EU AI Act: ultimele 9 săptămâni până la 2 august 2026 — ce trebuie să facă companiile românești

Disclaimer juridic: Acest articol are scop informativ și educațional. Nu reprezintă consultanță juridică individuală. Pentru evaluarea conformității organizației tale, consultă un avocat specializat în drept digital, un DPO acreditat și autoritatea națională competentă. Articolul a fost verificat la 29 mai 2026 și citează surse oficiale EUR-Lex și ale Comisiei Europene.

Pe 2 august 2026, Regulamentul (UE) 2024/1689 — cunoscut public drept EU AI Act — devine pe deplin aplicabil pentru sistemele AI cu risc înalt din Anexa III și pentru obligațiile de transparență din Articolul 50. De la momentul publicării acestui articol (29 mai 2026), companiile românești au aproximativ 9 săptămâni și 4 zile — circa 65 de zile calendaristice — pentru a-și aduce procesele AI într-o stare de conformitate demonstrabilă în fața autorităților.

Acest ghid nu este un text academic, ci o foaie de parcurs operațională. Conține numerotare exactă a articolelor regulamentului, sancțiuni verificate cu Articolul 99, exemple concrete pentru piața din România și un checklist săptămână cu săptămână care poate fi adus mâine în consiliul de administrație. Pentru o privire evergreen asupra întregului cadru juridic, complementar este ghidul pe care l-am publicat anterior despre obligațiile și sancțiunile pentru companiile românești; articolul de față se concentrează pe urgență, deadline și execuție.

Ce se schimbă exact pe 2 august 2026

EU AI Act se aplică progresiv în patru etape, două dintre ele deja active. Etapa 3 — cea care intră în vigoare pe 2 august 2026 — este momentul în care majoritatea companiilor românești trec dintr-o zonă de pregătire opțională într-un cadru obligatoriu cu sancțiuni administrative. Conform paginii oficiale a Comisiei Europene dedicate AI Act, de la această dată devin pe deplin aplicabile două seturi de obligații care lovesc direct operațiunile business.

Primul set acoperă sistemele AI cu risc înalt listate în Anexa III a regulamentului. Cele opt domenii sensibile includ recrutarea și gestionarea forței de muncă, accesul la servicii publice și private esențiale (scoring credit, evaluare pentru asigurări de viață și sănătate), educația și formarea profesională, infrastructura critică, aplicarea legii, migrarea și controlul frontierelor, justiția și procesele democratice, plus biometria în afara cazurilor interzise. Conform Anexei III a regulamentului, un sistem AI care intră în oricare dintre aceste categorii este automat clasificat ca risc înalt și activează obligații extinse de documentație tehnică, supraveghere umană, audit trail și evaluare de conformitate.

Al doilea set acoperă obligațiile de transparență din Articolul 50. Conform Articolului 50 al regulamentului, companiile trebuie să informeze clar utilizatorii când interacționează cu un sistem AI (de exemplu, chatbot-uri pe site), să marcheze conținutul generat sintetic într-un format detectabil mașină (text, imagini, audio, video — inclusiv deepfake-uri), să informeze atunci când folosesc sisteme de recunoaștere a emoțiilor sau de categorizare biometrică, și să eticheteze conținutul de tip „deepfake" sau textul AI publicat ca informare publică pe teme de interes general.

Pentru a sprijini implementarea practică, Comisia Europeană a publicat în 2026 ghiduri detaliate privind aplicarea Articolului 50 și un cod de practică privind marcarea și etichetarea conținutului AI-generated — un instrument neobligatoriu, dar care creează o prezumție de conformitate pentru companiile care îl adoptă.

Cele patru categorii de risc — și unde te încadrezi

EU AI Act folosește o abordare bazată pe risc, structurată pe patru categorii. Înțelegerea corectă a clasificării propriilor sisteme AI este primul pas obligatoriu într-o evaluare de conformitate; orice celălalt efort se calibrează în funcție de această clasificare.

