Dar acolo unde algoritmii înlocuiesc factorul uman, protecția datelor devine o obligație juridică nu doar o problemă etică. În era deciziilor automatizate, IA nu mai este o utopie îndepărtată a viitorului, ci a devenit o realitate actuală care influențează hotărâri cruciale, de la acordarea unui credit bancar sau selecția candidaților pentru un post, până la diagnosticarea medicală. Beneficiile de eficiență și inovație pe care le aduc aceste sisteme sunt incontestabile; totuși, ele sunt însoțite de riscuri semnificative pentru drepturile persoanelor, în special în sfera protecției datelor personale. Transferul tot mai multor decizii de la factorul uman către algoritmi opaci poate conduce la încălcarea vieții private, la discriminare ori la alte consecințe nedorite. Prin urmare, identificarea unui echilibru just între avansul tehnologic și cerințele de conformitate legală devine esențială.
Un material semnat de Săvulescu Cristina Elena – Partner | Dispute Resolution | Bradu Neagu & Asociații
Astfel, se conturează o provocare majoră pentru practicienii dreptului: reglementarea transferului autorității decizionale de la om la algoritmi, într-un mod care să mențină progresul tehnologic aliniat cu cerințele cadrului juridic și cu respectarea drepturilor fundamentale ale persoanelor.
Cadrul legal actual al protecției datelor încearcă să țină pasul cu evoluția tehnologiei. Regulamentul (UE) 2016/679 GDPR rămâne fundamentul: el stabilește principii-cheie precum legalitatea, echitatea, transparența, minimizarea datelor și confidențialitatea. Orice prelucrare a datelor personale necesită un temei legal valid (art. 6), iar categoriile speciale de date (cele sensibile) sunt strict protejate (art. 9 interzice prelucrarea lor fără un motiv legal clar ori consimțământul explicit al persoanei vizate). Un articol esențial în era deciziilor automatizate este art. 22 GDPR, care garantează persoanei dreptul de a nu fi supusă unei decizii bazate exclusiv pe prelucrare automată – inclusiv profilare – care produce efecte juridice asupra sa ori o afectează semnificativ.
Astfel de decizii automatizate „pure” sunt în principiu interzise, exceptând câteva situații limitate (de pildă, dacă decizia este necesară pentru executarea unui contract sau se bazează pe consimțământul explicit al persoanei) și chiar și atunci numai cu garanții adecvate, precum intervenția umană efectivă și posibilitatea de a contesta rezultatul.
La nivel național, Legea nr. 190/2018 (de punere în aplicare a GDPR) aduce clarificări suplimentare: impune, de exemplu, ca prelucrarea codului numeric personal (CNP) să fie însoțită de garanții tehnice și organizatorice sporite – numirea unui DPO, instruirea personalului, termene stricte de stocare etc. De asemenea, legea interzice în mod expres ca deciziile automatizate care produc efecte asupra persoanelor să se bazeze pe categorii de date sensibile, în lipsa consimțământului explicit al persoanei vizate sau a unui temei legal expres.
În 2024, Uniunea Europeană a adoptat un nou act normativ dedicat IA. Așa-numitul AI Act (Regulamentul UE 2024/1689), care se va aplica gradual din 2026, abordează sistemele de IA pe niveluri de risc și stabilește obligații diferite în funcție de aceste niveluri.
Sistemele cu risc inacceptabil, precum scoring-ul social ori supravegherea biometrică în masă, vor fi interzise. Cele cu risc ridicat, de pildă, folosite în domenii sensibile cum ar fi angajarea sau creditarea, vor fi admise numai cu condiția respectării unor cerințe stricte privind transparența, calitatea datelor, controlul uman și evaluarea periodică a algoritmilor.
Este pentru prima dată când legislația pătrunde adânc în arhitectura tehnologică: AI Act cere ca modelele de IA să fie documentate, testate riguros, auditate și supravegheate, astfel încât să respecte standarde de siguranță și etică. Scopul este să se asigure o inovație responsabilă, evitând atât vidul de reglementare, cât și excesele care ar putea sufoca progresul tehnologic.
