Niciunul dintre cele douăsprezece modele majore de IA evaluate nu trece pragul de conformitate cu RGPD și AI Act, iar riscul care până acum apăsa asupra integratorilor devine, în sfârșit, măsurabil, documentabil și opozabil. Aceasta este concluzia benchmark-ului LARA (Legal Assessment for Real-world Agents), publicat pe 27 mai 2026 de fundația de cercetare non-profit Aithos. Verdictul este clar: niciunul dintre modelele evaluate nu îndeplinește pe deplin cerințele de reglementare ale Uniunii Europene, iar unele încalcă regulile europene în până la 93% dintre cazurile studiate. Dintre cele douăsprezece modele testate, Claude Opus 4.1 de la Anthropic obține cel mai bun scor, de aproximativ 54% conformitate, în timp ce Gemini 3.1 Pro de la Google coboară la 10%. Constatarea vine la zece luni după intrarea în aplicare a obligațiilor AI Act pentru furnizorii de modele cu uz general, aplicabile din 2 august 2025. Articolul 25 al regulamentului, intrat în vigoare la 1 august 2024 și aplicabil integral din 2 august 2026, consacrase deja co-responsabilitatea integratorului în textul legal: ceea ce schimbă LARA este trecerea de la un risc teoretic la un risc cuantificat, model cu model.
O grilă de 3.000 de scenarii, douăsprezece modele, puțini supraviețuitori
LARA se bazează pe peste 3.000 de scenarii care acoperă principalele riscuri vizate de RGPD și AI Act. Protocolul plasează fiecare model în situații agentice în care trebuie să navigheze dileme juridice sau de reglementare: obținerea consimțământului înainte de colectare, evitarea profilării psihologice, refuzul de a manipula un utilizator, protejarea publicurilor vulnerabile, asigurarea transparenței deciziilor automatizate. Cele mai frecvente neconformități documentate privesc utilizarea datelor personale fără o bază legală clară, crearea implicită de profiluri psihologice și comportamente susceptibile să influențeze sau să manipuleze utilizatorii. Clasamentul este sever: între vârf (Claude Opus 4.1) și coadă (Gemini 3.1 Pro), modelele OpenAI, Meta, Mistral AI, xAI și DeepSeek afișează, la rândul lor, rate semnificative de neconformitate în mai multe categorii. Aithos, fundație non-profit al cărei director de cercetare este Daan Henselmans, a publicat studiul pe propria platformă Substack pe 27 mai 2026; lucrarea nu este peer-reviewed și nu a primit o acreditare reglementară formală. Formularea autorului rezumă fără ocolișuri concluzia: «Niciun model de vârf nu atinge niveluri acceptabile de conformitate în raport cu AI Act și legislația europeană privind viața privată» (traducere liberă). Articolul sursă nu precizează nici data testelor, nici versiunile exacte ale modelelor evaluate, dincolo de cele două menționate - o zonă de ambiguitate metodologică pe care documentația publică a instrumentului nu o clarifică nici până astăzi.
Conformitate RGPD / AI Act — benchmark LARA de la Aithos (mai 2026, 3.000+ scenarii)
| Model | Furnizor | Rată de conformitate |
|---|---|---|
| Claude Opus 4.1 | Anthropic | ~54% |
| Gemini 3.1 Pro | ~10% | |
| Modele OpenAI, Meta, Mistral AI, xAI, DeepSeek | Diverse | Nepublicat individual |
Niciunul dintre cele 12 modele testate nu îndeplinește pe deplin cerințele europene. Unele încalcă regulile în până la 93% dintre cazuri. Sursa: Aithos LARA benchmark, mai 2026.
