Struktur AI Act pada 2026

AI Act adalah regulasi horizontal komprehensif pertama di dunia tentang kecerdasan buatan. Arsitektur bertingkat risikonya adalah kunci untuk memahami kewajiban mana yang berlaku untuk sistem mana.

Tingkatan Risiko

Undang-Undang ini mengklasifikasikan sistem AI ke dalam empat tingkatan berdasarkan risiko yang ditimbulkan:

• Sistem yang dilarang — praktik yang dilarang sepenuhnya, termasuk teknik subliminal manipulatif, eksploitasi kerentanan, penilaian sosial oleh otoritas publik, dan bentuk-bentuk tertentu kategorisasi biometrik dan pengenalan emosi
• Sistem berisiko tinggi — sistem yang digunakan dalam konteks berisiko tinggi yang ditentukan, tunduk pada sebagian besar kewajiban substantif Undang-Undang termasuk manajemen risiko, tata kelola data, transparansi, pengawasan manusia, dan persyaratan akurasi
• Sistem berisiko terbatas — sistem dengan kewajiban transparansi tertentu, termasuk sebagian besar perekomendasi konten berbasis AI dan chatbot yang berinteraksi langsung dengan pengguna
• Sistem berisiko minimal — semua lainnya, hanya tunduk pada kode etik sukarela umum

Di Mana Periklanan dan Sistem Rekomendasi Berada

Sebagian besar AI yang berorientasi periklanan — penilaian audiens, optimasi penawaran programatik, perekomendasi konten, mesin personalisasi — berada di tingkatan berisiko terbatas daripada tingkatan berisiko tinggi. Ini terdengar seperti kabar baik, tetapi tingkatan berisiko terbatas tetap membawa kewajiban transparansi yang berarti, dan beberapa kasus khusus mendorong sistem tertentu ke tingkatan yang lebih tinggi. Yang penting, aturan praktik yang dilarang dapat menjangkau sistem periklanan jika melampaui batas manipulasi atau eksploitasi, dan EDPB telah memberi sinyal kesiapan untuk menafsirkan ketentuan ini secara luas.

Pentahapan

Kalender 2026 sangat penting: kewajiban berisiko tinggi untuk sistem baru mulai berlaku pada Agustus 2026, kewajiban berisiko tinggi untuk sistem yang sudah ada di pasar mulai berlaku pada 2027, dan kewajiban penyedia AI tujuan umum sudah berlaku. Penerbit dan pengiklan harus memetakan inventaris AI mereka terhadap kalender ini untuk mengetahui kewajiban mana yang berlaku kapan.

Bagaimana AI Act Melapisi GDPR

AI Act tidak menggantikan GDPR. Ia berada di atasnya. Sistem yang memproses data pribadi untuk menghasilkan output berbasis AI harus memenuhi kedua rezim tersebut, dan kewajibannya bersifat aditif bukan alternatif.

Lapisan GDPR

GDPR terus mengatur keabsahan pemrosesan data pribadi. Persetujuan untuk pembuatan profil periklanan, dasar hukum untuk pengukuran, kluster hak subjek data, kewajiban transfer lintas batas — semua ini terus berlaku tanpa perubahan.

Lapisan AI Act

Di atas GDPR, AI Act menambahkan kewajiban yang secara khusus berkaitan dengan sistem AI itu sendiri: bagaimana sistem tersebut dilatih, data apa yang masuk ke pelatihan, bagaimana outputnya didokumentasikan, mekanisme pengawasan apa yang ada, transparansi apa yang diterima pengguna. Kewajiban-kewajiban ini melekat pada sistem AI terlepas dari apakah pemrosesan data yang mendasarinya berbasis persetujuan, berbasis kontrak, atau dasar hukum lainnya.

Implikasi Praktis

Penerbit yang menjalankan perekomendasi konten pada data pribadi memerlukan dasar hukum GDPR yang valid untuk pemrosesan data dan pengungkapan transparansi yang patuh di bawah AI Act. Salah satunya saja tidak cukup. Permukaan kepatuhan kini benar-benar berdimensi dua, dan rantai dokumentasi harus mencakup kedua dimensi tersebut.

Praktik yang Dilarang dan Periklanan

Daftar praktik yang dilarang dalam Undang-Undang ini singkat tetapi konsekuensial, dan beberapa entri memiliki implikasi bagi desain periklanan.

