EU AI Act 2026 pentru companii românești: obligații, deadline-uri și sancțiuni

EU AI Act — denumirea uzuală a Regulamentului (UE) 2024/1689 — devine pe deplin aplicabil pentru sistemele AI cu risc înalt începând cu 2 august 2026. Pentru companiile românești, momentul nu este o curiozitate de drept european: este punctul în care orice organizație care folosește sisteme AI în decizii cu efecte juridice trece dintr-o zonă „gri" într-un cadru de conformitate cu sancțiuni de până la 35 milioane EUR sau 7% din cifra de afaceri globală anuală.

Acest ghid este construit pentru CEO-i, manageri, DPO-i și juriști de companie care au nevoie de o imagine clară, verificabilă și acționabilă a obligațiilor reale — nu de o introducere academică, ci de o foaie de parcurs care poate fi adusă mâine în consiliul de administrație.

Ce este EU AI Act și de ce contează pentru orice companie din România

EU AI Act este primul cadru juridic comprehensiv din lume dedicat specific inteligenței artificiale. Adoptat de Parlamentul European și Consiliul UE pe 13 iunie 2024 și publicat în Jurnalul Oficial pe 12 iulie 2024, regulamentul a intrat oficial în vigoare la 1 august 2024 și se aplică direct în toate statele membre, inclusiv România — fără a fi necesară o lege națională de transpunere, conform paginii oficiale a Comisiei Europene dedicate AI Act.

Spre deosebire de GDPR, care reglementează prelucrarea datelor cu caracter personal, AI Act reglementează introducerea pe piață, punerea în serviciu și utilizarea sistemelor AI — indiferent dacă acestea prelucrează sau nu date personale. Cu alte cuvinte: chiar dacă un sistem AI nu atinge nici o dată personală, el poate intra în obligațiile AI Act dacă este folosit într-un domeniu sensibil (recrutare, credit, justiție, infrastructură critică).

Pentru o companie românească, întrebarea nu mai este „dacă" intră sub incidența AI Act, ci „în care dintre cele patru categorii de risc se încadrează fiecare sistem AI pe care îl folosesc sau îl furnizez". Răspunsul determină tot — de la cantitatea de documentație necesară la mărimea amenzilor potențiale.

Calendarul oficial de implementare — patru etape, două deja active

Comisia Europeană și Parlamentul European confirmă patru etape de aplicare progresivă a regulamentului.

Etapa 1 — 2 februarie 2025: practici interzise + AI literacy

De la această dată sunt deja integral aplicabile două seturi de obligații care prind orice companie românească:

• Articolul 5 — interzicerea practicilor AI considerate „risc inacceptabil" (detalii mai jos)
• Articolul 4 — obligația de AI literacy: orice companie care furnizează sau utilizează sisteme AI trebuie să asigure un nivel suficient de competență AI pentru personalul care lucrează cu aceste sisteme

Conform ghidului oficial al Comisiei Europene privind AI literacy, obligația din Articolul 4 este deja în vigoare și „organizațiile au flexibilitate semnificativă în privința conținutului și formatului instruirii". Lipsa unor măsuri demonstrabile de formare poate genera răspundere civilă dacă utilizarea AI de către personal neinstruit cauzează prejudicii consumatorilor sau partenerilor de afaceri.

Etapa 2 — 2 august 2025: GPAI + sancțiuni

De la această dată au devenit aplicabile:

• Capitolul V — obligațiile pentru furnizorii de modele AI cu scop general (GPAI): documentație tehnică, transparență, conformitate cu drepturile de autor, sumarul datelor de antrenare. Modelele cu „risc sistemic" (cele care depășesc anumite praguri de capacitate computațională) au obligații suplimentare de evaluare, raportare incidente, securitate cibernetică
• Articolul 99 — cadrul de sancțiuni este oficial activ pentru încălcările din etapele 1 și 2

Etapa 3 — 2 august 2026: sisteme AI cu risc înalt (Anexa III)

Aceasta este data centrală pentru majoritatea companiilor românești. De la 2 august 2026, devin pe deplin aplicabile obligațiile pentru sistemele AI cu risc înalt listate în Anexa III a regulamentului — categoria în care intră majoritatea cazurilor de utilizare AI din business: recrutare, scoring credit, evaluare performanță angajați, asigurări de viață și sănătate, control acces servicii esențiale.

