Jurisdicție · EU

EU AI Act — ce trebuie să faci până în august 2026 dacă folosești AI în formulare

Calendar oficial, clasificarea pe nivele de risc, Art. 50 transparența chatbot/AI, Art. 14 supraveghere umană, sancțiuni până la 35 mln EUR sau 7% CA.

Aprox. 1400 cuvinte · Actualizat 2026-05-29

Aviz: această pagină este un rezumat informativ cu referințe oficiale. NU constituie consultanță juridică. Pentru advice juridic concret, consultă un avocat specializat în protecția datelor sau un DPO certificat.

Cadrul juridic — Regulamentul UE 2024/1689

Regulamentul (UE) 2024/1689 privind inteligența artificială (AI Act) a fost publicat în Jurnalul Oficial al UE pe 12 iulie 2024 și a intrat în vigoare pe 1 august 2024. Aplicarea se face etapizat: (a) prohibițiile Art. 5 (practici AI interzise) se aplică din 2 februarie 2025; (b) obligațiile privind modelele GPAI (general-purpose AI) se aplică din 2 august 2025; (c) majoritatea obligațiilor pentru sistemele high-risk se aplică din 2 august 2026; (d) regulile pentru sistemele AI deja pe piață înainte de 2 august 2026 se aplică din 2 august 2027 cu derogări limitate. Pentru un operator care folosește AI în formulare online (chatbot conversațional, scoring lead, decizie automată credit, screening CV-uri), data relevantă pentru majoritatea obligațiilor este 2 august 2026 — sub 3 luni distanță la data acestei pagini.

Cele 4 nivele de risc — clasificare AI Act

AI Act clasifică sistemele AI în 4 categorii de risc cu obligații proporționale: (1) **risc inacceptabil** (Art. 5) — interzise complet, exemple: scoring social tip Chinez, manipulare subliminală exploatând vulnerabilități, real-time biometric identification în spații publice (cu excepții limitate forțe ordine), exploatarea vulnerabilităților (vârstă, dizabilitate); (2) **risc ridicat** (Anexa III) — permise cu obligații extensive, exemple: AI pentru recrutare/screening CV, scoring credit, evaluare student la examen, decizie asigurări medicale, AI pentru autoritate publică care decide accesul la servicii esențiale; (3) **risc limitat** (Art. 50) — obligații de transparență, exemple: chatbot conversațional, deepfake video, generator imagini AI, generator text pentru media informativă; (4) **risc minim** — fără obligații specifice AI Act (codurile de conduită voluntare recomandate), exemple: filtre spam, recommender simplu netflix-like, AI pentru gaming. Clasificarea corectă a sistemului tău e primul pas obligatoriu.

Art. 50 transparența — esențial pentru chatbots în formulare

Art. 50 impune obligații de transparență pentru sisteme AI care interacționează cu persoane fizice. Concret: (a) când o persoană interacționează cu un chatbot AI, trebuie informată clar că vorbește cu un sistem AI, nu cu om — excepție când e evident din context sau pentru forțe de ordine; (b) sistemele AI care generează imagini, audio, video deepfake trebuie să marcheze conținutul ca generat artificial — exception artă/satiră cu transparență adecvată; (c) sistemele AI care generează text destinat informării publice trebuie să dezvăluie originea AI — excepție când conținutul a fost revizuit editorial de om și entitatea legală își asumă răspunderea. Pentru un formular Megaforms care folosește AI follow-up sau AI question generator — trebuie să informezi utilizatorul în nota privacy/info layer că răspunsurile sunt generate de AI. Recomandare: badge vizibil «răspuns generat de AI» lângă orice câmp AI-powered.

