația AI Act ca sistemele high-risk să fie însoțite de informații și explicații poate îmbunătăți de facto transparența cerută de GDPR, ajutând operatorii să informeze mai bine persoanele vizate asupra logicii de funcționare (un lucru dificil până acum, dată fiind opacitatea multor modele). De asemenea, cerința de risk management din AI Act se aliniază bine cu abordarea accountability din GDPR – companiile pot dezvolta un singur proces integrat de evaluare a impactului care să acopere atât riscurile “AI Act” (siguranță, nondiscriminare), cât și riscurile “GDPR” (viață privată), economisind resurse și asigurând conformitate holistică. Ideal, responsabilul cu protecția datelor (DPO) și eventual un viitor responsabil AI vor colabora pentru a crea un cadruunitar de guvernanță internă a datelor și algoritmilor.

În concluzie, relația dintre GDPR și AI Act trebuie privită ca una de complementaritate necesară. GDPR rămâne scutul de bază ce protejează datele personale și garantează drepturileindividuale, în timp ce AI Act adaugă un strat suplimentar de cerințe orientate pe produs și tehnologie pentru a aborda riscurile specifice IA (inclusiv cele care exced sfera datelor personale, cum ar fi siguranța fizică sau transparența algoritmică). Împreună, cele două reglementări vor forma un ecosistem european unic de reglementare a economiei digitale, în care inovația este permisă doar în condițiile respectului față de demnitatea umană, viața privată și valorile democratice. Operatorii și dezvoltatorii vor trebui să navigheze acest dublucadru, însă nu pornesc de la zero: experiența de conformare cu GDPR din ultimii ani le oferă deja proceduri și reflexe utile, iar noile orientări (EDPB și naționale) pun la dispoziție punți între cele două regimuri. Cooperarea strânsă între autorități (EDPB și viitorul AI Office) va asigura, sperăm, evitarea conflictelor de interpretare și emiterea de ghiduri comune, astfel încât companiile să primească un mesaj regulatoriu unitar. În mod simbolic, dacă GDPR a fost “prima etapă” în care UE a stabilit că datele personale aparțin indivizilor, AI Act va fi “a doua etapă” prin care UE afirmă că algoritmii care ne influențează viețile trebuie să se supună regulilor societății, nu invers. Iar aceste două etape se susțin reciproc.

Concluzii

În era algoritmică actuală marcată de progrese spectaculoase în inteligența artificială, de la modele generative la sisteme autonome de luare a deciziilor protecția datelor nu este un simplu obstacol birocratic, ci un pilon fundamental pentrudezvoltarea încrederii și sustenabilității noilortehnologii.

Cazurile recente – de la amenzi record aplicate companiilor care au ignorat principiile de bază ale legalității și transparenței, la intervenții rapide pentru a stopa prelucrări algoritmice periculoase – transmit un apel clarinovația tehnologică trebuie să respecte demnitatea și drepturile individului.

Astfel, GDPR nu împiedică dezvoltarea IA, ci îi trasează limitele acceptabile, asigurând că ”dacă ceva poate fi făcut cu datele, nu înseamnă neapărat că este și permis”. Dimpotrivă, aplicarea strictă a GDPR în domeniul IA este benefică pe termen lung chiar și pentru industrie, deoarece creează un climat de încredere. Atât utilizatorii, cât și societatea în ansamblu vor îmbrățișa soluțiile algoritmice doar dacă acestea vin la pachet cu garanții privind confidențialitatea, securitatea și lipsa de discriminare – elemente pe care GDPR și viitoarea reglementare IA le promovează activ.

Pentru profesioniștii din domeniul juridic și al reglementării tehnologice, provocarea majoră este de a traduce principiile legale în practici concrete: elaborarea de politici interne clare privindutilizarea datelor în IA, efectuarea regulată de evaluări de risc, consultarea DPO-ului și a echipelor de conformitate încă din faza de proiectare a produselor, precum și menținerea la zi cu ghidajele autorităților. Articolul a sintetizat orientările recente (CNIL, Garante, DPC, EDPB) – acestea trebuie privite ca instrumente de lucru indispensabile, oferind repere despre ce așteaptă autoritățile de la operatorii de IA.

Un accent deosebit trebuie pus pe implicațiile practice: de exemplu, companiile tech ar trebui să implementeze checklist-uri de conformitate GDPR înainte de lansarea unui nou model IA; instituțiile financiare sau medicale care adoptă IA high-risk ar trebui să implice echipe pluridisciplinare (juriști, eticieni, experți tehnici) pentru a valida alinierea la RGPD și AI Act; iar start-up-urile IA ar trebui să își programeze creșterea luând în calcul încă de la început cerințele de conformitate (evitând astfel costurile și reputația negativă asociate unor corecții târzii impuse de autorități).