Risc inacceptabil — interzis integral de la 2 februarie 2025 conform Articolului 5. Aici intră social scoring de către autorități publice, manipularea subliminală care influențează comportament în mod prejudiciabil, exploatarea vulnerabilităților unor grupuri (vârstă, dizabilitate, situație socio-economică), identificarea biometrică în timp real în spații publice de către forțele de ordine (cu excepții foarte stricte), categorizarea biometrică pe criterii sensibile (rasă, opinie politică, apartenență sindicală, convingeri religioase, viață sexuală), scraping-ul nediscriminat de imagini faciale pentru baze de date de recunoaștere și — interdicție specifică foarte relevantă pentru employee tech românesc — recunoașterea emoțiilor la locul de muncă și în instituțiile educaționale.

Risc înalt — aplicabil pe deplin din 2 august 2026 pentru sistemele din Anexa III. Cel mai relevant pentru piața românească: bănci care folosesc scoring de credit retail, asigurători care fac pricing pentru polițe de viață și sănătate, companii cu HR tech (screening CV, video-interviuri analizate algoritmic, monitorizare performanță), retaileri cu BNPL și scoring consumator, educație privată cu sisteme automate de admitere sau supraveghere examene, BPO-uri care livrează clienților UE soluții AI pentru recrutare sau credit, și operatori de sănătate privată care folosesc AI medical (cu obligații duble sub MDR).

Risc limitat — aplicabil din 2 august 2026 prin Articolul 50. Aici intră chatbot-urile de suport clienți, sistemele care generează imagini, video sau audio sintetic, instrumentele care produc text publicat ca informare publică pe teme de interes general, și sistemele de recunoaștere a emoțiilor sau categorizare biometrică în contexte permise (cele interzise rămân la nivel 1). Obligația principală este disclosure-ul clar către utilizator.

Risc minim — fără obligații AI Act specifice. Spam filters, AI în jocuri video, optimizări tehnice care nu afectează drepturi sau decizii substanțiale. Atenție: GDPR, drepturile consumatorului și restul legislației rămân integral aplicabile, indiferent de clasificarea AI Act.

Sancțiunile reale — Articolul 99 și calcul pentru companii românești

Cadrul de sancțiuni este oficial activ de la 2 august 2025 și acoperă deja încălcările etapelor 1 și 2. Conform Articolului 99 al regulamentului, structura este pe trei niveluri.

Nivelul 1 — practici interzise (Articolul 5): până la 35.000.000 EUR sau, pentru întreprinderi, până la 7% din cifra de afaceri globală anuală din exercițiul financiar precedent, oricare este mai mare. Acest plafon este substanțial mai sever decât GDPR (unde maximul este 20M EUR sau 4% cifra de afaceri globală), un semnal politic clar că UE tratează utilizarea abuzivă a AI ca un risc sistemic.

Nivelul 2 — obligații pentru furnizori, deployers, importatori, distribuitori (inclusiv Articolul 26 și obligațiile de transparență din Articolul 50): până la 15.000.000 EUR sau 3% din cifra de afaceri globală anuală. Acesta este nivelul relevant pentru majoritatea companiilor românești, fiindcă acoperă obligațiile de deployer — adică ale companiilor care utilizează profesional un sistem AI cu risc înalt, chiar dacă l-au cumpărat ca SaaS de la un furnizor.

Nivelul 3 — informații incorecte, înșelătoare sau incomplete furnizate autorităților: până la 7.500.000 EUR sau 1% din cifra de afaceri globală anuală.

Protecție pentru IMM-uri: pentru întreprinderile mici și mijlocii, inclusiv start-up-uri, fiecare amendă este plafonată la suma sau procentul mai mic dintre cele două variante (în loc de mai mare). Este o protecție utilă, dar nu reduce dramatic expunerea pentru IMM-urile cu cifră de afaceri considerabilă.

