Conformitate · Ghid
Agenți AI conformi GDPR — ce este cu adevărat necesar
GDPR se aplică oricărei platforme de agenți AI care prelucrează date cu caracter personal ale cetățenilor UE, indiferent de locația furnizorului. Conformitatea înseamnă mai mult decât o insignă „Suntem conformi": aceasta necesită o bază legală pentru fiecare activitate de prelucrare, drepturi ale persoanelor vizate implementate la nivel de date, un DPA semnat între client și furnizor, stocare izolată pe tenant, o politică transparentă de antrenare a modelului și jurnale de audit care pot rezista unei inspecții din partea autorităților de supraveghere. În special pentru agenții AI, Articolul 22 (decizii automate) adaugă cerințe explicite: clientul — nu furnizorul — trebuie să determine când este necesară o revizuire umană.
GDPR reformulat pentru platformele de agenți AI
Cele șase principii fundamentale din Articolul 5 GDPR, traduse în ceea ce înseamnă pentru un furnizor de agenți AI.
Legalitate, echitate, transparență
Fiecare activitate de prelucrare necesită o bază legală (consimțământ, contract, interes legitim etc.) înregistrată pentru fiecare acțiune. Clienții beneficiază de transparență cu privire la modul în care agenții raționează și decid.
Limitarea scopului
Datele colectate pentru o acțiune a agentului nu pot fi utilizate în alt scop fără o nouă bază legală. Fără clauze de tip „Folosim datele tale pentru îmbunătățirea produsului".
Minimizarea datelor
Agenții accesează doar câmpurile de care au nevoie pentru sarcina specifică. Scopes-urile minime OAuth 2.0 impun acest lucru la nivel de integrare.
Acuratețe
Rezultatele sunt verificabile; rezultatele incorecte ale agenților pot fi corectate sau șterse. Jurnalul de audit urmărește fiecare versiune a fiecărei înregistrări de date.
Limitarea stocării
Păstrare configurabilă de către client pe categorie de date. Transcrierile conversațiilor agenților, înregistrările apelurilor și evenimentele CRM au toate TTL-uri configurabile.
Integritate și confidențialitate
Criptare în repaus (AES-256) și în tranzit (TLS 1.3). Izolare criptografică a tenantului, nu doar logică. Obiectiv audit SOC 2 Tip I T3 2026.
10 implementări tehnice care demonstrează conformitatea GDPR
Un furnizor poate pretinde conformitatea. Acestea sunt implementările pe care le vor arăta când apare un auditor.
Bază legală per acțiune
Fiecare acțiune a agentului documentează baza sa legală (consimțământ, contract, interes legitim, obligație legală). Exportabil la cerere pentru fiecare persoană vizată.
Export acces subiect
Export cu un singur clic a tot ceea ce platforma deține despre o persoană vizată numită — CRM, e-mailuri, transcrieri apeluri, rezultate generate de agent.
Ștergere la nivel de tenant
Ștergerea se propagă prin fiecare cache de agent și graful de date partajat în termen de 30 de zile. Fără „ștergere soft" — eliminare efectivă cu dovada ștergerii.
Export structurat
Export lizibil de mașină (JSON, CSV) al tuturor datelor clientului, nu doar al celor cu caracter personal. Re-importabil în platformele concurente prin scheme standard.
Poartă de revizuire umană
Deciziile cu risc ridicat (plăți peste prag, blocări de cont, clauze contractuale de valoare mare) necesită în mod implicit aprobare umană. Configurabil per politică a clientului.
Izolare tenant
Izolare criptografică a tenantului de la nivelul bazei de date în sus. Fără stocuri vectoriale partajate, fără cache-uri de prompt partajate între clienți.
DPA cu lista sub-procesatorilor
DPA semnat între client și furnizor. Lista sub-procesatorilor (inclusiv furnizorii LLM) publicată și versionată. Clienții sunt informați cu privire la modificările sub-procesatorilor, cu un termen de obiecție.
Jurnal de audit
Jurnal de audit inalterabil al fiecărei acțiuni a agentului: Marcaj temporal, identitate agent, intrare, ieșire, încredere, bază legală, identificator persoană vizată. Exportabil pentru autoritatea de supraveghere.
Criptare + Control acces
AES-256 în repaus, TLS 1.3 în tranzit. RBAC pentru operatorii umani. Agenți autentificați per cerere. Rotație planificată a secretelor.