Cooperarea la nivel european este un alt aspect esențial evidențiat. IA, prin natura sa, nu cunoaște granițe, iar o aplicare fragmentată a regulilor ar fi ineficientă. Inițiative precum Taskforce-ul EDPB pentru IA și viitorul mecanism de coordonare cu Oficiul European pentru IA vor contribui la o aplicare uniformă a GDPR în cazurile ce privesc inteligența artificială, asigurând atât predictibilitate pentru industrie, cât și protecție egală pentru cetățeni, indiferent în ce stat membru se află.

Pe măsură ce ne apropiem de aniversarea a 7 ani de la intrarea în aplicare a GDPR (25 mai 2025) – și de intrarea într-o nouă etapă odată cu adoptarea AI Act – putem spune că Europa rămâne fermă în angajamentul său de a îmblânzi revoluția algoritmică prin statul de drept. Este unefort continuu, care va necesita resurse, educație și adaptabilitate. Dar beneficiile sunt pe măsură: o piață digitală în care inovația și drepturile omului coabitează armonios, în care companiile pot prospera bazându-se pe încrederea utilizatorilor, nu pe exploatarea datelor lor, și în care cetățenii pot adopta noile tehnologii știind că există garanții solide împotriva abuzurilor.

În concluzie, apelul pentru o aplicare fermă a GDPR în era algoritmică nu este un obstacol împotriva progresului, ci condiția necesară pentru un progres durabil și etic. Prin reglementări riguroase, sancțiuni disuasive și ghidare proactivă, autoritățile europene transmit că ”high-tech” nu trebuie să devină ”wild west”. Operatorilor de date și dezvoltatorilor de IA le revineresponsabilitatea să răspundă acestui apel – integrând protecția datelor în ADN-ul fiecărui proiect și tratând respectarea vieții private nu ca pe o conformare forțată, ci ca pe un valoare de bază a produselor lor. Numai astfel, inteligența artificială își poate atinge potențialul maxim, servind societatea fără a sacrifica drepturile individuale.