Jurisprudența recentă confirmă importanța acestor limite legale. Un reper notabil este cauza C-634/21 OQ vs Land Hessen, cunoscută drept cazul SCHUFA. În decembrie 2023, Curtea de Justiție a UE a confirmat în această speță interpretarea strictă a art. 22 GDPR: generarea automatizată a unui scor de credit constituie o decizie automatizată interzisă dacă acel scor este utilizat pentru a refuza creditul.
Cu alte cuvinte, deciziile luate exclusiv de un algoritm, fără intervenție umană, sunt prohibite în principiu, în afara situațiilor expres permise de GDPR, și chiar și atunci persoana vizată are dreptul la o explicație inteligibilă și la intervenție umană efectivă. În România nu avem încă hotărâri judecătorești marcante pe această temă, dar autoritățile de supraveghere dau semnale că tratează cu maximă seriozitate subiectul.
În 2023, de pildă, autoritatea italiană (Garante) a blocat temporar chatbot-ul Replika, suspectat că ar încălca drepturile minorilor, iar alte autorități europene – inclusiv cea română (ANSPDCP) – au demarat investigații similare. Mesajul transmis industriei tehnologice este limpede: inovația bazată pe algoritmi nu e mai presus de lege, iar acolo unde drepturile persoanelor sunt nesocotite urmează sancțiuni.
Totuși, intersecția dintre IA și protecția datelor rămâne presărată cu numeroase provocări practice. Un prim aspect privește volumul imens de date folosite pentru antrenarea modelelor, date adesea colectate de pe internet fără un temei legal adecvat. Practici precum extragerea neautorizată de informații din mediul online (web scraping) pot conduce la încălcări grave ale vieții private.
Cazul Clearview AI este emblematic: compania a adunat, fără consimțământ, miliarde de imagini de pe internet pentru a antrena un sistem comercial de recunoaștere facială. Autoritățile europene au reacționat ferm – Clearview a primit amenzi de milioane de euro (din partea CNIL în Franța și Garante în Italia) și i s-a ordonat ștergerea datelor colectate ilegal. Astfel de practici încalcă flagrant principiile legalității și transparenței din GDPR și demonstrează că inovația tehnologică nu poate fi deasupra legii.
O altă provocare majoră ține de lipsa de transparență a algoritmilor de IA așa-numita „cutie neagră”. Adesea nici măcar operatorii nu pot explica pe deplin cum ajunge un model complex de machine learning la o anumită decizie. Această opacitate contravine obligațiilor de informare din GDPR și face dificil pentru indivizi să își exercite drepturile (precum dreptul de acces la date sau dreptul de opoziție), iar operatorilor le este aproape imposibil să dovedească respectarea principiului responsabilității.
În practică, am întâlnit cazul unui client care a fost refuzat la acordarea unui credit ipotecar pe baza unui scor determinat algoritmic – propriul său „profil digital” indica, potrivit modelului, un risc crescut. Fără nicio explicație clară și fără un interlocutor uman către care să se îndrepte, clientul s-a trezit confruntat cu o decizie luată de un calculator. Ulterior, la insistențele noastre, instituția financiară a recunoscut că hotărârea fusese luată exclusiv automat, printr-un algoritm care analiza sute de factori, de la activitatea online până la tiparele de consum.
Nimeni nu a putut explica însă cu exactitate de ce acel scor a ieșit nefavorabil. Acest exemplu real ilustrează perfect riscul lipsei de transparență: o persoană poate fi afectată serios de o decizie algoritmică, fără a putea înțelege „de ce” și fără să aibă posibilitatea efectivă de a contesta rezultatul.
Al treilea risc major este cel al bias-ului algoritmic – prejudecățile involuntare preluate din datele de antrenament. Un model de IA va reproduce tiparele din informațiile cu care este „hrănit”. Dacă datele istorice sunt incomplete sau înclinate într-o direcție, rezultatele vor fi la rândul lor părtinitoare, putând genera discriminări indirecte.
