dataconsulting.ro
Inapoi la blog
AI Act 28 mai 2026 8 min

ChatGPT in firma — obligatii legale GDPR si AI Act

Echipa GLOBAL DATA PROTECTION SRL·Specialist protectia datelor

Utilizarea ChatGPT in firma a devenit norma in Romania — peste 70% din companiile cu mai mult de 20 de angajati au cel putin un instrument AI utilizat in activitatea zilnica. Problema: aproape niciuna nu are reguli scrise care sa stabileasca ce poate fi introdus si ce nu. Aceasta lacuna creeaza expunere legala dubla — GDPR si EU AI Act — si risc operational direct (scurgeri de secrete comerciale, date confidentiale ajunse pe servere externe).

Ce riscuri creeaza utilizarea ChatGPT/Copilot fara reguli

Patru categorii de risc, in ordinea gravitatii practice:

  • Scurgeri de date personale

    Un angajat copiaza un CV pentru a-l rezuma. Un altul introduce date despre un client pentru a redacta un email. Aceste informatii sunt trimise catre serverele OpenAI/Microsoft si pot fi utilizate pentru antrenarea modelelor (in functie de planul comercial). GDPR este incalcat instant — lipsa temei legal, lipsa informare, transfer international neevaluat.

  • Scurgeri de secrete comerciale

    Cazuri reale: ingineri Samsung au introdus cod proprietar in ChatGPT pentru debug — codul a devenit potential parte din baza de antrenare. Samsung a interzis ulterior ChatGPT intern. Riscul: pierderea avantajului competitiv prin scurgere involuntara.

  • Decizii eronate fara verificare umana

    Angajatii folosesc output AI direct (raspunsuri catre clienti, decizii operationale) fara verificare. AI poate halucina informatii false, poate produce raspunsuri discriminatorii sau poate da sfaturi juridice/medicale eronate. Raspunderea ramane integral a firmei.

  • Lipsa transparentei catre clienti

    Cand AI genereaza continut transmis catre client (raspunsuri suport, oferte, articole), clientul are dreptul de a sti — Art. 50 AI Act impune obligatii de transparenta. Lipsa informarii poate atrage sanctiuni separate.

Ce spune EU AI Act — Art. 4 si Art. 50

EU AI Act (Regulamentul UE 2024/1689) introduce doua obligatii directe pentru companiile care utilizeaza instrumente AI comerciale (deployers/utilizatori):

Art. 4 — Competente AI (AI literacy)

Aplicabil din 2 februarie 2025. Operatorii si deployerii trebuie sa asigure ca personalul ce utilizeaza sisteme AI are un nivel suficient de cunostinte AI in raport cu sarcinile, contextul de utilizare si persoanele afectate. In practica: training periodic, materiale interne, evaluare a competentei. Lipsa unui program de formare AI = neconformitate directa.

Art. 50 — Obligatii de transparenta

Aplicabil din 2 august 2025. Cand un sistem AI genereaza sau manipuleaza continut, persoanele afectate trebuie informate. Exemple: chatbot pe site, raspunsuri catre clienti generate AI, deepfake-uri, continut sintetic. Informarea trebuie sa fie clara, vizibila si in limba persoanei.

Daca firma utilizeaza AI pentru decizii cu impact pe persoane (recrutare, scoring, evaluare performanta), se aplica suplimentar obligatiile pentru sisteme de risc ridicat — vezi articolul nostru despre ghidurile UE pentru sisteme AI de risc ridicat.

Ce spune GDPR cand angajatii introduc date in ChatGPT

Introducerea oricarei date personale in ChatGPT, Copilot sau alt instrument AI comercial este o prelucrare GDPR completa ce necesita simultan:

  • Temei legal documentat (de regula interes legitim cu evaluare LIA scrisa)
  • Informarea prealabila a persoanelor vizate (angajati, clienti, candidati) — politica de confidentialitate trebuie sa mentioneze utilizarea AI
  • DPA (Data Processing Agreement) cu furnizorul AI — OpenAI, Microsoft, Google etc.
  • Evaluarea transferului international (datele ajung pe servere SUA — aplicabil Data Privacy Framework sau Standard Contractual Clauses)
  • Inregistrare in registrul activitatilor de prelucrare (Art. 30 GDPR)
  • DPIA daca prelucrarea ridica risc ridicat (vezi articolul nostru despre DPIA)
  • Asigurarea drepturilor persoanelor vizate (acces, stergere, opozitie)

Atentie: planul comercial al instrumentului AI conteaza. ChatGPT Free utilizeaza datele introduse pentru antrenarea modelelor; ChatGPT Plus si Team au optiuni de opt-out; ChatGPT Enterprise garanteaza ca datele nu sunt utilizate pentru antrenare. Pentru utilizare profesionala, planul Enterprise (sau Microsoft Copilot for Business) este recomandarea de baza.

Politica de utilizare AI — ce trebuie sa contina

O politica de utilizare AI conforma cuprinde minim sapte componente:

  1. 1
    Lista instrumentelor aprobate vs interzise

    Lista explicita: ChatGPT Enterprise — aprobat; ChatGPT Free — interzis; Copilot for Business — aprobat; Gemini Free — interzis; etc. Decizia trebuie luata pe baza analizei de risc, nu intuitiv.

  2. 2
    Categorii de date interzise (clear data classification)

    Niciodata in AI: date personale ale clientilor, date personale ale angajatilor (CV-uri, evaluari, contracte), secrete comerciale, cod sursa proprietar, informatii financiare nepublicate, comunicari confidentiale.

