EU AI Act και συγκατάθεση cookies το 2026: Πώς η κατάρτιση προφίλ, τα συστήματα συστάσεων και η στοχευμένη διαφήμιση εντάσσονται στο νέο κανονιστικό πλαίσιο
Ο EU AI Act (Regulation 2024/1689) τέθηκε σε ισχύ τον Αύγουστο του 2024, με τις διατάξεις του να εισάγονται σταδιακά σε μια πολυετή ανάπτυξη. Οι κανόνες για απαγορευμένες πρακτικές τέθηκαν σε ισχύ τον Φεβρουάριο του 2025, οι υποχρεώσεις για AI γενικού σκοπού τον Αύγουστο του 2025, και το μεγαλύτερο μέρος των υποχρεώσεων για συστήματα υψηλού κινδύνου τίθεται σε ισχύ κατά τη διάρκεια του 2026 και έως το 2027. Με την έναρξη του 2026, ο AI Act δεν αποτελεί πλέον μελλοντική ανησυχία — είναι ένας κανονισμός λειτουργίας που επικαλύπτεται με τον GDPR για οποιοδήποτε σύστημα χρησιμοποιεί AI για κατάρτιση προφίλ, βαθμολόγηση ή κατάταξη χρηστών της ΕΕ. Για εκδότες που διαχειρίζονται συστήματα συστάσεων, διαφημιζόμενους που διαχειρίζονται μηχανές εξατομίκευσης και προμηθευτές ad-tech που εκτελούν αυτοματοποιημένη βαθμολόγηση κοινού, ο AI Act προσθέτει μια νέα διάσταση συμμόρφωσης που ο GDPR μόνος του δεν κάλυψε ποτέ: όχι μόνο αν ο χρήστης έδωσε συγκατάθεση για την επεξεργασία δεδομένων, αλλά αν το ίδιο το σύστημα AI πληροί τις απαιτήσεις του Νόμου για σχεδιασμό, διαφάνεια, εποπτεία και λογοδοσία. Αυτός ο οδηγός παρουσιάζει τη δομή του AI Act, πώς τέμνεται με τους κανόνες συγκατάθεσης cookies και κατάρτισης προφίλ GDPR, τι απαιτούν πραγματικά οι υποχρεώσεις του 2026 και πώς οι εκδότες και οι διαφημιζόμενοι πρέπει να σκεφτούν την ενιαία επιφάνεια συμμόρφωσης GDPR-συν-AI-Act.
Η δομή του AI Act το 2026
Ο AI Act είναι ο πρώτος ολοκληρωμένος οριζόντιος κανονισμός στον κόσμο για την τεχνητή νοημοσύνη. Η αρχιτεκτονική επιπέδων κινδύνου είναι το κλειδί για την κατανόηση των υποχρεώσεων που εφαρμόζονται σε ποια συστήματα.
Τα επίπεδα κινδύνου
Ο Νόμος κατατάσσει τα συστήματα AI σε τέσσερα επίπεδα βάσει του κινδύνου που παρουσιάζουν:
- Απαγορευμένα συστήματα — πρακτικές που απαγορεύονται εντελώς, συμπεριλαμβανομένων χειραγωγικών υποσυνείδητων τεχνικών, εκμετάλλευσης τρωτών σημείων, κοινωνικής βαθμολόγησης από δημόσιες αρχές και ορισμένων μορφών βιομετρικής κατηγοριοποίησης και αναγνώρισης συναισθημάτων
- Συστήματα υψηλού κινδύνου — συστήματα που χρησιμοποιούνται σε συγκεκριμένα πλαίσια υψηλού κινδύνου, υποκείμενα στο μεγαλύτερο μέρος των ουσιαστικών υποχρεώσεων του Νόμου, συμπεριλαμβανομένων της διαχείρισης κινδύνου, της διακυβέρνησης δεδομένων, της διαφάνειας, της ανθρώπινης εποπτείας και των απαιτήσεων ακρίβειας
- Συστήματα περιορισμένου κινδύνου — συστήματα με συγκεκριμένες υποχρεώσεις διαφάνειας, συμπεριλαμβανομένης της πλειονότητας των συστάσεων περιεχομένου που βασίζονται σε AI και των chatbots που αλληλεπιδρούν απευθείας με χρήστες
- Συστήματα ελάχιστου κινδύνου — οτιδήποτε άλλο, υποκείμενο μόνο σε γενικούς εθελοντικούς κώδικες δεοντολογίας
Πού βρίσκονται η διαφήμιση και τα συστήματα συστάσεων
Η πλειονότητα του AI προς τη διαφήμιση — βαθμολόγηση κοινού, βελτιστοποίηση προγραμματικής υποβολής προσφορών, συστάσεις περιεχομένου, μηχανές εξατομίκευσης — εντάσσεται στο επίπεδο περιορισμένου κινδύνου αντί για το επίπεδο υψηλού κινδύνου. Αυτό ακούγεται ανακουφιστικό, αλλά το επίπεδο περιορισμένου κινδύνου εξακολουθεί να φέρει σημαντικές υποχρεώσεις διαφάνειας, και αρκετές οριακές περιπτώσεις ωθούν συγκεκριμένα συστήματα σε υψηλότερα επίπεδα. Κρίσιμα, οι κανόνες απαγορευμένων πρακτικών μπορούν να φτάσουν σε διαφημιστικά συστήματα αν εισέλθουν στην περιοχή χειραγώγησης ή εκμετάλλευσης, και ο EDPB έχει σηματοδοτήσει την προθυμία ερμηνείας αυτών των διατάξεων ευρέως.
