Obligațiile prevăzute de Regulamentul UE privind IA pentru sistemele de IA utilizate în administrația publică, aplicarea legii, controlul frontierelor și sistemul judiciar. Acoperă categoriile 5-8 din Anexa III și evaluările obligatorii ale impactului asupra drepturilor fundamentale.
Sectorul public și Regulamentul privind IA — De ce administrația este operatorul cu cel mai ridicat profil de risc
Regulamentul UE privind IA (Regulamentul (UE) 2024/1689) se aplică orizontal în toate sectoarele, însă cea mai concentrată sarcină de obligații imperative revine organismelor publice. Agențiile guvernamentale, autoritățile de aplicare a legii, instituțiile judiciare și organismele de gestionare a frontierelor sunt atât cei mai importanți operatori de IA cu consecințe semnificative, cât și entitățile a căror utilizare a IA generează cel mai mare risc structural pentru drepturile fundamentale. Regulamentul reflectă această asimetrie în două moduri structurale.
În primul rând, patru dintre cele opt categorii cu risc ridicat din Anexa III abordează direct IA din sectorul public — categoriile 5 până la 8 acoperă serviciile publice esențiale, aplicarea legii, migrația și controlul frontierelor, precum și administrarea justiției. Aceste categorii nu sunt simple categorii reziduale: ele enumeră aplicații specifice de IA utilizate frecvent în operațiunile guvernamentale, care prezintă un risc de clasificare prin definiție.
În al doilea rând, Art. 27 impune organismelor publice o evaluare obligatorie a impactului asupra drepturilor fundamentale (FRIA) înainte de punerea în funcțiune a sistemelor de IA cu risc ridicat. Pentru operatorii din sectorul privat, FRIA este puternic recomandată; pentru organismele publice, aceasta constituie o obligație legală. Evaluarea trebuie să examineze impactul sistemului de IA asupra drepturilor persoanelor în temeiul Cartei Drepturilor Fundamentale a UE, inclusiv dreptul la demnitate (Art. 1), protecția datelor cu caracter personal (Art. 8), dreptul la o cale de atac eficace (Art. 47) și prezumția de nevinovăție (Art. 48).
Peisajul conformității pentru organismele publice este complicat suplimentar de suprapunerea obligațiilor din Regulamentul privind IA peste regimurile sectoriale existente: Directiva privind aplicarea legii 2016/680, Regulamentul privind Sistemul de Informații Schengen, Regulamentul Frontex 2019/1896, Regulamentul general privind protecția datelor și cerințele constituționale ale Convenției europene a drepturilor omului astfel cum sunt interpretate de Curtea Europeană a Drepturilor Omului. Fiecare dintre aceste cadre juridice creează obligații independente care trebuie respectate în paralel cu cerințele Regulamentului UE privind IA.
Sisteme de IA cu risc ridicat — Categoriile 5 până la 8
Anexa III, Categoria 5 — Servicii publice esențiale și evaluarea prestațiilor
Anexa III, punctul 5(b) clasifică drept sisteme cu risc ridicat orice sisteme de IA utilizate pentru a evalua eligibilitatea persoanelor fizice pentru servicii publice esențiale de prestații și pentru a lua decizii în acest context. Această categorie acoperă întregul spectru al IA în statul social:
- Evaluarea automată a indemnizației de șomaj: Sisteme de IA care determină dacă un solicitant îndeplinește criteriile de eligibilitate pe baza evidențelor ocupării, a activității de căutare a unui loc de muncă sau a evaluărilor mijloacelor de trai.
- Decizii privind locuința și alocațiile de invaliditate: Instrumente algoritmice care punctează cererile de locuință socială prioritară, dreptul la prestații de invaliditate sau plățile pentru independență personală.
- Detectarea fraudelor în domeniul asistenței sociale: Sisteme de profilare prin IA care generează scoruri de risc pentru frauda la prestații sociale bănuită, putând declanșa investigații sau suspendarea plăților.
