Regulamentul european privind inteligența artificială (AI Act), copyright-ul și protecția datelor: ce înseamnă concret pentru companiile și dezvoltatorii din România

• drepturile de autor (copyright-ul) și alte drepturi de proprietate intelectuală, în special acolo unde modelele sunt antrenate pe volume mari de texte, imagini, cod sau baze de date;
• protecția datelor cu caracter personal, în special unde seturile de date conțin informații privind persoane fizice, iar GDPR continuă să se aplice integral, chiar dacă avem un nou regulament privind AI.

Acest articol își propune să explice, în limbaj accesibil, dar cu rigoare juridică:

• cum a intrat în vigoare AI Act la nivelul UE și care este calendarul etapizat de aplicare;
• ce obligații practice apar pentru companiile și dezvoltatorii din România, în funcție de rol (furnizor, utilizator, importator, distribuitor, furnizor de modele de uz general – GPAI);
• ce controverse ridică antrenarea modelelor pe opere protejate de drepturi de autor și cum se intersectează AI Act cu regulile de copyright;
• cum se îmbină AI Act cu GDPR și legislația națională de protecție a datelor;
• care sunt riscurile de litigii (copyright, confidențialitate, răspundere pentru prejudicii) și ce strategii de conformare sunt realiste pentru un business din România;
• unde intervine, în mod concret, rolul avocatului specializat pe tehnologie, protecția datelor și proprietate intelectuală.

Vom include trimiteri către Regulamentul AI Act în versiunea sa oficială, către Regulamentul general privind protecția datelor (GDPR), către Strategia națională a României în domeniul inteligenței artificiale 2024–2027 și către documente explicative ale instituțiilor europene și românești.

1. Cadru european: ce este AI Act și de când se aplică

1.1. Ce este AI Act și de ce contează pentru România

AI Act este un regulament european care stabilește reguli armonizate pentru punerea pe piață, punerea în funcțiune și utilizarea sistemelor de inteligență artificială în Uniunea Europeană. Textul oficial poate fi consultat în limba română pe portalul EUR-Lex, la pagina Regulament (UE) 2024/1689 – Artificial Intelligence Act .

Regulamentul propune un model bazat pe risc:

• unele practici de IA sunt interzise (de exemplu, anumite sisteme de „social scoring”, manipulare subliminală, predicție a infracționalității pe baza profilului personal);
• alte sisteme sunt considerate „cu risc ridicat” (high-risk) – de exemplu, IA folosită în infrastructuri critice, recrutare, creditare, sistemul de justiție, educație – și sunt supuse unor cerințe detaliate de conformitate;
• există și o categorie specială pentru modele de inteligență artificială de uz general (GPAI – General Purpose AI), cum sunt modelele mari de limbaj sau modele de generare imagine/cod, pentru care există cerințe specifice de transparență și documentare;
• sistemele cu risc limitat sau minim au obligații reduse (de exemplu, doar cerințe de transparență – să informezi utilizatorul că interacționează cu un sistem de IA).

Pentru companiile și dezvoltatorii din România, AI Act contează pentru că:

• nu se aplică doar „giganților tech”, ci oricui comercializează sau folosește IA pe piața UE, inclusiv start-up-urilor locale, integratorilor și companiilor tradiționale care își digitalizează procesele;
• se aplică și dacă sediul companiei este în afara UE, dar sistemul de IA este pus la dispoziție pe piața europeană sau produce efecte în UE – ceea ce înseamnă că dezvoltatorii români care vând global au o fereastră de oportunitate, dar și o responsabilitate;
• introduce amenzi administrative foarte ridicate (până la 35 de milioane de euro sau 7% din cifra de afaceri globală, în funcție de categorie), apropiate de nivelul celor din GDPR, ceea ce face conformarea o problemă de management de risc, nu doar de „compliance formal”.

1.2. Calendar: de la intrarea în vigoare la aplicarea efectivă

Din perspectiva cronologiei, este important de reținut câteva borne principale:

• 1 august 2024 – AI Act intră în vigoare la nivelul Uniunii Europene;.
• 2 februarie 2025 – încep să se aplice primele prevederi, în special cele care vizează practicile de IA interzise.
• 2 august 2025 – intră în aplicare obligațiile specifice pentru furnizorii de modele de inteligență artificială de uz general (GPAI), inclusiv obligațiile de transparență.
• 2 august 2026 – partea centrală a AI Act devine aplicabilă pentru sistemele de IA cu risc ridicat.
• începând cu 2027 – există termene tranzitorii pentru unele sisteme de IA deja aflate pe piață (sisteme „legacy”).

