Utilizarea sistemelor de inteligență artificială în recrutare. Obligații pentru angajatori la intersecția dintre AI Act și GDPR

Inteligența artificială (”IA”) transformă profund modul în care companiile recrutează talente. Cu doar 1 an până la intrarea în vigoare a dispozițiilor din Regulamentul UE 1689/2024 privind inteligența artificială (AI Act) prin care se vor stabili condiții suplimentare pentru utilizarea sistemelor de IA în recrutare,  angajatorii trebuie să se pregătească pentru un nou cadru legal complex, aflat la intersecția dintre reglementările privind tehnologia și cele privind protecția datelor cu caracter personal. 

Momentul este deci prielnic pentru o sumară trecere în revistă a cerințelor de ordin legal aplicabile angajatorilor care vor utiliza sisteme IA în recrutare începând din luna august 2026.

În mod particular, avem în vedere în această sinteză ipoteza utilizării de sisteme IA care, pe lângă procesarea datelor disponibile intern la nivelul angajatorilor, colectează și procesează (și) date din surse publice (ex. motoare de căutare pe internet, rețele sociale) în scopuri de recrutare.

În mod particular, sunt vizate sistemele care, pe lângă datele interne ale angajatorului, colectează și prelucrează informații din surse publice (ex. rețele sociale, motoare de căutare) în scopuri de selecție.
 

Începând cu 2 august 2026, angajatorii care utilizează sisteme IA cu risc ridicat trebuie să respecte următoarele cerințe:

·         utilizare conformă cu instrucțiunile furnizorului: luarea de măsuri tehnice și organizatorice corespunzătoare pentru a oferi siguranța că utilizează astfel de sisteme în conformitate cu instrucțiunile de utilizare care însoțesc sistemele, puse la dispoziție de producător;

·         supraveghere umană calificată: încredințarea supravegherii umane unor persoane fizice care au competența, formarea și autoritatea necesare, precum și sprijinul necesar;

·         calitatea datelor de intrare: în măsura în care exercită controlul asupra datelor de intrare ale sistemului, se asigură că datele de intrare sunt relevante și suficient de reprezentative în raport cu scopul preconizat al sistemului ;

·         monitorizare continuă: monitorizează funcționarea sistemului pe baza instrucțiunilor de utilizare puse la dispoziție de furnizor;

·         păstrarea fișierelor de jurnalizare: păstrează fișierele de jurnalizare generate automat de sistem, în măsura în care aceste fișiere de jurnalizare se află sub controlul lor pentru o perioadă adecvată scopului preconizat al sistemului, de cel puțin șase luni;

·         informarea angajaților: înainte de a pune în funcțiune sau de a utiliza sistemul la locul de muncă, implementatorii care sunt angajatori informează reprezentanții lucrătorilor și lucrătorii afectați că vor fi implicați în utilizarea sistemului;

·         evaluarea impactului asupra protecției datelor: după caz, utilizează informațiile despre sistem puse la dispoziției de furnizor pentru a-și respecta obligația de a efectua o evaluare a impactului asupra protecției datelor în temeiul Regulamentului (UE) 2016/679 (GDPR);

·         transparență față de candidați: implementatorii care iau decizii sau contribuie la luarea deciziilor referitoare la persoane fizice, informează persoanele fizice că fac obiectul utilizării sistemului de IA cu grad ridicat de risc.

Nerespectarea acestor obligații poate atrage sancțiuni de până la 15 000 000 EUR sau, în cazul în care autorul faptei este o întreprindere, de până la 3 % din cifra sa de afaceri globală anuală pentru exercițiul financiar precedent, luându-se în considerare valoarea cea mai mare.
 

Începând cu februarie 2025, angajatorii trebuie să asigure un nivel adecvat de alfabetizare în IA pentru personalul care operează sau interacționează cu astfel de sisteme. Aceasta presupune instruire adaptată nivelului de cunoștințe, experienței și contextului de utilizare.
 

