Pentru a respecta GDPR când folosești AI, pleacă de la patru întrebări înainte de orice model: ce date personale atingi, pe ce temei legal le prelucrezi, cât de puține îți trebuie și unde sunt procesate. Adaugă o politică de retenție și un răspuns clar la drepturile persoanelor. GDPR nu interzice AI-ul; cere doar să poți justifica fiecare decizie despre date.
- Pe scurt: GDPR nu interzice AI-ul, dar cere temei legal, minimizarea datelor, claritate despre unde sunt procesate datele și o politică de retenție.
- Întrebarea-cheie înainte de orice proiect: ce date personale ating, de ce am voie să le folosesc și unde ajung ele.
- GDPR și EU AI Act sunt obligații separate, dar care se suprapun; un proiect AI serios le tratează împreună.
- Acesta este un ghid practic de inginer, nu consultanță juridică; pentru cazuri sensibile, validează cu un specialist GDPR.
Pot folosi date personale într-un proiect AI și respect GDPR?
Da, GDPR nu interzice folosirea datelor personale în AI, dar îți cere să poți justifica fiecare decizie despre ele. Înainte de orice model, răspunzi la patru întrebări: ce date personale ating efectiv, pe ce temei legal le prelucrez (consimțământ, contract, interes legitim sau altă bază din articolul 6 GDPR), cât de multe dintre ele am nevoie cu adevărat și unde ajung să fie procesate. Cele mai multe probleme nu vin din folosirea AI-ului, ci din faptul că nimeni nu și-a pus aceste întrebări înainte. Un proiect care pleacă de la „ce date am voie să folosim și de ce” e mult mai ușor de apărat decât unul care adună tot ce găsește și caută justificarea după.
Care este checklistul GDPR pentru un proiect AI?
Tabelul de mai jos rezumă verificările practice pe care le facem înainte ca un model să atingă date personale. Fiecare rând este o întrebare la care trebuie să existe un răspuns documentat înainte de start, nu o explicație improvizată după un incident.
| Verificare | Ce întrebi | Eroare frecventă |
|---|---|---|
| Temei legal | Pe ce bază din art. 6 GDPR prelucrez aceste date? | „Avem consimțământ” fără să-l fi cerut explicit |
| Minimizarea datelor | Câte câmpuri îmi trebuie cu adevărat pentru scop? | Trimiterea întregii baze către model „pentru orice eventualitate” |
| Locul procesării | Unde rulează modelul și unde se stochează datele? | API extern în afara UE, fără verificarea transferului |
| Retenție | Cât timp păstrez datele și prompturile, apoi cine le șterge? | Logarea pe termen nelimitat a conversațiilor cu date personale |
| Drepturile persoanelor | Pot răspunde la cereri de acces și ștergere? | Date personale „topite” în model, imposibil de extras |
| Furnizori și subîmputerniciți | Am contract de prelucrare cu fiecare furnizor de AI? | Folosirea unui tool fără să verifici ce face cu datele tale |
Atenție specială la datele speciale (sănătate, date biometrice, apartenență sindicală etc.): pentru ele art. 9 GDPR impune condiții mai stricte, iar un proiect AI care le atinge are nevoie de o evaluare de impact (DPIA) și, în multe cazuri, de avizul unui specialist.
Unde sunt procesate datele când folosesc un API extern de AI?
Aceasta e întrebarea pe care firmele o sar cel mai des. Când trimiți date către un API de AI extern, datele părăsesc infrastructura ta și sunt procesate pe serverele furnizorului, care pot fi în afara UE. Asta declanșează regulile GDPR despre transferul internațional de date și cere, în funcție de caz, un contract de prelucrare, garanții adecvate și verificarea localizării serverelor. Trei opțiuni practice, în ordinea controlului: rulezi modelul on-premise sau într-un cloud din UE pe care îl controlezi (control maxim, cost mai mare), folosești un furnizor cu procesare în UE și contract de prelucrare clar (echilibru rezonabil), sau trimiți date anonimizate / pseudonimizate către un API extern, astfel încât datele personale să nu plece deloc. Alegerea depinde de cât de sensibile sunt datele și de cât de strict e domeniul tău.
