Două legi, un singur agent

Agentul AI care răspunde clienților firmei tale trebuie să respecte simultan două cadre europene:

  • GDPR (în vigoare din 2018) — protecția datelor cu caracter personal. Toate datele pe care le procesează agentul (nume, email, telefon, istoric cumpărături) sunt date personale.
  • AI Act (Regulamentul UE 2024/1689) — primul cadru legal mondial dedicat sistemelor AI. Intră etapizat: februarie 2025 (interziceri), august 2026 (general-purpose AI), august 2027 (high-risk systems).

În 2026, un agent AI care vorbește cu clienții unei firme românești se află în zona „limited risk” a AI Act — cu obligații concrete de transparență și control. Nu high-risk (care e pentru sisteme de scoring credite, recrutare, etc.), dar nici negligible.

Ce trebuie să faci ACUM, în 2026

1. Informarea utilizatorilor (AI Act, Art. 50)

Orice client care interacționează cu agentul trebuie să știe că vorbește cu un sistem AI. În practică:

  • Pe WhatsApp Business: când un client deschide conversația, primul mesaj automat conține „Bună, sunt Exarh, asistentul AI al firmei [Nume]. Dacă vrei să vorbești cu un om, scrie „om” oricând."
  • Pe Instagram DM: la fel.
  • Pe formulare de site: notă vizibilă „Răspunsurile sunt generate de un agent AI cu reguli scrise. Pentru cazuri sensibile cere intervenție umană.”

Exarh face asta nativ. Nu trebuie să configurezi nimic.

2. Procesarea datelor (GDPR)

  • Bază legală — în general, executarea unui contract (clientul vrea să cumpere, agentul îl ajută) sau interesul legitim (răspunsuri la întrebări generale). Pentru cazuri sensibile (date sănătate, financiare), ai nevoie de consimțământ explicit.
  • Minimizare — agentul citește doar ce-i trebuie. Nu trimite tot CRM-ul către modelul AI. Exarh implementează „field-level access” — agentul vede doar câmpurile relevante pentru întrebare.
  • Retenție — datele de conversație se păstrează 24 luni în Exarh (configurabil). După, anonimizate.

3. Drepturile clienților (GDPR, Art. 15-22)

  • Acces — clientul poate cere arhiva conversațiilor sale. Exarh furnizează export JSON în <24h.
  • Ștergere — clientul poate cere ștergerea. Exarh șterge din baza activă, dar păstrează un hash pentru audit (Articolul 19 din Constituția Agentică).
  • Decizii automatizate — clientul are dreptul să ceară intervenție umană în orice moment. Aceasta e funcția nativă a agentului Exarh — escaladare la om la cerere.

4. Audit și conformitate

Pentru ANSPDCP (autoritatea română GDPR) sau o eventuală inspecție AI Act, trebuie să poți demonstra:

  • Cine a primit ce date — Exarh logează pentru fiecare decizie.
  • Pe ce bază a decis agentul — Jurnalul agentic conține motivul.
  • Cu ce reguli lucra atunci — Versiunea constituției + regulile firmei sunt snapshot-uite pe fiecare decizie.

Ce vine în 2027

AI Act, high-risk systems

Începând cu august 2027, sistemele AI considerate „high-risk” (decizii de credit, asigurări, angajare, evaluări performanță, etc.) au obligații majore:

  • Documentație tehnică detaliată
  • Audit obligatoriu
  • Înregistrare în baza UE a sistemelor AI
  • Conformitate cu standardul ISO/IEC 42001 (sau echivalent)

Pentru un agent de customer service standard (cum e Exarh pe IMM-uri), nu ești high-risk. Dar dacă pui agentul să facă scoring de credit pentru clienți sau decide singur să angajeze pe cineva — ești high-risk și trebuie audit.

Exarh comunică transparent zona în care lucrează agentul tău. Dacă ești la limită, te anunțăm și recomandăm setări mai restrictive.

Modelele general-purpose (din august 2026)

Modelele AI generale (Claude, GPT-4, Llama, etc.) au obligații proprii — pe care le respectă furnizorii (Anthropic, OpenAI, Meta). Tu, ca firmă care folosește un agent, nu trebuie să faci nimic suplimentar dacă alegi un furnizor care e conform.

Exarh folosește modele de la furnizori conformi AI Act. Pe baza ta de date nu se antrenează modele externe — Articolul 19 din Constituția Agentică.

Cazuri concrete

„Pot folosi agentul AI pe Instagram DM legal?”
Da. Cu condiția să-l semnalezi (primul mesaj automat menționează „sunt AI”). Exarh face asta nativ.

„Clientul cere să-i șterg datele. Ce fac?”
Din Exarh: buton „Șterge utilizator” în UI. Procesat în 72h conform GDPR.

„Pot stoca conversațiile clienților 7 ani?”
Doar dacă ai bază legală pentru asta (de ex. dispoziție fiscală pentru facturi). Pentru conversații generale de customer service, 24 luni e default-ul rezonabil.

„Ce înseamnă „date pe servere din România” în practică?"
Înseamnă că datele active sunt stocate fizic în România. Pentru anumite operațiuni (inferență AI), modelul rulează în Europa de Vest (Frankfurt) — dar fără ca datele să fie stocate acolo. Toate sub jurisdicție UE.

Concluzie

GDPR + AI Act nu sunt obstacole. Sunt cadrul în care firma ta poate să folosească AI cu încredere, fără frica unei inspecții peste 6 luni. Exarh e construit cu aceste reguli în mente — Constituția Agentică e versiunea pe înțelesul tuturor a obligațiilor legale care vin oricum.

Dacă ai întrebări specifice (industria ta, dimensiunea firmei, date sensibile), scrie la [email protected]. Răspundem în 24h, pe text — fără jargon legal.

Acest articol nu e consultanță juridică oficială — e ghid practic. Pentru cazuri legale concrete, consultă un avocat specializat în GDPR/AI.

LEGALGDPRAI ACTCONFORMITATE
Încearcă Exarh

Pune agenții la treabă în firma ta.

Trial 5 zile · toți agenții · fără card. Anulezi în 30 de secunde.

Începe trialul →
Ioan-Iustin Fodoruț
Echipa Exarh
Fondator Exarh. Scriu despre cum pun agenții AI la treabă în firme românești — fără hype, cu rezultate măsurabile.
Mai mult despre mine →