Punctul 5(b) acoperă de asemenea sistemele de IA pentru bonitatea financiară și asigurări în relație cu persoanele fizice, deși expunerea principală din sectorul public privește eligibilitatea la prestații și servicii. În toate cazurile, clasificarea se aplică atunci când sistemul de IA exercită o influență semnificativă asupra accesului la un serviciu public — indiferent dacă decizia finală este luată de un funcționar uman.
Anexa III, Categoria 6 — Aplicarea legii
Categoria 6 acoperă IA utilizată de autoritățile de aplicare a legii în trei domenii:
Evaluarea riscului și profilarea: Sisteme de IA care evaluează probabilitatea ca o persoană să săvârșească o infracțiune, să recidiveze sau să reprezinte o amenințare la adresa securității — inclusiv instrumente de scoring al recidivei utilizate în cadrul audierilor de arest preventiv, deciziilor de liberare condiționată și recomandărilor de condamnare. Aceste sisteme sunt cu risc ridicat în temeiul Anexei III, punctul 6(a).
Detectarea și analiza în cursul investigațiilor: Sisteme de IA pentru detectarea stărilor emoționale, a trăsăturilor de personalitate sau a comportamentului înșelător pe baza expresiilor faciale, a vocii sau a indicatorilor fiziologici, utilizate în investigații penale. Art. 5(1)(f) interzice separat sistemele de IA care deduc emoțiile persoanelor în contextul aplicării legii și gestionării frontierelor, cu excepția unor scopuri specifice de siguranță, trasând o limită exterioară fermă pentru acest caz de utilizare.
Detectarea materialelor falsificate și a documentelor: Sisteme de IA utilizate pentru detectarea conținutului digital manipulat sau pentru evaluarea autenticității documentelor în cadrul procedurilor penale — clasificate drept sisteme cu risc ridicat în temeiul Anexei III, punctul 6(c).
Anexa III, Categoria 7 — Migrație, Azil și Controlul Frontierelor
Categoria 7 se aplică sistemelor de IA utilizate în contextul migrației și gestionării frontierelor:
Evaluarea riscului la frontiere: Sisteme de IA care evaluează riscul de migrație neregulamentară sau generează scoruri de amenințare pentru persoanele care traversează frontierele — inclusiv instrumente de profilare integrate în SIS și sisteme de analiză a riscurilor Frontex care funcționează în temeiul Regulamentului 2019/1896.
Verificarea documentelor și a identității: Sisteme de IA care evaluează autenticitatea documentelor de călătorie, vizelor, permiselor de ședere sau actelor de identitate în scopul traversării frontierei sau în proceduri de imigrare.
Procesarea cererilor de azil: Sisteme de IA care examinează cererile de azil, evaluează credibilitatea cererilor individuale sau profilează solicitanții în vederea procedurilor accelerate sau expediate.
Toate sistemele din categoria 7 trebuie evaluate pentru conformitate nu numai cu Regulamentul privind IA, ci și cu Convenția privind statutul refugiaților (1951), Art. 18 din Carta UE (dreptul la azil) și principiul non-refoulement astfel cum este interpretat în jurisprudența CEDO — o constrângere constituțională pe care FRIA prevăzută la Art. 27 trebuie să o abordeze în mod explicit.
Anexa III, Categoria 8 — Administrarea Justiției și Procesele Democratice
Categoria 8 vizează sistemele de IA utilizate în cadrul sistemului judiciar însuși:
Sisteme de IA de suport judiciar: Sisteme care asistă la cercetarea jurisprudenței, identificarea dispozițiilor legale aplicabile sau structurarea raționamentului juridic pentru judecători, procurori sau personalul instanțelor — sisteme cu risc ridicat în temeiul Anexei III, punctul 8(a).
