M & A Powered by TZA
Project Finance Powered by CMS
Real Estate & Constructii
Energie & Resurse Naturale Powered by Musat & Asociatii
Infrastructura & PPP
Banking & Finance Powered by Bulboacă & Asociații
Capital Markets Powered by Popovici Nitu Stoica & Asociatii
Telecom/IT/Media
Concurenta/Anti-trust Powered by Popovici Nitu Stoica & Asociatii
Mediu
Proprietate intelectuala Simion & Baciu
Healthcare & Pharma MPR Partners I Maravela Popescu & Asociații
Litigii & Arbitraj Powered by ZVRP
Taxe
Achizitii Publice
Penal - Comercial
Restructurare & Insolventa Powered by ZVRP
Aviatie
Shipping & Transport
Dreptul Muncii Powered by Musat & Asociatii
Asigurari/Pensii
Islamic Law Powered by Av. Casiana Dușa
Agricultura
Corporate & Commercial Powered by CMS
Data Protection
Gaming Powered by CMS

Utilizarea sistemelor de inteligență artificială în recrutare. Obligații pentru angajatori la intersecția dintre AI Act și GDPR

07 August 2025 | Luana Dragomirescu (DPO, Counsel) și Ioana Cazacu (Managing Associate) - SCA Popovici Nițu Stoica & Asociații

Inteligența artificială poate eficientiza procesele de recrutare, dar vine la pachet cu obligații legale semnificative. Angajatorii trebuie să trateze cu seriozitate conformitatea atât cu AI Act, cât și cu GDPR, pentru a evita riscurile legale și reputaționale.

RECOMANDA ARTICOL

PRINTEAZA ARTICOL
SCRIE UN COMENTARIU
SALVEAZA ARTICOL (PDF)

Inteligența artificială (”IA”) transformă profund modul în care companiile recrutează talente. Cu doar 1 an până la intrarea în vigoare a dispozițiilor din Regulamentul UE 1689/2024 privind inteligența artificială (AI Act) prin care se vor stabili condiții suplimentare pentru utilizarea sistemelor de IA în recrutare, angajatorii trebuie să se pregătească pentru un nou cadru legal complex, aflat la intersecția dintre reglementările privind tehnologia și cele privind protecția datelor cu caracter personal.

Momentul este deci prielnic pentru o sumară trecere în revistă a cerințelor de ordin legal aplicabile angajatorilor care vor utiliza sisteme IA în recrutare începând din luna august 2026.

În mod particular, avem în vedere în această sinteză ipoteza utilizării de sisteme IA care, pe lângă procesarea datelor disponibile intern la nivelul angajatorilor, colectează și procesează (și) date din surse publice (ex. motoare de căutare pe internet, rețele sociale) în scopuri de recrutare.

Recrutarea asistată de IA – un caz de utilizare cu risc ridicat

Potrivit AI Act, sistemele de IA destinate a fi utilizate pentru recrutare – inclusiv pentru publicarea de anunturi direcționate, analiza CV-urilor sau evaluarea candidaților – sunt considerate sisteme de IA cu grad ridicat de risc. Această clasificare atrage obligații stricte pentru angajatori, în calitate de „utilizatori” sau de ”implementatori” ai acestor sisteme.

În mod particular, sunt vizate sistemele care, pe lângă datele interne ale angajatorului, colectează și prelucrează informații din surse publice (ex. rețele sociale, motoare de căutare) în scopuri de selecție.

Obligații-cheie pentru angajatori conform AI Act

Începând cu 2 august 2026, angajatorii care utilizează sisteme IA cu risc ridicat trebuie să respecte următoarele cerințe:

· utilizare conformă cu instrucțiunile furnizorului: luarea de măsuri tehnice și organizatorice corespunzătoare pentru a oferi siguranța că utilizează astfel de sisteme în conformitate cu instrucțiunile de utilizare care însoțesc sistemele, puse la dispoziție de producător;

· supraveghere umană calificată: încredințarea supravegherii umane unor persoane fizice care au competența, formarea și autoritatea necesare, precum și sprijinul necesar;

· calitatea datelor de intrare: în măsura în care exercită controlul asupra datelor de intrare ale sistemului, se asigură că datele de intrare sunt relevante și suficient de reprezentative în raport cu scopul preconizat al sistemului ;

· monitorizare continuă: monitorizează funcționarea sistemului pe baza instrucțiunilor de utilizare puse la dispoziție de furnizor;

· păstrarea fișierelor de jurnalizare: păstrează fișierele de jurnalizare generate automat de sistem, în măsura în care aceste fișiere de jurnalizare se află sub controlul lor pentru o perioadă adecvată scopului preconizat al sistemului, de cel puțin șase luni;

· informarea angajaților: înainte de a pune în funcțiune sau de a utiliza sistemul la locul de muncă, implementatorii care sunt angajatori informează reprezentanții lucrătorilor și lucrătorii afectați că vor fi implicați în utilizarea sistemului;

· evaluarea impactului asupra protecției datelor: după caz, utilizează informațiile despre sistem puse la dispoziției de furnizor pentru a-și respecta obligația de a efectua o evaluare a impactului asupra protecției datelor în temeiul Regulamentului (UE) 2016/679 (GDPR);

· transparență față de candidați: implementatorii care iau decizii sau contribuie la luarea deciziilor referitoare la persoane fizice, informează persoanele fizice că fac obiectul utilizării sistemului de IA cu grad ridicat de risc.