Etapa 4 — 2 august 2027: sisteme high-risk integrate în produse reglementate

De la această dată se aplică obligațiile pentru sistemele AI cu risc înalt integrate în produse deja reglementate de legislație UE armonizată (Anexa I) — dispozitive medicale, jucării, mașini, ascensoare, echipamente de protecție etc.

Pentru sistemele AI deja pe piață înainte de 2 august 2026, există o perioadă de tranziție până la 2 august 2027, conform paginii oficiale de timeline a Comisiei. Această perioadă nu este o scuză pentru amânare — operează doar dacă sistemul nu suferă „modificări semnificative" de design sau de scop.

Cele patru categorii de risc — și unde se încadrează sistemele tale

EU AI Act folosește o abordare bazată pe risc (risk-based approach). Fiecare sistem AI introdus pe piața UE sau folosit într-o organizație din UE este clasificat în una dintre patru categorii.

1. Risc inacceptabil — interzis (Articolul 5)

Sunt practici considerate incompatibile cu valorile fundamentale ale UE și interzise de la 2 februarie 2025. Conform Articolului 5 din regulament, intră aici:

• Social scoring efectuat de autorități publice (sau în numele lor) care duce la tratament defavorabil în contexte fără legătură cu datele inițiale
• Identificare biometrică în timp real în spații publice de către forțele de ordine (cu excepții foarte stricte)
• Manipulare subliminală sau exploatarea vulnerabilităților unor grupuri (vârstă, dizabilitate, situație socio-economică) cu scopul de a influența comportamentul în mod prejudiciabil
• Recunoaștere a emoțiilor la locul de muncă sau în instituții educaționale — interdicție specifică care afectează direct soluțiile de „employee monitoring" cu component AI emoțional
• Categorizare biometrică pe criterii sensibile: rasă, opinie politică, apartenență sindicală, convingeri religioase sau filosofice, viață sexuală, orientare sexuală
• Scraping nediscriminat de imagini faciale de pe internet sau înregistrări CCTV pentru construirea de baze de date de recunoaștere facială (interdicție introdusă explicit ca răspuns la cazul Clearview AI)

Sancțiunea pentru această categorie este cea mai severă: până la 35 milioane EUR sau 7% din cifra de afaceri globală anuală, oricare este mai mare.

2. Risc înalt — obligații extinse (Articolul 6 + Anexa III)

Aici intră majoritatea sistemelor AI relevante pentru business. Anexa III a regulamentului listează 8 domenii sensibile:

1. Biometrie (în afara cazurilor interzise) — identificare biometrică la distanță, categorizare biometrică pe atribute sensibile, recunoaștere emoții în alte contexte decât cele interzise
2. Infrastructură critică — sisteme AI în managementul rețelelor de electricitate, apă, gaz, transport, încălzire
3. Educație și formare profesională — admitere, evaluare rezultate învățare, alocare la programe educaționale, monitorizare comportament prohibit la examene
4. Ocuparea forței de muncă — recrutare, selecție, plasarea de anunțuri target, analiză CV-uri, evaluare candidați, decizii privind promovare/concediere, alocare task-uri pe baza comportamentului, monitorizare performanță
5. Acces la servicii esențiale publice și private — evaluare eligibilitate ajutor social, scoring de credit (cu excepția detectării fraudei financiare), evaluare risc și pricing pentru asigurări de viață și sănătate, prioritizare apeluri de urgență
6. Aplicarea legii — evaluare risc victimă/recidivă, evaluare credibilitate dovezi, profilare în investigații
7. Migrare, azil, controlul frontierelor
8. Justiție și procese democratice — sisteme AI care asistă autoritățile judiciare în cercetare/interpretare, AI folosit pentru a influența rezultate electorale sau comportament de vot

