← Înapoi la blog
·8 min de citit

E sigur să dai datele clienților tăi unui AI? GDPR și automatizarea, explicate

Îngrijorarea e legitimă. Iată ce se întâmplă cu datele clienților în uneltele AI tipice, ce cere GDPR de la o afacere mică și cum să automatizezi fără ca datele să părăsească clădirea ta.

Un dulap de dosare încuiat lângă un rack de server care luminează discret într-un birou european mic, la lumina serii.

Tastezi numele unui client într-o unealtă AI și o voce mică din tine întreabă „unde s-a dus asta?”. Instinctul acela nu e paranoia — e întrebarea corectă, exact cea pe care majoritatea furnizorilor speră că nu o vei pune. Acest articol o ia în serios.

Îl scriem calm, pe puncte, fără dramă. La final ar trebui să fii mai informat și mai liniștit — nu speriat să cumperi ceva. Fear-marketing-ul e ce fac ceilalți; noi preferăm să-ți spunem cum stau lucrurile.


Ce se întâmplă, de fapt, cu datele într-o unealtă AI din cloud

Când tastezi ceva într-o unealtă AI clasică din cloud, textul acela pleacă de pe calculatorul tău și ajunge pe serverele furnizorului — de multe ori în afara UK/UE. Acolo e procesat conform termenilor lor, iar în funcție de setări pe care poate nu le-ai deschis niciodată, datele pot fi păstrate o vreme sau chiar folosite pentru a antrena sisteme viitoare.

Nimic din asta nu e sinistru în sine. Dar înseamnă un lucru simplu: ai făcut pe altcineva responsabil pentru datele pe care clienții ți le-au dat ție. Iar sub GDPR, tu rămâi responsabil — indiferent de câți furnizori s-au atins de acele date pe drum.


Ce cere GDPR, de fapt, de la o afacere mică (versiunea din 4 puncte)

Fără paragrafe de avocat. Patru lucruri:

  • Rămâi responsabil pentru datele clienților chiar și când o unealtă le procesează pentru tine.
  • Ai nevoie de un temei legal pentru procesare — la fel ca pentru orice alt software pe care îl folosești deja.
  • Trebuie să știi unde se duc datele și să ai un contract cu oricine le procesează.
  • Clienții tăi își păstrează drepturile (acces, ștergere) indiferent de unealta care le-a atins datele.

Reasigurarea: nimic din toate astea nu interzice AI-ul. Interzice doar să nu știi ce fac uneltele tale cu datele. Diferența e enormă.


Termenele — să le luăm corect (aici greșesc aproape toți)

Se scrie mult și confuz despre „când începe”. Realitatea e mai simplă:

  • GDPR se aplică deja. Din 2018. Amenzile cumulate se măsoară în miliarde de euro. E obligația reală, prezentă.
  • Regulamentul european privind inteligența artificială (AI Act) vine pe un calendar clar, ulterior: principalele obligații pentru sistemele cu risc ridicat — inclusiv unelte folosite în recrutare — se aplică din decembrie 2027, după ce UE a amânat termenul inițial din august 2026. E timp să te pui la punct calm, nu o urgență.
  • Pentru cititorii din UK: UK nu intră sub AI Act (decât dacă servești clienți din UE) și operează sub UK GDPR, care pentru discuția noastră cere aceleași lucruri.

Un detaliu tehnic important, spus simplu: autoritatea europeană pe protecția datelor a avertizat că sistemele AI reușesc rareori să anonimizeze cu adevărat datele personale. „Am scos numele” nu e același lucru cu „datele nu mai sunt personale”.


Răspunsul self-hosted (aici ajungem, nu de aici plecăm)

Un agent AI nu trebuie să ruleze în cloud-ul altcuiva. Poate rula pe hardware-ul tău, în clădirea ta — agentul face exact aceeași muncă, dar datele clienților nu părăsesc niciodată infrastructura ta. Fără servere terțe, fără să te întrebi ce zic termenii unui furnizor, fără întrebări despre transferuri internaționale.

Cui îi contează cel mai mult? Clinicilor, recrutorilor, contabililor, avocaților — oricui ai cărui clienți s-ar strâmba dacă ar afla că datele lor stau pe serverul unui străin. Un avocat cu care lucrăm, de exemplu, a ales această variantă din start. Nu pentru că e paranoic — pentru că e serios cu ceea ce clienții i-au încredințat.