Η σταδιακή εισαγωγή
Το ημερολόγιο του 2026 έχει σημασία: οι υποχρεώσεις υψηλού κινδύνου για νέα συστήματα τίθενται σε ισχύ τον Αύγουστο του 2026, οι υποχρεώσεις για συστήματα που βρίσκονται ήδη στην αγορά τίθενται σε ισχύ το 2027, και οι υποχρεώσεις παρόχων AI γενικού σκοπού ισχύουν ήδη. Οι εκδότες και οι διαφημιζόμενοι πρέπει να αντιστοιχίσουν τον κατάλογο AI τους έναντι αυτού του ημερολογίου για να γνωρίζουν ποιες υποχρεώσεις ισχύουν πότε.
Πώς ο AI Act επικαλύπτεται με τον GDPR
Ο AI Act δεν αντικαθιστά τον GDPR. Επικαλύπτεται πάνω του. Ένα σύστημα που επεξεργάζεται προσωπικά δεδομένα για να παράγει εξόδους που βασίζονται σε AI πρέπει να ικανοποιεί και τα δύο καθεστώτα, και οι υποχρεώσεις είναι αθροιστικές αντί για εναλλακτικές.
Το επίπεδο GDPR
Ο GDPR εξακολουθεί να διέπει τη νομιμότητα της επεξεργασίας προσωπικών δεδομένων. Η συγκατάθεση για διαφημιστική κατάρτιση προφίλ, η νομική βάση για τη μέτρηση, το σύνολο δικαιωμάτων του υποκειμένου δεδομένων, οι υποχρεώσεις διασυνοριακής μεταφοράς — όλα συνεχίζουν να εφαρμόζονται αμετάβλητα.
Το επίπεδο AI Act
Πάνω από τον GDPR, ο AI Act προσθέτει υποχρεώσεις συγκεκριμένα για το ίδιο το σύστημα AI: πώς εκπαιδεύτηκε, ποια δεδομένα εισήλθαν στην εκπαίδευση, πώς τεκμηριώνονται οι έξοδοί του, ποιοι μηχανισμοί εποπτείας υπάρχουν, ποια διαφάνεια λαμβάνει ο χρήστης. Αυτές οι υποχρεώσεις συνδέονται με το σύστημα AI ανεξάρτητα από το αν η υποκείμενη επεξεργασία δεδομένων βασίζεται σε συγκατάθεση, σύμβαση ή κάποια άλλη νομική βάση.
Η πρακτική συνέπεια
Ένας εκδότης που διαχειρίζεται ένα σύστημα συστάσεων περιεχομένου σε προσωπικά δεδομένα χρειάζεται τόσο έγκυρη νομική βάση GDPR για την επεξεργασία δεδομένων όσο και αποκάλυψη διαφάνειας σύμφωνη με τον AI Act. Κανένα από τα δύο μόνο δεν επαρκεί. Η επιφάνεια συμμόρφωσης είναι τώρα πραγματικά διδιάστατη, και η αλυσίδα τεκμηρίωσης πρέπει να καλύπτει και τους δύο άξονες.
Απαγορευμένες πρακτικές και διαφήμιση
Η λίστα απαγορευμένων πρακτικών του Νόμου είναι σύντομη αλλά σημαντική, και αρκετές καταχωρίσεις έχουν επιπτώσεις στον σχεδιασμό διαφημίσεων.