Din perspectiva business-ului, mesajul este simplu: ai maximum doi ani pentru a-ți aduce sistemele de IA la un nivel minim de conformare, dar în realitate multe obligații (interzicerea unor practici, transparență, obligații pentru GPAI) se simt în piață mult mai devreme.

2. Strategia UE și Strategia națională a României în domeniul IA

2.1. Obiectivul UE: inovare, dar cu garanții pentru drepturi fundamentale

AI Act nu apare izolat, ci alături de alte instrumente europene (Digital Services Act, Digital Markets Act, Data Act, legislația privind securitatea cibernetică). Scopul declarat este „inteligență artificială de încredere” – adică sisteme care respectă demnitatea umană, drepturile fundamentale, siguranța și regulile pieței interne.

Pentru un antreprenor sau dezvoltator din România mesajul este dublu:

• există o presiune de reglementare (amenzi, cerințe tehnice, obligații de transparență),
• dar există și o oportunitate: cei care își proiectează de la început produsele „AI Act ready” pot avea un avantaj competitiv, mai ales în relația cu clienți enterprise sau cu instituții publice, care vor prefera furnizori cu conformarea deja construită.

2.2. Strategia națională a României 2024–2027

România are, la rândul ei, o Strategie națională în domeniul inteligenței artificiale 2024–2027, aprobată de Guvern, care poate fi consultată în versiune actualizată pe site-ul Ministerului Cercetării, Inovării și Digitalizării. Strategia urmărește, între altele:

• stimularea cercetării și inovării în IA;
• dezvoltarea unui ecosistem digital pentru IA (infrastructură, date, competențe);
• crearea unui cadru de reglementare și guvernanță compatibil cu AI Act;
• sprijinirea administrației publice în adoptarea de soluții IA sigure și eficiente.

Pentru mediul privat, mesajul este că adoptarea IA nu este opțională pe termen mediu, iar cerințele europene vor deveni standardul de facto inclusiv în contractele și achizițiile interne.

2.3. Proiecte de lege românești dedicate IA

Pe lângă aplicarea directă a AI Act, România a început să discute și inițiative legislative naționale privind IA, care vizează utilizarea responsabilă a inteligenței artificiale în anumite sectoare și desemnarea autorităților competente. Chiar dacă aceste proiecte pot suferi modificări până la adoptare, direcția este clară: va exista o arhitectură instituțională internă pentru supravegherea și sancționarea nerespectării AI Act.

Pentru companii, asta înseamnă că, pe lângă instituțiile europene (AI Office), vor exista autorități naționale competente cu care vor avea de dialogat (sau din partea cărora pot primi controale și amenzi), similar situației din GDPR (unde ANSPDCP este autoritate națională de supraveghere).

3. Cine are obligații în AI Act: furnizori, utilizatori, integratori, GPAI

3.1. Furnizor vs. utilizator (deployer)

AI Act pleacă de la ideea că, într-un lanț de valoare, nu toată lumea face același lucru. Regulamentul distinge între:

• furnizor (provider) – entitatea care dezvoltă sau are un sistem de IA și îl pune pe piață sub numele său sau îl pune pentru prima dată în funcțiune; de regulă, dezvoltatorul modelului sau al aplicației;
• utilizator / deployer – entitatea care folosește efectiv sistemul de IA în propria activitate (de exemplu, o bancă ce folosește un sistem de scoring, o firmă care folosește IA pentru recrutare sau pentru trierea documentelor);
• importator – dacă sistemul de IA este dezvoltat în afara UE, dar este introdus pe piața UE;
• distribuitor – entitate care distribuie sau revinde sistemul de IA (de exemplu, o firmă care integrează un model dezvoltat de altcineva și îl oferă ca parte dintr-o soluție complexă).

