Regulile europene privind protecția datelor trebuie adaptate la epoca inteligenței artificiale, dar modificările nu trebuie să transforme simplificarea într-un avantaj suplimentar pentru marile platforme, avertizează un raport al Centre on Regulation in Europe. Analiza susține că pachetul Digital Omnibus propus de Comisia Europeană este o încercare utilă de a reduce incertitudinea juridică din jurul AI, însă succesul său va depinde de felul în care legislatorii europeni vor clarifica dreptul de folosire a datelor pentru antrenarea modelelor, protecția datelor sensibile, drepturile utilizatorilor și noile mecanisme de gestionare a consimțământului online.
Pe scurt
-
CERRE consideră că protecția datelor și inovația în AI nu sunt automat opuse, deoarece în multe cazuri utilizatorii pot beneficia de modele AI mai bune, mai personalizate și mai puțin discriminatorii.
-
Raportul susține codificarea interesului legitim ca bază juridică pentru antrenarea modelelor AI, dar cere eliminarea ambiguităților care pot menține fragmentarea între statele membre.
-
Autorii avertizează că dreptul la ștergerea datelor este greu de aplicat tehnic în modele AI deja antrenate și că soluțiile trebuie gândite încă din faza de proiectare a sistemelor.
-
Propunerea de semnale automate de consimțământ la nivel de browser ar putea reduce oboseala produsă de bannerele cookies, dar poate concentra și mai mult puterea la nivelul câtorva furnizori de browsere.
Raportul CERRE pornește de la o întrebare care va deveni tot mai importantă pentru economia digitală europeană: cum poate Uniunea Europeană să păstreze un nivel ridicat de protecție a datelor, dar să permită în același timp dezvoltarea unor sisteme AI competitive, antrenate pe date suficiente, diverse și reprezentative. Autorii spun că dezbaterea nu trebuie redusă la o alegere simplă între confidențialitate și inovație.
Ideea centrală a raportului este că, în multe situații, interesele utilizatorilor și ale dezvoltatorilor de AI pot merge în aceeași direcție. Utilizatorii pot beneficia de servicii mai bune, traduceri mai precise, asistenți digitali mai utili, instrumente medicale mai performante sau sisteme care discriminează mai puțin. Pentru asta, modelele AI au nevoie de date mai multe, mai variate și mai relevante. Problema apare atunci când datele sunt folosite în scopuri pe care oamenii nu le înțeleg, nu le anticipează sau din care nu obțin un beneficiu clar.
Raportul analizează pachetul Digital Omnibus, prezentat de Comisia Europeană în noiembrie 2025, ca intervenție juridică și economică în regulile digitale ale UE. Pachetul urmărește simplificarea unor norme din GDPR, AI Act și alte acte digitale, cu obiectivul declarat de a reduce costurile administrative, mai ales pentru IMM-uri, și de a face mediul european mai favorabil inovării.
CERRE consideră că Digital Omnibus este, în linii mari, o încercare constructivă. Raportul spune însă că efectele sale pot fi inegale. Unele modificări pot clarifica regulile pentru dezvoltatorii de AI, dar altele pot crea noi obligații greu de gestionat pentru firmele mici, în timp ce marile companii, care au deja echipe juridice, date proprii și infrastructuri tehnice vaste, pot absorbi mai ușor costurile.
Una dintre cele mai importante propuneri analizate este recunoașterea expresă a interesului legitim ca bază juridică pentru antrenarea modelelor AI. În termeni simpli, asta înseamnă că dezvoltatorii de AI nu ar trebui să se bazeze întotdeauna pe consimțământ individual pentru a folosi date personale în antrenarea modelelor, dacă prelucrarea este necesară, proporțională și nu încalcă drepturile persoanelor vizate.
Raportul susține această direcție, deoarece consimțământul individual este adesea impracticabil în cazul antrenării AI la scară mare. Un model lingvistic, un sistem de recunoaștere, un instrument de diagnostic sau o aplicație de traducere pot necesita volume enorme de date. A cere consimțământ de la fiecare persoană vizată poate bloca practic dezvoltarea sistemului, fără să ofere neapărat o protecție reală mai bună.