Spre exemplu, într-un caz investigat de o autoritate europeană, un algoritm folosit pentru evaluarea automată a CV-urilor favoriza candidații proveniți de la anumite universități private, în detrimentul celor din mediul rural sau cu studii la instituții publice. Modelul „învățase” din setul de date inițial că acei candidați erau angajați mai frecvent, așa că i-a punctat mai bine – perpetuând o inechitate. Nu a existat o intenție discriminatorie din partea dezvoltatorilor, însă efectul a fost real.
Soluția a constat în recalibrarea datelor de antrenament și ajustarea algoritmului, însă acest exemplu evidențiază un adevăr important: fără diligență, sistemele de IA pot amplifica prejudecățile existente în societate. Iar responsabilitatea de a preveni și corecta aceste derapaje rămâne tot la factorul uman – programatori, operatori și, în ultimă instanță, autorități de supraveghere.
Pentru a îmblânzi aceste riscuri și a îmbina inovația cu responsabilitatea, trebuie implementate garanții ferme încă din faza de proiectare a sistemelor inteligente. Principiul Privacy by design și by default trebuie să devină norma: dezvoltarea algoritmilor să integreze măsuri de protecție a datelor încă din start.
De pildă, se pot folosi pe cât posibil date sintetice sau anonimizate pentru testarea și antrenarea modelelor, iar dacă sunt necesare date personale reale, să se limiteze strict volumul acestora la ceea ce este indispensabil scopului. Configurările implicite ale aplicațiilor ar trebui orientate spre confidențialitate.
Totodată, orice sistem de IA care ia decizii cu impact semnificativ asupra oamenilor ar trebui precedat de o Evaluare de Impact asupra Protecției Datelor (DPIA, cf. art. 35 GDPR) – un proces menit să identifice din timp riscurile (discriminare, încălcarea vieții private, breșe de securitate etc.) și să asigure măsuri de prevenire adecvate.
Transparența față de persoanele afectate de deciziile automatizate este la fel de importantă. Operatorii au obligația să informeze clar când folosesc decizii automate și să explice, pe înțelesul publicului, criteriile generale pe care se bazează algoritmul. Mai mult, atunci când o hotărâre individuală este luată exclusiv automat, persoanei vizate trebuie să i se ofere posibilitatea reală de a solicita intervenție umană – adică dreptul de a obține o reevaluare sau măcar o explicație suplimentară a deciziei – și de a contesta rezultatul.
De asemenea, trebuie garantat că datele personale colectate sunt folosite strict în scopurile legitime declarate inițial, nefiind reutilizate ulterior în alte scopuri incompatibile fără un nou temei legal.
În fața deciziilor luate de sisteme de inteligență artificială, persoana vizată nu este lipsită de apărare juridică, ci beneficiază de un set complet de drepturi reglementate expres prin Regulamentul (UE) 2016/679. Potrivit art. 15 alin. (1) lit. h) GDPR, orice persoană are dreptul de a obține informații privind existența unei decizii automate, inclusiv detalii privind logica implicată și consecințele preconizate ale unei astfel de prelucrări. În cazul în care prelucrarea se bazează pe date inexacte, intervine art. 16, care conferă dreptul la rectificare, iar art. 17 permite ștergerea acestora dacă prelucrarea este ilegală sau scopul a fost atins. Conform art. 21 alin. (1), persoana se poate opune prelucrării în temeiul unui interes legitim, iar în materie de decizii automatizate, art. 22 alin. (3) consacră dreptul la intervenție umană efectivă, exprimarea punctului de vedere și contestarea deciziei.