Este esențial ca o companie din România să clarifice în ce rol se află pentru fiecare proiect de IA: pentru un produs poate fi furnizor, pentru altul doar utilizator, iar pentru al treilea integrator/distribuitor. Obligațiile și expunerea juridică diferă semnificativ în funcție de acest rol.

3.2. Modele de uz general (GPAI) și aplicații construite peste ele

O categorie specială, introdusă de AI Act, este cea a modelelor de inteligență artificială de uz general (GPAI – General Purpose AI) – de exemplu, modele mari de limbaj sau modele de generare de imagine, audio, video sau cod, capabile să fie folosite în foarte multe aplicații diferite.

AI Act stabilește obligații directe pentru furnizorii de GPAI (documentație tehnică, transparență, informații despre datele de antrenament, respectarea drepturilor de autor etc.), dar impactul se transmite în lanț:

• dacă ești start-up românesc care construiește o aplicație peste un API de tip GPAI (chatbot, agent conversațional, motor de analiză a documentelor), vei fi considerat de cele mai multe ori utilizator de IA cu risc limitat sau, uneori, parte a unui sistem cu risc ridicat – în funcție de scopul concret al aplicației;
• în contractele cu furnizorii de GPAI vei vedea tot mai des clauze privind AI Act: obligații de informare, dreptul de audit, garanții privind respectarea drepturilor de autor și a protecției datelor;
• companiile mari vor cere furnizorilor lor (inclusiv români) să declare cum se aliniază la AI Act și la GDPR, iar lipsa unui minim de documentație poate însemna pur și simplu pierderea contractului.

4. AI Act și copyright: antrenarea modelelor pe opere protejate

4.1. Ce spune AI Act despre drepturile de autor

AI Act nu rescrie dreptul european al proprietății intelectuale, dar îl face explicit relevant pentru furnizorii de modele de IA, în special pentru cei de GPAI. Printre obligațiile-cheie se numără:

• furnizorii de modele de uz general trebuie să asigure că respectă legislația UE privind drepturile de autor;
• ei trebuie să ofere un „rezumat suficient de detaliat” al datelor de antrenament, care să permită deținătorilor de drepturi să înțeleagă, cel puțin în linii mari, ce tipuri de conținut au fost folosite;
• în practică, acest lucru se corelează cu directivele UE în materia dreptului de autor și cu marile dezbateri privind text and data mining, excepțiile pentru analiză de text și date și dreptul titularilor de a se opune.

Pentru dezvoltatorii și companiile românești, asta înseamnă că nu mai pot ignora cine deține drepturile asupra datelor folosite la antrenarea modelelor, nici măcar atunci când folosesc modele pre-antrenate. Va deveni tot mai obișnuit ca:

• să existe clauze contractuale explicite prin care furnizorul de model garantează că dispune de o bază legală pentru a utiliza datele de antrenament;
• titularii de drepturi (autori, fotografi, editori, platforme) să formuleze cereri de despăgubire sau să solicite informații detaliate despre datele de antrenament;
• în cazuri extreme, să apară litigii strategice menite să clarifice dacă anumite forme de scraping masiv sau de utilizare a bazelor de date sunt sau nu compatibile cu dreptul de autor și cu drepturile speciale asupra bazelor de date.

4.2. Exemple practice pentru un dezvoltator din România

Imaginați-vă câteva scenarii concrete:

• dezvolți un model de IA care generează texte în română pentru marketing, antrenat pe articole de presă, bloguri și postări publice de pe rețele sociale;
• dezvolți un sistem de recunoaștere a imaginilor pentru e-commerce, antrenat pe fotografii de produs preluate de pe site-uri ale unor retaileri;
• dezvolți un model de generare de cod, antrenat pe depozite publice de cod din platforme de tip open-source.

În toate aceste exemple apare întrebarea: ai sau nu dreptul să folosești astfel conținutul respectiv? Răspunsul depinde de:

• licențele sub care este disponibil conținutul (open-source, licențe creative commons, licențe restrictive);
• există sau nu în termeni și condiții interdicții explicite privind utilizarea pentru antrenarea modelelor de IA;
• dacă te bazezi pe o excepție legală de tip „text and data mining” și dacă aceasta îți permite concret tipul de utilizare dorit;
• în ce măsură conținutul generat de model poate reproduce fragmente protejate sau poate afecta exploatarea normală a operei de către titular.

