Gorici Legal Logo

Mar 13, 2026

AI în Resurse Umane: Ce Obligații au Angajatorii din România sub AI Act înainte de August 2026

Folosești AI în procesele de HR? Probabil ești deja vizat de cea mai strictă reglementare europeană a momentului.

Multe companii din România au integrat în ultimii ani instrumente de inteligență artificială în procesele de recrutare și management al resurselor umane — de la filtre automate de CV-uri și chatboți de pre-screening, până la platforme de video interview cu analiză comportamentală sau sisteme de evaluare a performanței. Unele fac asta cu instrumente specializate, altele pur și simplu folosesc tool-uri de tipul ChatGPT sau Microsoft Copilot ca asistent în procesele de selecție.

Ceea ce puțini angajatori știu este că majoritatea acestor activități sunt clasificate drept „sisteme AI cu risc ridicat" (high-risk) sub Regulamentul (UE) 2024/1689, cunoscut drept AI Act, și că termenul pentru conformare se apropie rapid: 2 august 2026.

Neconformarea poate atrage amenzi de până la 35 de milioane de euro sau 7% din cifra de afaceri globală anuală — sancțiuni care depășesc chiar și nivelul amenzilor GDPR.



Ce este AI Act 

AI Act este primul cadru legal comprehensiv din lume dedicat reglementării inteligenței artificiale. A intrat în vigoare pe 1 august 2024 și are aplicabilitate directă în toate statele membre UE, inclusiv România, fără să fie necesară o lege de transpunere separată.

Regulamentul are aplicabilitate extrateritorială: se aplică oricărei companii, indiferent de sediul social, dacă folosește sisteme AI pentru decizii care afectează persoane aflate pe teritoriul Uniunii Europene. Un angajator român cu candidați sau angajați în UE este, în mod automat, vizat.

Aplicarea AI Act este prevăzută pe mai multe faze, dintre care, în sensul prezentului articol, amintim următoarele:

  • Februarie 2025 — devin aplicabile obligațiile privind practicile AI interzise și AI literacy;
  • August 2025 — devin aplicabile regulile pentru modelele GPAI (ex. ChatGPT, Claude, Gemini, etc.);
  • August 2026 —AI Act devine pe deplin aplicabil: intră în vigoare obligațiile complete pentru sistemele AI cu risc ridicat (inclusiv cele din HR); devin aplicabile amenzile prevăzute de AI Act; devin aplicabile pe scară largă obligațiile și mecanismele de supraveghere/enforcement prevăzute de AI Act.

Cu alte cuvinte, unele obligații prevăzute de AI Act există deja, iar cea mai mare parte vor intra în vigoare în mai puțin de 6 luni.



De ce utilizarea AI în recrutare este clasificată drept „high-risk"

AI Act adoptă o abordare bazată pe risc: cu cât impactul potențial asupra drepturilor fundamentale ale persoanelor este mai mare, cu atât reglementarea este mai strictă.

Conform Articolului 6(2) și Anexei III din AI Act, sunt clasificate automat ca sisteme AI cu risc ridicat cele utilizate în domeniul ocupării forței de muncă, al gestionării lucrătorilor și al accesului la muncă independentă. Concret, această categorie include:

  • Sisteme AI folosite în recrutare și selecție — inclusiv publicarea targetată de anunțuri de angajare, filtrarea CV-urilor, sortarea sau ierarhizarea candidaților și evaluarea acestora în interviuri
  • Sisteme AI care influențează termenii relației de muncă — inclusiv promovări, atribuire de sarcini, monitorizarea performanței și decizii de concediere
  • Sisteme AI care monitorizează și evaluează angajații în timpul executării sarcinilor

Rațiunea este simplă: o decizie de angajare sau concediere luată (sau influențată) de un algoritm poate afecta profund drepturile fundamentale ale unui individ — dreptul la muncă, la nediscriminare, la demnitate. AI Act tratează aceste sisteme cu aceeași seriozitate cu care tratează AI-ul folosit în infrastructura critică sau în sistemele de biometrie.



Regula esențială: nu contează cine a dezvoltat sistemul AI, ci cum îl folosești

Aceasta este probabil cea mai importantă concluzie practică a acestui articol, și una care surprinde majoritatea angajatorilor.

AI Act face o distincție fundamentală între:

  • Provider — compania care a dezvoltat și comercializează sistemul AI (ex. OpenAI, Microsoft, un furnizor al unui soft de recrutare, spre exemplu LinkedIn Recruiter)
  • Deployer — orice companie sau persoană care utilizează un sistem AI în activitatea sa profesională

Angajatorul care folosește un tool AI în HR este, în general, un deployer — și are obligații concrete, chiar dacă nu a dezvoltat el software-ul utilizat în activitatea de recrutare de personal.