Instrumente de justiție predictivă: Sisteme de IA care prezic rezultatul probabil al litigiilor, intervalele de condamnare sau deciziile judiciare pe baza datelor istorice din dosare. Aceste sisteme ridică probleme acute în raport cu Art. 47 din Carta UE privind dreptul la un proces echitabil, întrucât utilizarea lor în procesul decizional judiciar poate dezavantaja structural părțile ale căror profiluri diferă de normele istorice.
Categoria 8 nu interzice activitatea judiciară asistată de IA; o supune regimului de conformitate pentru sisteme cu risc ridicat și impune instanțelor și ministerelor justiției să garanteze că rezultatele produse de IA sunt întotdeauna supuse unei revizuiri umane efective — judecătorul sau factorul decizional trebuie să poată, și în practică să și ignore rezultatul sistemului de IA atunci când acesta nu este adecvat.
Obligații imperative pentru organismele publice în calitate de operatori
Organismele publice care acționează în calitate de operatori ai sistemelor de IA cu risc ridicat în temeiul Regulamentului privind IA au un set de obligații definite și nedelegabile în temeiul Art. 26 și Art. 27.
Evaluarea impactului asupra drepturilor fundamentale (Art. 27)
FRIA reprezintă obligația cea mai distinctivă pentru operatorii publici. Aceasta trebuie efectuată înainte de punerea în funcțiune și trebuie să abordeze: scopurile specifice ale sistemului care afectează drepturile; categoriile de persoane ale căror drepturi pot fi afectate; riscurile previzibile de prejudiciu, probabilitatea și gravitatea acestora; modul în care garanțiile juridice existente atenuează aceste riscuri; și măsurile adoptate pentru monitorizarea sistemului după punerea în funcțiune. FRIA finalizată trebuie pusă la dispoziția autorității naționale de supraveghere a IA la cerere și trebuie actualizată atunci când sistemul este modificat sau pus în funcțiune într-un context nou.
Supravegherea umană și desemnarea responsabilității
Art. 26(1) impune operatorilor să atribuie supravegherea umană a sistemelor de IA cu risc ridicat unor persoane fizice cu competența, autoritatea și resursele necesare pentru a interveni. În administrația publică, aceasta înseamnă că fiecare proces automatizat care afectează persoane — fie că privește eligibilitatea la prestații, scoringul de risc la frontieră sau rezultatele unui sistem de suport judiciar — trebuie să aibă un funcționar identificat care poate anula rezultatul sistemului și care nu este stimulat structural să se supună acestuia.
Transparența față de persoanele vizate
Art. 13 impune operatorilor să se asigure că persoanele care fac obiectul unor decizii asistate de IA sunt informate în mod clar că este utilizat un sistem de IA. În administrația publică, această obligație presupune, de regulă, inserarea unor mențiuni privind utilizarea IA în scrisorile de decizie, comunicările administrative și procedurile de audiere. Art. 86 protejează confidențialitatea datelor transmise autorităților de supraveghere în contextul monitorizării conformității, oferind o cale prin care documentația internă sensibilă poate fi divulgată fără expunere publică.
Jurnalizare, păstrarea evidențelor și raportarea incidentelor
Operatorii trebuie să mențină jurnale operaționale ale activității sistemului de IA pentru o perioadă minimă — cel puțin șase luni pentru majoritatea sistemelor cu risc ridicat, cu o perioadă de retenție extinsă acolo unde cadrul juridic care reglementează procesul administrativ de bază o impune. Incidentele grave — incidentele care au ca rezultat deces, vătămare corporală gravă, pagube materiale semnificative sau încălcări ale drepturilor fundamentale — trebuie raportate autorității naționale competente de supraveghere a IA fără întârziere nejustificată.
Practici interzise în administrația publică
Anumite practici de IA sunt absolut interzise în temeiul Art. 5 din Regulamentul UE privind IA. Pentru autoritățile publice, trei interdicții sunt de relevanță operațională directă.