Bibliografie

  • Regulamentul (UE) 2016/679 (GDPR) – Regulamentul general privind protecția datelor, aplicabil din 25 mai 2018, care stabilește cadrul legal european pentru prelucrarea datelor cu caracter personal.
  • [Propunerea de Regulament UE privind Inteligența Artificială (AI Act)] – inițiativă legislativă a Comisiei Europene COM(2021) 206, asupra căreia s-a ajuns la un acord politic în 8 decembrie 2023 (aflată în curs de adoptare formală). Vizează stabilirea unui cadru legal uniform pentru dezvoltarea și utilizarea sistemelor de IA în UE, cu un regim bazat pe evaluarea riscului al aplicațiilor de IA.
  • EDPB – Declarație privind rolul autorităților de protecție a datelor în cadrul AI Act (17 iulie 2024) – Document adoptat de Comitetul European pentru Protecția Datelor subliniind expertiza DPAs în domeniul IA și recomandând ca acestea să fie implicate direct în supravegherea viitorului regulament IA. Cere stabilirea de mecanisme de cooperare între viitorul Oficiu UE pentru IA și EDPB/DPAs, pentru a asigura aplicarea coerentă a GDPR și AI Act.
  • EDPB – Decizia de creare a Task Force ChatGPT (13 aprilie 2023) – Anunțul EDPB privind formarea unui grup de lucru dedicat coordonării investigațiilor și acțiunilor de enforcement referitoare la servicii de tip ChatGPT și, ulterior, extinderea mandatului către aplicarea generală a RGPD în contextul IA.
  • Raportul Taskforce-ului EDPB ChatGPT (24 mai 2024) – raport ce sintetizează constatările preliminare ale autorităților membre privind serviciul ChatGPT și conformitatea sa cu principiile GDPR. Evidențiază provocările privind temeiul legal pentru antrenarea modelelor, obligațiile de transparență, drepturile utilizatorilor și măsurile corective implementate de OpenAI. (EDPB, Report on the work undertaken by the ChatGPT Taskforce).
  • Decizia Autorității Italiene (Garante) în cazul ChatGPT:
  • i. Măsură provizorie 30 martie 2023 – ordinul de suspendare temporară a prelucrării datelor de către ChatGPT în Italia, invocând lipsa temeiului legal, lipsa informării și protecția insuficientă a minorilor.
  • ii. Decizie finală 20 decembrie 2024 – concluzia anchetei Garante care impune o amendă de 15 mil. € OpenAI și măsuri corective (inclusiv campanie de informare publică) pentru încălcarea art. 5, 6, 13, 14 GDPR (prelucrare ilegală și netransparentă a datelor personale la antrenarea ChatGPT, inclusiv date ale minorilor).
  • Decizia Autorității Italiene (Garante) – cazul Replika (februarie 2023) – măsură de urgență prin care se interzice aplicației Replika (chatbot bazat pe IA) prelucrarea datelor persoanelor din Italia. Motive: lipsa unui temei legal valid, risc major pentru minori și prelucrarea de categorii speciale de date fără garanții. (Comunicat Garante nr. 9870847/2023, disponibil în traducere engleză).
  • Deciziile CNIL (Franța) în cazul Clearview AI:
  • i. Deliberarea CNIL SAN-2022-019 (17 octombrie 2022) – decizie prin care CNIL sancționează Clearview AI cu amendă de 20.000.000 € și dispune încetarea colectării și ștergerea datelor persoanelor din Franța, pentru multiple încălcări GDPR: prelucrare ilegală (fără temei) a datelor biometrice și publice online, nerespectarea obligațiilor de informare și neasigurarea drepturilor de acces/ștergere.
  • ii. Decizia CNIL 2023 (mai 2023) – aplicarea unei penalități de întârziere de 5,2 mil. € Clearview, ca urmare a neconformării cu decizia din 2022 (compania nu a încetat prelucrarea și nu a șters datele, nici nu a desemnat reprezentant în UE). Confirma cooperarea CNIL cu alte autorități (Italia, Grecia, Marea Britanie) în acest caz de anvergură internațională.
  • Decizia Autorității Italiene (Garante) – cazul Clearview AI (10 februarie 2022) – Garante sancționează Clearview AI cu 20 mil. € și interzice prelucrările datelor persoanelor din Italia. Printre încălcări: lipsa unui temei legal (legitimul interes invocat de Clearview a fost respins), nerespectarea principiilor de limitare a scopului și stocării, neinformarea persoanelor vizate și neasigurarea drepturilor, precum și nerespectarea art. 27 GDPR (lipsa reprezentantului în UE).
  • Decizia DPC Irlanda – caz Meta (Facebook/Instagram) – publicitate comportamentală (4 ianuarie 2023) – decizie rezultată din mecanismul de soluționare a disputelor (Art. 65 GDPR) care confirmă că Meta a încălcat art. 5(1)(a) și art. 6 GDPR prelucrând datele utilizatorilor pentru reclame personalizate fără un temei legal adecvat. DPC a impus o amendă totală de 390 mil. € și obligarea Meta de a se conforma (oprirea prelucrării bazate pe “contract” ca temei pentru ads). (Referințe: Comunicat DPC 04.01.2023; Decizia finală DPC/EDPB 2022).
  • Decizia DPC Irlanda – caz Meta (Facebook) – transferuri internaționale (22 mai 2023) – DPC amendează Meta Platforms Ireland cu 1,2 mld. € (cea mai mare amendă GDPR de până acum) și dispune suspendarea transferurilor de date către SUA, conform deciziei obligatorii EDPB. Motivul: încălcarea art. 46 GDPR, Meta continuând transferurile pe baza SCC în pofida invalidării Privacy Shield și a riscurilor identificate de CJUE, afectând un volum masiv de date ale utilizatorilor. (EDPB News, 1.2 billion euro fine for Facebook as a result of EDPB binding decision).
  • Cazul X/Twitter – Investigația DPC privind utilizarea datelor pentru antrenarea IA (2024) – Autoritatea irlandeză a inițiat o anchetă și acțiune legală împotriva X (fost Twitter) după ce platforma a introdus clauze ce permit folosirea datelor publice ale utilizatorilor UE la antrenarea propriilor modele IA. Rezultat: X a acceptat (august 2024) să suspende permanent colectarea și utilizarea tweet-urilor utilizatorilor europeni în scop de training AI. DPC a salutat acordul ca protejând drepturile cetățenilor și a sesizat EDPB pentru o decizie privind existența unei încălcări GDPR. (Știre Euronews, 06.09.2024).
  • Orientările CNIL – “Développement de systèmes d’IA respectueux de la vie privée”:
  • i. Recomandări CNIL din 12 octombrie 2023 – setul inițial de 7 fișe “AI & GDPR” publicate de CNIL, ce confirmă compatibilitatea dezvoltării IA cu RGPD și oferă ghidaj practic: definirea scopului, minimizarea și calitatea datelor, asigurarea drepturilor, evaluarea interesului legitim, privacy by design etc.. Sublinează că dezvoltatorii trebuie să anticipeze încă din faza de concepție respectarea principiilor RGPD.
  • ii. Recomandări CNIL din 7 iunie 2024 – versiunea actualizată după consultare publică, cu exemple și clarificări suplimentare. Pune accent pe răspunderea actorilor din ecosistemul IA (identificarea operatorilor și persoanelor împuternicite) și oferă soluții pentru probleme concrete precum reutilizarea seturilor de date, testarea algoritmilor cu date reale în condiții controlate, efectuarea de DPIA etc..
  • Ghidul DPC Irlanda – “AI, Large Language Models and Data Protection” (iulie 2024) – Document explicativ al DPC ce evidențiază riscurile prelucrării datelor în contextul modelelor de limbaj mare și oferă recomandări pentru organizații și public. Identifică posibile încălcări (ex. folosirea fără cunoștință sau consimțământ a unor cantități mari de date personale la antrenaredataprotection.ie, potențiale erori și BIAS propagate de modeledataprotection.ie) și sfătuiește operatorii să verifice cu atenție condițiile furnizorilor de IA, să limiteze introducerea datelor sensibile în astfel de unelte și să asigure procese de răspuns la exercitarea drepturilordataprotection.iedataprotection.ie.
  • Comunicate și ghidaje ale altor autorități:
  • i. AEPD Spania – Ghid “Adecuación al RGPD de tratamientos con IA” (feb. 2020) – document orientativ timpuriu care abordează întrebări pe care le ridică IA în contextul protecției datelor și reamintește elementele cheie ale RGPD ce trebuie avute în vedere de către operatorii care incorporează componente de IA.
  • ii. ICO Marea Britanie – Ghid IA (2020) și AI Auditing Framework – deși neobligatorii în UE post-Brexit, aceste resurse au fost influente în conturarea standardelor privind transparența algoritmică, explicabilitatea deciziilor automatizate și guvernanța datelor în contextul IA.
  • ii. EDPS (Supervizorul European pentru Protecția Datelor) – Opinia comună EDPB-EDPS 5/2021 privind propunerea AI Act – document care a recomandat consolidarea interdicțiilor pentru practici de supraveghere în masă, interzicerea identificării biometrice în timp real și a social scoring-ului, subliniind importanța alinerii AI Act la GDPR și rolul DPAs în aplicarea acestuia.