Din perspectivă de risc, este prudent să:

• lucrezi, pe cât posibil, cu seturi de date licențiate sau pentru care există acorduri explicite;
• documentezi sursele principale de date și condițiile lor de utilizare;
• implementezi măsuri tehnice care reduc riscul de „memorare” și reproducere literală a unor fragmente protejate;
• în contracte cu clienții, clarifici cine suportă riscul juridic în cazul unui litigiu de copyright.

5. AI Act și protecția datelor: cum se îmbină cu GDPR

5.1. Două regimuri, nu unul singur

Un aspect esențial de înțeles este că AI Act nu înlocuiește GDPR. Regulamentul privind IA se concentrează pe siguranța și conformitatea sistemelor de inteligență artificială din perspectiva drepturilor fundamentale și a pieței interne, în timp ce GDPR continuă să se aplice integral ori de câte ori sunt prelucrate date cu caracter personal.

Concret, o companie românească care dezvoltă sau utilizează IA trebuie să răspundă la două seturi de întrebări:

• AI Act: sistemul meu de IA este interzis, cu risc ridicat, cu risc limitat sau cu risc minim? Ce obligații am ca furnizor/utilizator?
• GDPR: prelucrez date personale? Care este temeiul juridic? Respect principiile de minimizare, limitare a scopului, transparență, securitate? Am făcut o evaluare de impact asupra protecției datelor (DPIA) acolo unde riscul este ridicat?

Autoritățile europene de protecție a datelor au subliniat explicit că conformarea la AI Act nu este automat conformare la GDPR și invers. Sunt două analize paralele, care se influențează, dar nu se substituie.

5.2. Antrenarea modelelor pe date personale

Unul dintre punctele cele mai sensibile este antrenarea modelelor de IA pe seturi mari de date personale: istorice de utilizare, log-uri, conversații, imagini cu persoane, date biometrice, date comportamentale etc.

Din perspectiva GDPR, trebuie clarificat în mod serios:

• care este scopul exact al antrenării (de exemplu, îmbunătățirea modelului, personalizare, detectarea fraudelor);
• ce temei juridic se invocă (interes legitim, executarea contractului, consimțământ etc.);
• dacă nu există alternative mai puțin intruzive pentru atingerea aceluiași scop;
• în cazul datelor sensibile, dacă nu cumva ne aflăm în zona de interdicții sau excepții foarte limitate prevăzute de GDPR.

Autoritățile de protecție a datelor au publicat deja opinii detaliate privind prelucrarea datelor personale în contextul modelelor de IA, insistând asupra faptului că:

• mulți operatori supraestimează când pot invoca interesul legitim ca temei pentru antrenare;
• „anonymizarea” este deseori mai degrabă pseudonimizare, iar riscul de reidentificare rămâne;
• nu este acceptabilă ideea de „am colectat o dată pentru ceva, acum le folosesc pentru orice scop de IA” – principiul de limitare a scopului continuă să se aplice.

În România, autoritatea competentă este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cu informații pentru operatori și pentru persoanele vizate disponibile pe site-ul oficial al ANSPDCP .

5.3. Drepturile persoanei vizate în contextul IA

Chiar dacă AI Act aduce reguli noi, persoanele fizice rămân protejate de întregul arsenal de drepturi din GDPR:

• dreptul la informare – să știe că datele lor sunt folosite în sisteme de IA;
• dreptul de acces – să obțină informații despre prelucrare;
• dreptul la rectificare și ștergere – acolo unde este cazul;
• dreptul la restricționare și dreptul la opoziție – inclusiv față de prelucrarea bazată pe interes legitim;
• dreptul de a nu fi supus unei decizii exclusiv automate cu efecte juridice semnificative sau care îl afectează în mod similar fără garanții adecvate.

Pentru companii, asta înseamnă că trebuie să poată explica în termeni înțeleși de un nespecialist ce rol are IA într-o anumită decizie, ce date au fost folosite și ce opțiuni are persoana vizată.