Refuzul operatorului de a da curs acestor cereri poate fi denunțat printr-o plângere la autoritatea națională de supraveghere, în baza art. 77, sau poate constitui temei pentru o acțiune în instanță conform art. 79. Mai mult, în condițiile art. 82, persoana vizată are dreptul la despăgubiri dacă a suferit un prejudiciu ca urmare a unei prelucrări care încalcă regulamentul. Aceste mecanisme, dacă sunt valorificate eficient, transformă simpla poziție de subiect al datelor într-un cadru activ de control și remediu față de prelucrările decizionale bazate pe algoritmi.
Inteligența artificială este, fără îndoială, unul dintre cele mai puternice motoare ale inovației contemporane, cu aplicații utile în economie, administrație, sănătate sau justiție. Dar puterea de a procesa autonom volume uriașe de date implică o răspundere juridică proporțională, nu doar etică.
În acest context, protecția datelor personale nu poate fi redusă la un set de obligații formale, ci trebuie privită ca un mecanism funcțional de echilibrare între eficiență algoritmică și drepturile fundamentale ale individului. Nu este vorba despre a încetini progresul tehnologic, ci despre a-l ancora în principiile unui stat de drept.
Concret, operatorii care utilizează IA în prelucrări de date trebuie să plece de la un principiu clar: toate cerințele din GDPR se aplică integral sistemelor algoritmice, inclusiv obligația de a identifica un temei legal valid pentru fiecare scop al prelucrării (art. 6), de a limita accesul la datele strict necesare (art. 5 alin. 1 lit. c), de a furniza informații clare și inteligibile persoanei vizate (art. 13–14), dar mai ales de a evita deciziile automatizate interzise de art. 22 – cu excepțiile și garanțiile pe care le presupune acesta. În paralel, Legea 190/2018 completează cu cerințe concrete: de exemplu, interdicția prelucrării CNP-ului fără garanții suplimentare sau obligația unei politici interne privind deciziile automatizate. Iar începând cu AI Act, operatorii care dezvoltă sau implementează IA trebuie să se supună unor cerințe tehnice clare: trasabilitatea deciziilor, audit algoritmic, documentație accesibilă, control uman real și prevenirea riscurilor sistemice.
Pentru practicieni – avocați, DPO, juriști in-house – aplicabilitatea acestor reglementări presupune acțiuni concrete: realizarea unei evaluări de impact (DPIA) înaintea folosirii unui algoritm decizional, revizuirea contractelor de prelucrare cu furnizorii IA (art. 28 GDPR), includerea de clauze privind auditabilitatea modelelor, notificarea persoanei vizate asupra funcționării logice a sistemului (art. 15 alin. 1 lit. h) și instituirea de mecanisme clare de intervenție umană acolo unde există decizii automate.
În egală măsură, orice persoană afectată de o decizie algoritmică poate – și ar trebui – să invoce drepturile oferite de GDPR: solicitarea unei explicații, rectificarea scorurilor automate, retragerea consimțământului, plângerea la ANSPDCP sau acțiunea în instanță.
Astfel, impunerea unor limite juridice prelucrării datelor prin IA nu este o opțiune, ci o exigență de ordin constituțional și european. Inovația tehnologică nu trebuie să se deruleze în afara legii, ci în interiorul ei, ghidată de transparență, proporționalitate și control. Încrederea publicului în algoritmi se va menține doar în măsura în care aceștia pot fi înțeleși, corectați și contestați. În fond, reglementările existente – de la GDPR și Legea nr. 190/2018, până la AI Act – oferă deja un cadru solid pentru ca această echilibrare să fie posibilă.
Misiunea noastră, ca juriști, nu este să opunem rezistență tehnologiei, ci să-i trasăm limitele juridice și să-i asigurăm direcția etică. Inovația nu trebuie să fie o excepție de la lege, ci o expresie a ei. Doar astfel putem garanta că inteligența artificială va rămâne un instrument sub control uman și va servi interesele unei societăți digitale care nu sacrifică drepturile în numele eficienței.
Aceasta este linia de demarcație pe care o vom construi în anii următori: una în care inteligența artificială lucrează în limitele clare ale dreptului, nu în afara lui.
Un material Legal Marketing