Pentru aceste sisteme, obligațiile sunt substanțiale și acumulate: sistem de management al riscului, guvernanță a datelor de antrenare, documentație tehnică completă, înregistrare logică automată (audit trail), supraveghere umană efectivă, robustețe și securitate cibernetică, evaluare de conformitate și înregistrare în baza de date UE.

3. Risc limitat — obligații de transparență (Articolul 50)

Sisteme AI care interacționează cu persoane fizice (chatbot-uri), generează conținut sintetic (deepfake-uri, imagini AI), sau identifică emoții. Obligația principală este informarea clară a utilizatorului că interacționează cu un sistem AI sau că un conținut a fost generat sintetic.

4. Risc minim — fără obligații suplimentare

Filtre antispam, AI în jocuri video, optimizări tehnice care nu afectează drepturi sau decizii substanțiale. Aici intră majoritatea aplicațiilor AI „de fundal" — fără obligații specifice AI Act, dar restul legislației (GDPR, drepturile consumatorului) rămâne integral aplicabilă.

Ce companii românești sunt concret afectate de AI Act

Răspunsul scurt: mult mai multe decât cred majoritatea managerilor. Iată o listă realistă pe industrii din România, cu sistemele AI care intră tipic în categoria risc înalt:

Important: chiar dacă nu construiești sistemul AI, ești deployer (utilizator profesional) și ai obligații proprii — separate de cele ale furnizorului. O companie românească care folosește un instrument american de scoring credit licențiat ca SaaS rămâne responsabilă pentru obligațiile de utilizator (Articolul 26).

Obligația de AI literacy (Articolul 4) — deja activă din februarie 2025

Aceasta este obligația pe care majoritatea companiilor românești o ignoră — și care este deja juridic activă. Articolul 4 cere providerilor și deployerilor de sisteme AI să asigure „un nivel suficient de AI literacy" pentru:

• Personalul care utilizează sistemele AI
• Persoanele care lucrează cu sistemele AI în numele companiei

„Nivel suficient" se evaluează în funcție de:

• Cunoștințele tehnice, experiența, educația și formarea persoanelor
• Contextul în care sistemele AI sunt utilizate
• Persoanele asupra cărora sistemele AI sunt utilizate

În practică, aceasta înseamnă că o companie care folosește ChatGPT pentru content marketing și o companie care folosește un sistem AI de scoring credit pentru deciziile de creditare au standarde diferite de AI literacy de demonstrat, dar ambele au obligația. Oficiul European pentru AI a lansat un repository de practici de AI literacy cu peste 40 de inițiative model implementate de companii și sectorul public.

Pentru un parcurs structurat de formare aplicabil la nivel organizațional — un instrument concret pentru îndeplinirea Articolului 4 — cursul AI pentru CEO și Lideri Business acoperă explicit modulul de „EU AI Act ghid pentru lideri", iar cursul AI Security & Ethics tratează cadrele de risc (MITRE ATLAS, OWASP LLM Top 10) și governance practic, ambele putând fi folosite ca dovadă de conformitate cu obligația de AI literacy în cadrul unei evaluări a autorității competente.