Art. 5(1)(c) — Scoring social de către autoritățile publice: Sistemele de IA care evaluează sau clasifică persoane pe baza comportamentului lor social sau a caracteristicilor de personalitate în scopul generării unui scor utilizat pentru a determina accesul la servicii publice, prestații sau tratament juridic sunt interzise. Această interdicție se adresează specific autorităților publice și vizează mecanismele de creditare socială, indiferent de modul în care sunt denumite sau structurate.
Art. 5(1)(d) — Identificarea biometrică de la distanță în timp real în spații publice: Utilizarea de sisteme de IA de identificare biometrică de la distanță în timp real (recunoaștere facială, analiza mersului sau alte instrumente biometrice) în spații accesibile publicului de către autoritățile de aplicare a legii este interzisă, sub rezerva a trei excepții restrânse: căutarea direcționată a copiilor dispăruți; prevenirea amenințărilor teroriste specifice și iminente; și identificarea suspecților în cazul unor infracțiuni grave, cu autorizare prealabilă judiciară sau administrativă independentă. Aceste excepții sunt exhaustive; niciun program general de supraveghere nu se califică.
Art. 5(1)(e) — Tehnici subliminale și manipulative: Sistemele de IA care utilizează tehnici ce acționează sub pragul conștiinței pentru a manipula comportamentul individual sau care exploatează vulnerabilitățile unor grupuri specifice sunt interzise pentru toți operatorii, inclusiv autoritățile publice.
Aplicare — Autorități de supraveghere și mecanisme de control
Arhitectura de aplicare a Regulamentului privind IA în sectorul public implică mai multe niveluri de autoritate competentă.
Autoritățile naționale de supraveghere a IA desemnate în temeiul Art. 70 sunt principalele organe de aplicare a Regulamentului în fiecare stat membru. În majoritatea jurisdicțiilor, acestea sunt sau vor fi integrate cu sau aliniate îndeaproape autorităților existente pentru protecția datelor. Acestea dispun de competențe pentru a efectua audituri, a solicita documentație tehnică și rezultatele FRIA, a emite ordine corective și a aplica sancțiuni administrative.
Amenzile pentru organismele publice sunt supuse puterii de apreciere a statelor membre în temeiul Art. 99(6): statele membre pot prevedea că autoritățile publice nu sunt supuse sancțiunilor financiare, dar trebuie să garanteze că sunt disponibile mecanisme alternative de supraveghere și corecție — inclusiv audituri obligatorii, publicarea constatărilor de neconformitate și suspendarea utilizării sistemului de IA. Această putere de apreciere nu se extinde la permiterea neconformității; ea privește exclusiv mecanismul sancțiunii financiare.
Autoritățile pentru protecția datelor (APD) și Comitetul european pentru protecția datelor (CEPD) dețin o competență paralelă cu privire la dimensiunile de prelucrare a datelor cu caracter personal ale IA din sectorul public, în temeiul GDPR și al LED. Nerespectarea obligațiilor din GDPR sau LED în contextul operării unui sistem de IA este supusă aplicării de către APD în mod independent de autoritatea de supraveghere a Regulamentului privind IA.
Curtea Europeană a Drepturilor Omului constituie o constrângere constituțională externă: deciziile luate pe baza unor procese algoritmice — în special în domeniul justiției penale și al imigrării — trebuie să respecte standardele Convenției privind Art. 6 (dreptul la un proces echitabil) și Art. 8 (viața privată), astfel cum sunt interpretate în jurisprudența în evoluție a CEDO privind procesul decizional automatizat.