Nerespectarea acestor obligații poate atrage sancțiuni de până la 15 000 000 EUR sau, în cazul în care autorul faptei este o întreprindere, de până la 3 % din cifra sa de afaceri globală anuală pentru exercițiul financiar precedent, luându-se în considerare valoarea cea mai mare.

Alfabetizarea în domeniul IA – o obligație deja în vigoare

Începând cu februarie 2025, angajatorii trebuie să asigure un nivel adecvat de alfabetizare în IA pentru personalul care operează sau interacționează cu astfel de sisteme. Aceasta presupune instruire adaptată nivelului de cunoștințe, experienței și contextului de utilizare.

Conformitatea cu GDPR în contextul IA

Utilizarea IA în recrutare implică, inevitabil, prelucrarea de date cu caracter personal.

Chiar dacă datele provin din surse publice (ex. profiluri LinkedIn, postări publice), accesarea, colectarea și utilizarea lor constituie o prelucrare de date personale și intră sub incidența Regulamentul General privind Protecția Datelor (UE) 2016/679 („GDPR”).

Respectarea cerințelor GDPR nu se limitează doar la protejarea datelor, ci implică o abordare responsabilă și transparență față de candidați, cu integrarea principiilor generale de prelucrare a datelor în fiecare etapă a procesului de selecție asistat de IA.

Câteva considerente utile pentru angajatori în procesul de selecție asistat de AI sunt prezentate pe scurt în continuare:

· Identificarea unui temei legal valid pentru prelucrare: ceea ce înseamnă că trebuie să existe un temei legal pentru această prelucrare (ex. consimțământul candidatului, interes legitim, obligație legală etc.) conform art. 6 din GDPR. Interesul legitim poate fi invocat, dar trebuie justificat printr-o analiză de necesitate și proporționalitate.

· Informarea clară a candidaților: candidații trebuie să fie informați în mod clar și complet, conform art. 14 GDPR, despre ce date sunt colectate și din ce surse, scopul prelucrării, temeiul legal, durata stocării, drepturile lor (acces, rectificare, opoziție, ștergere etc.) și eventual despre existența unui proces decizional automatizat (dacă este cazul). Informare se face printr-o notă de informare disponibilă încă din etapa de aplicare sau publicată în anunțul de recrutare.

· Evitarea deciziilor automatizate netransparente: dacă sistemul IA evaluează automat CV-uri, extrage date din surse externe, creează profiluri sau ia decizii de selecție, devin incidente reguli suplimentare precum: nu este permisă evaluarea exclusiv automatizată fără intervenție umană, este necesară o evaluare a impactului asupra protecției datelor (DPIA) înainte de implementarea unui astfel de sistem și vor trebui evitate discriminările algoritmice (ex. excluderea pe criterii geografice, pauze în carieră etc.).

Ca orice prelucrare de date, utilizarea sistemului de IA în contextul analizat trebuie să respecte principiile generale din art. 5 GDPR referitoare la limitare și proporționalitate:

· se pot colecta doar date relevante și necesare pentru scopul declarat (ex. experiență profesională, competențe);

·         nu este permisă colectarea de date despre: familie, opinii politice, sănătate, religie, etnie etc., decât în condiții foarte stricte;

·         durata de stocare trebuie să fie limitată și justificată (ex. 6-12 luni pentru recrutări viitoare).

·         datele trebuie protejate prin măsuri tehnice și organizatorice adecvate; accesul la date trebuie limitat doar persoanelor implicate direct în procesul de recrutare și selecție.

Un aspect esențial în utilizarea sistemelor IA pentru selecția candidaților rămâne riscul generării de rezultate incorecte sau înșelătoare, cunoscute sub denumirea de „false positive”. Acestea apar atunci când sistemul IA identifică în mod eronat un candidat ca fiind nepotrivit, deși acesta îndeplinește criteriile relevante. Astfel de erori pot avea consecințe directe asupra drepturilor persoanelor vizate și pot conduce la excluderea nedreaptă a unor candidați valoroși. Pentru a preveni aceste situații, este esențial ca deciziile automatizate să fie completate de o intervenție umană calificată, iar procesul decizional să fie documentat și auditat periodic. Transparența algoritmică și capacitatea de a revizui și corecta deciziile IA devin, astfel, elemente-cheie în asigurarea unui proces de recrutare echitabil și conform cu cerințele legale.

Concluzie: IA în recrutare – oportunitate și responsabilitate

Recomandare: începeți din timp cu auditul sistemelor IA, evaluarea impactului asupra protecției datelor pentru fiecare sistem IA utilizat, instruirea personalului privind supravegherea IA și actualizarea politicilor interne și notelor de informare a persoanelor vizate de prelucrarea datelor. Conformarea proactivă va face diferența între inovație responsabilă și expunere la sancțiuni.