Ce este și de ce contează pachetul „Digital Omnibus” pentru România
de Corneliu Coteț și Armand Epurescu
Comisia Europeană a lansat în noiembrie 2025 un nou pachet legislativ cunoscut sub numele de „Digital Omnibus”, menit să simplifice și să armonizeze cadrul legislativ european din domeniul digital. Inițiativa modifică simultan mai multe acte legislative ale UE care reglementează datele, confidențialitatea, securitatea cibernetică și guvernanța platformelor, și include în paralel un pachet separat de modificări pentru AI Act.
Obiectivul declarat al Comisiei este reducerea fragmentării (Figura 1) și a poverii administrative pentru companii, în special pentru IMM-uri, într-un context în care ecosistemul digital european a devenit din ce în ce mai complex. În ultimii ani, UE a adoptat o serie de reglementări majore: GDPR, Data Act, Digital Services Act, Digital Markets Act, NIS2 sau DORA care creează împreună un cadru ambițios, dar uneori dificil de aplicat în practică.
Obiectivul declarat al Comisiei este reducerea fragmentării (Figura 1) și a poverii administrative pentru companii, în special pentru IMM-uri, într-un context în care ecosistemul digital european a devenit din ce în ce mai complex. În ultimii ani, UE a adoptat o serie de reglementări majore: GDPR, Data Act, Digital Services Act, Digital Markets Act, NIS2 sau DORA care creează împreună un cadru ambițios, dar uneori dificil de aplicat în practică.
Figura 1: Problema actuală vs soluția Omnibus
Pachetul Digital Omnibus este structurat în două componente principale (Figura 2). Prima, Digital Omnibus Regulation, propune modificări ale mai multor acte legislative europene din domeniul datelor, confidențialității și securității cibernetice. A doua, Digital Omnibus on AI, vizează ajustarea calendarului și a unor mecanisme de implementare prevăzute de AI Act. În ansamblu, inițiativa urmărește să reducă fragmentarea cadrului legislativ digital european prin simplificarea procedurilor, eliminarea suprapunerilor dintre diferite instrumente normative și recalibrarea unor obligații existente, în special în domeniul guvernanței datelor și al inteligenței artificiale (IA). Totuși, propunerile nu se limitează la aspecte administrative: ele includ și modificări cu impact substanțial, precum ajustarea modului în care este interpretată noțiunea de date personale sau clarificarea condițiilor în care datele pot fi utilizate pentru dezvoltarea și operarea sistemelor de IA.
Pentru statele membre, inclusiv România, implicația este importantă: deși multe dintre aceste acte europene se aplică direct, ecosistemul legislativ național construit în jurul lor trebuie adaptat. Fără aceste ajustări există riscul de suprapuneri normative, proceduri administrative redundante sau chiar lacune instituționale în aplicarea regulilor europene.
Pentru statele membre, inclusiv România, implicația este importantă: deși multe dintre aceste acte europene se aplică direct, ecosistemul legislativ național construit în jurul lor trebuie adaptat. Fără aceste ajustări există riscul de suprapuneri normative, proceduri administrative redundante sau chiar lacune instituționale în aplicarea regulilor europene.
Figura 2: Arhitectura Digital Omnibus
1. Integrarea ePrivacy în GDPR și implicațiile pentru Legea 506/2004
Una dintre modificările semnificative propuse prin pachetul Digital Omnibus vizează reorganizarea cadrului european privind confidențialitatea comunicațiilor electronice. În concret, propunerea presupune integrarea regulilor privind accesul la dispozitive și utilizarea cookie-urilor în cadrul GDPR, ceea ce ar conduce, în practică, la eliminarea directivei ePrivacy ca instrument legislativ separat și la transferul principalelor sale prevederi în arhitectura GDPR.
Această schimbare urmărește să reducă fragmentarea actuală a cadrului normativ european privind protecția datelor și confidențialitatea online. În prezent, regulile privind protecția datelor personale sunt reglementate prin GDPR, în timp ce accesul la terminale (de exemplu, stocarea sau citirea informațiilor pe dispozitivele utilizatorilor) este reglementat prin directiva ePrivacy. Această dualitate a generat, în practică, interpretări divergente și o proliferare a mecanismelor de consimțământ: fenomenul cunoscut drept „cookie fatigue”. Integrarea acestor reguli în GDPR urmărește astfel armonizarea mecanismelor de consimțământ și simplificarea aplicării regulilor privind confidențialitatea online.
Pentru România, această evoluție ridică însă o serie de implicații legislative directe. Domeniul confidențialității comunicațiilor electronice este reglementat în principal prin Legea nr. 506/2004, care transpune directiva ePrivacy în dreptul intern. Dacă directiva este abrogată sau absorbită în GDPR, anumite dispoziții ale acestei legi riscă să rămână fără fundament în dreptul european sau să devină incompatibile cu noua structură normativă.