Obligațiile concrete pentru deployers (Articolul 26)

Dacă utilizezi profesional un sistem AI cu risc înalt — fie că l-ai cumpărat ca SaaS, fie că l-ai integrat din open-source — ești „deployer" în sensul AI Act. Articolul 26 îți impune:

1. Utilizarea conform instrucțiunilor furnizorului — citirea și aplicarea documentației tehnice oficiale
2. Asigurarea supravegherii umane — alocarea unor persoane competente, cu autoritate reală de a interveni
3. Verificarea relevanței și calității datelor de input — în limita controlului tău asupra acestora
4. Monitorizarea operării sistemului — și informarea furnizorului în caz de incidente serioase
5. Păstrarea jurnalelor automate generate de sistem, pentru o perioadă proporțională cu scopul (minim 6 luni)
6. Realizarea Data Protection Impact Assessment (DPIA) conform GDPR, folosind informațiile primite de la furnizor
7. Informarea persoanelor afectate — atunci când sistemul ia sau contribuie la decizii care le privesc
8. Pentru anumite categorii (autorități publice și entități private care prestează servicii publice + operatori de credit/asigurări) — realizarea FRIA (Fundamental Rights Impact Assessment) conform Articolului 27

FRIA — Fundamental Rights Impact Assessment

FRIA este o evaluare obligatorie înainte de prima utilizare a unui sistem AI cu risc înalt din anumite categorii. Trebuie să conțină:

• Descrierea proceselor în care sistemul AI va fi folosit
• Perioada și frecvența utilizării
• Categoriile de persoane fizice și grupuri afectate
• Riscurile specifice de prejudiciu pentru aceste persoane
• Măsurile de supraveghere umană implementate
• Măsuri în cazul materializării riscurilor (inclusiv mecanisme de plângere)

FRIA este un document distinct de DPIA-ul GDPR, dar cele două trebuie corelate. În practică, multe organizații vor produce un document integrat care satisface ambele obligații, urmând recomandările Comitetului European pentru Protecția Datelor.

Sancțiunile — structura pe trei niveluri (Articolul 99)

Articolul 99 stabilește un sistem de sancțiuni administrative pe trei niveluri, deja oficial aplicabil de la 2 august 2025.

Nivelul 1 — practici interzise (Articolul 5)

Până la 35.000.000 EUR sau, pentru întreprinderi, până la 7% din cifra de afaceri globală anuală din exercițiul financiar precedent — oricare este mai mare.

Nivelul 2 — încălcarea obligațiilor pentru sisteme cu risc înalt și alte obligații-cheie

Până la 15.000.000 EUR sau, pentru întreprinderi, până la 3% din cifra de afaceri globală anuală — oricare este mai mare. Acoperă încălcările:

• Obligațiilor furnizorilor (Articolul 16)
• Obligațiilor reprezentanților autorizați (Articolul 22)
• Obligațiilor importatorilor (Articolul 23)
• Obligațiilor distribuitorilor (Articolul 24)
• Obligațiilor deployerilor (Articolul 26) ← relevant pentru majoritatea companiilor
• Obligațiilor organismelor notificate (Articolul 31, 33, 34)
• Obligațiilor de transparență (Articolul 50)

Nivelul 3 — informații incorecte/înșelătoare către autorități

Până la 7.500.000 EUR sau 1% din cifra de afaceri globală anuală — oricare este mai mare.

Protecție pentru IMM-uri

Pentru întreprinderile mici și mijlocii, inclusiv start-up-urile, fiecare amendă este plafonată la suma sau procentul mai mic dintre cele două variante (în loc de mai mare). Aceasta este o protecție importantă, dar nu reduce dramatic expunerea pentru IMM-urile cu cifre de afaceri semnificative.

Pentru o companie românească cu cifră de afaceri de 50 milioane EUR, o încălcare de Nivel 2 poate atinge 1,5 milioane EUR — într-un singur dosar. Pentru un grup multinațional cu cifră de afaceri globală de 1 miliard EUR, expunerea pentru o încălcare a unei interdicții ajunge la 70 milioane EUR.