Flux de notificare a breșelor
Detecție → Triage → Notificare client în termen de 72 de ore de la luarea la cunoștință. Scriptat și exersat trimestrial.
Riscuri GDPR comune la agenții AI — și cum să le atenuezi
Modurile de eroare pe care le caută auditorii. Fiecare risc are un model concret de atenuare.
Furnizorii LLM folosesc prompturile tale pentru a-și antrena modelele.
Utilizează doar furnizori cu clauze semnate de „fără antrenare pe conținutul clientului". Verifică acest lucru în DPA, nu doar pe pagina de marketing.
Transcrierile conversațiilor se scurg printr-un stoc vectorial partajat între tenanți.
Solicită embedding-uri izolate pe tenant. Roagă furnizorul să arate structura bazei de date — colecțiile partajate sunt un semnal de alarmă.
Jurnalele agenților conțin date cu caracter personal care sunt păstrate mai mult decât este necesar.
Păstrare configurabilă de către client a jurnalelor pe categorie de date. Implicit 90 de zile pentru datele nereglementate, 10 ani doar pentru seturile de date relevante pentru GoBD/fiscale.
Înregistrările telefonice sunt stocate fără consimțământ explicit.
Agentul de apel explică înregistrarea la începutul conversației. Consimțământul este înregistrat în jurnalul de audit cu marcaj temporal și identificator apelant. Anonymizare cu un singur clic la cerere.
Sub-procesatorii din afara UE prelucrează date cu caracter personal.
Opțiune de rezidență a datelor doar în UE. Dacă sunt utilizați sub-procesatori din SUA, DPF (Data Privacy Framework) sau clauze contractuale standard cu o evaluare verificabilă a impactului transferului.
Deciziile agenților nu pot fi contestate, deoarece raționamentul este netransparent.
Fiecare decizie a agentului înregistrează traseul său de raționament. Persoanele vizate primesc raționamentul (în text clar) la cererea conform Articolului 15.
O integrare uitată mai are token-uri OAuth după rezilierea ta.
Revocarea token-ului la reziliere este automată. Clientul poate revoca și de la sursă (setările contului Google/Microsoft) cu un singur clic.
La ce ar trebui să fii atent în DPA-ul furnizorului
Solicită șablonul DPA înainte de achiziție, nu la onboarding. Acestea sunt clauzele care contează cel mai mult.
- ✓Clauză explicită de „fără antrenare": conținutul clientului nu este niciodată utilizat pentru antrenarea modelelor, fără clauze de opt-out cu litere mici
- ✓Lista sub-procesatorilor anexată, versionată și termen de notificare înainte de modificări (minim 30 de zile)
- ✓Termene pentru cererile persoanelor vizate: acces conform Articolului 15 în termen de 30 de zile, ștergere conform Articolului 17 în termen de 30 de zile, inclusiv cascada de procesori downstream
- ✓Drepturi de audit: clientul poate audita controalele de securitate ale furnizorului anual sau mai frecvent la cerere
- ✓Notificare breșă: 48 de ore între luarea la cunoștință de către furnizor și notificarea clientului (mai strict decât notificarea către autorități în 72 de ore conform GDPR)
- ✓Angajament privind rezidența datelor: unde datele sunt stocate, prelucrate, securizate — în scris, nu „tipic UE"
- ✓Returnarea și ștergerea la reziliere: datele în formă portabilă returnate în termen de 30 de zile; dovada ștergerii emisă în termen de 60 de zile
- ✓Claritate privind plafonul de răspundere: special pentru încălcările protecției datelor, separat de plafonul general de răspundere
- ✓Legea aplicabilă și jurisdicția: ideal statul membru UE al clientului, nu jurisdicția de origine a furnizorului
Lista de verificare GDPR pentru cumpărătorii de agenți AI — 12 puncte
Printează asta. Trimite-o furnizorului înainte de contract. Dacă un răspuns este „Lucrăm la asta", amână achiziția.
Acord de prelucrare a datelor
Furnizorul semnează un DPA conform GDPR în mod standard, nu negociat per client?
Fără antrenare contractuală
Este „Nu antrenăm niciodată pe conținutul clientului" în DPA însuși, nu doar pe site?
Izolare tenant
Este izolarea tenantului criptografică — chei de criptare separate per client — sau doar partiționare logică?