6. Riscuri de litigii pentru companiile și dezvoltatorii din România

6.1. Litigii de copyright și de proprietate intelectuală

Pe măsură ce modelele generative devin tot mai răspândite, era de așteptat să apară litigii privind drepturile de autor. Chiar dacă jurisprudența încă se formează, tendința este ca:

• titularii de drepturi să conteste utilizarea operei lor în antrenare fără consimțământ sau fără o excepție legală clară;
• să se pună problema dacă modelul poate produce reproduceri substanțiale ale unor opere protejate;
• instanțele să fie chemate să stabilească standardele de diligență pe care trebuie să le respecte furnizorii de IA.

Pentru un dezvoltator român care creează modele sau aplicații pentru clienți internaționali, riscul nu este doar teoretic. Clienții vor cere clauze contractuale prin care dezvoltatorul:

• garantează că respectă drepturile de autor și alte drepturi de proprietate intelectuală;
• se angajează la despăgubiri dacă produsul generează litigii de copyright;
• acceptă anumite obligații de transparență privind seturile de date de antrenament sau modul în care sunt filtrate.

6.2. Litigii de protecția datelor: investigații și amenzi

În paralel, autoritățile de protecție a datelor din Europa au început deja să sancționeze produse și servicii de IA atunci când consideră că prelucrarea datelor personale pentru antrenare sau utilizare nu are un temei legal suficient sau încalcă principiile GDPR. Exemplele din alte state membre arată că:

• lipsa unui temei juridic clar pentru antrenare poate duce la amenzi consistente;
• lipsa de transparență față de utilizatori (informări insuficiente, politici opace) este privită extrem de critic;
• problemele de vârstă minimă și de filtrare a conținutului pentru minori devin tot mai relevante.

În România, ANSPDCP poate iniția investigații atât din oficiu, cât și la plângerea persoanelor vizate. Pentru companii, riscul nu este doar amenda, ci și blocarea unui produs sau serviciu până la remedierea problemelor.

6.3. Răspundere civilă și comercială pentru deciziile luate cu ajutorul IA

Pe lângă sancțiunile publice, există și riscul de litigii civile sau comerciale în care partea prejudiciată susține că un sistem de IA a generat o decizie sau o recomandare greșită, discriminatorie sau neglijentă.

Exemple:

• un candidat respins la angajare contestă un sistem automat de screening bazat pe IA și invocă discriminare;
• un client al unei bănci contestă o decizie de creditare luată cu ajutorul unui model de scoring și invocă lipsa de transparență sau erori sistematice;
• un client corporate susține că un model de analiză a documentelor a produs interpretări greșite, ducând la pierderi financiare.

În astfel de scenarii, devine important:

• cum a fost proiectat sistemul (inclusiv mecanismele de supraveghere umană și de corecție);
• ce limite și disclaimere au fost comunicate clientului;
• cum sunt stabilite clauzele de răspundere și despăgubire în contract.

7. Strategii de conformare pentru companiile și dezvoltatorii din România

7.1. Inventarierea și clasificarea sistemelor de IA

Primul pas rezonabil nu este „scrierea unei politici de conformare”, ci o inventariere onestă a tot ceea ce înseamnă IA în organizație:

• ce sisteme de IA dezvoltăm intern (modele proprii, algoritmi, soluții integrate)?
• ce produse sau servicii pentru clienți conțin IA, măcar într-o formă limitată (recomandări, scoring, clasificare)?
• ce IA folosim intern (instrumente de generare de conținut, analiză de date, HR, securitate, suport clienți)?

Pentru fiecare sistem identificat, trebuie făcută o clasificare de risc aproximativă:

• „risc ridicat” – de exemplu, IA folosită în recrutare, creditare, evaluare de risc, acces la servicii publice, educație, sănătate;
• „alt tip de IA” – unde se analizează dacă se aplică doar cerințe de transparență sau dacă, prin combinație cu alte elemente, sistemul intră într-o categorie specială.

Chiar dacă clasificarea finală va trebui rafinată împreună cu un specialist, această primă hartă internă este indispensabilă pentru a nu lucra „pe ghicite”.

