AI ACT, cum impactează IMM urile din România? În contextul anilor 2025-2026, discutăm despre AI ACT, cum impactează IMM urile din România, ce obligații și riscuri presupune?

Calendarul de aplicare: când intră în vigoare obligațiile din AI Act?

Clasificarea sistemelor AI după nivelul de risc: interzis, ridicat, limitat sau minim?

Care sunt obligațiile concrete pentru angajatori și utilizatori de AI?

Ce riscă IMM-urile care ignoră AI Act? Sancțiuni și autorități de control

Cum protejează AI Act drepturile fundamentale ale angajaților și clienților?

Documentația obligatorie pentru IMM-uri: audit intern, fișe de conformitate și jurnale AI

Cum pot IMM-urile beneficia de suport prin AI Regulatory Sandbox?

Cum se corelează AI Act cu GDPR și alte reglementări europene?

De ce AI-ul nu este un pericol, ci un avantaj competitiv – dacă știi să-l folosești

Inteligența artificială nu e (doar) despre tehnologie. E despre responsabilitate, risc și putere decizională. Iar AI Act e noua lege a jocului.

Imaginați-vă următorul scenariu: compania dumneavoastră folosește un chatbot pentru suport clienți. Sau un sistem de scoring automat pentru evaluarea CV-urilor. Ce nu știți (încă) este că, de la 2 august 2026, orice astfel de utilizare va intra sub lupa directă a uneia dintre cele mai ambițioase reglementări adoptate vreodată de Uniunea Europeană: AI Act – Regulamentul privind Inteligența Artificială.

Aceasta nu este o reformă de laborator. Este o reformă de business. Nu contează dacă sunteți dezvoltator, utilizator, furnizor sau simplu beneficiar al unui software cu AI. Dacă sistemul pe care îl folosiți decide, recomandă, clasifică sau analizează – și are impact real asupra oamenilor – sunteți deja parte din ecuația juridică.

Și ecuația e clară: transparență, documentație, supraveghere umană și auditabilitate.

Cine nu înțelege asta acum, va înțelege mai târziu – cu o notificare de la autoritate, o amendă semnificativă sau o investigație internă care va expune lacunele de conformitate. Pentru unele companii, AI Act va fi doar o reglementare în plus. Pentru altele, va fi un catalizator strategic – un avantaj competitiv neașteptat

1. Ce este AI Act și de când se aplică?

Regulamentul privind inteligența artificială al Uniunii Europene, cunoscut sub denumirea de AI Act, este prima reglementare comprehensivă din lume care stabilește norme clare pentru dezvoltarea, comercializarea și utilizarea sistemelor de inteligență artificială (AI) în spațiul european. Scopul său este de a garanta un cadru sigur, transparent și etic pentru utilizarea AI, protejând drepturile fundamentale ale cetățenilor și, în același timp, stimulând inovarea și competitivitatea în UE.

Regulamentul privind inteligența artificială a intrat în vigoare la 1 august 2024 și va fi pe deplin aplicabil începând cu 2 august 2026, cu unele excepții:

• interdicțiile și obligațiile privind competențele în domeniul inteligenței artificiale se aplică începând cu 2 februarie 2025
• regulile de guvernanță și obligațiile aplicabile modelelor de inteligență artificială de uz general se aplică începând cu 2 august 2025
• regulile aplicabile sistemelor de inteligență artificială cu risc ridicat, integrate în produse reglementate, beneficiază de o perioadă de tranziție extinsă până la 2 august 2027

2. AI ACT, cum impactează IMM urile din România?

Deși la prima vedere AI Act pare să vizeze în principal marile companii de tehnologie, în realitate, regulamentul are un impact semnificativ și asupra întreprinderilor mici și mijlocii (IMM-uri), inclusiv asupra celor din România. Orice companie care utilizează aplicații de inteligență artificială – fie în activitatea internă, fie în relația cu clienții – se poate încadra în sfera de aplicare a regulamentului.

De exemplu, o firmă care folosește un chatbot pentru relația cu clienții sau un software bazat pe învățare automată pentru selecția CV-urilor poate fi considerată utilizator de AI. La fel, o companie care achiziționează servicii de inteligență artificială oferite de terți (de tip SaaS) sau care face parte dintr-un lanț de aprovizionare în care sunt utilizate astfel de sisteme, poate avea obligații directe sau indirecte în temeiul AI Act.