Un model standard de tratare a datelor, aplicabil în orice proiect AI, arată așa: documentezi încă de la început ce date personale intră în sistem, pe ce temei legal, unde sunt procesate și cine are acces; semnezi un contract de prelucrare a datelor (DPA) cu fiecare furnizor de AI; ții un registru al activităților de prelucrare; definești o politică de retenție și ștergere; și stabilești cum răspunzi la solicitările persoanelor vizate (acces, rectificare, ștergere). Tratate ca parte din proiect, nu ca formalitate la final, aceste puncte sunt ceea ce face o soluție AI ușor de apărat.
Cum se leagă GDPR de EU AI Act?
Sunt două seturi de obligații diferite, dar care se ating. GDPR reglementează prelucrarea datelor personale, indiferent de tehnologie. EU AI Act reglementează sistemele de AI în funcție de nivelul lor de risc și introduce obligații noi, printre care clasificarea riscului, documentarea sistemelor și instruirea personalului, devenind pe deplin aplicabil din august 2026. Un sistem AI care prelucrează date personale trebuie să le respecte pe ambele: GDPR pentru date, AI Act pentru sistemul în sine. Le tratezi cel mai eficient împreună, în aceeași analiză de început, nu ca două proiecte separate. Pentru pașii concreți de pregătire pentru noua reglementare, vezi cum te pregătești pentru EU AI Act.
Care e următorul pas?
Dacă plănuiești un proiect AI care atinge date personale, cel mai bun moment să rezolvi partea de GDPR este înainte de prima linie de cod, nu după un control. Parcurge checklistul de mai sus pe cazul tău, apoi programează o discuție inițială gratuită. În acea discuție vedem împreună ce date intră în joc, unde ar fi procesate și ce structură reduce riscul. Discuția inițială este gratuită; pentru o evaluare detaliată, AI Technical Audit (serviciul nostru plătit de 2–4 săptămâni) acoperă și partea de date și riscuri.
EU AI Act devine pe deplin aplicabil din august 2026 și se adaugă obligațiilor GDPR pentru sistemele AI care prelucrează date personale — sursă: Digi24, cursuri-ai.ro.
Întrebări frecvente
GDPR interzice folosirea AI-ului cu date personale?
Nu. GDPR nu interzice AI-ul, dar cere un temei legal pentru prelucrare, minimizarea datelor, claritate despre unde sunt procesate și o politică de retenție. Problema apare când o firmă folosește date personale fără să fi răspuns întâi la „ce am voie să folosesc și de ce”. Un proiect care pleacă de la aceste întrebări este mult mai ușor de apărat.
Unde ajung datele mele când folosesc un API extern de AI?
Pe serverele furnizorului, care pot fi în afara UE, ceea ce declanșează regulile GDPR despre transferul internațional de date. Ai trei opțiuni: rulezi modelul on-premise sau într-un cloud din UE, folosești un furnizor cu procesare în UE și contract de prelucrare, sau trimiți doar date anonimizate, ca datele personale să nu plece deloc.
Ce înseamnă minimizarea datelor într-un proiect AI?
Înseamnă să folosești doar câmpurile de care ai cu adevărat nevoie pentru scop, nu întreaga bază „pentru orice eventualitate”. Cu cât trimiți mai puține date personale către un model, cu atât scade riscul. Minimizarea este și o cerință GDPR, și o practică bună de inginerie: mai puține date înseamnă mai puțină suprafață de risc.
Trebuie să fac o DPIA pentru un proiect AI?
Adesea, da, mai ales dacă proiectul prelucrează la scară mare date personale sau atinge categorii speciale (sănătate, date biometrice). O evaluare de impact asupra protecției datelor (DPIA) documentează riscurile și măsurile de reducere. Pentru cazuri sensibile, validează necesitatea și conținutul DPIA cu un specialist GDPR.
GDPR și EU AI Act sunt același lucru?
Nu, sunt obligații separate care se suprapun. GDPR reglementează datele personale, indiferent de tehnologie. EU AI Act reglementează sistemele de AI după nivelul de risc și devine pe deplin aplicabil din august 2026. Un sistem AI cu date personale trebuie să le respecte pe ambele; cel mai eficient le tratezi împreună, în aceeași analiză de început.
Vrei să discutăm un proiect?
Programează o discuție inițială gratuită cu echipa Sapio.