CERRE avertizează însă că textul propus trebuie clarificat. Formulări precum „where appropriate” sau noțiuni neclare precum „operation” a unui sistem AI pot menține incertitudinea juridică. Autorii critică și posibilitatea ca statele membre să reintroducă cerințe de consimțământ prin legislații naționale, deoarece acest lucru ar putea recrea exact fragmentarea pe care Digital Omnibus pretinde că vrea să o reducă.
Această fragmentare contează mai ales pentru firmele mici. O companie mare își poate permite avocați, consultanți, audituri și proceduri interne diferite pentru mai multe state membre. Un start-up sau un dezvoltator independent nu poate face la fel de ușor acest lucru. Dacă fiecare țară interpretează diferit regulile pentru antrenarea AI, piața unică digitală devine mai greu de folosit tocmai pentru firmele care au nevoie de ea ca să crească.
Raportul analizează și prelucrarea datelor sensibile în dezvoltarea AI. Datele privind sănătatea, originea etnică, opiniile politice, religia sau alte categorii speciale sunt protejate strict de GDPR. În practică, însă, date de acest tip pot apărea incidental în seturi foarte mari folosite pentru antrenare, mai ales atunci când datele sunt colectate din surse publice sau din baze complexe.
CERRE spune că legea trebuie să recunoască această realitate tehnică, fără a deschide o poartă largă pentru folosirea datelor sensibile. Soluția propusă în raport este o logică de tip „evită, elimină, protejează”: dezvoltatorii trebuie să evite colectarea inutilă a datelor sensibile, să le elimine atunci când sunt identificate și este proporțional posibil, iar dacă eliminarea ar cere eforturi disproporționate, să prevină folosirea lor în rezultate, divulgarea sau accesul terților.
Această abordare este importantă și pentru combaterea discriminării algoritmice. Pentru a verifica dacă un sistem AI discriminează, uneori este nevoie de date despre grupurile afectate. Un model poate funcționa bine pentru un grup și prost pentru altul, iar acest lucru nu poate fi detectat fără date relevante. CERRE salută extinderea posibilității de folosire a datelor sensibile pentru detectarea și corectarea biasului, nu doar în sistemele AI cu risc ridicat, ci și în alte tipuri de sisteme, cu condiții stricte.
Drepturile persoanelor vizate ridică probleme mai dificile. Raportul acordă o atenție specială dreptului la ștergerea datelor, cunoscut publicului larg ca „dreptul de a fi uitat”. Într-o bază de date clasică, ștergerea unei înregistrări este relativ ușor de înțeles. Într-un model AI deja antrenat, datele nu sunt păstrate ca fișiere simple, ci pot fi distribuite în parametrii și relațiile statistice ale modelului.
Aici apare tensiunea tehnică. Dacă o persoană cere ștergerea datelor sale după ce un model a fost antrenat, eliminarea completă a influenței acelor date poate fi extrem de dificilă sau chiar imposibilă fără reantrenarea modelului. Reantrenarea poate costa foarte mult, mai ales pentru modele mari. Raportul spune că respectarea dreptului la ștergere nu trebuie tratată doar ca remediu ulterior, ci trebuie integrată în proiectarea sistemelor AI, prin guvernanță a datelor, minimizare, filtre, tehnici de protecție și documentare.
CERRE atrage atenția că soluțiile de tip output filtering, adică împiedicarea modelului să producă anumite informații în rezultate, nu sunt același lucru cu eliminarea efectivă a datelor din model. Ele pot reduce riscul ca datele să apară în răspunsuri, dar nu garantează că influența lor a dispărut din model. De aceea, autorii cer ghiduri europene mai clare, bazate pe fezabilitate tehnică, nu doar pe obligații juridice abstracte.