Câteva scenarii concrete ajută să înțelegem unde se trasează linia în practică:

Un angajat din departamentul HR al unei companii uploadează 20 de CV-uri în ChatGPT și cere modelului să ierarhizeze candidații după potrivire cu job description-ul și, ulterior, să recomande cine merge mai departe în procesul de recrutare și cine nu. Prin prompt-ul dat de angajatul de mai sus, compania activează o utilizare high-risk, chiar dacă nu a dezvoltat niciun sistem AI propriu. 

Un alt exemplu relevant îl reprezintă utilizarea tool-urilor de tip „Candidate Fit Score" din LinkedIn Recruiter: dacă recruiterul filtrează candidații după scorul generat de algoritm și nu revizuiește manual profilurile celor excluși, decizia de a nu contacta un candidat e influențată în mod substanțial de un sistem AI. 

Același cadru se aplică și în raporturile dintre angajator și angajații existenți. O companie care folosește un sistem AI pentru a monitoriza productivitatea angajaților măsurând, de exemplu, numărul de acțiuni efectuate într-un interval orar, timpii de răspuns sau nivelul de activitate pe calculator și care utilizează outputul acelui sistem ca bază pentru evaluările periodice de performanță sau pentru decizii de concediere, operează un sistem AI high-risk. Nu contează că decizia finală e semnată de un manager, dacă raportul generat de algoritm stă la baza ei, sistemul e high-risk și obligațiile de conformare se aplică integral.

Regula practică e următoarea: dacă outputul unui sistem AI restrânge sau ordonează opțiunile disponibile decidentului uman, adică recruiterul sau managerul nu mai vede întregul set de candidați sau informații, ci doar ce a filtrat sau ierarhizat algoritmul, acea utilizare este, cel mai probabil, una „high-risk”, indiferent dacă sistemul este dezvoltat intern sau a fost achiziționat de la un terț. În concret: dacă unii candidați au fost excluși automat fără ca un om să le fi revizuit CV-ul, recruiterul acționează pe baza unui scor generat de sistem fără o evaluare independentă proprie și ne aflăm într-o situație de „high-risk”.



Ce obligații concrete are angajatorul (deployer) din august 2026

1. Informarea prealabilă a angajaților și a reprezentanților acestora

Înainte de a pune în funcțiune un sistem AI high-risk la locul de muncă, angajatorul trebuie să informeze angajații afectați și reprezentanții lor că vor fi supuși utilizării acelui sistem. Această obligație se aplică angajaților existenți și intervine anterior implementării, nu după.

2. Informarea persoanelor supuse unor decizii luate cu ajutorul AI

Angajatorul care utilizează un sistem AI high-risk pentru a lua sau a asista la luarea de decizii referitoare la persoane fizice trebuie să informeze acele persoane că sunt supuse utilizării unui astfel de sistem. În contextul recrutării, această obligație vizează candidații - aceștia trebuie să știe că un sistem AI high-risk a fost implicat în procesul care i-a privit.

3. Supravegherea umană reală

Angajatorul trebuie să desemneze persoane cu competența, training-ul și autoritatea necesare pentru a asigura supravegherea umană a sistemului. Nu e suficient ca un om să vadă outputul și să apese „confirm" — supravegherea trebuie să fie efectivă, cu posibilitate reală de a interveni sau de a ignora recomandarea sistemului.

4. Managementul datelor

În măsura în care angajatorul exercită control asupra datelor introduse în sistem — CV-uri, descrieri de posturi, criterii de selecție — are obligația de a se asigura că acestea sunt relevante și suficient de reprezentative, pentru a reduce riscul de rezultate discriminatorii sau eronate.

5. Dreptul la explicație

Persoanele afectate de o decizie luată cu ajutorul unui sistem AI high-risk au dreptul să solicite și să primească o explicație clară despre rolul sistemului în procesul decizional. Angajatorul trebuie să fie în măsură să furnizeze această explicație — ceea ce presupune că persoanele care operează sistemul înțeleg cum funcționează și cum influențează decizia finală.

6. Monitorizare continuă

Angajatorul monitorizează operarea sistemului conform instrucțiunilor furnizate de provider. Dacă identifică un risc sau un incident grav, are obligația de a notifica atât provider-ul, cât și autoritatea națională de supraveghere.

7. Păstrarea log-urilor

Log-urile generate automat de sistemul AI trebuie păstrate pentru o perioadă de minimum 6 luni, în măsura în care acestea sunt sub controlul deployer-ului.

8. DPIA (Data Protection Impact Assessment) 

Acolo unde sistemul AI procesează date cu caracter personal, ceea ce se întâmplă în mod uzual în orice proces de recrutare, angajatorul are obligația de a efectua o Evaluare de Impact asupra Protecției Datelor (DPIA), conform Art. 35 GDPR. AI Act impune în mod expres că această evaluare trebuie să se bazeze inclusiv pe documentația furnizată de provider.