Art. 14 supraveghere umană — obligație pentru high-risk

Art. 14 impune supraveghere umană efectivă pentru sistemele AI high-risk. Operatorul trebuie să asigure: (a) persoane fizice desemnate pot interveni în decizii AI; (b) acestea înțeleg capacitățile și limitele sistemului AI; (c) pot decide să nu folosească output-ul AI sau să-l ignore în decizia finală; (d) pot intervene asupra funcționării sau opri sistemul (kill switch); (e) pot interpreta corect output-ul AI luând în considerare biasul automat (alegerea sistematică a output-ului AI doar pentru că vine de la AI). Pentru un formular care folosește scoring AI pentru triere candidați recrutare (clar high-risk per Anexa III) — trebuie ca recrutorul uman să poată vedea scorul AI, să poată suprapune justificat decizia, să existe procedură documentată de supraveghere, training pentru evaluatori. Megaforms include în plan Business+ un «human review queue» unde toate output-urile AI scoring trec prin revizuire umană înainte de notificarea finală.

Sisteme high-risk în Anexa III — formulare relevante

Anexa III listează domeniile unde AI e considerat high-risk by default. Domenii relevante pentru formulare online: (a) **recrutare și HR** — AI pentru: postare anunțuri targeted, screening și scoring CV-uri, interviu automatizat, evaluare candidat, decizie promovare/concediere; (b) **educație și formare profesională** — AI pentru: admitere, evaluare la examen, monitorizare comportament în examen online; (c) **acces la servicii publice și private esențiale** — AI pentru: scoring credit, asigurări de viață și sănătate, prioritizare în urgențe; (d) **forțe de ordine** — AI pentru: evaluare risc recidivă, profiling, evaluare credibilitate probatorii; (e) **migrație și azil** — AI pentru: evaluare risc, decizie viză, autenticare documente; (f) **administrare justiție** — AI pentru: cercetare jurisprudență cu output decizional, evaluare risc decizie. Dacă formularul tău folosește AI care intră în vreuna din aceste categorii — pregătește-te pentru obligații extinse (sistem management calitate, documentație tehnică, conformitate evaluată, înregistrare în baza date UE).

Obligațiile furnizorului vs utilizatorului — cine ce face

AI Act distinge: (a) **furnizor** (provider) — cel care dezvoltă sistem AI și îl pune pe piață sau în uz sub numele/brandul propriu; (b) **deployer** (utilizator) — cel care folosește sistem AI sub autoritatea proprie, EXCEPȚIE când e folosit personal non-profesional. Obligații furnizor (cele mai grele): sistem management calitate, evaluare conformitate, documentație tehnică, marcaj CE, înregistrare baze date UE, raport incidente serioase. Obligații deployer (mai ușoare): respectare instrucțiuni furnizor, supraveghere umană, monitoring funcționare, păstrare loguri, evaluare impact drepturi fundamentale dacă autoritate publică sau bancar/asigurări. Practic: dacă folosești ChatGPT API ca utilizator în formularul tău, ești deployer (OpenAI e furnizor). Dacă antrenezi propriu model fine-tuned, devii furnizor pentru acel model. Megaforms se poziționează ca deployer pentru AI third-party (OpenAI, Anthropic prin LiteLLM) și ca furnizor pentru orchestrarea proprie AI follow-up pe top.

Modelele GPAI — obligații separate aplicabile din august 2025

General-Purpose AI Models (GPAI) — categorie distinctă în AI Act pentru modele de fundație ca GPT-5, Claude 4.5, Gemini 3 Ultra, Llama 4. Obligații: (a) documentație tehnică (capacități, limite, dataset training); (b) politică drepturi autor — respectare opt-out exprimat în training, conformitate Directive 2019/790; (c) sumar public despre datele de training. Pentru modele cu «risc sistemic» (capacitate computațională peste 10^25 FLOPS — actualmente doar 5-10 modele globale) — obligații suplimentare: evaluare modele, evaluare risc sistemic, raportare incidente serioase, măsuri cybersecurity. Aceste obligații sunt ale providerilor (OpenAI, Anthropic, Google) — utilizatorii API consumă fără obligații GPAI directe. Important: deployer-ul rămâne responsabil pentru aplicarea finală în use case-uri high-risk specifice.

