Sari la conținut
Elite Solution
Rezervă o demonstrație

Blog · Mon May 04 2026 00:00:00 GMT+0000 (Coordinated Universal Time) · 4 min

GDPR și AI conversational — ghid pentru businessuri MD/RO

Ce trebuie să știi când implementezi un agent AI care vorbește cu clienții tăi. Articolele relevante din GDPR, sub-processors LLM, baza legală, DPA, drepturile data subject.

Un proprietar de magazin online din Chișinău mi-a scris recent: "Vreau să implementez un chatbot AI, dar mi-e teamă că încalcă GDPR. Cum verific?"

Întrebarea e legitimă și răspunsul nu e "nu-ți face griji". Există obligații concrete când datele conversaționale ale clienților trec prin modele AI. Acest ghid le acoperă pe cele care contează pentru o operațiune normală.

Disclaimer: Acest articol e ghid informativ, NU consiliere juridică. Pentru cazuri specifice, vorbește cu un avocat DPO certificat.

Ce date colectezi când rulezi un agent AI?

Mai multe decât crezi. Pentru fiecare conversație, sistemul tipic stochează:

  • Conținutul mesajelor (input utilizator + răspuns AI)
  • Identifier-ul utilizatorului (Instagram ID, Facebook ID, deviceId pe widget website)
  • Metadata sesiune (timestamp, durată, canal)
  • Atribute derivate (intent detectat, scor calificare lead)
  • Date contact colectate explicit (nume, email, telefon dacă utilizatorul le oferă)

Toate astea sunt "date cu caracter personal" conform Art. 4(1) GDPR. Asta declanșează obligațiile.

Cine e "controller" și cine e "processor"?

Tu (businessul care folosește chatbot-ul) ești controller. Decizi de ce colectezi datele și ce faci cu ele. Furnizorul de tehnologie AI (Elite Solution, ManyChat, etc.) e processor — procesează date în numele tău, conform instrucțiunilor.

Această relație necesită Data Processing Agreement (DPA) semnat înainte de implementare. Art. 28 GDPR cere asta explicit. Furnizori serioși au template DPA pe site; furnizori care evită să-l semneze sunt red flag.

Sub-processors LLM — Anthropic, OpenAI

Modelele AI (Claude, GPT) sunt operate de companii americane. Datele tale conversaționale ajung pe servere Anthropic/OpenAI pentru procesare. Asta înseamnă:

  1. Trebuie să fie listate explicit ca sub-processors în DPA
  2. Trebuie să existe no-retention agreement — Anthropic și OpenAI oferă asta pentru clienți enterprise. Datele nu sunt folosite pentru training.
  3. Transferul UE → US trebuie justificat legal — în 2024-2025 EU-US Data Privacy Framework reactivat acoperă cele mai multe cazuri. Verifică certificarea sub-processor-ului.

Întreabă furnizorul: "Aveți no-retention agreement cu providerii LLM? Aveți DPF certification? Sub-processors enumerate explicit?" Răspunsul corect e da la toate trei.

Localizarea datelor — UE, NU SUA

Datele tale, stocate în baza de date a furnizorului, trebuie să rămână în UE. Asta nu e doar best practice — e cerință pentru clienții cu propriile lor obligații GDPR (B2B europene).

Verifică: în ce regiune cloud rulează baza de date? Frankfurt (Germania), Dublin (Irlanda), Amsterdam (Olanda) sunt UE. Virginia, Tokyo, Singapore NU sunt UE.

Pentru Elite Solution: Neon Postgres în regiunea Frankfurt, backup-uri criptate AES-256 tot în Frankfurt, retenție backup 30 zile. Nicio replicare extra-UE.

Baza legală pentru prelucrare (Art. 6)

Trebuie să poți justifica de ce procesezi datele. Pentru chat agent, opțiunile uzuale:

  • Art. 6(1)(b) — Executarea contractului: utilizatorul a inițiat conversația și cere serviciu. Cazul tipic pentru DM-uri sales/support.
  • Art. 6(1)(f) — Interes legitim: pentru îmbunătățirea calității (agregare anonimizată). Trebuie cu opt-out disponibil.
  • Art. 6(1)(a) — Consimțământ explicit: OBLIGATORIU pentru categorii speciale (sănătate, religie, orientare politică) și pentru marketing direct subsequent.

NU asuma consimțământ implicit pentru toate operațiunile. Pentru newsletter post-conversație, cere checkbox separat. Pentru cookies non-essential pe site-ul tău (analytics terț, Facebook Pixel), banner GDPR cu consent (TCF v2.2 sau Iubenda/CookieBot).

Drepturile data subject — implementare

Conform Art. 15-22 GDPR, utilizatorii tăi au dreptul la:

  • Acces (Art. 15): export al conversațiilor lor în format machine-readable. Răspuns în 30 zile (best: 72h).
  • Rectificare (Art. 16): corectarea datelor inexacte.
  • Ștergere / right to be forgotten (Art. 17): ștergere completă în 30 zile (inclusiv backup-uri).
  • Restricționare (Art. 18): pause pe procesarea AI pentru ei.
  • Portabilitate (Art. 20): export structured (JSON) cu schema documentată.
  • Opoziție (Art. 21): opt-out pe procesarea AI; serviciul fallback la human-only.

Implementarea concretă: endpoint email (dpo@yourcompany.md sau legal@yourcompany.md) care primește cereri și le procesează în SLA. Pentru volume mari (B2C cu mii de cereri), automated tools (OneTrust, Iubenda).

Notificare de breach

În caz de incident de securitate care afectează date cu caracter personal:

  • Notificare autoritate de supraveghere (ANSPDCP în MD, ANSPDP în RO) în 72h conform Art. 33
  • Notificare data subjects (dacă risc înalt pentru drepturi și libertăți) conform Art. 34

Trebuie să ai procedură internă documentată pentru breach response. Furnizorul tău AI trebuie să-ți notifice prompt orice incident pe partea lor — verifică asta în DPA.

Particularități MD/RO

Pentru businessurile din Moldova: ANSPDCP-ul moldovenesc aplică legea similară GDPR (Legea privind protecția datelor cu caracter personal nr. 133/2011). Diferențe minore în implementare, dar principiile sunt aceleași. Vezi datepersonale.md pentru rezoluții recente.

Pentru businessurile din România: ANSPDPCP aplică GDPR direct (e member state UE). Amenzile pot fi semnificative — în 2024 au existat sancțiuni de €5,000-50,000 pentru organizații medii.

Recomandare comună: înregistrare DPO (Data Protection Officer) chiar dacă nu e strict obligatorie (Art. 37). Costă puțin (poate fi externalizată la firmă de consultanță), oferă apărare în caz de plângere.

Checklist scurt înainte de implementare

  1. DPA semnat cu furnizorul AI ✓
  2. Sub-processors LLM enumerați explicit + no-retention agreement ✓
  3. Date stocate în UE ✓
  4. Baza legală documentată per categorie de date ✓
  5. Privacy Policy actualizată cu menționarea AI processing ✓
  6. Endpoint pentru drepturi data subject configurat ✓
  7. Procedură internă breach response documentată ✓
  8. (Opțional) DPO înregistrat ✓

Cele 8 puncte de mai sus iau 1-2 zile de lucru cu un avocat specializat. Investiție mică pentru a evita o amendă serioasă sau pierdere de încredere clienți.

Pentru DPA-ul nostru standard sau întrebări concrete: legal@elitesolution.md. Răspundem în 48h cu draft sau referință la avocat partener.

← Înapoi la blog