Este important de subliniat că regulamentul nu se limitează la dezvoltatori, ci include în mod expres utilizatorii, distribuitorii și importatorii de sisteme AI. Așadar, chiar și o companie care nu dezvoltă tehnologie propriu-zis, dar o aplică în activitatea sa, va trebui să analizeze riscurile și să respecte cerințele relevante. Prin urmare, IMM-urile nu pot ignora noile reglementări și ar trebui să înceapă din timp evaluarea implicațiilor juridice și operaționale ale AI Act.

3. Clasificarea bazată pe risc – ce înseamnă?

AI Act se bazează pe un model de clasificare a riscurilor. Astfel, sistemele AI sunt împărțite în funcție de riscurile pe care le pot genera asupra drepturilor și siguranței persoanelor. Cele patru categorii principale sunt:

a) Sisteme AI interzise:

Sunt acele sisteme care sunt considerate inacceptabile din punct de vedere etic și legal, precum manipularea subconștientului, scorarea socială a indivizilor sau recunoașterea biometrică în timp real în spații publice. Acestea sunt interzise complet.

b) Sisteme cu risc ridicat:

Acestea au un impact semnificativ asupra vieții oamenilor – de exemplu, în procesul de recrutare, educație, sănătate sau justiție. Pentru aceste sisteme, sunt impuse cerințe stricte de documentare, testare și conformitate.

c) Sisteme cu risc limitat:

Sunt aplicații precum chatbot-uri sau generatoare de imagini, care trebuie doar să respecte obligații de transparență – utilizatorul trebuie să știe că interacționează cu un sistem AI.

d) Sisteme cu risc minim:

Aici intră majoritatea aplicațiilor de zi cu zi (de exemplu, recomandări de produse, filtre anti-spam). Acestea nu sunt supuse unor cerințe suplimentare, dar principiile generale ale AI Act li se aplică în continuare.

Care este scopul?

Prin această clasificare, Uniunea Europeană urmărește proporționalitatea reglementării: cu cât un sistem AI poate influența mai mult viața unei persoane, cu atât regulile sunt mai stricte. Scopul este de a proteja drepturile fundamentale și încrederea publicului, fără a împiedica progresul tehnologic.

Este foarte probabil ca legiuitorul european să fi tras concluzii importante din aplicarea GDPR. La fel ca în cazul protecției datelor cu caracter personal, și aici se dorește evitarea unei reglementări excesive și uniform aplicate, în favoarea unei abordări diferențiate, adaptate nivelului real de risc. Această strategie urmărește să asigure o implementare mai realistă și sustenabilă pentru toate categoriile de actori economici, inclusiv IMM-urile.

4. Obligațiile angajatorilor: conformitate și responsabilitate

Pentru întreprinderile care utilizează sisteme de inteligență artificială în context profesional, AI Act introduce o serie de obligații concrete menite să asigure utilizarea responsabilă și legală a tehnologiilor automatizate. Printre acestea, se numără în primul rând realizarea unei analize de conformitate, în care compania trebuie să stabilească dacă sistemele AI folosite se încadrează într-una dintre categoriile de risc prevăzute de regulament.

În cazul în care se utilizează un sistem cu risc ridicat, devine obligatorie efectuarea unei analize de risc detaliate, care să identifice eventualele pericole asupra drepturilor fundamentale ale angajaților sau clienților. Este necesar, de asemenea, să se asigure supravegherea umană a deciziilor generate de AI – adică să existe o persoană care poate interveni, corecta sau anula rezultatul furnizat de algoritm. În mod concret, aceasta presupune că AI-ul nu poate decide în mod complet automat asupra angajării, promovării sau concedierii unei persoane, fără intervenție umană reală și justificată.

Totodată, companiile care implementează astfel de sisteme trebuie să țină o evidență clară a utilizării AI, sub forma unei baze de date interne care să documenteze tipul sistemului, scopul utilizării, furnizorul și măsurile de conformitate aplicate.

