Legea UE privind IA și consimțământul pentru cookie-uri în 2026: Cum se situează profilarea, sistemele de recomandare și publicitatea targetată în noul cadru de reglementare
Legea UE privind IA (Regulamentul 2024/1689) a intrat în vigoare în august 2024, cu dispozițiile sale implementate treptat pe parcursul mai multor ani. Regulile privind practicile interzise au intrat în vigoare în februarie 2025, obligațiile pentru IA de uz general în august 2025, iar majoritatea obligațiilor pentru sistemele cu risc ridicat intră în vigoare în 2026 și până în 2027. La începutul anului 2026, Legea privind IA nu mai este o preocupare de viitor — este o reglementare operațională care se suprapune peste GDPR pentru orice sistem care utilizează IA pentru a profila, evalua sau clasifica utilizatori din UE. Pentru editorii care folosesc sisteme de recomandare, agenții de publicitate care folosesc motoare de personalizare și furnizorii de ad-tech care folosesc scorare automată a audienței, Legea privind IA adaugă o nouă dimensiune de conformitate pe care doar GDPR nu a acoperit-o niciodată: nu doar dacă utilizatorul a consimțit la prelucrarea datelor, ci dacă sistemul IA în sine îndeplinește cerințele Legii privind proiectarea, transparența, supravegherea și responsabilitatea. Acest ghid parcurge structura Legii privind IA, modul în care se intersectează cu consimțământul pentru cookie-uri și regulile de profilare GDPR, ce impun efectiv obligațiile din 2026 și cum ar trebui editorii și agenții de publicitate să gândească suprafața combinată de conformitate GDPR-plus-Legea privind IA.
Structura Legii privind IA în 2026
Legea privind IA este prima reglementare orizontală cuprinzătoare din lume a inteligenței artificiale. Arhitectura sa stratificată pe riscuri este cheia pentru a înțelege ce obligații se aplică căror sisteme.
Nivelurile de risc
Legea clasifică sistemele IA în patru niveluri în funcție de riscul pe care îl prezintă:
- Sisteme interzise — practici care sunt interzise complet, inclusiv tehnici manipulative subliminale, exploatarea vulnerabilităților, scorarea socială de către autorități publice și anumite forme de categorizare biometrică și recunoaștere a emoțiilor
- Sisteme cu risc ridicat — sisteme utilizate în contexte specificate cu miză mare, supuse majorității obligațiilor substanțiale ale Legii, inclusiv managementul riscului, guvernanța datelor, transparența, supravegherea umană și cerințele de acuratețe
- Sisteme cu risc limitat — sisteme cu obligații specifice de transparență, inclusiv majoritatea sistemelor de recomandare a conținutului bazate pe IA și chatboții care interacționează direct cu utilizatorii
- Sisteme cu risc minim — toate celelalte, supuse doar codurilor voluntare generale de conduită
Unde se situează publicitatea și sistemele de recomandare
Majoritatea IA orientată spre publicitate — scorarea audienței, optimizarea licitației programatice, sistemele de recomandare a conținutului, motoarele de personalizare — se situează în nivelul de risc limitat, mai degrabă decât în nivelul cu risc ridicat. Acest lucru sună a ușurare, dar nivelul cu risc limitat implică totuși obligații semnificative de transparență, iar mai multe cazuri speciale împing sisteme specifice în niveluri superioare. În mod critic, regulile privind practicile interzise pot ajunge la sistemele de publicitate dacă trec în teritoriul manipulării sau exploatării, iar EDPB a semnalat disponibilitatea de a interpreta aceste dispoziții în mod larg.
Etapele de implementare
Calendarul din 2026 contează: obligațiile pentru sistemele noi cu risc ridicat intră în vigoare în august 2026, obligațiile pentru sistemele cu risc ridicat deja pe piață intră în vigoare în 2027, iar obligațiile furnizorilor de IA de uz general sunt deja în vigoare. Editorii și agenții de publicitate ar trebui să-și cartografieze inventarul IA în raport cu acest calendar pentru a ști ce obligații se aplică și când.
Cum se suprapune Legea privind IA peste GDPR
Legea privind IA nu înlocuiește GDPR. Se situează deasupra acesteia. Un sistem care prelucrează date cu caracter personal pentru a produce rezultate bazate pe IA trebuie să satisfacă ambele regimuri, iar obligațiile sunt cumulative, nu alternative.
Stratul GDPR
GDPR continuă să guverneze legalitatea prelucrării datelor cu caracter personal. Consimțământul pentru profilarea publicitară, temeiul legal pentru măsurare, setul de drepturi ale persoanelor vizate, obligațiile privind transferurile transfrontaliere — toate acestea continuă să se aplice neschimbate.