Foaie de parcurs pentru implementare în agențiile guvernamentale
Faza 1 — Inventarierea și clasificarea sistemelor de IA (Lunile 1-3)
Organismele publice trebuie să stabilească mai întâi un inventar cuprinzător al tuturor sistemelor de IA aflate în prezent în uz sau în curs de achiziție. Fiecare sistem trebuie evaluat în raport cu categoriile 5-8 din Anexa III și cu dispozițiile de interdicție ale Art. 5. Sistemele care implică prelucrarea datelor cu caracter personal trebuie evaluate simultan în raport cu cerințele GDPR și LED. Rezultatul acestei faze este un inventar clasificat — interzis, cu risc ridicat, cu risc limitat sau cu risc minim — care orientează programul de conformitate.
Faza 2 — Evaluările impactului asupra drepturilor fundamentale (Lunile 3-6)
Pentru fiecare sistem cu risc ridicat identificat, organismele publice trebuie să inițieze și să finalizeze o FRIA în temeiul Art. 27. Aceasta necesită contribuții juridice, tehnice și de politici publice: o analiză juridică a drepturilor în cauză; documentația tehnică privind funcționarea sistemului, datele de antrenament și modurile de eșec cunoscute; și o evaluare de politici a măsurilor de atenuare disponibile. FRIA trebuie documentate și pregătite pentru transmiterea la autoritățile de supraveghere.
Faza 3 — Verificarea furnizorilor și reforma achizițiilor publice (Lunile 3-9)
Procedurile de achiziții publice trebuie actualizate pentru a impune furnizorilor de IA să demonstreze conformitatea cu Regulamentul UE privind IA ca o condiție a atribuirii contractului. Operatorii trebuie să verifice marcajul CE, Declarația de Conformitate, documentația tehnică și angajamentele de monitorizare post-introducere pe piață înainte de punerea în funcțiune. Organismele publice care acționează în calitate de operatori comuni sau co-dezvoltatori alături de furnizori de tehnologie trebuie să clarifice prin contract alocarea responsabilității pentru obligațiile privind evaluarea conformității.
Faza 4 — Garanții operaționale și formarea personalului (Lunile 6-12)
Funcționarii desemnați cu supravegherea umană trebuie identificați pentru fiecare sistem de IA cu risc ridicat, instruiți cu privire la capacitățile și limitările sistemului și dotați cu proceduri de anulare a rezultatelor acestuia. Notificările de transparență adresate persoanelor vizate trebuie redactate și integrate în procedurile administrative existente. Infrastructura de jurnalizare trebuie verificată sau stabilită. Protocoalele de raportare a incidentelor trebuie integrate în procesele existente de gestionare a incidentelor administrative și din domeniul protecției datelor.
Faza 5 — Monitorizare continuă și revizuire anuală
Conformitatea sistemelor de IA cu risc ridicat nu reprezintă un exercițiu de certificare unic. Obligațiile de monitorizare post-introducere pe piață impun organismelor publice să urmărească activ performanța sistemului, să documenteze orice modificări privind acuratețea, părtinirea sau comportamentul și să actualizeze FRIA atunci când survin modificări semnificative. Raportarea anuală către autoritatea de supraveghere, acolo unde este impusă de dreptul național, trebuie susținută de documentația generată prin programul de monitorizare.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Da. Sistemele de IA utilizate pentru a determina eligibilitatea persoanelor fizice pentru servicii publice de prestații sociale — inclusiv indemnizații de șomaj, ajutoare pentru locuință, alocații de invaliditate și asistență socială — sunt enumerate explicit ca sisteme cu risc ridicat în **Anexa III, punctul 5(b)** din Regulamentul UE privind IA. Organismele publice care utilizează astfel de sisteme trebuie să respecte întregul set de obligații impuse operatorilor de sisteme cu risc ridicat în temeiul **Art. 26** și trebuie să efectueze o **evaluare obligatorie a impactului asupra drepturilor fundamentale (FRIA)** în temeiul **Art. 27** înainte de punerea în funcțiune. Persoanele care fac obiectul unor decizii automate privind eligibilitatea au dreptul la explicații și la revizuire de către un factor uman.