În practică, tot mai multe IMM-uri folosesc deja AI în moduri care intră sub incidența regulamentului. De exemplu, utilizarea unui chatbot pe site-ul companiei sau într-un magazin online implică obligația de a informa utilizatorii că interacționează cu un sistem automatizat. Monitorizarea angajaților prin tehnologii AI (cum ar fi analiza productivității sau recunoașterea facială pentru acces) presupune o justificare legală solidă și respectarea principiului proporționalității. Evaluarea automată a interviurilor de angajare prin algoritmi poate fi permisă doar cu respectarea cerințelor privind transparența, non-discriminarea și supravegherea umană.

În plus, o temă tot mai actuală este integrarea unor aplicații de tip OpenAI în fluxurile de muncă (precum ChatGPT pentru redactarea de documente sau analiza contractelor). În aceste cazuri, angajatorul este responsabil pentru rezultatele generate de AI și trebuie să clarifice cine poartă răspunderea juridică în caz de eroare sau afectare a datelor personale.

5. Sancțiuni și autorități competente în caz de nerespectare

Încălcarea prevederilor AI Act poate atrage sancțiuni semnificative, comparabile cu cele din domeniul protecției datelor cu caracter personal (GDPR). Amenzile administrative pot ajunge până la 35 de milioane de euro sau 7% din cifra de afaceri globală, în funcție de gravitatea faptei și dimensiunea entității implicate. Chiar și pentru IMM-uri, amenzile pot fi considerabile dacă se constată, de exemplu, utilizarea unui sistem AI interzis sau lipsa măsurilor de conformitate pentru un sistem cu risc ridicat.

Regulamentul prevede că fiecare stat membru va desemna una sau mai multe autorități naționale competente, responsabile cu supravegherea aplicării AI Act, inclusiv soluționarea reclamațiilor, efectuarea de controale și aplicarea sancțiunilor. La nivel european, coordonarea va fi asigurată de un Oficiu European pentru Inteligență Artificială, care va emite ghiduri, va ține registre publice și va sprijini aplicarea uniformă a regulamentului.

În România, următoarele instituții au fost desemnate cu roluri specifice în supravegherea respectării dispozițiilor AI Act, în funcție de domeniul de aplicare și de drepturile fundamentale potențial afectate: Avocatul Poporului, Autoritatea Națională pentru Protecția Consumatorilor, Consiliul Național pentru Combaterea Discriminării (CNCD), Agenția Națională Pentru Egalitate de Șanse pentru Femei și Bărbați, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), Autoritatea Națională pentru Protecția Drepturilor Copilului și Adopție, Ministerul Muncii și Solidarității Sociale / Inspecția Muncii, Consiliul Național al Audiovizualului și Autoritatea Electorală Permanentă.

6. Inteligența artificială și protecția drepturilor fundamentale – noi accente în AI Act

Una dintre mizele centrale ale AI Act este protejarea drepturilor fundamentale ale persoanei, în special a dreptului la viață privată, a demnității umane, a nediscriminării și a transparenței. Potrivit literaturii de specialitate relevante (Tóth András, GJ, 2024/5–6., p. 3–11), regulamentul subliniază că inteligența artificială nu poate înlocui responsabilitatea și decizia umană.

Un principiu esențial este supravegherea umană („human oversight”), care capătă o importanță majoră în mediul profesional. Angajatorii au nu doar o responsabilitate legală, ci și una etică de a se asigura că deciziile automatizate nu produc efecte negative asupra lucrătorilor. De exemplu, angajarea, promovarea sau concedierea nu pot avea loc exclusiv în baza deciziilor unui algoritm, fără o intervenție umană justificată și documentată.

7. Documentația internă obligatorie și auditabilitatea sistemelor cu risc ridicat

În cazul utilizării sistemelor cu risc ridicat, companiile trebuie să implementeze un sistem intern de management al conformității, care să includă (ibidem):

• documentație tehnică privind modul de funcționare al sistemului, sursele datelor de antrenament și caracteristicile algoritmice;
• jurnale de utilizare și păstrarea lor pentru o perioadă de cel puțin 10 ani;
• analize de risc care să includă impactul potențial asupra drepturilor fundamentale, inclusiv riscuri de discriminare sau efecte psihosociale;
• mecanisme de reclamație și revizuire internă.