Un material Legal Marketing

viewscnt
Afla mai multe despre
cristina săvulescu
gdpr
PROFIT TV - live și program
EVENIMENTE PROFIT.ro
Premiul CFA România pentru cea mai bună acoperire mediatică a economiei
Ultimele ştiri
De Weekend
Newsletter

Pentru o sinteza cu cele mai importante evenimente economice ale zilei te rugam sa te abonezi la

News.ro
Imagini satelitare arată cratere uriaşe la facilitatea nucleară Fordow din Iran, indicând folosirea bombelor penetrante
Imagini satelitare arată cratere uriaşe la facilitatea nucleară Fordow din Iran, indicând folosirea bombelor penetrante
Playtech.ro
Vouchere pentru facturile la curent. Cine primeşte ajutorul financiar de la stat începând din 1 iulie
Vouchere pentru facturile la curent. Cine primeşte ajutorul financiar de la stat începând din 1 iulie
Curs BNR
1 EUR5.0777 -0.0003-0.01 %
1 USD4.3329 -0.0041-0.09 %
1 GBP5.9329 -0.0254-0.43 %
1 CHF5.4345 +0.0023+0.04 %

Curs BNR oferit de cursvalutar.ro

Legal
EXCLUSIV 2025, un an de creștere pe toate planurile pentru GMCID
EXCLUSIV 2025, un an de creștere pe toate planurile pentru GMCID
mai multe
Profit este parte a
Canale TV: Prima TV Prima TV Moldova Prima News Prima Sport 1 Prima Sport 2 Prima Sport 3 Prima Sport 4 Prima Sport 5 Prima 4K Profit News TV Agro TV Medika TV Cinemaraton Cinemaraton Moldova Prima Comedy Prima History Prima World Nostalgia Tv
Site-uri: primaplay.ro primatv.ro profit.ro primanews.ro primasport.ro medikatv.ro agro-tv.ro cinemaraton.ro servuscluj.ro lookmedica.ro primaworld.ro
clever-media.ro