Χειραγωγικές τεχνικές
Ο Νόμος απαγορεύει συστήματα AI που χρησιμοποιούν υποσυνείδητες τεχνικές, χειραγωγικές πρακτικές ή εκμεταλλεύονται τρωτά σημεία συγκεκριμένων ομάδων με τρόπους που ενδέχεται να προκαλέσουν σημαντική βλάβη. Ο περισσότερος σχεδιασμός διαφημίσεων δεν πλησιάζει αυτή τη γραμμή — αλλά οι διαφημίσεις που στοχεύουν σε αναγνωρισμένα τρωτά σημεία (οικονομική δυσχέρεια, καταστάσεις ψυχικής υγείας, πρότυπα εθισμού) μέσω κατάρτισης προφίλ βάσει AI θα μπορούσαν να το ξεπεράσουν. Ο EDPB το ανέδειξε σε πρώιμες κατευθυντήριες οδηγίες.
Βιομετρική κατηγοριοποίηση
Ο Νόμος απαγορεύει τη βιομετρική κατηγοριοποίηση που συνάγει ευαίσθητα χαρακτηριστικά όπως φυλή, πολιτική γνώμη, συνδικαλιστική συμμετοχή, θρησκευτική πίστη, σεξουαλική ζωή ή σεξουαλικό προσανατολισμό. Τα τμήματα κοινού που δημιουργούνται από βιομετρικά δεδομένα που συνάγουν αυτά τα χαρακτηριστικά βρίσκονται τώρα σε απαγορευμένο έδαφος.
Αναγνώριση συναισθημάτων σε συγκεκριμένα πλαίσια
Η αναγνώριση συναισθημάτων απαγορεύεται σε εργασιακά και εκπαιδευτικά πλαίσια. Οι περιπτώσεις χρήσης ανίχνευσης συναισθημάτων στη διαφήμιση εκτός αυτών των πλαισίων μπορεί ακόμη να είναι επιτρεπτές αλλά αντιμετωπίζουν αυξημένο έλεγχο.
Υποχρεώσεις διαφάνειας περιορισμένου κινδύνου
Εδώ βρίσκεται το μεγαλύτερο μέρος της εργασίας συμμόρφωσης AI Act για εκδότες και διαφημιζόμενους το 2026.
Αποκάλυψη συστήματος συστάσεων
Οι συστάσεις περιεχομένου που εξατομικεύουν αυτό που βλέπουν οι χρήστες — είτε στην αρχική σελίδα ενός εκδότη, σε εντός εφαρμογής feed είτε σε προγραμματική τοποθέτηση διαφήμισης — εντάσσονται στο επίπεδο περιορισμένου κινδύνου. Οι χρήστες πρέπει να ενημερώνονται ότι αλληλεπιδρούν με ένα σύστημα AI, και το σύστημα πρέπει να σχεδιάζεται έτσι ώστε η φύση AI της αλληλεπίδρασης να είναι σαφής.
Αποκάλυψη chatbot
Οποιοδήποτε σύστημα AI αλληλεπιδρά άμεσα με χρήστες σε συνομιλιακή μορφή πρέπει να αποκαλύπτει τη φύση AI του. Οι εκδότες και οι διαφημιζόμενοι που διαχειρίζονται διεπαφές AI chat — για εξυπηρέτηση πελατών, ανακάλυψη περιεχομένου ή οποιονδήποτε άλλο σκοπό — πρέπει να ικανοποιούν αυτή τη βασική απαίτηση.
Αποκάλυψη συνθετικού περιεχομένου
Εικόνες, ήχος, βίντεο και περιεχόμενο κειμένου που δημιουργούνται από AI πρέπει να επισημαίνονται ως τέτοια. Οι εκδότες που χρησιμοποιούν οπτικοακουστικό υλικό ή κείμενα που δημιουργούνται από AI σε συντακτικό περιεχόμενο, διαφημιστικό υλικό ή εικόνες προϊόντων πρέπει να εφαρμόζουν τις υποχρεώσεις επισήμανσης. Οι κατευθυντήριες οδηγίες εφαρμογής του 2026 έχουν διευκρινίσει τις τεχνικές προδιαγραφές για την επισήμανση, συμπεριλαμβανομένων προτύπων υδατογραφήματος για οπτικό περιεχόμενο.
Η ενιαία επιφάνεια συγκατάθεσης το 2026
Το CMP και η ειδοποίηση απορρήτου πρέπει τώρα να εργαστούν και για τα δύο καθεστώτα. Το CMP εκδότη του 2026 είναι σημαντικά πιο εκτεταμένο από τον προκάτοχό του του 2024.