Aceste cerințe sunt esențiale în special în domenii sensibile precum recrutarea, sănătatea, educația sau finanțele. Conformitatea nu este doar o cerință legală, ci și un atu reputațional: un sistem bine documentat inspiră încredere angajaților și clienților.

8. Sprijin special pentru întreprinderile mici și mijlocii

Regulamentul recunoaște în mod expres limitările resurselor de care dispun IMM-urile. Astfel, AI Act obligă Comisia Europeană să furnizeze ghiduri practice, șabloane de conformitate și să creeze centre de sprijin tehnic (așa-numitele AI Regulatory Sandboxes) unde IMM-urile pot testa sisteme AI într-un cadru controlat, fără sancțiuni (ibidem).

Pentru IMM-uri, AI Act nu trebuie privit doar ca o constrângere, ci ca o oportunitate de diferențiere competitivă. Implementarea responsabilă a AI poate aduce un avantaj clar în piață, în special în relația cu partenerii comerciali mai mari sau cu clienți internaționali care pun accent pe etică și transparență.

10. Corelarea AI Act cu alte reglementări (ex: GDPR)

AI Act nu înlocuiește, ci completează alte reglementări existente, în special Regulamentul general privind protecția datelor (GDPR). Ori de câte ori un sistem AI prelucrează date cu caracter personal, ambele seturi de reguli se aplică cumulativ (ibidem).

Aceasta implică obligații sporite de informare, asigurare a transparenței decizionale, documentare a logicii algoritmice și garantarea dreptului de opoziție. Companiile trebuie să coopereze cu responsabilul cu protecția datelor (DPO), iar în lipsa unuia, să desemneze o persoană sau structură internă care să asigure conformitatea simultană cu AI Act și GDPR.

Concluzie: Ce înseamnă AI Act pentru IMM-urile din România?

Pentru IMM-urile din România, AI Act nu este doar o normă tehnică europeană, ci o schimbare de paradigmă. Companiile trebuie să conștientizeze că utilizarea AI aduce nu doar beneficii, ci și responsabilități. Evaluarea sistemelor utilizate, încadrarea corectă în categoriile de risc, implementarea măsurilor de transparență și supraveghere umană, dar și păstrarea documentației și formarea personalului devin esențiale pentru conformitate.

Deși poate părea o sarcină complexă, AI Act oferă și oportunități: sprijin pentru IMM-uri, ghiduri clare, facilități de testare și o șansă reală de a obține un avantaj competitiv prin utilizarea responsabilă a AI. Adaptarea timpurie poate face diferența între o companie sancționată și una care inspiră încredere și performează în economia digitală europeană.

Din perspectiva noastră, în ciuda numeroaselor speculații legate de ideea că AI ar putea „prelua” locurile de muncă ale oamenilor, realitatea este mult mai nuanțată. Așa cum au existat temeri similare în trecut, fie la apariția internetului, fie, mai devreme, la invenția mașinii de scris, și atunci, ca și acum, adaptarea și învățarea au fost cheia progresului.

Ca atare, considerăm că inteligența artificială nu este un adversar, ci un instrument. Cunoașterea modului de utilizare a acestui instrument devine, în sine, o competență esențială („a skill”). Într-o lume accelerată, în care eficiența este crucială, AI-ul ar trebui privit ca o unealtă care ne ușurează viața, nu ca o amenințare.

AI-ul nu concurează cu angajații sau companiile. Companiile concurează între ele cele care au integrat AI în procesele lor și cele care nu au făcut-o încă. Așa cum spunea Benjamin Franklin, “Time is money”, iar în economia actuală, timpul câștigat prin utilizarea inteligentă a tehnologiei înseamnă resurse economisite, decizii mai bune și performanță sustenabilă.

Prin urmare, pentru IMM-uri, cheia nu este frica, ci cunoașterea. Implementarea corectă și etică a inteligenței artificiale poate deveni unul dintre cele mai valoroase atuuri într-o piață în continuă transformare.

AI ACT, cum impactează IMM urile din România?