Organismele publice care pun în funcțiune sisteme de IA cu risc ridicat trebuie să: verifice că sistemul poartă marcajul CE și este însoțit de o Declarație UE de Conformitate; să efectueze o **evaluare obligatorie a impactului asupra drepturilor fundamentale (FRIA)** în temeiul **Art. 27**, care trebuie transmisă autorității naționale competente de supraveghere a IA acolo unde este impus; să pună în aplicare instrucțiunile de utilizare ale furnizorului și să desemneze personal calificat responsabil cu supravegherea umane în temeiul **Art. 26(1)**; să păstreze jurnalele operaționale cel puțin șase luni; să notifice persoanele că un sistem de IA este utilizat în cadrul deciziilor care le afectează, astfel cum prevede **Art. 13**; și să înregistreze punerea în funcțiune în **baza de date UE pentru IA cu risc ridicat (EUAI DB)**, acolo unde este aplicabil în temeiul **Art. 49(2)**.
Sistemele de IA pentru predicția criminalității — sisteme care generează evaluări ale riscului sau scoruri de profilare a persoanelor pe baza comportamentului trecut, a caracteristicilor sociale sau a datelor geografice — sunt clasificate ca sisteme cu risc ridicat în temeiul **Anexei III, punctul 6(a)**. Utilizarea nu este interzisă în mod expres, dar atrage aplicarea regimului complet de conformitate pentru sisteme cu risc ridicat, inclusiv evaluarea obligatorie a conformității, FRIA în temeiul **Art. 27**, obligații de supraveghere umană și documentație tehnică. Separat, **Art. 5(1)(c)** interzice sistemele de IA utilizate de autoritățile publice pentru scoring social în scopuri generale, fără legătură cu aplicarea legii. De asemenea, **Art. 5(1)(d)** interzice identificarea biometrică de la distanță în timp real în spații accesibile publicului în scopul aplicării legii, cu excepția a trei situații strict definite, cu autorizare prealabilă judiciară sau administrativă independentă.
Nu, dar este strict reglementată. Sistemele de IA utilizate pentru cercetarea faptelor, interpretarea dreptului aplicabil sau predicția rezultatelor judiciare sunt clasificate ca sisteme cu risc ridicat în temeiul **Anexei III, punctul 8**. Acestea pot fi puse în funcțiune de instanțe și autorități judiciare numai dacă trec evaluarea conformității, sunt însoțite de documentație tehnică completă, includ mecanisme robuste de supraveghere umană și fac obiectul unei FRIA în temeiul **Art. 27**. Sistemele de IA nu pot emite hotărâri în mod autonom; orice rezultat al acestora trebuie să fie supus unei revizuiri judiciare efective. **Art. 47 din Carta Drepturilor Fundamentale a UE** (dreptul la un proces echitabil) și jurisprudența Curții Europene a Drepturilor Omului impun constrângeri constituționale suplimentare cu privire la justiția algoritmică.
Directiva privind aplicarea legii (LED) 2016/680 reglementează prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, detectării sau urmăririi penale a infracțiunilor. Aceasta se aplică în paralel cu — și nu este înlăturată de — Regulamentul UE privind IA. Atunci când autoritățile de aplicare a legii pun în funcțiune sisteme de IA cu risc ridicat care implică prelucrarea datelor cu caracter personal (profilare, scoring de risc, analiză biometrică), ambele cadre juridice se aplică simultan. LED impune un temei juridic și o limitare a scopului pentru prelucrarea datelor; Regulamentul privind IA impune obligații suplimentare privind sistemul de IA în sine — guvernanța datelor, documentația tehnică, monitorizarea post-introducere pe piață, transparența față de persoanele vizate. Conformitatea cu LED nu înseamnă îndeplinirea obligațiilor din Regulamentul privind IA și nici invers. Operatorii trebuie să mențină o analiză juridică care să demonstreze conformitatea duală.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.