Utilizarea sistemelor de inteligență artificială în recrutare. Obligații pentru angajatori la intersecția dintre AI Act și GDPR

Foto: creativeart @ freepik

Inteligența artificială transformă profund modul în care companiile recrutează talente.

Luana Dragomirescu & Ioana Cazacu

Popovici Nițu Stoica & Asociații

Cu doar un an până la intrarea în vigoare a dispozițiilor din Regulamentul UE 1689/2024 privind inteligența artificială (AI Act) prin care se vor stabili condiții suplimentare pentru utilizarea sistemelor de AI în recrutare, angajatorii trebuie să se pregătească pentru un nou cadru legal complex, aflat la intersecția dintre reglementările privind tehnologia și cele privind protecția datelor cu caracter personal.  

Momentul este prielnic pentru o sumară trecere în revistă a cerințelor de ordin legal aplicabile angajatorilor care vor utiliza sisteme AI în recrutare, începând din luna august 2026.

În mod particular, avem în vedere în această sinteză ipoteza utilizării de sisteme AI, care, pe lângă procesarea datelor disponibile intern la nivelul angajatorilor, colectează și procesează (și) date din surse publice (ex. motoare de căutare pe internet, rețele sociale) în scopuri de recrutare.

Recrutarea asistată de AI – un caz de utilizare cu risc ridicat

Potrivit AI Act, sistemele de AI destinate a fi utilizate pentru recrutare – inclusiv pentru publicarea de anunțuri direcționate, analiza CV-urilor sau evaluarea candidaților – sunt considerate sisteme de AI cu grad ridicat de risc. Această clasificare atrage obligații stricte pentru angajatori, în calitate de „utilizatori” sau de „implementatori” ai acestor sisteme.

În mod particular, sunt vizate sistemele care, pe lângă datele interne ale angajatorului, colectează și prelucrează informații din surse publice (ex. rețele sociale, motoare de căutare) în scopuri de selecție.

Obligații-cheie pentru angajatori conform AI Act

Începând cu 2 august 2026, angajatorii care utilizează sisteme AI cu risc ridicat trebuie să respecte următoarele cerințe:

  • utilizare conformă cu instrucțiunile furnizorului: luarea de măsuri tehnice și organizatorice corespunzătoare pentru a oferi siguranța că utilizează astfel de sisteme în conformitate cu instrucțiunile de utilizare care însoțesc sistemele, puse la dispoziție de producător;
  • supraveghere umană calificată: încredințarea supravegherii umane unor persoane fizice care au competența, formarea și autoritatea necesare, precum și sprijinul necesar;
  • calitatea datelor de intrare: în măsura în care exercită controlul asupra datelor de intrare ale sistemului, se asigură că datele de intrare sunt relevante și suficient de reprezentative în raport cu scopul preconizat al sistemului;
  • monitorizare continuă: monitorizează funcționarea sistemului pe baza instrucțiunilor de utilizare puse la dispoziție de furnizor;
  • păstrarea fișierelor de jurnalizare: păstrează fișierele de jurnalizare generate automat de sistem, în măsura în care aceste fișiere de jurnalizare se află sub controlul lor pentru o perioadă adecvată scopului preconizat al sistemului, de cel puțin șase luni;
  • informarea angajaților: înainte de a pune în funcțiune sau de a utiliza sistemul la locul de muncă, implementatorii care sunt angajatori informează reprezentanții lucrătorilor și lucrătorii afectați că vor fi implicați în utilizarea sistemului;
  • evaluarea impactului asupra protecției datelor: după caz, utilizează informațiile despre sistem puse la dispoziției de furnizor pentru a-și respecta obligația de a efectua o evaluare a impactului asupra protecției datelor în temeiul Regulamentului (UE) 2016/679 (GDPR);
  • transparență față de candidați: implementatorii care iau decizii sau contribuie la luarea deciziilor referitoare la persoane fizice, informează persoanele fizice că fac obiectul utilizării sistemului de AI cu grad ridicat de risc.

Nerespectarea acestor obligații poate atrage sancțiuni de până la 15 milioane de euro sau, în cazul în care autorul faptei este o întreprindere, de până la trei la sută din cifra sa de afaceri globală anuală pentru exercițiul financiar precedent, luându-se în considerare valoarea cea mai mare.

Alfabetizarea în domeniul AI – o obligație deja în vigoare

Începând cu februarie 2025, angajatorii trebuie să asigure un nivel adecvat de alfabetizare în AI pentru personalul care operează sau interacționează cu astfel de sisteme. Aceasta presupune instruire adaptată nivelului de cunoștințe, experienței și contextului de utilizare. 