Checklist practic de acțiuni pentru IMM-uri

• Am identificat toate sistemele AI utilizate în companie?
• Am determinat nivelul de risc conform clasificării AI Act?
• Am informat utilizatorii/angajații despre utilizarea AI?
• Am implementat un mecanism de supraveghere umană?
• Am păstrat documentația tehnică și jurnalele de utilizare?
• Am stabilit o persoană responsabilă cu AI și GDPR?
• Am consultat DPO-ul sau un expert juridic?

Transformarea AI Act dintr-o obligație abstractă într-un plan concret, acționabil, ușor de aplicat de către o companie mică sau medie, fără buget IT mare.

O abordare constructivă și orientată pe soluții.

Structură propusă:

1. Audit intern al utilizărilor actuale de AI

• Cum identifici toate sistemele AI din companie (chiar și cele integrate în software-uri existente)?
• Checklist simplu.

2. Clasificarea riscului fiecărui sistem AI

• Exemple de clasificare: risc minim vs. risc ridicat (recrutare, supraveghere, scoring financiar).

3. Măsuri de conformitate: ce se aplică pentru fiecare nivel de risc

• Tabel practic: ce trebuie IMM-ul să facă pentru fiecare categorie.

4. Designul responsabilității interne

• Cine răspunde? Cum se definesc rolurile (IT, juridic, HR)?
• Cum numim un AI compliance officer în companii fără DPO?

5. Supravegherea umană (human oversight) – cum se face concret

• Exemple practice: recrutare, analiză contracte, decizii automate.

6. Implementarea documentației minime obligatorii

• Cu șabloane practice: jurnal AI, fișă de conformitate, politicile interne.

7. Cum testezi sistemele AI în mod legal (Regulatory Sandbox)

• Prezentare pe înțelesul IMM-urilor.

Cum se accesează aceste spații de testare fără risc de sancțiune.

Autori:

Pantilimon Rikárd

Bartha Dánie

Iklandi Boglárka

Surse

https://accountancyeurope.eu/wp-content/uploads/2025/02/EU-AI-Act-factsheet-for-SMEs-accountants_RO.pdf?v1

https://ec.europa.eu/commission/presscorner/detail/ro/qanda_21_1683

https://artificialintelligenceact.eu/small-businesses-guide-to-the-ai-act

https://artificialintelligenceact.eu

România: Regulamentul UE privind Inteligența Artificială: Ce trebuie să știe companiile

https://digital-strategy.ec.europa.eu/ro/policies/regulatory-framework-ai

https://eur-lex.europa.eu/legal-content/RO/TXT/HTML/?uri=OJ:L_202401689

https://www.juridice.ro/761610/lista-autoritatilor-publice-nationale-care-asigura-respectarea-prevederilor-ue-privind-inteligenta-artificiala.html

Tóth András, Az Európai Unió Mesterséges Intelligencia Törvényéről, Gazdaság és Jog, 2024/5–6., pp. 3–11.

DISCLAIMER

AI ACT, cum impactează IMM urile din România?

Articolele și materialele publicate pe acest site au caracter strict informativ și nu constituie consultanță juridică în sensul Legii nr. 51/1995 privind exercitarea profesiei de avocat. Informațiile sunt furnizate „ca atare”, fără garanții explicite sau implicite privind completitudinea, exactitatea ori actualitatea lor. Niciun conținut prezentat aici nu creează, în mod direct sau indirect, o relație avocat-client.

Pentru soluționarea unei probleme concrete, vă recomandăm să solicitați o opinie personalizată din partea unui avocat calificat. Autorii articolelor nu răspund pentru nicio pierdere ori prejudiciu care ar putea apărea ca urmare a utilizării informațiilor publicate. Orice trimiteri la legislație, jurisprudență sau opinii doctrinare reflectă situația existentă la data publicării și pot fi supuse modificărilor ulterioare.

Reproducerea integrală sau parțială a materialelor este permisă doar cu acordul prealabil, în formă scrisă, al Cabinetului de Avocatură Pantilimon Rikhárd – cu menționarea expresă și exactă a sursei. În cazul în care sesizați inexactități sau aveți nelămuriri privind un articol, vă rugăm să ne contactați la adresa de e-mail: office@pantilimon.ro sau telefon: +40 740 011 411, pagina de internet: https://www.pantilimon.ro.