Pentru a fixa magnitudinea în context românesc: pentru o companie cu cifră de afaceri anuală de 30 milioane EUR, o încălcare la Nivelul 2 (de exemplu, lipsa marcajului de transparență Art. 50 pe un chatbot live) poate duce la o amendă teoretică de până la 900.000 EUR; pentru un grup multinațional cu activități în România și cifră globală de 800 milioane EUR, o încălcare la Nivelul 1 (de exemplu, recunoaștere emoții la job pentru evaluarea angajaților) poate atinge 56 milioane EUR.

Cine te controlează în România

România și-a definitivat arhitectura instituțională pentru aplicarea AI Act în primăvara anului 2026. Conform analizei publicate de Digi24 privind aplicarea AI Act în România și a planurilor naționale de implementare centralizate de Comisie, Guvernul României a adoptat în martie 2026 memorandumul de desemnare a autorităților naționale competente. Structura este mixtă — o autoritate centrală de coordonare, autorități sectoriale specializate și o autoritate distinctă de notificare.

În practică, pentru deployer-ul mediu din România, supravegherea se distribuie astfel:

• ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) preia componenta de drepturi fundamentale și domeniile sensibile: biometrie, aplicarea legii, migrare, controlul frontierelor, justiție, procese democratice. ANSPDCP este și autoritatea care a aplicat deja GDPR, deci are deja competențele și instrumentele de supraveghere.
• ANCOM primește rolul de supraveghere de piață pe domeniile generale.
• ASF și BNR acoperă AI-ul financiar — scoring credit, pricing asigurări, sisteme de scoring în servicii financiare.
• O autoritate națională de coordonare asigură interfața unică cu Comisia Europeană și AI Office, iar o autoritate de notificare se ocupă de desemnarea organismelor de evaluare a conformității.

Important pentru companiile românești: chiar dacă cadrul național operațional nu este 100% finalizat pe 2 august 2026, regulamentul se aplică direct. Lipsa unor proceduri naționale complet operaționale nu suspendă obligațiile — o concluzie explicită a analizei pe care o regăsești și în comunicările Comisiei.

Checklist 9 săptămâni — execuție săptămână cu săptămână

Următoarea secțiune este foaia de parcurs. Pentru o companie care nu a început încă, fiecare săptămână are un singur livrabil principal. Pentru o companie care a făcut deja munca pe GDPR/DPIA, multe artefacte se pot reutiliza cu adăugiri specifice AI.

Săptămâna 1 (29 mai → 4 iunie) — Inventar AI complet

Listează toate sistemele AI utilizate în organizație, indiferent de cine le-a contractat. Include obligatoriu: SaaS-uri externe (ChatGPT Enterprise, Microsoft Copilot, Anthropic Claude, Google Gemini, Cursor, GitHub Copilot), instrumente integrate în CRM/HR/ERP (scoring, screening, recomandări), AI dezvoltat intern (chiar și prototipuri), tooluri folosite ad-hoc de echipe (shadow AI). Pentru fiecare: furnizor, scop, tip de date procesate, departament responsabil. Output: registru AI complet — primul artefact obligatoriu de audit.

Săptămâna 2 (5 → 11 iunie) — Clasificare de risc

Pentru fiecare sistem din registru, determină categoria de risc. Verifică Anexa III pentru a identifica risc înalt, Articolul 5 pentru a exclude practicile interzise (în special recunoașterea emoțiilor la job, chiar dacă feature-ul este vândut ca „employee engagement"), Articolul 50 pentru a marca toate sistemele care necesită transparență (chatbot, generare conținut, deepfake, etichetare AI). Output: matrice de risc pe organizație.

Săptămâna 3 (12 → 18 iunie) — Documentație furnizori

Cere fiecărui furnizor de AI: Data Processing Agreement (DPA) actualizat cu clauze AI Act, dovada marcajului CE pentru sistemele cu risc înalt, instrucțiunile de utilizare conforme Articolului 13 al regulamentului, planul de monitorizare post-piață. Pentru SaaS-urile americane (OpenAI, Anthropic, Google), verifică explicit dacă oferă termeni Enterprise care includ angajamente AI Act — versiunile gratuite sau Individual nu sunt suficiente. Output: dosare furnizori complete.