Evaluarea impactului asupra drepturilor fundamentale — FRIA

Art. 27 introduce obligația FRIA (Fundamental Rights Impact Assessment) pentru deployer-i care: (a) sunt autorități publice sau (b) sunt entități private care prestează servicii publice. FRIA trebuie făcută înainte de prima utilizare a sistemului high-risk și actualizată la schimbări semnificative. Conținut: descrierea proceselor unde sistemul AI e utilizat; perioada de utilizare și frecvența; categoriile persoanelor și grupurilor afectate; riscuri specifice prevăzute pentru categoriile afectate; măsuri de supraveghere umană; măsuri în caz de materializare risc. FRIA se transmite autorității de supraveghere a piețelor înainte de utilizare. Sincronizare cu DPIA (Art. 35 GDPR) — pot fi combinate într-un document unic dacă acoperă ambele dimensiuni.

Sancțiuni — până la 35 milioane EUR sau 7% CA

AI Act prevede sancțiuni proporționale cu gravitatea: (a) **35 milioane EUR sau 7% CA globală** — pentru încălcarea Art. 5 (practici AI interzise); (b) **15 milioane EUR sau 3% CA globală** — pentru încălcarea altor obligații (high-risk, transparență, GPAI); (c) **7.5 milioane EUR sau 1% CA globală** — pentru furnizare informații incorecte autorităților. Pentru IMM-uri, plafonul nominal e cel mai mic dintre cele două valori (favorabil IMM). Autoritățile naționale stabilesc nivele specifice prin lege internă — în RO/MD legi naționale de aplicare sunt în lucru. Comparativ cu GDPR (4% CA), AI Act e mai sever — semnal că UE consideră AI risc sistemic mai mare. Primele controale tematice AI Act sunt anticipate Q4 2026 — focus probabil: chatbot transparency, recrutare AI, scoring credit AI.

Ce face Megaforms pentru clienții care folosesc AI features

Megaforms a documentat conformitatea AI Act pentru toate features AI: (a) **AI follow-up** — clasificat risc limitat (Art. 50) → badge transparență «întrebare generată de AI», logging input-output pentru audit; (b) **AI question generator** — risc limitat → wizard creează formular bazat pe prompt cu disclaimer «AI-generated, review înainte de publish»; (c) **scoring lead AI** — risc limitat în default (nu e high-risk decât dacă folosit pentru acces servicii esențiale conform Anexa III) → owner workspace e responsabil să decidă clasificarea per use case; (d) **screening CV AI** (planned Q3 2026) — clar high-risk → vom include FRIA wizard + human review queue obligatoriu + audit trail complet. Pentru toate features, oferim documentație tehnică pentru deployer (rolul tău) — categorii date input, scopuri, limite, măsuri supraveghere recomandate, exemple de configurare conformă.

Roadmap pentru operator — checklist august 2026

Pași concreți de făcut până la 2 august 2026: (1) inventariază toate sistemele AI folosite în formularele tale (chatbot, scoring, screening, generare conținut); (2) clasifică fiecare după nivelul de risc; (3) dacă există high-risk — pregătește FRIA, documentație tehnică, măsuri supraveghere umană, audit log; (4) pentru orice AI conversațional — adaugă disclaimer vizibil utilizator înainte de prima interacțiune; (5) actualizează privacy notice cu secțiune dedicată AI (ce model, ce date input, ce output, drepturi specifice utilizator); (6) verifică contractele cu providerii AI (OpenAI, Anthropic) — clauze conformitate AI Act, DPA actualizat; (7) training intern pentru echipa care folosește AI (înțelegere capabilități, limite, bias); (8) procedură incident AI (logging, raportare autoritate dacă serioasă); (9) revizuiește anual + la schimbări semnificative. Pentru sectoarele cu risc sistemic potențial (HR, finanțe, sănătate, educație, justiție) — consultanță juridică specializată recomandată.