Autoritățile competente din România — cine te controlează

Pe 12 martie 2026, Guvernul României a adoptat memorandumul de desemnare a autorităților naționale competente pentru aplicarea AI Act, conform analizei publicate de Digi24 și analizei JURIDICE.ro privind autoritățile naționale competente. Structura actuală a supravegherii este:

În practică, o bancă românească va răspunde simultan în fața BNR (pentru sistemele de scoring credit) și a ANSPDCP (pentru orice element biometric și pentru toate aspectele GDPR). O companie de asigurări răspunde în fața ASF + ANSPDCP. Un retailer cu sisteme AI de recrutare va răspunde în principal în fața ANCOM, dar și a ANSPDCP pentru componentele de date personale.

Digital Omnibus — propunerea de amânare și ce ar trebui să faci totuși

Pe 19 noiembrie 2025, Comisia Europeană a publicat propunerea legislativă „Digital Omnibus on AI", care urmărește amânarea aplicării obligațiilor pentru sisteme AI cu risc înalt din 2 august 2026 la 2 decembrie 2027 (sisteme stand-alone Anexa III) și 2 august 2028 (sisteme integrate în produse Anexa I), conform paginii oficiale a Parlamentului European.

Motivul declarat: întârzieri în desemnarea autorităților competente naționale și în finalizarea standardelor armonizate necesare pentru evaluarea conformității.

Stare actuală (mai 2026): A doua întâlnire trilaterală între Parlamentul European, Consiliul UE și Comisie din 28 aprilie 2026 s-a încheiat fără acord. Dacă Digital Omnibus nu este adoptat formal înainte de 2 august 2026, regulamentul original se aplică conform calendarului inițial — adică obligațiile pentru sisteme AI cu risc înalt devin executorii la 2 august 2026.

Concluzia practică pentru companii: Nu opri pregătirile pe baza unei amânări incerte. Riscul de a investi într-un proces de conformitate care se aplică „doar" din 2027 este infinit mai mic decât riscul de a fi neconform la 2 august 2026 dacă Omnibus nu trece. În plus, două obligații sunt deja active indiferent de Omnibus: Articolul 4 (AI literacy) și Articolul 5 (practici interzise), iar GPAI și sancțiunile sunt active din august 2025.

Roadmap practic 6 luni — de la „nu am început" la „pregătit"

Pentru o companie românească mid-market care încă nu a început procesul, mai jos este un parcurs realist construit pentru cele 6 luni rămase până la 2 august 2026.

Lunile 1-2 — Inventar AI și clasificare risc

• Inventarul tuturor sistemelor AI folosite în organizație: SaaS-uri, modele integrate, GPT/Claude/Gemini folosite intern, instrumente de marketing/HR/finance cu componentă AI
• Clasificare risc pentru fiecare: interzis / risc înalt / risc limitat / risc minim
• Identificarea rolului organizației pentru fiecare sistem: provider, deployer, importator, distribuitor
• Audit Articolul 5: verificarea că niciun sistem folosit nu cade în zona interzisă (atenție specială la „recunoaștere emoții la locul de muncă" — multe sisteme de monitorizare angajați au funcționalități la limită)

Lunile 2-3 — AI literacy și governance

• Politică internă AI aprobată la nivel de board: ce instrumente sunt aprobate, ce date pot fi procesate, cine validează output-uri, cum se documentează utilizarea
• Programul de AI literacy pentru personal — modular în funcție de rol (top management, IT, business users, data privacy)
• Numire AI Officer sau extinderea atribuțiilor DPO-ului existent — rol formal de coordonare conformitate AI
• Framework de risk assessment intern reutilizabil

Lunile 3-4 — DPIA, FRIA, contracte

• DPIA + FRIA pentru fiecare sistem AI cu risc înalt identificat în Lunile 1-2
• Revizuire contracte cu furnizorii AI: includere clauze AI Act, drepturi de audit, asigurarea documentației tehnice, cooperare în caz de incident
• Mecanism de plângere intern și extern pentru persoanele afectate de decizii AI
• Logging și audit trail: arhitectura tehnică pentru păstrare jurnale operare AI

