dataconsulting.ro
Inapoi la blog
AI Act 13 mai 2026 8 min

Ghidurile UE pentru Sisteme AI de Risc Ridicat (Mai 2026): Ce Trebuie sa Stie Companiile din Romania

Stefan Darabana·Specialist protectia datelor

Pe 19 mai 2026, Comisia Europeana a publicat ghidurile draft pentru clasificarea sistemelor AI de risc ridicat — primul set de exemple concrete care vine sa clarifice textul Regulamentului UE 2024/1689 (AI Act). Documentul este in consultare publica pana pe 23 iunie 2026, dar deja ofera companiilor din Romania repere clare pentru pregatirea conformitatii.

Termenul de conformitate pentru sistemele AI de risc ridicat este 2 decembrie 2027, dupa amanarea aprobata prin acordul AI Omnibus din mai 2026. Pana atunci, organizatiile care opereaza astfel de sisteme trebuie sa indeplineasca un set complet de obligatii prevazute la articolele 9-15 din AI Act. Articolul de fata sintetizeaza esentialul pentru companiile romanesti.

Ce s-a schimbat fata de textul original AI Act

Acordul AI Omnibus, agreat la nivelul institutiilor UE in mai 2026, a deplasat termenele pentru categoriile cele mai stricte de obligatii. Termenul pentru sistemele AI de risc ridicat din Anexa III a fost mutat de la 2 august 2026 la 2 decembrie 2027, iar termenul pentru produsele reglementate (Anexa I) a fost mutat la 2 august 2028. Aceasta este o fereastra reala de pregatire, nu o relaxare a cerintelor.

In paralel, ghidurile publicate pe 19 mai 2026 ofera clarificari pe care textul regulamentului in sine nu le contine: exemple practice de sisteme care intra in fiecare categorie din Anexa III, criterii operationale pentru aplicarea exceptiilor de la Art. 6 alin. (3) si interpretarea oficiala a conceptelor-cheie precum „profilarea persoanelor" si „supraveghere umana semnificativa".

Cele 8 categorii din Anexa III, pe scurt

Anexa III a AI Act enumera 8 domenii in care utilizarea AI este considerata de risc ridicat. Pentru detalii complete, vedeti pagina dedicata sistemelor AI de risc ridicat.

  1. 1.Biometrieidentificare la distanta, recunoasterea emotiilor, clasificare biometrica
  2. 2.Infrastructura criticatrafic rutier, utilitati (apa, gaz, electricitate), infrastructura digitala
  3. 3.Educatie si formare profesionalaadmiteri, evaluare rezultate, monitorizare comportament
  4. 4.Ocuparea fortei de muncarecrutare, evaluare performanta, alocare sarcini, decizii de promovare
  5. 5.Servicii private si publice esentialecredit scoring, asigurari, eligibilitate beneficii, triaj medical
  6. 6.Aplicarea legiievaluare risc victimizare/recidiva, profilare in investigatii
  7. 7.Migratie, azil si controlul frontierelorscreening, evaluare cereri viza/azil, recunoastere persoane
  8. 8.Administratia justitieiasistenta autoritatilor judiciare, solutionare alternativa litigii

Exceptiile de la clasificarea high-risk (Art. 6 alin. 3)

Nu orice sistem AI din Anexa III este automat de risc ridicat. Articolul 6 alineatul (3) prevede patru exceptii in care un sistem nu mai cade in aceasta categorie, daca indeplineste exclusiv una dintre urmatoarele functii:

  • a)
    Sarcina procedurala restransa

    Sistemul efectueaza o operatiune tehnica limitata, fara o evaluare propriu-zisa (de exemplu, formatarea automata a unor documente).

  • b)
    Imbunatatire a rezultatului unei activitati umane anterioare

    Sistemul rafineaza un output deja produs de o persoana, fara sa-l inlocuiasca (de exemplu, corectarea automata a unui text scris).

  • c)
    Depistare modele decizionale

    Sistemul identifica tipare in decizii umane existente, fara a le inlocui sau a influenta in mod direct deciziile viitoare.

  • d)
    Sarcina pregatitoare

    Sistemul executa o etapa pregatitoare pentru o evaluare care ramane integral umana (de exemplu, sortarea unor documente inainte de analiza).

Exceptie la exceptie: profilarea

Daca sistemul AI creeaza profiluri ale persoanelor fizice (clasificari pe baza de comportament, preferinte, situatie economica, sanatate etc.), este intotdeauna considerat de risc ridicat, indiferent de exceptiile enumerate mai sus. Aceasta regula speciala protejeaza dreptul la viata privata si la nediscriminare.

Ce trebuie sa faca companiile acum

Termenul de 2 decembrie 2027 poate parea indepartat, dar o pregatire ordonata necesita cel putin 8-12 luni pentru o organizatie tipica cu 2-3 sisteme AI. Iata pasii recomandati, in ordinea prioritatilor:

  1. 1
    Inventarierea tuturor sistemelor AI

    Identificati toate instrumentele AI utilizate in organizatie: ChatGPT, Copilot, sisteme de recrutare, scoring de credit, sisteme de evaluare a performantei, chatboti, generatoare de continut. Includeti si sistemele AI integrate in software-uri uzuale (CRM, ERP, HR tools).