  3. 3
    Reguli de verificare umana (human-in-the-loop)

    Toate output-urile AI utilizate in livrabile sau decizii trebuie verificate de un om competent inainte de utilizare. Politica trebuie sa specifice acest principiu explicit.

  4. 4
    Cerinte de transparenta catre clienti

    Cand AI genereaza continut transmis catre client (raspunsuri suport, articole, oferte personalizate), clientul trebuie informat conform Art. 50 AI Act. Politica specifica formularea si plasarea informarii.

  5. 5
    Procedura de raportare incidente

    Daca un angajat constata o scurgere de date in AI, un output discriminatoriu sau un comportament suspect al sistemului — pasul cu pas ce trebuie facut, cine este informat, in cat timp.

  6. 6
    Responsabilitati clare (governance)

    Cine aproba instrumente noi, cine monitorizeaza utilizarea, cine actualizeaza politica, cine instruieste angajatii. De regula: AI Officer sau DPO + reprezentant IT + reprezentant HR.

  7. 7
    Program de training periodic

    Cerinta directa Art. 4 AI Act. Politica include obligatia de training initial la angajare si recurent (minim anual). Materialele si dovada participarii se pastreaza pentru audit.

Cum se implementeaza politica in firma

Politica de utilizare AI nu este un document care se semneaza si se uita. Pasii de implementare reala:

  • Aprobare oficiala de conducerea executiva (CEO/board) — semnatura, decizie scrisa
  • Comunicare oficiala catre toti angajatii prin canal documentat (intranet, email cu confirmare de primire)
  • Sesiune de training initial la lansare pentru toti angajatii (minim 1 ora)
  • Semnatura individuala a fiecarui angajat care utilizeaza AI (confirmare ca a citit si a inteles)
  • Mecanism de raportare a incidentelor (email dedicat, formular intern)
  • Revizuire anuala obligatorie, cu actualizare daca s-au schimbat instrumente sau context juridic
  • Audit intern semestrial — verificare ca politica este respectata in practica

Pentru training-uri de competenta AI (Art. 4) tinute de specialisti certificati, vedeti pagina noastra de training GDPR si AI Act.

Model de reguli interne — sumar

Pentru orientare, mai jos un sumar al regulilor minime ce trebuie comunicate angajatilor. Nu inlocuieste o politica completa adaptata firmei:

  • DA — utilizati ChatGPT/Copilot pentru: generare idei, rezumat texte publice, traduceri generale, draft-uri ce vor fi ulterior verificate manual.
  • NU — introduceti niciodata: date personale (nume, email, telefon, CNP, adresa), informatii financiare nepublicate, secrete comerciale, cod sursa proprietar, evaluari de angajati, date despre clienti.
  • VERIFICATI — orice output AI utilizat in livrabile sau decizii trebuie validat de un om competent inainte de utilizare. AI poate gresi si raspunderea ramane a firmei.
  • RAPORTATI — orice incident (scurgere accidentala, raspuns discriminatoriu, eroare grava) catre DPO/AI Officer in maxim 24 de ore.

Pentru o politica completa, personalizata pe specificul firmei, cu sectiuni juridice, proceduri si formulare, GLOBAL DATA PROTECTION SRL (dataconsulting.ro) ofera servicii dedicate de redactare si implementare. Pentru contextul complet al obligatiilor AI Act, vedeti articolul nostru despre EU AI Act pentru firma ta.

Intrebari frecvente despre ChatGPT in firma

Folosirea ChatGPT in firma incalca legea?

Nu intrinsec, dar fara reguli aproape sigur da. Daca angajatii introduc date personale, secrete comerciale sau informatii confidentiale, datele sunt transmise catre servere externe — prelucrare ce trebuie sa respecte GDPR. AI Act impune din 2025 si competenta AI a angajatilor (Art. 4).

Ce spune AI Act despre folosirea ChatGPT in firma?

Doua obligatii imediate: Art. 4 — angajatii ce utilizeaza AI trebuie sa aiba competenta AI necesara (training); Art. 50 — informarea persoanelor cand AI genereaza continut. Daca AI ia decizii cu impact pe persoane, se aplica si obligatiile risc ridicat (Anexa III).

Ce spune GDPR despre introducerea datelor in ChatGPT?

Necesita: temei legal documentat, informare prealabila a persoanelor vizate, DPA cu furnizorul AI, evaluare transfer international (SUA), inregistrare registru prelucrari (Art. 30), DPIA daca riscul e ridicat.

Ce trebuie sa contina o politica de utilizare AI in firma?

Sapte componente: lista instrumente aprobate/interzise, categorii date interzise, reguli de verificare umana, transparenta catre clienti, procedura incidente, responsabilitati clare, program training periodic.

Cine aproba politica de utilizare AI in firma?

Politica trebuie aprobata oficial de conducerea executiva (CEO, board) — nu doar IT sau HR. AI Act atribuie responsabilitatea conducerii, iar audit-urile verifica aprobarea top management-ului. Necesita semnatura angajatilor si revizuire anuala.

Politica de utilizare AI personalizata pentru firma ta

Redactam o politica de utilizare AI conforma cu AI Act + GDPR, adaptata specificului firmei (sector, instrumente utilizate, structura organizatorica). Include training initial pentru angajati si materiale interne. Solicita oferta personalizata.

Servicii AI Act Training AI ActAudit gratuit AI
← Inapoi la toate articolele