Λεπτομερείς σκοποί συγκατάθεσης
Το CMP εκθέτει σκοπούς συγκατάθεσης που διακρίνουν μεταξύ γενικής διαφήμισης, κατάρτισης προφίλ για διαφήμιση, αυτοματοποιημένης λήψης αποφάσεων και εξατομίκευσης συστάσεων. Ο καθένας αντιστοιχεί σε συγκεκριμένο όριο AI Act και GDPR, και ο καθένας απαιτεί τη δική του θετική συγκατάθεση.
Αποκαλύψεις συστήματος AI
Η ειδοποίηση απορρήτου ή ένα συνοδευτικό έγγραφο αποκάλυψης AI περιγράφει τα χρησιμοποιούμενα συστήματα AI, τους σκοπούς τους, τις κατηγορίες δεδομένων εισόδου, τη γενική λογική των εξόδων και τους υπάρχοντες μηχανισμούς ανθρώπινης εποπτείας. Αυτό είναι περισσότερο από την αποκάλυψη αυτοματοποιημένης λήψης αποφάσεων του Άρθρου 22 του GDPR — είναι μια πληρέστερη ιστορία διαφάνειας AI.
Το δικαίωμα αντίρρησης
Το δικαίωμα αντίρρησης στην κατάρτιση προφίλ του GDPR εξακολουθεί να εφαρμόζεται, και ο AI Act προσθέτει περαιτέρω δικαιώματα χρηστών γύρω από την εξατομίκευση συστάσεων που βασίζεται σε AI. Οι χρήστες μπορούν να εξαιρεθούν από την εξατομίκευση συστάσεων χωρίς να χάσουν πρόσβαση στην υποκείμενη υπηρεσία, και η εξαίρεση πρέπει να είναι τουλάχιστον εξίσου εύκολη με την εγγραφή.
Επιχειρησιακά μοντέλα που λειτουργούν το 2026
Οι εκδότες και οι διαφημιζόμενοι που διαχειρίζονται ώριμα προγράμματα του 2026 συγκλίνουν σε μερικά επιχειρησιακά μοντέλα.
Ο κατάλογος AI
Διατηρήστε έναν ζωντανό κατάλογο κάθε συστήματος AI που χρησιμοποιείται σε ολόκληρο το stack του εκδότη ή του διαφημιζόμενου: το σύστημα, το επίπεδο κινδύνου του βάσει του Νόμου, τα προσωπικά δεδομένα που επεξεργάζεται, τη νομική βάση του βάσει GDPR, τις αποκαλύψεις διαφάνειας που εφαρμόζονται σε αυτό και την υπάρχουσα ανθρώπινη εποπτεία. Αυτό είναι το θεμελιώδες τεχνούργημα συμμόρφωσης και αυτό που θα ζητήσουν πρώτα οι ρυθμιστικές αρχές.
Η ενιαία ειδοποίηση απορρήτου
Μια ενιαία συνδυαστική ειδοποίηση απορρήτου και διαφάνειας AI — στα Πορτογαλικά, Γερμανικά, Γαλλικά ή σε οποιαδήποτε γλώσσα κατάλληλη για το κοινό — που αντιμετωπίζει τόσο τις υποχρεώσεις GDPR όσο και AI Act σε μια συνεκτική αφήγηση. Η προσπάθεια διατήρησης δύο ξεχωριστών αποκαλύψεων προσκαλεί αντιφάσεις και σύγχυση αναγνωστών.
Ο έλεγχος AI προμηθευτή
Για κάθε προμηθευτή διαφήμισης ή ανάλυσης που επεξεργάζεται εξόδους βάσει AI εκ μέρους του εκδότη, η σύμβαση πρέπει να αντιμετωπίζει την κατανομή υποχρεώσεων AI Act, την πρόσβαση σε τεχνική τεκμηρίωση και την ειδοποίηση περιστατικών. Οι τυπικές συμφωνίες επεξεργασίας δεδομένων του 2023 δεν αντιμετωπίζουν τον AI Act και χρειάζονται ανανέωση.
Κυρώσεις και στάση επιβολής
Ο AI Act εισάγει ένα σταδιακό καθεστώς κυρώσεων με διοικητικά πρόστιμα που μπορούν να υπερβούν τα μέγιστα του GDPR.