Stratul Legii privind IA
Peste GDPR, Legea privind IA adaugă obligații specifice referitoare la sistemul IA în sine: cum a fost antrenat, ce date au intrat în antrenament, cum sunt documentate rezultatele, ce mecanisme de supraveghere există, ce transparență primește utilizatorul. Aceste obligații se atașează sistemului IA indiferent dacă prelucrarea datelor subiacente este bazată pe consimțământ, contract sau altă bază legală.
Implicația practică
Un editor care rulează un sistem de recomandare a conținutului pe date cu caracter personal are nevoie atât de o bază legală GDPR validă pentru prelucrarea datelor, cât și de o dezvăluire de transparență conformă în temeiul Legii privind IA. Niciuna singură nu este suficientă. Suprafața de conformitate este acum cu adevărat bidimensională, iar lanțul de documentare trebuie să acopere ambele axe.
Practicile interzise și publicitatea
Lista practicilor interzise din Lege este scurtă, dar consecventă, iar mai multe intrări au implicații pentru proiectarea publicității.
Tehnici manipulative
Legea interzice sistemele IA care desfășoară tehnici subliminale, practici manipulative sau exploatează vulnerabilitățile unor grupuri specifice în moduri susceptibile să provoace prejudicii semnificative. Majoritatea designului publicitar nu se apropie de această linie — dar publicitatea care vizează vulnerabilități identificate (dificultăți financiare, stări de sănătate mentală, tipare de dependență) folosind profilare bazată pe IA ar putea să o depășească. EDPB a semnalat acest lucru în orientările timpurii.
Categorizarea biometrică
Legea interzice categorizarea biometrică care deduce atribute sensibile precum rasa, opinia politică, apartenența sindicală, credința religioasă, viața sexuală sau orientarea sexuală. Segmentele de audiență construite din date biometrice care deduc aceste atribute sunt acum în teritoriu interzis.
Recunoașterea emoțiilor în contexte specifice
Recunoașterea emoțiilor este interzisă în contexte de muncă și educaționale. Cazurile de utilizare a detectării emoțiilor în publicitate în afara acestor contexte pot fi încă permise, dar se confruntă cu o examinare sporită.
Obligații de transparență pentru risc limitat
Aici se situează majoritatea muncii de conformitate a editorilor și agenților de publicitate cu Legea privind IA în 2026.
Dezvăluirea sistemului de recomandare
Sistemele de recomandare a conținutului care personalizează ceea ce văd utilizatorii — fie pe pagina principală a unui editor, într-un feed în aplicație sau într-un plasament publicitar programatic — se încadrează în nivelul de risc limitat. Utilizatorii trebuie informați că interacționează cu un sistem IA, iar sistemul trebuie proiectat astfel încât natura IA a interacțiunii să fie clară.
Dezvăluirea chatbotului
Orice sistem IA care interacționează direct cu utilizatorii în formă conversațională trebuie să-și dezvăluie natura IA. Editorii și agenții de publicitate care folosesc interfețe de chat IA — pentru asistența clienților, descoperirea conținutului sau orice alt scop — trebuie să îndeplinească această cerință de bază.
Dezvăluirea conținutului sintetic
Imaginile, audio, video și conținutul text generate de IA trebuie marcate ca atare. Editorii care folosesc imagini sau text generate de IA în conținut editorial, creații publicitare sau imagini de produse trebuie să aplice obligațiile de marcare. Orientările de implementare din 2026 au clarificat specificațiile tehnice pentru marcare, inclusiv standardele de filigranare pentru conținutul vizual.
Suprafața combinată de consimțământ în 2026
CMP și notificarea de confidențialitate trebuie acum să funcționeze pentru ambele regimuri. CMP-ul editorului din 2026 arată semnificativ mai elaborat decât predecesorul său din 2024.
Scopuri de consimțământ granulare
CMP expune scopuri de consimțământ care disting între publicitatea generală, profilarea pentru publicitate, luarea automată a deciziilor și personalizarea recomandărilor. Fiecare se mapează la o graniță specifică a Legii privind IA și GDPR, iar fiecare necesită propriul consimțământ afirmativ.
Dezvăluiri privind sistemul IA
Notificarea de confidențialitate sau un document însoțitor de dezvăluire IA descrie sistemele IA în uz, scopurile lor, categoriile de date de intrare, logica generală a rezultatelor și mecanismele de supraveghere umană existente. Acesta este mai mult decât dezvăluirea privind decizia automată din Articolul 22 GDPR — este o poveste mai completă de transparență IA.
Dreptul de a se opune
Dreptul GDPR de a se opune profilării continuă să se aplice, iar Legea privind IA adaugă drepturi suplimentare ale utilizatorilor în jurul personalizării recomandărilor bazate pe IA. Utilizatorii pot renunța la personalizarea recomandărilor fără a pierde accesul la serviciul subiacent, iar renunțarea trebuie să fie cel puțin la fel de ușoară ca înregistrarea.