7.2. Documentație, guvernanță și „audit trail”

AI Act pune un accent puternic pe documentație și guvernanță. Pentru sistemele de IA cu risc ridicat, vor fi obligatorii:

• un sistem de management al riscurilor pe parcursul întregului ciclu de viață al IA;
• proceduri de guvernanță a datelor (calitate, relevanță, absența bias-ului sistematic, gestionarea erorilor);
• documentație tehnică suficient de detaliată pentru a permite evaluarea conformității;
• mecanisme de supraveghere umană și posibilitatea de intervenție;
• monitorizare post-punere pe piață și management al incidentelor.

Chiar și pentru sistemele care nu sunt încadrate ca „high-risk”, este prudent să existe un „audit trail” minimal:

• cine a decis să folosească IA pentru un anumit scop;
• ce date s-au folosit;
• ce teste au fost făcute înainte de lansare;
• cum este monitorizată în timp performanța și impactul asupra utilizatorilor.

7.3. Combinația AI Act + GDPR: DPIA și evaluări integrate

Pentru proiectele de IA care implică prelucrarea de date personale și au potențialul de a afecta în mod semnificativ persoanele vizate, este util să fie realizată o evaluare de impact asupra protecției datelor (DPIA) integrată cu analiza de risc din AI Act.

Practic:

• DPIA acoperă întrebările de tip „cine sunt persoanele vizate, ce date folosim, ce riscuri există pentru viața privată, ce măsuri de protecție implementăm?”;
• analiza AI Act acoperă întrebările de tip „cum se încadrează sistemul în categoriile de risc, ce cerințe tehnice specifice avem, ce teste de robustețe și de acuratețe sunt necesare?”.

O abordare integrată evită situația în care departamentul tehnic bifează AI Act, iar departamentul juridic bifează GDPR, fără ca cele două să se „întâlnească” în mod real.

7.4. Contracte, parteneriate și lanțul de furnizori

AI Act și GDPR se traduc, inevitabil, în contracte mai sofisticate. În relațiile dintre:

• furnizor de model GPAI și dezvoltator român de aplicație;
• dezvoltator român și client enterprise;
• companie românească și furnizori externi de servicii IA (cloud, API, tooling),

vor apărea clauze privind:

• împărțirea răspunderii pentru conformare la AI Act și GDPR;
• obligații de informare în caz de incidente sau schimbări majore ale modelului;
• drepturi de audit sau acces la anumite informații structurale;
• limite ale răspunderii financiare.

Pentru companiile românești, e important să nu semneze „la grămadă” astfel de clauze, ci să negocieze realist ce pot asuma și ce nu – și să își calibreze intern procesele la angajamentele contractuale deja semnate.

8. Rolul avocatului: dincolo de „traducerea” regulamentului

În contextul AI Act, avocatul nu mai este doar cel care „traduce” în română un regulament european. Rolul său este mult mai aplicat și include:

• cartografierea riscurilor – identificarea proiectelor de IA din organizație, clasificarea de risc și prioritizarea intervențiilor;
• alinierea AI Act + GDPR + drepturi de autor – evitarea situației în care rezolvi o problemă și o creezi pe alta;
• design contractual – redactarea sau ajustarea contractelor cu furnizori, clienți și parteneri pentru a reflecta corect împărțirea riscurilor și obligațiilor;
• asistarea în relația cu autoritățile – atât în faza de clarificări și consultări, cât și în caz de investigații, plângeri sau litigii;
• training intern – pregătirea echipelor tehnice, de produs și de management în privința cerințelor legale, pentru ca regulile să fie înțelese și aplicate corect, nu doar „bifate” formal.

Pentru dezvoltatori și companii care lucrează mult cu software, date, drepturi de autor, este utilă colaborarea cu un avocat care înțelege atât limbajul tehnic, cât și particularitățile dreptului penal (de exemplu, în situații de abuz sau utilizare ilicită a sistemelor), ale dreptului administrativ și fiscal și ale proprietății intelectuale.

Pe site-ul maglas.ro există deja articole dedicate proprietății intelectuale și contractelor IT, care pot fi complementare acestui ghid în situațiile în care IA intersectează drepturi de autor, mărci, know-how și acorduri complexe cu clienți și furnizori.

9. Concluzii: de la „vom vedea în 2026” la „ce facem în următoarele 6 luni”

AI Act nu este un text „pentru 2026–2027”. Primele obligații se resimt deja în piață, iar presiunea contractelor, a clienților internaționali și a autorităților face ca momentul de acțiune să fie acum, nu peste doi ani.