Un alt punct sensibil este dreptul de acces la propriile date. Acest drept permite oamenilor să afle ce date sunt prelucrate despre ei și poate deveni esențial atunci când vor să conteste o decizie automată sau un sistem AI care îi afectează. Raportul recunoaște că pot exista cereri abuzive, dar avertizează că limitările nu trebuie să afecteze funcția de contestare a acestui drept.
Pentru jurnaliști, organizații civice, lucrători sau persoane afectate de sisteme automate, dreptul de acces poate fi una dintre puținele căi de a înțelege cum a fost folosită informația despre ei. CERRE spune că regulile pot permite refuzul cererilor abuzive, dar trebuie să evite un efect de descurajare asupra folosirii legitime a dreptului de acces în cazuri de interes public sau în contexte AI sensibile.
Raportul discută și oboseala produsă de bannerele cookies. Actualul sistem, în care utilizatorii sunt întrebați în mod repetat dacă acceptă sau refuză prelucrarea datelor, nu produce alegeri cu adevărat informate. Mulți oameni apasă rapid „accept all” sau „reject all”, fără să citească detaliile. CERRE descrie această situație ca parte a unei probleme mai largi: consimțământul este folosit prea des ca instrument universal, deși oamenii nu au timp, informații sau energie să evalueze fiecare solicitare.
Digital Omnibus propune mutarea regulilor privind accesul la datele de pe dispozitive, de exemplu cookies, spre GDPR și introducerea unor mecanisme automate de consimțământ sau refuz, inclusiv semnale la nivel de browser. Ideea ar fi ca utilizatorul să își exprime preferința o singură dată, iar site-urile să o respecte automat.
CERRE vede aici o promisiune, dar și un risc major. Un astfel de sistem poate reduce numărul de bannere și întreruperi. Totuși, dacă semnalul este controlat la nivelul browserului, puterea se poate concentra în mâinile câtorva furnizori mari de browsere. În plus, nu este clar că un semnal general transmis de browser poate îndeplini condițiile GDPR pentru consimțământ specific, informat și liber exprimat.
Raportul avertizează că această reformă poate afecta și modelul economic al internetului gratuit susținut de publicitate. Dacă mecanismele automate duc la respingerea masivă a prelucrărilor de date, multe site-uri pot trece spre paywalls sau abonamente. Pentru cititorii europeni, efectul poate fi mai puțin conținut gratuit și mai multe servicii blocate în spatele plății.
Concluzia economică a raportului este una recurentă: costurile fixe ale conformării cu GDPR apasă mai greu pe firmele mici decât pe marile companii. Dacă simplificarea este ambiguă, dacă fiecare firmă trebuie să facă analize juridice complicate, dacă standardele tehnice sunt greu de implementat sau dacă accesul la date devine mai dependent de infrastructuri proprietare, firmele mici pot pierde, chiar dacă reforma este prezentată ca sprijin pentru ele.
CERRE recomandă o abordare în trei etape. Pe termen scurt, în negocierile privind Digital Omnibus, legislatorii europeni trebuie să clarifice textele propuse fără să modifice conceptele de bază ale GDPR. Pe termen mediu, în cadrul Digital Fitness Check, Comisia trebuie să verifice mai sistematic coerența dintre GDPR, AI Act și celelalte reguli digitale. Pe termen lung, GDPR ar putea avea nevoie de adaptări țintite și bazate pe risc, dar prin ghiduri armonizate și ajustări precise, nu printr-o reformă generală care ar destabiliza întregul cadru.
Miza depășește dezbaterea juridică. Dacă UE păstrează reguli foarte stricte, dar neclare, riscă să protejeze formal datele fără să creeze condiții pentru AI europeană competitivă. Dacă relaxează regulile fără garanții, riscă să slăbească drepturi fundamentale și încrederea publicului. CERRE propune o cale de mijloc: protecție a datelor aplicată mai inteligent, mai diferențiat și mai realist tehnic, astfel încât AI să poată fi dezvoltată în Europa fără ca utilizatorii, firmele mici și drepturile fundamentale să devină costuri colaterale.