Referințe oficiale

regulation
Regulamentul UE 2024/1689 (AI Act) — EUR-Lex
https://eur-lex.europa.eu/eli/reg/2024/1689/oj
guidance
Comisia Europeană — pagina AI Act
https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
guidance
EU AI Office — site oficial
https://digital-strategy.ec.europa.eu/en/policies/ai-office
regulation
Anexa III — sisteme high-risk
https://artificialintelligenceact.eu/annex/3/
guidance
EDPB-EDPS — opinia comună AI Act + GDPR
https://www.edpb.europa.eu/system/files/2021-06/edpb-edps_joint_opinion_ai_regulation_en.pdf

Megaforms acoperă cerințele de mai sus by design

Host 100% UE, DPA semnabil online, sub-procesatori listați transparent, retention configurabil, audit log accesare date sensibile, portal DSAR self-serve. Începe pe Free, evaluezi conformitatea pe propriul tău use case.

Începe gratuit Features compliance Megaforms

Întrebări frecvente

Folosesc ChatGPT prin API în chatbot-ul formularului meu — sunt furnizor sau deployer?▾

Deployer. Furnizor este OpenAI (dezvoltă și pune pe piață modelul). Tu folosești sistemul sub autoritatea ta într-un context specific — obligațiile tale sunt cele de deployer (transparență Art. 50, monitorizare, păstrare loguri).

Chatbot-ul meu doar răspunde FAQ — tot e high-risk?▾

Nu. Chatbot conversațional fără decizie automatizată cu impact juridic semnificativ = risc limitat (Art. 50). Doar obligație transparență («vorbești cu AI»). Dacă chatbot-ul decide cine primește credit / cine intră la examen — DA, high-risk.

AI follow-up Megaforms intră sub AI Act?▾

Da, ca risc limitat. Obligație transparență: utilizatorul trebuie informat că întrebarea suplimentară e generată de AI. Megaforms aplică acest disclaimer automat în UI.

Dacă fac singur fine-tuning pe modelul open source, devin furnizor?▾

Da, devii furnizor pentru modelul rezultat — cu toate obligațiile aferente (documentație, evaluare conformitate). Riscul juridic crește semnificativ. Recomandare: rămâi deployer pe modele third-party când e posibil; fine-tuning doar dacă necesitate clară business + capacitate de a îndeplini obligații furnizor.

Cum demonstrez supravegherea umană în control?▾

Audit log cu: utilizator uman care a revizuit output-ul AI, timestamp revizuire, decizia finală (acceptat/respins/modificat), motivul devierii (dacă e cazul). Plus training-uri documentate ale recenzorilor și procedură scrisă supraveghere. Megaforms loggează automat în plan Business+.

Sancțiunile se aplică retroactiv pe sisteme deja în uz?▾

Sistemele AI puse pe piață înainte de 2 august 2026 au derogare până la 2 august 2027 dacă nu suferă schimbări semnificative în design. Schimbare semnificativă = aliniere imediată. Pentru high-risk operate de autorități publice, conformitate până la 2 august 2030.

Datele de training ale modelului folosit contează?▾

Pentru providerul GPAI (OpenAI, Anthropic) — DA, obligație sumar public + politică drepturi autor. Pentru tine ca deployer — beneficiezi de obligațiile providerului; verifici că alegi provideri conformi și o documentezi în due diligence.

Ghiduri conexe

GDPR/GDPR UE

De la Art. 5 la sub-procesatori și transferuri internaționale — ce trebuie să faci concret când colectezi date prin formulare online în UE.

MED

HIPAA vs GDPR healthcare

Cele două regimuri pentru date medicale online — definiții PHI vs date sensibile, BAA vs DPA, deadline-uri breach, drepturi pacient. Ce alegi pentru clinica ta.

ISO

ISO 27001 roadmap pentru SaaS

De la zero la certificat — 8 etape ISMS, controalele Anexa A 2022, internal audit, alegerea certification body, surveillance audits anuale. Cost și timeline realist.

SOC

SOC 2 Type II

Cele 5 Trust Services Criteria, diferența Type I vs Type II, raportul auditorului independent, statusul Megaforms Q1 2027 și ce clienți primesc.