Teknik Manipulatif

Undang-Undang melarang sistem AI yang menggunakan teknik subliminal, praktik manipulatif, atau mengeksploitasi kerentanan kelompok tertentu dengan cara yang kemungkinan besar menyebabkan kerugian signifikan. Sebagian besar desain periklanan tidak mendekati batas ini — tetapi periklanan yang menargetkan kerentanan yang teridentifikasi (tekanan finansial, kondisi kesehatan mental, pola kecanduan) menggunakan pembuatan profil berbasis AI bisa melanggarnya. EDPB telah menandai hal ini dalam panduan awal.

Kategorisasi Biometrik

Undang-Undang melarang kategorisasi biometrik yang menyimpulkan atribut sensitif seperti ras, pendapat politik, keanggotaan serikat dagang, keyakinan agama, kehidupan seksual, atau orientasi seksual. Segmen audiens yang dibangun dari data biometrik yang menyimpulkan atribut-atribut ini kini berada dalam wilayah yang dilarang.

Pengenalan Emosi dalam Konteks Tertentu

Pengenalan emosi dilarang dalam konteks tempat kerja dan pendidikan. Kasus penggunaan deteksi emosi periklanan di luar konteks tersebut mungkin masih diizinkan tetapi menghadapi pengawasan yang lebih ketat.

Kewajiban Transparansi Berisiko Terbatas

Di sinilah sebagian besar pekerjaan kepatuhan AI Act penerbit dan pengiklan berada pada 2026.

Pengungkapan Sistem Rekomendasi

Perekomendasi konten yang mempersonalisasi apa yang dilihat pengguna — baik di halaman utama penerbit, dalam umpan dalam aplikasi, atau dalam penempatan iklan programatik — termasuk dalam tingkatan berisiko terbatas. Pengguna harus diberitahu bahwa mereka berinteraksi dengan sistem AI, dan sistem harus dirancang sehingga sifat AI dari interaksi tersebut jelas.

Pengungkapan Chatbot

Setiap sistem AI yang berinteraksi langsung dengan pengguna dalam bentuk percakapan harus mengungkapkan sifat AI-nya. Penerbit dan pengiklan yang menjalankan antarmuka obrolan AI — untuk dukungan pelanggan, penemuan konten, atau tujuan lainnya — perlu memenuhi persyaratan dasar ini.

Pengungkapan Konten Sintetis

Gambar, audio, video, dan konten teks yang dihasilkan AI harus ditandai sebagai demikian. Penerbit yang menggunakan visual atau teks yang dihasilkan AI dalam konten editorial, iklan kreatif, atau gambar produk perlu menerapkan kewajiban penandaan. Panduan implementasi 2026 telah mengklarifikasi spesifikasi teknis untuk penandaan, termasuk standar watermarking untuk konten visual.

Permukaan Persetujuan Gabungan pada 2026

CMP dan pemberitahuan privasi kini harus melayani kedua rezim tersebut. CMP penerbit 2026 terlihat jauh lebih rumit dibandingkan pendahulunya pada 2024.

Tujuan Persetujuan yang Terperinci

CMP mengekspos tujuan persetujuan yang membedakan antara periklanan umum, pembuatan profil untuk periklanan, pengambilan keputusan otomatis, dan personalisasi rekomendasi. Masing-masing dipetakan ke batas AI Act dan GDPR yang spesifik, dan masing-masing memerlukan persetujuan afirmatif tersendiri.

Pengungkapan Sistem AI

Pemberitahuan privasi atau dokumen pengungkapan AI pendamping mendeskripsikan sistem AI yang digunakan, tujuannya, kategori data input, logika umum output, dan mekanisme pengawasan manusia yang ada. Ini lebih dari sekadar pengungkapan keputusan otomatis Pasal 22 GDPR — ini adalah kisah transparansi AI yang lebih lengkap.

Hak untuk Menolak

Hak GDPR untuk menolak pembuatan profil terus berlaku, dan AI Act menambahkan hak pengguna lebih lanjut seputar personalisasi rekomendasi berbasis AI. Pengguna dapat memilih keluar dari personalisasi rekomendasi tanpa kehilangan akses ke layanan yang mendasarinya, dan proses keluar harus setidaknya semudah proses masuk.

Pola Operasional yang Berhasil pada 2026

Penerbit dan pengiklan yang menjalankan program matang pada 2026 berkonvergensi pada beberapa pola operasional.

Inventaris AI

Pertahankan inventaris langsung dari setiap sistem AI yang digunakan di seluruh tumpukan penerbit atau pengiklan: sistem, tingkatan risikonya berdasarkan Undang-Undang, data pribadi yang diproses, dasar hukumnya berdasarkan GDPR, pengungkapan transparansi yang diterapkan, dan pengawasan manusia yang ada. Ini adalah artefak kepatuhan mendasar dan yang pertama akan diminta dilihat oleh regulator.