Transparența sub-procesatorilor
Există o listă publică de sub-procesatori cu istoric de versiuni? Este furnizorul LLM listat?
Rezidența datelor
Unde sunt stocate, prelucrate și securizate datele clientului? Este „doar UE" o opțiune?
Export drept de acces
Poți declanșa un export complet conform Articolului 15 din interfața de administrare, sau este nevoie de un tichet de suport?
Cascada de ștergere
Se propagă ștergerea către toate cache-urile de agenți, stocurile vectoriale și sub-procesatorii în termen de 30 de zile?
Revizuire umană Articolul 22
Poți configura ce decizii ale agenților necesită aprobare umană? Implicit, aprobare pentru acțiuni distructive.
Export jurnal de audit
Este jurnalul de audit exportabil într-un format utilizabil pentru cererile autorităților de supraveghere (JSON, CSV)?
Termen notificare breșă
Se angajează furnizorul să te notifice în termen de 48–72 de ore de la luarea la cunoștință a unei breșe?
Consimțământ apel telefonic
Dacă sunt utilizați agenți vocali, platforma gestionează regulile de consimțământ specifice jurisdicției (bilateral în DE/AT/CH)?
Plan de ieșire
Dacă reziliezi, există un proces documentat de returnare și ștergere cu dovada ștergerii?
Întrebări frecvente
Este o platformă de agenți AI operator sau procesator conform GDPR?+
În aproape toate scenariile IMM-urilor, clientul este operatorul, iar platforma de agenți AI este procesatorul. Platforma operează conform instrucțiunilor clientului, prelucrează date în tenantul clientului și nu determină scopurile prelucrării.
Articolul 22 (decizii automate) interzice agenții AI?+
Nu. Articolul 22 cere ca persoanele vizate să aibă dreptul la o revizuire umană în cazul deciziilor cu efecte juridice sau similare semnificative. Platformele de agenți AI sunt conforme prin oferirea de porți de aprobare umană configurabile per tip de decizie. Clienții (operatorii) configurează ce decizii trec prin revizuire umană.
Pot folosi o platformă de agenți AI bazată în SUA conform GDPR?+
Da, dacă furnizorul operează sub Cadrul de Confidențialitate a Datelor UE-SUA sau utilizează clauze contractuale standard cu o evaluare validă a impactului transferului. Întreabă înainte de semnare despre certificarea DPF sau documentația SCC. Preferința pentru furnizorii cu sediul în UE simplifică acest lucru.
Agenții AI intră sub incidența Legii AI a UE, pe lângă GDPR?+
Da. Legea AI a UE adaugă cerințe de transparență, clasificare a riscurilor și supraveghere umană la GDPR. Majoritatea agenților AI de afaceri se încadrează în „risc limitat" (transparență privind utilizarea AI necesară), nu „risc ridicat". Agenții vocali intră suplimentar sub incidența regulilor de transparență care cer divulgarea faptului că utilizatorul vorbește cu AI.
Care este cel mai mare factor de risc GDPR pentru cumpărătorii de agenți AI?+
Clauzele de antrenare. Mulți furnizori au implicit opțiuni de opt-out per funcționalitate pentru îmbunătățirea modelului, ceea ce este practic inaplicabil pentru IMM-urile cu mulți utilizatori. Insistă pe standardul contractual de „fără antrenare" în DPA.
Înregistrările apelurilor necesită întotdeauna consimțământ conform GDPR?+
În Austria, Germania și Elveția: da, ambele părți trebuie să consimtă înainte de înregistrare. În alte state membre UE, regulile de consimțământ variază. O platformă de agenți vocali conformă explică înregistrarea la începutul conversației și înregistrează consimțământul în jurnalul de audit — așa funcționează în toate jurisdicțiile.
Cât timp trebuie să păstrez jurnalele de audit ale agenților?+
Pentru datele de afaceri nereglementate: alegerea clientului, implicit 90 de zile. Pentru acțiunile relevante fiscal (facturi, plăți): 10 ani conform GoBD (DE) / RGS (AT). Agentul de conformitate le separă pe cele două, astfel încât să nu păstrezi datele non-fiscale prea mult timp.
Obține DPA-ul înainte de achiziție
Rezervă o sesiune de 30 de minute cu echipa noastră de conformitate. Vom parcurge DPA-ul complet, lista sub-procesatorilor și vom răspunde la fiecare dintre cele 12 întrebări din lista de verificare, în mod protocolar.