Lunile 4-5 — Documentație și pilot conformitate

• Documentație de conformitate pentru fiecare sistem high-risk: descriere, scop, supraveghere umană, monitorizare, mitigări
• Pilot end-to-end pe un singur caz: aplică toate obligațiile pe un sistem real, descoperă lacunele, ajustează
• Coordonare cu autoritatea competentă relevantă (BNR/ASF/ANSPDCP/ANCOM) — comunicare proactivă pentru clarificări de zone gri

Luna 6 — Cifrare și pregătire enforcement

• Audit intern de conformitate sau audit extern (recomandat pentru companii cu expunere mare)
• Plan de răspuns la incidente și la cereri ale autorității competente
• Plan de comunicare publică și către clienți pentru orice modificare materială a serviciilor

Pentru companiile care nu au resurse interne pentru a parcurge acest roadmap singure, outsourcing-ul parțial al expertizei AI Act este o investiție justificată — costul tipic al unui audit specialist este de 8.000-25.000 EUR pentru o companie mid-market, o fracțiune din expunerea financiară a unei singure încălcări de Nivel 2.

Cum integrezi AI Act în arhitectura ta de governance

EU AI Act nu trebuie tratat izolat — el se intersectează în mod deliberat cu cadre normative existente:

• GDPR — DPIA și FRIA trebuie corelate; bazele legale pentru prelucrare rămân integral aplicabile
• Digital Services Act (DSA) — pentru platforme online cu componentă AI (recomandare, moderare conținut)
• Digital Markets Act (DMA) — pentru gatekeeper-i
• EMFA (European Media Freedom Act) — pentru sisteme AI folosite în context jurnalistic/editorial
• Cyber Resilience Act — securitate cibernetică pentru produse cu componentă digitală
• Reglementări sectoriale — MDR (medical devices), GSR (siguranță vehicule), reglementări BNR/ASF în finanțe

În practică, pentru o organizație matură, AI Act devine un layer suplimentar într-un sistem integrat de governance, nu un proces separat. Companiile care au deja DPO funcțional și o cultură de compliance avansează semnificativ mai rapid decât cele care pornesc de la zero.

Pentru profesia juridică și departamentele specializate

Cabinetele de avocatură și consilierii juridici de companie au în AI Act atât o nouă obligație profesională (consultanță conformă, avizare clienți), cât și o nouă oportunitate de practică. Pentru consultanță juridică externă specializată pe AI Act, cursul AI pentru Avocați și Juriști acoperă în modulul dedicat regimul de conformitate aplicabil profesiei și clienților, plus implicațiile EU AI Act asupra contractelor și opiniilor juridice.

Pentru departamentele de HR care lucrează cu sisteme AI de recrutare și evaluare — încadrate explicit în categoria risc înalt prin Anexa III punctul 4 — cursul AI pentru HR și Recrutare tratează concret intersecția dintre AI Act și dreptul muncii din România, inclusiv obligațiile de informare a candidaților, mecanismele de contestare automată și gestionarea bias-ului în screening.

Pentru departamentele financiar-contabile și instituțiile financiare cu sisteme AI de scoring credit, evaluare risc, anti-fraudă (în limitele permise) — toate intrate în Anexa III punctul 5 — cursul AI pentru Finanțe și Contabilitate tratează specific cadrul de conformitate aplicabil, raportarea către BNR/ASF și pregătirea documentației tehnice cerute de AI Act.