Modele operaționale care funcționează în 2026
Editorii și agenții de publicitate care rulează programe mature în 2026 converg spre câteva modele operaționale.
Inventarul IA
Mențineți un inventar live al fiecărui sistem IA utilizat în stack-ul editorului sau agentului de publicitate: sistemul, nivelul său de risc în temeiul Legii, datele cu caracter personal pe care le prelucrează, baza sa legală în temeiul GDPR, dezvăluirile de transparență aplicate acestuia și supravegherea umană existentă. Acesta este artefactul fundamental de conformitate și este ceea ce autoritățile de reglementare vor cere să vadă primul.
Notificarea combinată de confidențialitate
O singură notificare combinată de confidențialitate și transparență IA — în portugheză, germană, franceză sau oricare limbă este adecvată pentru audiență — care abordează atât obligațiile GDPR, cât și cele ale Legii privind IA într-o narațiune coerentă. Încercarea de a menține două dezvăluiri separate invită contradicții și confuzia cititorului.
Auditul IA al furnizorilor
Pentru fiecare furnizor de publicitate sau analitică care prelucrează rezultate bazate pe IA în numele editorului, contractul trebuie să abordeze alocarea obligațiilor Legii privind IA, accesul la documentația tehnică și notificarea incidentelor. Acordurile standard de prelucrare a datelor din 2023 nu abordează Legea privind IA și trebuie actualizate.
Sancțiuni și poziția de aplicare
Legea privind IA introduce un regim de sancțiuni pe niveluri cu amenzi administrative care pot depăși maximele GDPR.
Nivelurile de sancțiuni
- Până la 35 milioane EUR sau 7 la sută din cifra de afaceri anuală globală pentru încălcări ale practicilor interzise
- Până la 15 milioane EUR sau 3 la sută pentru majoritatea celorlalte încălcări substanțiale
- Până la 7,5 milioane EUR sau 1 la sută pentru furnizarea de informații incorecte
Arhitectura de aplicare
Fiecare stat membru desemnează autorități naționale competente pentru aplicarea Legii privind IA, iar Oficiul European pentru AI coordonează supravegherea modelelor IA de uz general. Aplicarea împotriva editorilor și agenților de publicitate va rula în principal prin autoritățile naționale, adesea în strânsă coordonare cu autoritățile existente pentru protecția datelor. Primele acțiuni semnificative de aplicare a Legii privind IA sunt așteptate pe parcursul anului 2026, pe măsură ce obligațiile pentru risc ridicat intră pe deplin în vigoare.
Listă de verificare pentru auditul publicității bazate pe IA în 2026
- Inventar live al fiecărui sistem IA din stack cu clasificare pe nivel de risc
- Bază legală GDPR documentată pentru fiecare sistem IA care prelucrează date cu caracter personal
- Dezvăluiri de transparență ale Legii privind IA aplicate fiecărui sistem cu risc limitat, inclusiv personalizarea recomandărilor și chatboții
- Marcarea conținutului sintetic aplicată creațiilor, imaginilor, audio și video generate de IA
- Notificare combinată de confidențialitate și transparență IA în limba locală relevantă
- CMP expune profilarea, luarea automată a deciziilor și personalizarea recomandărilor ca scopuri consimțite separat
- Segmentele de audiență sunt revizuite în raport cu lista de categorizare biometrică interzisă
- Contractele cu furnizorii actualizate pentru a aborda alocarea obligațiilor Legii privind IA
- Mecanismele de supraveghere umană documentate pentru orice sistem care se apropie de granița cu riscul ridicat
- Fluxul de drepturi ale persoanei vizate și ale utilizatorului conform Legii privind IA poate răspunde solicitărilor de renunțare, explicație și revizuire umană în ferestrele de răspuns aplicabile
Perspectiva pentru 2026
Legea privind IA nu înlocuiește GDPR — se suprapune peste acesta, iar suprafața combinată este semnificativ mai elaborată decât oricare dintre regimuri separat. Pentru editorii și agenții de publicitate care rulează personalizare, profilare, sisteme de recomandare sau conținut generativ bazate pe IA, 2026 este anul în care arhitectura de conformitate trebuie să se maturizeze dincolo de o poziție GDPR pură. Cei care tratează Legea privind IA ca pe o preocupare de viitor vor constata că viitorul sosește mai repede decât se așteptau, autoritățile naționale emițând primele lor acțiuni de aplicare pe parcursul anului 2026 și până în 2027. Cei care construiesc conformitate combinată de la început vor constata că arhitectura se răsplătește: obligațiile de transparență ale Legii privind IA, bine implementate, consolidează și povestea consimțământului și încrederii GDPR, iar disciplina operațională a menținerii unui inventar IA live se dovedește a fi utilă mult dincolo de conformitatea de reglementare.