Pemberitahuan Privasi Gabungan

Satu pemberitahuan privasi dan transparansi AI gabungan — dalam bahasa Portugis, Jerman, Prancis, atau bahasa apa pun yang sesuai untuk audiens — yang membahas kewajiban GDPR dan AI Act dalam narasi yang koheren. Mencoba mempertahankan dua pengungkapan terpisah mengundang kontradiksi dan kebingungan pembaca.

Audit AI Vendor

Untuk setiap vendor periklanan atau analitik yang memproses output berbasis AI atas nama penerbit, kontrak harus membahas alokasi kewajiban AI Act, akses dokumentasi teknis, dan pemberitahuan insiden. Perjanjian pemrosesan data standar dari 2023 tidak membahas AI Act dan perlu diperbarui.

Penalti dan Postur Penegakan

AI Act memperkenalkan rezim penalti bertingkat dengan denda administratif yang dapat melebihi maksimum GDPR.

Tingkatan Penalti

• Hingga EUR 35 juta atau 7 persen dari omset tahunan global untuk pelanggaran praktik yang dilarang
• Hingga EUR 15 juta atau 3 persen untuk sebagian besar pelanggaran substantif lainnya
• Hingga EUR 7,5 juta atau 1 persen untuk memberikan informasi yang tidak benar

Arsitektur Penegakan

Setiap Negara Anggota menunjuk otoritas kompeten nasional untuk penegakan AI Act, dan Kantor AI Eropa mengoordinasikan pengawasan model AI tujuan umum. Penegakan terhadap penerbit dan pengiklan akan terutama berjalan melalui otoritas nasional, sering kali dalam koordinasi erat dengan otoritas perlindungan data yang ada. Tindakan penegakan AI Act yang signifikan pertama diharapkan sepanjang 2026 seiring kewajiban berisiko tinggi mulai sepenuhnya berlaku.

Daftar Periksa Audit untuk Periklanan Berbasis AI pada 2026

• Inventaris langsung dari setiap sistem AI dalam tumpukan dengan klasifikasi tingkatan risiko
• Dasar hukum GDPR didokumentasikan untuk setiap sistem AI yang memproses data pribadi
• Pengungkapan transparansi AI Act diterapkan pada setiap sistem berisiko terbatas, termasuk personalisasi rekomendasi dan chatbot
• Penandaan konten sintetis diterapkan pada iklan kreatif, gambar, audio, dan video yang dihasilkan AI
• Pemberitahuan privasi dan transparansi AI gabungan dalam bahasa lokal yang relevan
• CMP mengekspos pembuatan profil, pengambilan keputusan otomatis, dan personalisasi rekomendasi sebagai tujuan yang dapat disetujui secara terpisah
• Segmen audiens ditinjau terhadap daftar kategorisasi biometrik yang dilarang
• Kontrak vendor diperbarui untuk membahas alokasi kewajiban AI Act
• Mekanisme pengawasan manusia didokumentasikan untuk sistem apa pun yang mendekati batas berisiko tinggi
• Alur kerja hak subjek data dan pengguna AI Act dapat merespons permintaan keluar, penjelasan, dan tinjauan manusia dalam jangka waktu respons yang berlaku

Prospek 2026

AI Act tidak menggantikan GDPR — ia melapisinya, dan permukaan gabungan secara signifikan lebih rumit daripada salah satu rezim saja. Bagi penerbit dan pengiklan yang menjalankan personalisasi berbasis AI, pembuatan profil, sistem rekomendasi, atau konten generatif, 2026 adalah tahun di mana arsitektur kepatuhan harus berkembang melampaui postur GDPR semata. Mereka yang memperlakukan AI Act sebagai kekhawatiran masa depan akan menemukan masa depan datang lebih cepat dari yang diperkirakan, dengan otoritas nasional yang mengeluarkan tindakan penegakan pertama mereka sepanjang 2026 hingga 2027. Mereka yang membangun kepatuhan gabungan sejak awal akan menemukan arsitektur tersebut memberikan manfaat: kewajiban transparansi AI Act yang diimplementasikan dengan baik juga memperkuat kisah persetujuan dan kepercayaan GDPR, dan disiplin operasional dalam mempertahankan inventaris AI langsung ternyata berguna jauh melampaui kepatuhan regulasi.