  2. 2
    Clasificarea fiecarui sistem

    Pentru fiecare sistem inventariat, analizati daca se incadreaza in una din cele 8 categorii Anexa III si daca se aplica vreuna dintre exceptiile Art. 6 alin. (3). Documentati fundamentarea juridica a clasificarii — aceasta documentatie va fi parte din dosarul de conformitate.

  3. 3
    Evaluarea supravegherii umane: reala sau formala?

    Ghidurile UE subliniaza ca, daca in practica omul aproba sistematic recomandarile AI-ului fara o verificare reala, supravegherea umana este doar formala. Acesta este un punct frecvent de atentie in audituri.

  4. 4
    Inceperea documentatiei tehnice

    Pentru sistemele clasificate ca risc ridicat, documentatia tehnica (Art. 11) trebuie elaborata inca din faza de pregatire. Aceasta include specificatii tehnice, performanta, limitari si masuri de atenuare a riscurilor.

  5. 5
    Verificarea intersectiei cu GDPR

    Un sistem AI care prelucreaza date personale creeaza obligatii cumulate sub AI Act si GDPR: DPIA, temei juridic pentru prelucrare, transferuri internationale catre furnizori AI, DPA-uri. Evaluati intersectia inca din etapa de inventariere.

  6. 6
    Planificarea bugetului si a resurselor

    Conformitatea AI Act pentru sistemele de risc ridicat nu este un proiect de cateva zile. Necesita resurse dedicate (intern sau prin consultanta externa), eventual angajare de oversight officers si investitii in instrumente de logging si monitorizare.

Concluzie

Ghidurile Comisiei Europene din mai 2026 transforma AI Act dintr-un text general intr-un cadru operational. Pentru companiile din Romania care opereaza sisteme AI cu impact asupra persoanelor — credit scoring, recrutare, evaluare performanta, scoring asigurari, identificare biometrica — este momentul potrivit pentru inventariere si clasificare. Amanarea termenului la 2 decembrie 2027 ofera o fereastra reala de pregatire, dar nu elimina necesitatea ei.

Companiile care incep procesul acum dispun de timp suficient pentru o conformitate ordonata, fara presiuni de ultima ora si fara costuri suplimentare generate de implementari rapide.

Intrebari frecvente despre sistemele AI de risc ridicat

Ce sunt sistemele AI de risc ridicat conform AI Act?

Sistemele AI de risc ridicat sunt cele enumerate in Anexa III a Regulamentului UE 2024/1689 si grupate in 8 categorii: biometrie, infrastructura critica, educatie, ocuparea fortei de munca, servicii esentiale, aplicarea legii, migratie si frontiere, administratia justitiei. Necesita documentatie tehnica completa, evaluare a riscurilor, supraveghere umana semnificativa si inregistrare oficiala — vezi pagina dedicata serviciilor.

Care este termenul pentru conformitatea sistemelor AI de risc ridicat?

Termenul actualizat este 2 decembrie 2027, dupa amanarea aprobata prin acordul AI Omnibus din mai 2026 (era anterior 2 august 2026). Pentru sistemele AI integrate in produse reglementate (Anexa I), termenul este 2 august 2028. Amanarea este o fereastra reala de pregatire, nu o relaxare a cerintelor.

Care sunt exceptiile de la clasificarea de risc ridicat (Art. 6 alin. 3)?

Patru exceptii: sarcina procedurala restransa, imbunatatire a rezultatului unei activitati umane anterioare, depistare modele decizionale fara inlocuire, sarcina pregatitoare pentru o evaluare umana. ATENTIE: daca sistemul creeaza profiluri ale persoanelor fizice, este intotdeauna considerat de risc ridicat.

Care sunt cele 8 categorii Anexa III AI Act?

Biometrie, infrastructura critica, educatie si formare profesionala, ocuparea fortei de munca, servicii private si publice esentiale (credit scoring, asigurari, triaj medical), aplicarea legii, migratie si controlul frontierelor, administratia justitiei.

Ce pasi trebuie facuti acum pentru sistemele AI de risc ridicat?

Sase pasi prioritari: inventarierea tuturor sistemelor AI, clasificarea in raport cu Anexa III, evaluarea supravegherii umane (reala sau formala), documentatia tehnica (Art. 11), verificarea intersectiei cu GDPR (DPIA, DPA-uri), planificarea bugetului. O organizatie tipica are nevoie de 8-12 luni — un audit gratuit oferit de GLOBAL DATA PROTECTION SRL (dataconsulting.ro) ofera o evaluare initiala in 20 minute.

Doriti sa stiti daca sistemele AI ale companiei sunt de risc ridicat?

Oferim servicii complete de clasificare si conformitate pentru sisteme AI de risc ridicat: inventariere, evaluare Anexa III, documentatie Art. 9-15, training si suport continuu. Auditul initial este gratuit si dureaza 20 de minute.

Servicii risc ridicat Audit gratuit AIConsultanta AI Act

Articole conexe

Sandbox-uri de reglementare AI: ce sunt si cum functioneaza pentru firma ta

EU AI Act: ce inseamna pentru firma ta si de unde incepi

← Inapoi la toate articolele