Riscul nu este unul pur tehnic. În lipsa unei intervenții legislative, pot apărea suprapuneri între normele naționale și cele europene, ceea ce ar genera incertitudine juridică atât pentru operatorii economici, cât și pentru autoritățile de reglementare. De exemplu, obligațiile privind utilizarea cookie-urilor sau accesul la dispozitive ar putea fi reglementate simultan prin GDPR și prin prevederi naționale rămase din transpunerea directivei ePrivacy. În practică, o astfel de situație ar complica conformitatea pentru companii și ar crea dificultăți de aplicare pentru autorități.
În acest context, o primă prioritate pentru România ar trebui să fie realizarea unui audit legislativ sistematic al Legii 506/2004, pentru a identifica prevederile care devin redundante sau incompatibile cu noul cadru european. Pe baza acestui exercițiu, ar putea fi elaborat un pachet legislativ de armonizare, care să includă atât abrogări, cât și amendamente punctuale.
În paralel, autoritățile competente, în special Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și Autoritatea Națională pentru Administrare și Reglementare în Comunicații (ANCOM), ar putea dezvolta ghiduri interpretative comune privind aplicarea noilor reguli privind cookies și accesul la dispozitive. Astfel de orientări ar contribui la clarificarea cadrului de conformitate pentru operatorii economici și ar reduce riscul unor interpretări divergente în aplicarea legislației.
Una dintre modificările semnificative propuse prin pachetul Digital Omnibus vizează reorganizarea cadrului european privind confidențialitatea comunicațiilor electronice. În concret, propunerea presupune integrarea regulilor privind accesul la dispozitive și utilizarea cookie-urilor în cadrul GDPR, ceea ce ar conduce, în practică, la eliminarea directivei ePrivacy ca instrument legislativ separat și la transferul principalelor sale prevederi în arhitectura GDPR.
Această schimbare urmărește să reducă fragmentarea actuală a cadrului normativ european privind protecția datelor și confidențialitatea online. În prezent, regulile privind protecția datelor personale sunt reglementate prin GDPR, în timp ce accesul la terminale (de exemplu, stocarea sau citirea informațiilor pe dispozitivele utilizatorilor) este reglementat prin directiva ePrivacy. Această dualitate a generat, în practică, interpretări divergente și o proliferare a mecanismelor de consimțământ: fenomenul cunoscut drept „cookie fatigue”. Integrarea acestor reguli în GDPR urmărește astfel armonizarea mecanismelor de consimțământ și simplificarea aplicării regulilor privind confidențialitatea online.
Pentru România, această evoluție ridică însă o serie de implicații legislative directe. Domeniul confidențialității comunicațiilor electronice este reglementat în principal prin Legea nr. 506/2004, care transpune directiva ePrivacy în dreptul intern. Dacă directiva este abrogată sau absorbită în GDPR, anumite dispoziții ale acestei legi riscă să rămână fără fundament în dreptul european sau să devină incompatibile cu noua structură normativă.
Riscul nu este unul pur tehnic. În lipsa unei intervenții legislative, pot apărea suprapuneri între normele naționale și cele europene, ceea ce ar genera incertitudine juridică atât pentru operatorii economici, cât și pentru autoritățile de reglementare. De exemplu, obligațiile privind utilizarea cookie-urilor sau accesul la dispozitive ar putea fi reglementate simultan prin GDPR și prin prevederi naționale rămase din transpunerea directivei ePrivacy. În practică, o astfel de situație ar complica conformitatea pentru companii și ar crea dificultăți de aplicare pentru autorități.
În acest context, o primă prioritate pentru România ar trebui să fie realizarea unui audit legislativ sistematic al Legii 506/2004, pentru a identifica prevederile care devin redundante sau incompatibile cu noul cadru european. Pe baza acestui exercițiu, ar putea fi elaborat un pachet legislativ de armonizare, care să includă atât abrogări, cât și amendamente punctuale.
În paralel, autoritățile competente, în special Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și Autoritatea Națională pentru Administrare și Reglementare în Comunicații (ANCOM), ar putea dezvolta ghiduri interpretative comune privind aplicarea noilor reguli privind cookies și accesul la dispozitive. Astfel de orientări ar contribui la clarificarea cadrului de conformitate pentru operatorii economici și ar reduce riscul unor interpretări divergente în aplicarea legislației.
Tabel 1: Integrarea ePrivacy în GDPR – implicații pentru România
2. Modificările GDPR și impactul asupra Legii 190/2018
Un al doilea set de schimbări propuse prin pachetul Digital Omnibus vizează ajustări ale Regulamentului general privind protecția datelor (GDPR), în special în domeniul procedurilor de conformitate și al utilizării datelor în contexte de inovare digitală. Propunerile urmăresc, în principal, reducerea poverii administrative pentru organizații și clarificarea unor zone în care interpretările actuale sunt considerate prea restrictive sau neuniforme la nivelul Uniunii Europene.