Conformitatea cu GDPR în contextul AI

Utilizarea AI în recrutare implică, inevitabil, prelucrarea de date cu caracter personal. Chiar dacă provin din surse publice (ex. profiluri LinkedIn, postări publice), accesarea, colectarea și utilizarea lor constituie o prelucrare de date personale și intră sub incidența Regulamentului General privind Protecția Datelor (UE) 2016/679 (GDPR).

Respectarea cerințelor GDPR nu se limitează doar la protejarea datelor, ci implică o abordare responsabilă și transparență față de candidați, cu integrarea principiilor generale de prelucrare a datelor în fiecare etapă a procesului de selecție asistat de AI. 

Câteva considerente utile pentru angajatori în procesul de selecție asistat de AI:

  • Identificarea unui temei legal valid pentru prelucrare: trebuie să existe un temei legal pentru această prelucrare (ex. consimțământul candidatului, interes legitim, obligație legală etc.) conform art. 6 din GDPR. Interesul legitim poate fi invocat, dar trebuie justificat printr-o analiză de necesitate și proporționalitate.
  • Informarea clară a candidaților: candidații trebuie să fie informați în mod clar și complet, conform art. 14 GDPR, despre ce date sunt colectate și din ce surse, scopul prelucrării, temeiul legal, durata stocării, drepturile lor (acces, rectificare, opoziție, ștergere etc.) și, eventual, despre existența unui proces decizional automatizat (dacă este cazul). Informarea se face printr-o notă de informare disponibilă încă din etapa de aplicare sau publicată în anunțul de recrutare.
  • Evitarea deciziilor automatizate netransparente: dacă sistemul AI evaluează automat CV-uriextrage date din surse externecreează profiluri sau ia decizii de selecție, devin incidente reguli suplimentare precum: nu este permisă evaluarea exclusiv automatizată fără intervenție umană, este necesară o evaluare a impactului asupra protecției datelor (DPIA) înainte de implementarea unui astfel de sistem și trebuie evitate discriminările algoritmice (ex. excluderea pe criterii geografice, pauze în carieră etc.).

Ca orice prelucrare de date, utilizarea sistemului de AI în contextul analizat trebuie să respecte principiile generale din art. 5 GDPR referitoare la limitare și proporționalitate: 

  • se pot colecta doar date relevante și necesare pentru scopul declarat (ex. experiență profesională, competențe);
  • nu este permisă colectarea de date despre: familie, opinii politice, sănătate, religie, etnie etc., decât în condiții foarte stricte;
  • durata de stocare trebuie să fie limitată și justificată (ex. 6-12 luni pentru recrutări viitoare).
  • datele trebuie protejate prin măsuri tehnice și organizatorice adecvate; accesul la date trebuie limitat doar persoanelor implicate direct în procesul de recrutare și selecție.

Un aspect esențial în utilizarea sistemelor AI pentru selecția candidaților rămâne riscul generării de rezultate incorecte sau înșelătoare, cunoscute sub denumirea de false positive. Acestea apar atunci când sistemul AI identifică în mod eronat un candidat ca fiind nepotrivit, deși acesta îndeplinește criteriile relevante. Astfel de erori pot avea consecințe directe asupra drepturilor persoanelor vizate și pot conduce la excluderea nedreaptă a unor candidați valoroși.

Pentru a preveni aceste situații, este esențial ca deciziile automatizate să fie completate de o intervenție umană calificată, iar procesul decizional să fie documentat și auditat periodic. Transparența algoritmică și capacitatea de a revizui și de a corecta deciziile AI devin elemente-cheie în asigurarea unui proces de recrutare echitabil și conform cu cerințele legale.

Concluzie: AI în recrutare – oportunitate și responsabilitate

AI poate eficientiza procesele de recrutare, dar vine la pachet cu obligații legale semnificative. Angajatorii trebuie să trateze cu seriozitate conformitatea atât cu AI Act, cât și cu GDPR, ca să evite riscurile legale și reputaționale.

Recomandare: începeți din timp cu auditul sistemelor AI, evaluarea impactului asupra protecției datelor pentru fiecare sistem AI utilizat, instruirea personalului privind supravegherea AI și actualizarea politicilor interne și notelor de informare a persoanelor vizate de prelucrarea datelor. Conformarea proactivă va face diferența între inovație responsabilă și expunere la sancțiuni.

Articole din aceeași categorie
Total
0
Share
Powered by  GDPR Cookie Compliance
Prezentare generală a confidențialității

AngajatorulMeu.ro folosește cookie-uri pentru a-ți putea oferi cea mai bună experiență în utilizare. Informațiile cookie sunt stocate în browser-ul tău și au rolul de a te recunoaște când te întorci pe website-ul nostru și de a ajuta echipa noastră să înțeleagă care sunt secțiunile website-ului pe care le găsești mai interesante și mai utile.