Articolul 25 AI Act: integratorul devine co-furnizor, iar asta se știa deja
Mecanismul juridic central pe care LARA îl operationalizează nu este nou. Articolul 25 alineatul 1 din AI Act, înscris în regulamentul intrat în vigoare la 1 august 2024 și aplicabil începând cu 2 august 2026, prevede că un operator care modifică destinația de utilizare a unui sistem de IA cu risc ridicat sau care își aplică marca asupra acestuia devine co-furnizor. În practică, această calificare declanșează aplicarea directă a articolului 16, care definește baza obligațiilor furnizorului: gestionarea riscurilor, documentația tehnică, monitorizarea post-comercializare. Un DPO care integrează un model generalist într-un caz de utilizare cu risc ridicat moștenește, prin acest mecanism, același regim probator ca editorul din amonte.
Deasupra acestei co-responsabilități integrator-furnizor, se aplică în paralel regimul specific furnizorilor de modele cu uz general. Articolul 53 stabilește, începând cu 2 august 2025, obligațiile specifice furnizorilor de modele de IA cu uz general: documentație, politică de respectare a drepturilor de autor, rezumat al datelor de antrenare. În caz de neconformitate, articolul 101 al regulamentului plafonează amenzile pentru aceiași furnizori la 3% din cifra de afaceri anuală globală sau 15 milioane de euro, fiind reținută suma cea mai mare - un putere de sancționare pe care Comisia o va exercita însă abia începând cu 2 august 2026.
Aithos pune accentul pe veriga integratorului: «companiile care își construiesc propriii agenți IA peste aceste modele ar putea fi, de asemenea, trase la răspundere legal» (traducere liberă). Fundația adaugă, într-o rezervă metodologică asumată, că «sistemele GenAI nu sunt încă pregătite să fie implementate în medii puternic reglementate fără controale și garanții suplimentare» (traducere liberă). Co-responsabilitatea exista deja în texte; LARA o transformă într-o măsură cuantificată, model cu model - un nivel de analiză pe care departamentele juridice nu îl aveau încă în această formă, utilizabil ca piesă pregătitoare de audit. Această trecere, de la risc teoretic la risc documentat, schimbă datele problemei pentru direcțiile juridice, mai mult decât scorul în sine.
Precedente, sancțiuni efective și stratul de conformitate care se finanțează
Constatarea LARA apare într-un peisaj de reglementare tensionat. În Italia, Garante della Privacy a aplicat în decembrie 2024 o amendă de 15 milioane de euro către OpenAI pentru prelucrarea datelor cu caracter personal prin ChatGPT, potrivit informațiilor publicate la acel moment, în continuitatea procedurii deschise în 2023 - ActuIA documentase deja restricționarea inițială a serviciului în Italia. Această sancțiune a fost anulată în apel de Tribunalul din Roma în primul trimestru al anului 2026 pe un motiv procedural: Data Protection Commission din Irlanda devenise autoritatea principală pentru OpenAI din februarie 2024, astfel încât Garante nu mai avea competență în cadrul mecanismului one-stop-shop al RGPD. Pe fondul probatoriu, însă, dosarul rămâne complet deschis. Pe partea furnizorilor, Meta a preferat să suspende lansarea europeană a modelelor sale multimodale Llama 3 decât să înfrunte tripticul DMA/RGPD/AI Act - un semnal că evitarea geografică rămâne o opțiune pentru actorii care consideră expunerea prea costisitoare. La celălalt capăt, piața se pregătește: start-up-ul ZeroDrift, care dezvoltă un middleware de conformitate poziționat între LLM-uri și utilizatorii finali, a anunțat, potrivit propriilor comunicări, o rundă de finanțare de 10 milioane de dolari la începutul lunii iunie 2026, la câteva zile după publicarea LARA. La data de 8 iunie 2026, niciunul dintre furnizorii menționați - Anthropic, Google, OpenAI, Meta, Mistral AI, xAI, DeepSeek - nu contestase public metodologia Aithos, nu revendicase un scor și nu propusese un protocol alternativ. Blocajul se află într-o tăcere a textului: AI Act nu precizează distribuția sarcinii probei între furnizorul modelului cu uz general și operator atunci când un prejudiciu este constatat la un utilizator final. În acest vid vor trebui tranșate primele cauze ajunse în fața autorităților naționale de supraveghere, începând cu 2 august 2026.