Ce înseamnă concret „a fi conform AI Act" în 2026

În traducere operațională, o companie românească „pregătită pentru AI Act la 2 august 2026" are:

1. Inventar AI complet și clasificat pe categorii de risc, actualizat trimestrial
2. Politică AI internă aprobată la nivel de board și comunicată întregii organizații
3. Program AI literacy activ și documentat, cu evidență individuală de participare
4. DPIA + FRIA finalizate pentru toate sistemele high-risk, integrate în registrul GDPR
5. Documentație tehnică completă pentru fiecare sistem high-risk dezvoltat intern + arhivă pentru cele cumpărate
6. Audit trail tehnic funcțional pentru toate sistemele high-risk (jurnale automate)
7. Mecanisme de supraveghere umană definite explicit, cu persoane responsabile nominale
8. Procedură de incident AI testată și integrată în BCM/DRP
9. Clauze contractuale AI Act incluse în acordurile cu furnizori și clienți
10. Plan de comunicare către autoritatea competentă în caz de control

Aceasta nu este o listă teoretică — este checklist-ul minimal pe care o autoritate competentă îl va verifica într-un control. Lipsa fiecărui element generează un risc de sancțiune separat.

Cursurile Cursuri AI care te ajută să te pregătești

Conformitatea cu EU AI Act nu se construiește din articole — se construiește din formare structurată a echipelor, decizii executive informate și implementare disciplinată. Pentru fiecare rol-cheie din organizația ta, Cursuri AI oferă parcursuri specializate:

• AI pentru CEO și Lideri Business — pentru consilii de administrație și top management. Modul dedicat „EU AI Act ghid pentru lideri", governance, KPIs, decizii strategice de implementare și conformitate.
• AI Security & Ethics — pentru CIO, CISO, DPO și echipele tehnice. Cadre de risc (MITRE ATLAS, OWASP LLM Top 10), bias audit, securitate AI, governance practic.
• AI pentru HR și Recrutare — pentru directori HR, talent acquisition, manageri de personal. Sisteme AI conforme în recrutare, evaluare, monitorizare.
• AI pentru Finanțe și Contabilitate — pentru CFO, financial controllers, audit. Conformitatea sistemelor de scoring, anti-fraudă, raportare.
• AI pentru Avocați și Juriști — pentru cabinete și departamente juridice care consultă clienți pe AI Act sau implementează la nivel intern.

Toate cursurile sunt în limba română, cu exemple concrete de drept român și european, cu profesor virtual AI integrat pentru întrebări contextualizate, și sunt actualizate periodic pentru a reflecta evoluția reglementării (inclusiv Digital Omnibus dacă va fi adoptat).

Concluzie — 2 august 2026 nu este un termen, este un punct de fără-întoarcere

EU AI Act nu este o reglementare „europeană abstractă" pe care o vor implementa multinaționalele mari. Este un cadru juridic direct aplicabil în România care, începând cu 2 august 2026, va sancționa cu amenzi de până la 7% din cifra de afaceri globală orice companie care folosește sisteme AI fără să respecte obligațiile minime de governance, transparență și supraveghere umană.

Diferența dintre companiile care vor trece această tranziție fără probleme și cele care vor primi controale severe nu se decide în iulie 2026 — se decide în următoarele 90-180 de zile. Inventarul, politica internă, AI literacy, DPIA-urile și FRIA-urile nu se construiesc într-o lună sub presiunea controlului.

Pentru orice CEO, manager, DPO sau jurist care citește acest articol în luna mai 2026: întâlnirea executivă pentru pornirea proiectului de conformitate AI Act trebuie programată în următoarele două săptămâni. Costul oportunității amânării nu se mai măsoară în luni — se măsoară în zile.

În deceniul următor, AI va deveni infrastructura business-ului. AI Act este regulamentul de circulație. Companiile care învață regulile primele nu doar evită amenzile — câștigă încrederea pieței.

---

Surse oficiale și resurse de aprofundare

• Regulamentul (UE) 2024/1689 — text integral oficial pe EUR-Lex
• AI Act Service Desk — Comisia Europeană
• Pagina oficială AI Act a Comisiei Europene
• Digital Omnibus on AI — Parlamentul European
• ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
• ANCOM — Autoritatea Națională pentru Administrare și Reglementare în Comunicații
• Comitetul European pentru Protecția Datelor
• Repository de practici AI literacy — Comisia Europeană