Partea sinceră: self-hosted nu e o baghetă magică

Ca să fim clari: să rulezi agentul pe hardware-ul tău nu te scoate automat din GDPR. Ai în continuare nevoie de un temei legal. Răspunzi în continuare în fața clienților tăi. Și un agent nu ar trebui niciodată să primească date pe care nu le-ai da unui angajat nou în prima zi.

Dacă vreun furnizor îți spune că produsul lui face „GDPR-ul să nu mai fie problema ta” — acela e momentul să pleci. Nimeni nu poate să-ți ia responsabilitatea legală printr-un contract. Poate să te ajute să o gestionezi. Nu să te scutească.


Cinci întrebări pe care să le pui oricărui furnizor AI (inclusiv nouă)

  1. Unde locuiesc datele mele, fizic?
  2. Sunt folosite pentru a antrena sau îmbunătăți ceva?
  3. Poate soluția să ruleze pe infrastructura mea?
  4. Cine altcineva le mai poate vedea?
  5. Ce se întâmplă cu ele dacă încetăm colaborarea?

Dacă un furnizor ezită la vreuna dintre aceste întrebări sau răspunde cu jargon, ai deja informația care contează. O agenție serioasă răspunde clar, în două propoziții. Dacă vrei ajutor să evaluezi mai atent, avem un ghid despre cum alegi un partener de automatizare AI — mai sunt câteva întrebări utile acolo.


Ce costă (pe scurt)

Ca să nu te lăsăm cu impresia că self-hosted înseamnă „scump și complicat”: varianta self-hosted e nivelul premium, de la ~500 EUR/lună. Varianta standard, din cloud (cu contracte de procesare a datelor puse la punct), pornește de la ~200 EUR/lună (~175 GBP) — și în ambele cazuri e sub costul lunar al unui angajat part-time de 600+ EUR (~520 GBP) pe care l-ar înlocui. Comparația detaliată nu e scopul acestui articol.


Întrebări frecvente

E sigur să dau datele clienților mei unui AI?

Depinde de unde se duc și cine e responsabil. Într-o unealtă cloud tipică, datele pleacă la un furnizor terț, de multe ori în afara UK/UE, și tu rămâi legal responsabil. Într-un setup self-hosted, datele rămân în clădirea ta. Ambele pot fi conforme cu GDPR dacă știi ce faci; niciuna nu e conformă automat.

Automatizarea cu AI e conformă cu GDPR?

Nu există un răspuns „da/nu”. GDPR nu interzice AI-ul — cere să știi unde se duc datele, să ai un temei legal, să ai contract cu procesatorii și să respecți drepturile clienților. O unealtă AI e conformă când e configurată să respecte toate astea; devine neconformă când e adăugată fără să te gândești la ele.

Trebuie să aștept AI Act-ul înainte să folosesc AI în afacerea mea?

Nu. AI Act-ul se aplică principalele obligații pentru sisteme cu risc ridicat din decembrie 2027, după amânarea față de august 2026. GDPR se aplică deja și e cadrul zilnic pentru datele personale. Merită să te pregătești calm, nu să tratezi ca o urgență.

Ce înseamnă „self-hosted” pentru un agent AI?

Înseamnă că agentul rulează pe hardware pe care îl controlezi tu — un server în biroul tău sau într-un centru de date pe care îl închiriezi — nu în cloud-ul unui furnizor de AI. Datele clienților nu ies din infrastructura ta. Vine cu costuri și responsabilități mai mari, dar rezolvă cele mai stricte cerințe de conformitate.

Dacă folosesc ChatGPT sau Copilot pentru muncă, încalc GDPR?

Nu automat, dar depinde de datele pe care le introduci și de setări. Uneltele acestea au versiuni business cu contracte de procesare a datelor și cu opțiuni de a nu folosi conținutul pentru antrenare. Pentru date personale de clienți, e nevoie de acele versiuni și de un audit intern al ce introduc angajații.


Vrei o discuție onestă despre datele tale?

Programează un audit de probleme gratuit, de 30 de minute. Ne uităm la ce ai vrea să automatizezi, ce fel de date sunt implicate și îți spunem onest dacă un agent poate rezolva — și unde ar locui datele. Fără angajament, fără pitch deck.