Utilizarea IA în recrutare implică, inevitabil, prelucrarea de date cu caracter personal.

Chiar dacă datele provin din surse publice (ex. profiluri LinkedIn, postări publice),  accesarea, colectarea și utilizarea lor constituie o prelucrare de date personale și intră sub incidența Regulamentul General privind Protecția Datelor (UE) 2016/679 („GDPR”).

Respectarea cerințelor GDPR nu se limitează doar la protejarea datelor, ci implică o abordare responsabilă și transparență față de candidați, cu integrarea principiilor generale de prelucrare a datelor în fiecare etapă a procesului de selecție asistat de IA.

Câteva considerente utile pentru angajatori în procesul de selecție asistat de AI sunt prezentate pe scurt în continuare:

·         Identificarea unui temei legal valid pentru prelucrare: ceea ce înseamnă că trebuie să existe un temei legal pentru această prelucrare (ex. consimțământul candidatului, interes legitim, obligație legală etc.) conform art. 6 din GDPR. Interesul legitim poate fi invocat, dar trebuie justificat printr-o analiză de necesitate și proporționalitate.

·         Informarea clară a candidaților: candidații trebuie să fie informați în mod clar și complet, conform art. 14 GDPR, despre ce date sunt colectate și din ce surse, scopul prelucrării, temeiul legal, durata stocării, drepturile lor (acces, rectificare, opoziție, ștergere etc.) și eventual despre existența unui proces decizional automatizat (dacă este cazul). Informare se face printr-o notă de informare disponibilă încă din etapa de aplicare sau publicată în anunțul de recrutare.

·         Evitarea deciziilor automatizate netransparente: dacă sistemul IA evaluează automat CV-uri, extrage date din surse externe, creează profiluri sau ia decizii de selecție, devin incidente reguli suplimentare precum: nu este permisă evaluarea exclusiv automatizată fără intervenție umană, este necesară o evaluare a impactului asupra protecției datelor (DPIA) înainte de implementarea unui astfel de sistem și vor trebui evitate discriminările algoritmice (ex. excluderea pe criterii geografice, pauze în carieră etc.).

Ca orice prelucrare de date, utilizarea sistemului de IA în contextul analizat trebuie să respecte principiile generale din art. 5 GDPR referitoare la limitare și proporționalitate:

·         se pot colecta doar date relevante și necesare pentru scopul declarat (ex. experiență profesională, competențe);

Un aspect esențial în utilizarea sistemelor IA pentru selecția candidaților rămâne riscul generării de rezultate incorecte sau înșelătoare, cunoscute sub denumirea de „false positive”. Acestea apar atunci când sistemul IA identifică în mod eronat un candidat ca fiind nepotrivit, deși acesta îndeplinește criteriile relevante. Astfel de erori pot avea consecințe directe asupra drepturilor persoanelor vizate și pot conduce la excluderea nedreaptă a unor candidați valoroși. Pentru a preveni aceste situații, este esențial ca deciziile automatizate să fie completate de o intervenție umană calificată, iar procesul decizional să fie documentat și auditat periodic. Transparența algoritmică și capacitatea de a revizui și corecta deciziile IA devin, astfel, elemente-cheie în asigurarea unui proces de recrutare echitabil și conform cu cerințele legale.
 

Inteligența artificială poate eficientiza procesele de recrutare, dar vine la pachet cu obligații legale semnificative. Angajatorii trebuie să trateze cu seriozitate conformitatea atât cu AI Act, cât și cu GDPR, pentru a evita riscurile legale și reputaționale.

Recomandare: începeți din timp cu auditul sistemelor IA, evaluarea impactului asupra protecției datelor pentru fiecare sistem IA utilizat, instruirea personalului privind supravegherea IA și actualizarea politicilor interne și notelor de informare a persoanelor vizate de prelucrarea datelor. Conformarea proactivă va face diferența între inovație responsabilă și expunere la sancțiuni.