Τα επίπεδα κυρώσεων
- Έως EUR 35 εκατομμύρια ή 7 τοις εκατό του παγκόσμιου ετήσιου κύκλου εργασιών για παραβάσεις απαγορευμένων πρακτικών
- Έως EUR 15 εκατομμύρια ή 3 τοις εκατό για τις περισσότερες άλλες ουσιαστικές παραβάσεις
- Έως EUR 7,5 εκατομμύρια ή 1 τοις εκατό για παροχή ανακριβών πληροφοριών
Η αρχιτεκτονική επιβολής
Κάθε Κράτος Μέλος ορίζει εθνικές αρμόδιες αρχές για την επιβολή του AI Act, και το Ευρωπαϊκό Γραφείο AI συντονίζει την εποπτεία μοντέλων AI γενικού σκοπού. Η επιβολή κατά εκδοτών και διαφημιζόμενων θα πραγματοποιείται κυρίως μέσω των εθνικών αρχών, συχνά σε στενή συντονισμό με τις υπάρχουσες αρχές προστασίας δεδομένων. Οι πρώτες σημαντικές ενέργειες επιβολής AI Act αναμένονται κατά τη διάρκεια του 2026 καθώς οι υποχρεώσεις υψηλού κινδύνου τίθενται πλήρως σε ισχύ.
Λίστα ελέγχου ελέγχου για διαφήμιση βάσει AI το 2026
- Ζωντανός κατάλογος κάθε συστήματος AI στο stack με ταξινόμηση επιπέδου κινδύνου
- Τεκμηριωμένη νομική βάση GDPR για κάθε σύστημα AI που επεξεργάζεται προσωπικά δεδομένα
- Αποκαλύψεις διαφάνειας AI Act εφαρμοζόμενες σε κάθε σύστημα περιορισμένου κινδύνου, συμπεριλαμβανομένης εξατομίκευσης συστάσεων και chatbots
- Επισήμανση συνθετικού περιεχομένου εφαρμοζόμενη σε διαφημιστικό υλικό, εικόνες, ήχο και βίντεο που δημιουργούνται από AI
- Ενιαία ειδοποίηση απορρήτου και διαφάνειας AI στη σχετική τοπική γλώσσα
- Το CMP εκθέτει κατάρτιση προφίλ, αυτοματοποιημένη λήψη αποφάσεων και εξατομίκευση συστάσεων ως ξεχωριστά συγκατατιθέμενους σκοπούς
- Τα τμήματα κοινού ελέγχονται έναντι της λίστας απαγορευμένης βιομετρικής κατηγοριοποίησης
- Συμβόλαια προμηθευτών ενημερωμένα για να αντιμετωπίσουν την κατανομή υποχρεώσεων AI Act
- Μηχανισμοί ανθρώπινης εποπτείας τεκμηριωμένοι για οποιοδήποτε σύστημα πλησιάζει το όριο υψηλού κινδύνου
- Η ροή εργασίας δικαιωμάτων υποκειμένου δεδομένων και χρήστη AI Act μπορεί να ανταποκριθεί σε αιτήματα εξαίρεσης, εξήγησης και ανθρώπινης αναθεώρησης εντός των εφαρμοστέων χρονικών ορίων απόκρισης
Η προοπτική του 2026
Ο AI Act δεν αντικαθιστά τον GDPR — επικαλύπτεται πάνω του, και η ενιαία επιφάνεια είναι σημαντικά πιο εκτεταμένη από οποιοδήποτε από τα δύο καθεστώτα μόνο. Για εκδότες και διαφημιζόμενους που διαχειρίζονται εξατομίκευση, κατάρτιση προφίλ, συστήματα συστάσεων ή γεννητικό περιεχόμενο βάσει AI, το 2026 είναι η χρονιά κατά την οποία η αρχιτεκτονική συμμόρφωσης πρέπει να ωριμάσει πέρα από μια καθαρή στάση GDPR. Όσοι αντιμετωπίζουν τον AI Act ως μελλοντική ανησυχία θα διαπιστώσουν ότι το μέλλον φτάνει πιο γρήγορα από το αναμενόμενο, με εθνικές αρχές που εκδίδουν τις πρώτες τους ενέργειες επιβολής κατά τη διάρκεια του 2026 και έως το 2027. Όσοι οικοδομούν ενιαία συμμόρφωση από την αρχή θα διαπιστώσουν ότι η αρχιτεκτονική αποδίδει: οι υποχρεώσεις διαφάνειας του AI Act, καλά εφαρμοσμένες, ενισχύουν επίσης την ιστορία συγκατάθεσης και εμπιστοσύνης GDPR, και η επιχειρησιακή πειθαρχία διατήρησης ζωντανού καταλόγου AI αποδεικνύεται χρήσιμη πολύ πέρα από τη ρυθμιστική συμμόρφωση.