Săptămâna 4 (19 → 25 iunie) — FRIA + DPIA

Pentru sistemele cu risc înalt din anumite categorii (autorități publice, entități private care prestează servicii publice, operatori de credit și asigurări de viață/sănătate), realizează Fundamental Rights Impact Assessment conform Articolului 27. Coreleaza cu DPIA-ul GDPR existent. Documentează: procesele în care AI va fi folosit, categoriile de persoane afectate, riscurile specifice, măsurile de supraveghere umană, mecanismele de plângere. Output: FRIA + DPIA actualizat.

Săptămâna 5 (26 iunie → 2 iulie) — Supraveghere umană

Desemnează responsabili AI (preferabil din afara echipei care folosește sistemul, pentru independență), definește autoritate reală de a opri sistemul AI și de a interveni în decizii, scrie SOP-uri pentru deciziile critice (cu human-in-the-loop documentat). Pentru companiile cu structură matriceală, clarifică în RACI cine deține decizia finală când AI și om diverg. Output: roluri + SOP-uri semnate.

Săptămâna 6 (3 → 9 iulie) — Logging și audit trail

Conform Articolului 26 alineatul 6, deployer-ul păstrează jurnalele generate automat de sistemul AI pentru minimum 6 luni (sau perioada aplicabilă conform altor obligații legale, cea mai lungă). Configurează logging structurat al fiecărei interacțiuni: input, output, decizie finală, intervenție umană dacă există, latență, costuri. Integrează cu SIEM-ul corporativ pentru detecție anomalii. Output: pipeline de audit funcțional.

Săptămâna 7 (10 → 16 iulie) — AI literacy pentru echipă

Obligația de AI literacy din Articolul 4 este deja activă din februarie 2025 — în multe organizații românești, încă neîndeplinită. Conform ghidului oficial al Comisiei privind AI literacy, nivelul „suficient" se evaluează contextual; în practică, organizațiile au flexibilitate, dar lipsa unor măsuri demonstrabile de formare poate genera răspundere civilă dacă utilizarea AI cauzează prejudicii. Construiește cursuri diferențiate pe roluri (executivi, IT, HR, customer-facing) și păstrează registru de participare ca dovadă de conformitate. Output: registru training AI.

Pentru un parcurs structurat care îndeplinește direct cerința Articolului 4, cursul AI pentru CEO și Lideri Business acoperă în mod expres EU AI Act pentru factori de decizie, iar cursul AI Security & Ethics tratează aspectele tehnice (OWASP LLM Top 10, ISO 42001, MITRE ATLAS) pentru echipele de inginerie și security — ambele pot fi utilizate ca dovezi în cadrul unui audit.

Săptămâna 8 (17 → 23 iulie) — Transparență Articolul 50

Implementează în UI marcaje vizibile „interacționezi cu un sistem AI" pentru chatbot, watermark detectabil mașină pentru imagini generate AI, etichetare „conținut generat de inteligență artificială" pentru text AI publicat ca informare publică, disclosure deepfake pentru conținut audio/video sintetic care reprezintă persoane reale. Update politici editoriale interne și termenii de utilizare. Pentru integrările cu modele care suportă C2PA (Content Credentials), activează metadatele standard. Output: UI + label-uri conforme.

Săptămâna 9 (24 iulie → 1 august) — Dry-run + governance

Rulează un audit intern simulat (în ideal, cu un avocat extern care joacă rolul autorității). Publică intern Politica AI a companiei (un document scurt, 3-5 pagini, cu principii, roluri, escalare). Definește o persoană de contact AI și un email dedicat (ai@compania.ro sau similar) pentru sesizări interne și externe. Programează reactualizarea semestrială a registrului AI și a clasificării de risc. Output: AI governance pack complet, gata pentru data de 2 august.