Ce este deja interzis din februarie 2025

Câteva utilizări AI sunt deja complet interzise prin AI Act, cu aplicabilitate încă din 2 februarie 2025. În contextul descris de prezentul articol și relevant pentru echipele și departamentele de HR, sunt interzise:

  • Sisteme de recunoaștere a emoțiilor la locul de muncă sau în interviuri (ex. platforme care pretind că „citesc" starea emoțională a candidaților din expresii faciale)
  • Categorizarea biometrică pentru a deduce caracteristici sensibile (opinii politice, religie, orientare sexuală etc.)
  • Tehnicile subliminale sau manipulative care influențează decizii ale persoanelor fără știrea acestora

Dacă compania dvs. folosește în prezent astfel de instrumente, este deja în breach față de AI Act.



Utilizarea tool-uri AI de către angajați

O întrebare frecventă: „dacă angajații folosesc ChatGPT din proprie inițiativă, fără o politică internă a companiei, este angajatorul un deployer?”

Răspunsul juridic nu e tranșat încă, dar direcția e clară. AI Act definește deployer-ul ca entitatea care utilizează un sistem AI „sub propria autoritate", iar interpretarea majoritară în doctrina juridică merge spre a considera orice utilizare profesională drept utilizare a angajatorului, chiar și în absența unei politici formale. Cu alte cuvinte, faptul că angajatul folosește ChatGPT din proprie inițiativă nu exonerează automat compania de răspunderea pe care o are sub AI Act.

Comisia Europeană nu a publicat încă ghiduri care să clarifice explicit această limită. Ghidurile privind obligațiile deployer-ilor sunt anunțate pentru trimestrul 2 din 2026, deci companiile navighează deocamdată fără o clarificare oficială.

În acest context, este recomandată prudență sporită în ceea ce privește această întrebare, iar ea să nu fie lăsată fără un răspuns intern. O politică clară privind utilizarea AI de către angajați, care să stabilească ce tool-uri sunt permise, în ce condiții și cu ce limitări servește două scopuri: (1) reduce riscul juridic și (2) stabilește clar poziția companiei față de autorități în cazul unui audit.


Sancțiuni aplicabile

AI Act instituie un regim de sancțiuni pe trei niveluri, aplicate de autoritățile naționale de supraveghere:

Nivelul 1 — utilizarea de sisteme AI interzise prin Art. 5: amenzi de până la 35 milioane EUR sau 7% din cifra de afaceri globală anuală, aplicându-se maximul dintre cele două. Aceasta este categoria cea mai gravă de încălcare.

Nivelul 2 — nerespectarea obligațiilor de deployer prevăzute de Art. 26: amenzi de până la 15 milioane EUR sau 3% din cifra de afaceri globală anuală, aplicându-se maximul dintre cele două.

Nivelul 3 — furnizarea de informații incorecte, incomplete sau înșelătoare autorităților naționale: amenzi de până la 7,5 milioane EUR sau 1% din cifra de afaceri globală anuală.

Pentru IMM-uri și startup-uri, Art. 99(6) prevede un regim mai favorabil: se aplică minimul dintre suma fixă și procentul din cifra de afaceri, nu maximul.

Dincolo de amenzile administrative, angajatorul care folosește sisteme AI high-risk în HR fără să respecte obligațiile de conformare se expune și unor riscuri juridice adiacente: răspundere cumulată sub GDPR în cazul încălcărilor asociate privind datele cu caracter personal, precum și posibilitatea apariției unor litigii de discriminare inițiate de candidați sau angajați afectați.



Concluzie

Utilizarea AI în recrutare și HR nu mai este o chestiune de tehnologie sau eficiență operațională. Unele obligații sunt deja în vigoare - interdicțiile din Art. 5 și obligația de AI literacy sunt aplicabile din februarie 2025. Din august 2026, întregul cadru de conformare devine pe deplin aplicabil, inclusiv amenzile pentru nerespectarea obligațiilor pe care angajatorul le are în calitate de deployer.

Companiile care încep procesul de conformare acum au timp suficient să parcurgă pașii esențiali: inventarul sistemelor AI utilizate, clasificarea utilizărilor și implementarea politicilor interne și a training-urilor necesare. Cele care amână implementarea riscă să implementeze un proces de conformare incorect sau incomplet, sau, mai rău, un audit din partea autorităților înainte de a fi pregătite.



Dacă nu ești sigur dacă instrumentele AI pe care le folosești în HR intră sub incidența AI Act sau ce obligații îți revin în calitate de deployer, echipa Gorici Legal te poate ajuta cu o analiză de conformitate adaptată situației concrete a companiei tale. 

Contactează-ne →


Acest articol are caracter informativ general și nu constituie consultanță juridică. Pentru o analiză adaptată situației dvs. specifice, vă recomandăm să luați legătura cu echipa Gorici Legal.

© Gorici Legal | Toate drepturile rezervate