Pentru companiile și dezvoltatorii din România, pașii minimali arată, de regulă, așa:

• identifică toate proiectele și produsele care folosesc IA;
• clasifică aproximativ riscul aferent fiecăruia;
• verifică modul în care sunt folosite datele personale și cum se îmbină AI Act cu GDPR;
• analizează dacă există probleme de copyright în datele de antrenament sau în modul de funcționare a produsului;
• creează un minim cadru de guvernanță și documentație;
• implică un avocat specializat în momentele cheie.

În final, întrebarea nu este dacă AI Act, GDPR și regulile de copyright vor deveni relevante pentru tine, ci când și în ce format. Cu cât îți clarifici mai devreme poziția, cu atât ai mai mult control asupra felului în care arată acest viitor – din perspectivă juridică și de business.

Întrebări frecvente (FAQ) despre AI Act, copyright și protecția datelor pentru companiile din România

1. De când se aplică efectiv AI Act companiilor din România?

AI Act a intrat în vigoare la nivelul UE în 2024, dar prevederile sale se aplică etapizat. Primele reguli – în special cele privind practicile de IA interzise – au început să producă efecte în 2025, iar obligațiile pentru furnizorii de modele de uz general (GPAI) se aplică de la mijlocul lui 2025. Cadrul complet pentru sistemele de IA cu risc ridicat se aplică, în mare, din 2026, cu unele termene tranzitorii până în 2027 pentru sisteme deja existente.

2. Dacă folosesc doar servicii de tip ChatGPT sau alte API-uri de IA, mi se aplică AI Act?

Da, dar în alt rol decât furnizorul modelului. În cele mai multe cazuri ești considerat utilizator (deployer) al unui sistem de IA sau, uneori, parte a unui lanț de furnizori. Nu vei avea obligațiile tehnice ale furnizorului de model, dar ai obligații legate de modul în care folosești IA în contextul tău specific.

3. Trebuie să cer mereu consimțământ pentru a folosi datele personale în antrenarea unui model?

Nu neapărat, dar ai nevoie întotdeauna de un temei legal solid. În unele cazuri, temeiul poate fi executarea contractului sau interesul legitim, în altele consimțământul explicit este singura opțiune realistă (mai ales pentru date sensibile).

4. Ce înseamnă, concret, obligația de a publica un „rezumat suficient de detaliat” al datelor de antrenament?

AI Act cere furnizorilor de modele de uz general să ofere un rezumat al datelor de antrenament suficient de detaliat încât deținătorii de drepturi să înțeleagă, la nivel de categorii, ce tipuri de conținut au fost folosite.

5. Dacă am un produs software care folosește algoritmi de scoring sau clasificare, este automat „high-risk”?

Nu orice algoritm de scoring este automat „high-risk”, dar foarte multe cazuri de utilizare intră, în practică, în categoriile reglementate strict. Trebuie analizat scopul concret, impactul potențial asupra persoanei vizate și sectorul reglementat.

6. Cum se împacă AI Act cu GDPR – mă ajută dacă îmi aliniez produsul la AI Act?

Conformarea la AI Act și la GDPR se ajută reciproc, dar nu se substituie. Faptul că respecți cerințele tehnice, de documentație și guvernanță ale AI Act nu înseamnă automat că ai un temei legal valid pentru prelucrarea datelor personale sau că ai respectat principiile de minimizare și limitare a scopului.

7. Ce riscuri de amenzi există pentru nerespectarea AI Act?

AI Act prevede amenzi administrative foarte ridicate, comparabile cu cele mai mari niveluri din GDPR. Pentru anumite încălcări, amenzile pot ajunge până la câteva zeci de milioane de euro sau până la 7% din cifra de afaceri globală.

8. Când are sens să vorbesc cu un avocat despre AI Act – nu e suficient să citesc regulamentul și niște ghiduri?

Momentul potrivit pentru a discuta cu un avocat este atunci când lansezi un produs care folosește IA într-un domeniu sensibil, când un client îți cere să semnezi clauze extinse de răspundere pentru utilizarea IA sau când primești întrebări sau scrisori de la o autoritate pe tema utilizării IA.