Cele 5 greșeli pe care le fac companiile românești acum

După conversații cu echipe juridice și DPO-i din mai multe industrii, conturăm un model recurent de erori care apare în pregătirile AI Act la jumătatea lui 2026.

Greșeala 1 — confundă AI Act cu o variantă a GDPR și transferă DPIA-ul existent fără adaptări. Cele două reglementări se suprapun, dar nu sunt sinonime: GDPR protejează datele personale, AI Act reglementează sistemele AI indiferent de natura datelor. Un sistem AI care nu prelucrează deloc date personale poate intra integral sub AI Act (de exemplu, un model de predictive maintenance industrial).

Greșeala 2 — ignoră obligațiile pentru deployer pentru că sistemul este „cumpărat, nu construit". Articolul 26 stabilește obligații proprii ale deployer-ului, independente de furnizor: supraveghere umană, jurnale, informarea persoanelor afectate, FRIA (când e cazul). Furnizorul american care a făcut marcajul CE nu te scutește de aceste obligații în România.

Greșeala 3 — clasifică greșit chatbot-urile ca „risc minim" pentru că nu iau decizii financiare. Chatbot-urile cad direct sub Articolul 50 (risc limitat, transparență obligatorie) — nu sub risc minim. Lipsa marcajului „interacționezi cu un AI" este o încălcare directă, sancționabilă la Nivelul 2 (până la 15M EUR sau 3% cifră globală).

Greșeala 4 — folosesc instrumente de „employee monitoring" cu component de recunoaștere a emoțiilor crezând că sunt acoperite de consimțământul angajatului. Recunoașterea emoțiilor la locul de muncă este interzisă prin Articolul 5 (cu excepții foarte limitate — siguranță, scop medical) — consimțământul angajatului nu validează o practică interzisă, conform principiilor consolidate ale Comitetului European pentru Protecția Datelor.

Greșeala 5 — amână AI literacy pentru „după 2 august" pentru că nu are deadline propriu. Articolul 4 este deja aplicabil din februarie 2025. O autoritate poate cere astăzi dovezi de instruire AI pentru personalul care lucrează cu sistemele tale; lipsa lor este un factor agravant chiar și pentru încălcări pe alte articole.

Cum te pregătești pe termen lung — dincolo de 2 august 2026

Conformitatea AI Act nu este un proiect cu deadline pe 2 august și gata. Este o disciplină operațională continuă, similară cu modul în care GDPR a evoluat din 2018 într-o practică permanentă de privacy by design. Trei direcții merită investiția structurală.

Direcția 1 — AI governance ca funcție permanentă. Desemnează un AI Lead (poate fi DPO-ul extins cu mandat AI, poate fi CISO-ul, poate fi o funcție nouă). Construiește un comitet AI care se întâlnește lunar și revizuiește registrul, clasificările și incidentele. Includeți juridic, security, IT, business owner-i și un reprezentant HR.

Direcția 2 — formare continuă și diferențiată. Articolul 4 cere nivel „suficient" — care variază pe rol. Executivii au nevoie de înțelegere strategică și legală; inginerii au nevoie de practici tehnice (OWASP LLM Top 10, NIST AI 100-2, red teaming); echipele customer-facing au nevoie de protocoale de disclosure și escalare; HR-ul are nevoie de cunoaștere legală specifică (AI Act + GDPR + Codul Muncii). Pentru rute structurate, cursul AI Lideri Business pentru factori de decizie, cursul AI Security & Ethics pentru echipele tehnice și cursul AI System Architecture pentru arhitecți acoperă spectrul complet — și creează simultan dovezi documentate de AI literacy.

Direcția 3 — automatizarea conformității. Pentru companii cu portofoliu de zeci de sisteme AI, gestionarea manuală a registrului, FRIA-urilor și auditurilor devine rapid o frână operațională. Investește în instrumente de AI governance (Credo AI, Holistic AI, OneTrust AI Governance sau alternative open-source) care integrează inventarul cu evaluările de risc și auditurile. Costul anual al unei astfel de platforme este, tipic, sub valoarea unei singure amenzi de Nivel 3.

Concluzie — 9 săptămâni nu sunt mult, dar sunt suficiente

Companiile care au început deja munca pe AI Act sunt acum la finalul Săptămânii 4-5 din checklist și au timp confortabil. Companiile care încep pe 29 mai 2026 au exact 9 săptămâni și 4 zile — un termen tensionat dar realist pentru cele care alocă o resursă dedicată (1 FTE intern + sprijin juridic extern). Companiile care încep abia după 2 august 2026 acumulează zilnic risc de sancțiune și se vor regăsi într-o poziție defensivă cu autoritățile — o poziție din care orice negociere de reducere este mai dificilă.

Mesajul executiv este simplu: nu există o opțiune „așteptăm să vedem cum aplică autoritățile". Regulamentul se aplică direct, iar primele dosare de control se vor deschide previzibil în lunile septembrie-decembrie 2026, pentru încălcările cele mai vizibile public — chatbot-uri fără marcaj de transparență, sisteme de screening fără supraveghere umană documentată, instrumente de „employee analytics" cu component emoțional. Dacă te recunoști în vreuna dintre aceste descrieri, săptămânile rămase trebuie folosite cu prioritate maximă.

EU AI Act nu este un cap de pod împotriva AI — este un cadru care legitimează utilizarea responsabilă, deschide piețe instituționale (administrație publică, bănci, asigurări, sănătate) și oferă companiilor românești care îl implementează rapid un avantaj competitiv durabil în fața celor care vor reacționa târziu. Pe 2 august 2026, organizațiile pregătite vor opera fără frecare; cele nepregătite vor descoperi că lipsa unor artefacte documentare blochează contracte, declanșează auditori și transferă presiune ireversibilă în C-suite.

Cele 9 săptămâni încep acum.

Disclaimer juridic final: Acest articol prezintă cadrul juridic al EU AI Act în baza Regulamentului (UE) 2024/1689 și a surselor oficiale citate, la data de 29 mai 2026. Nu reprezintă consultanță juridică individuală. Aplicarea practică a obligațiilor depinde de circumstanțele specifice ale fiecărei organizații — categoria de risc, sectorul, jurisdicțiile, contractele existente. Pentru evaluarea conformității organizației tale, consultă un avocat specializat în drept digital, un DPO acreditat și — pentru aspecte de aplicare în România — autoritățile naționale competente desemnate (ANSPDCP, ANCOM, ASF, BNR în funcție de domeniu). Verifică întotdeauna versiunea consolidată curentă a regulamentului pe EUR-Lex și actualizările publicate de Comisia Europeană.

Surse oficiale citate:

1. EUR-Lex — Regulamentul (UE) 2024/1689 (AI Act), text integral
2. Comisia Europeană — AI Act regulatory framework (overview oficial)
3. Comisia Europeană — Code of Practice on AI-generated content (marking and labelling)
4. Comisia Europeană — AI literacy questions and answers (Art. 4)
5. Articolul 4 — AI literacy (artificialintelligenceact.eu)
6. Articolul 5 — Prohibited AI practices
7. Articolul 26 — Obligations of deployers of high-risk AI systems
8. Articolul 27 — Fundamental Rights Impact Assessment (FRIA)
9. Articolul 50 — Transparency obligations for providers and deployers
10. Articolul 99 — Penalties (sancțiuni)
11. Anexa III — High-risk AI systems referred to in Article 6(2)
12. Digi24 — Din august 2026, AI Act devine pe deplin aplicabil în UE: ce trebuie să știe firmele din România
13. Overview of all AI Act National Implementation Plans (artificialintelligenceact.eu)
14. Comitetul European pentru Protecția Datelor (EDPB)