Printre modificările relevante se numără ajustări privind cererile de acces la date (Data Subject Access Requests - DSAR), evaluările de impact privind protecția datelor (Data Protection Impact Assessments - DPIA), notificarea incidentelor de securitate, precum și temeiurile legale pentru prelucrarea datelor, inclusiv în contextul dezvoltării și operării sistemelor de inteligență artificială. În ansamblu, aceste modificări încearcă să clarifice modul în care organizațiile pot gestiona cererile de acces excesive sau abuzive, să armonizeze metodologia DPIA la nivel european și să ofere mai multă predictibilitate juridică pentru utilizarea datelor în activități de cercetare și inovare.
În cazul cererilor de acces la date, propunerea introduce posibilitatea ca operatorii să refuze sau să taxeze anumite solicitări considerate excesive sau nejustificate, în special atunci când acestea nu urmăresc în mod real exercitarea drepturilor privind protecția datelor. De asemenea, Digital Omnibus propune clarificarea faptului că solicitările trebuie să fie suficient de specifice, pentru a evita situațiile în care operatorii sunt obligați să proceseze cereri extrem de largi sau nedeterminate.
În ceea ce privește evaluările de impact privind protecția datelor, pachetul introduce ideea unor liste și metodologii armonizate la nivel european, dezvoltate sub coordonarea Comitetului European pentru Protecția Datelor (EDPB). Scopul este reducerea fragmentării actuale, în care fiecare autoritate națională poate avea propriile criterii sau liste privind situațiile în care este necesară realizarea unei DPIA.
De asemenea, sunt propuse ajustări ale regulilor privind notificarea incidentelor de securitate, inclusiv extinderea termenului pentru notificare și armonizarea pragurilor de raportare. În paralel, pachetul introduce clarificări privind utilizarea interesului legitim și a altor temeiuri legale pentru prelucrarea datelor în contextul dezvoltării inteligenței artificiale, precum și o interpretare mai flexibilă a conceptului de „cercetare științifică”, care ar putea include activități de inovare tehnologică desfășurate de sectorul privat.
Pentru România, aceste evoluții au implicații directe asupra cadrului legislativ existent. Deși GDPR este un regulament european aplicabil direct, implementarea sa în dreptul intern este completată prin Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR, care stabilește anumite reguli și clarificări la nivel național. În cazul modificării GDPR, unele dintre prevederile acestei legi sau practicile administrative dezvoltate în jurul ei ar putea deveni nealiniate cu noul cadru european.
Problema nu se limitează la aspecte strict legislative. În practică, interpretările divergente ale cererilor DSAR sau ale obligațiilor privind DPIA pot genera litigii, controale administrative inconsistent aplicate sau incertitudine pentru operatori. Dacă statele membre nu își ajustează cadrul legislativ și orientările administrative, există riscul apariției unor diferențe semnificative în aplicarea noilor reguli.
În acest context, România ar putea adopta o abordare proactivă printr-un set de măsuri relativ limitate, dar esențiale pentru asigurarea coerenței normative. În primul rând, ar fi utilă realizarea unei analize de conformitate („gap analysis”) a Legii 190/2018, pentru a identifica eventualele prevederi care devin redundante sau incompatibile cu modificările propuse la nivel european. Pe baza acestei analize, ar putea fi pregătite amendamente legislative punctuale, menite să alinieze legislația națională la noua arhitectură a GDPR.
În paralel, un rol important îl pot avea orientările administrative. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) ar putea elabora ghiduri sau clarificări privind aplicarea noilor reguli referitoare la cererile DSAR, evaluările DPIA și notificarea incidentelor de securitate. Astfel de instrumente ar contribui la reducerea incertitudinii juridice și la asigurarea unei aplicări uniforme a cadrului european în România.
În ansamblu, modificările propuse prin Digital Omnibus nu schimbă obiectivele fundamentale ale GDPR, dar recalibrează modul în care anumite obligații sunt aplicate în practică. Pentru România, provocarea principală nu este adoptarea unor reforme legislative majore, ci adaptarea cadrului existent pentru a reflecta clarificările introduse la nivel european și pentru a preveni apariția unor incoerențe între dreptul european și legislația națională.
Un al doilea set de schimbări propuse prin pachetul Digital Omnibus vizează ajustări ale Regulamentului general privind protecția datelor (GDPR), în special în domeniul procedurilor de conformitate și al utilizării datelor în contexte de inovare digitală. Propunerile urmăresc, în principal, reducerea poverii administrative pentru organizații și clarificarea unor zone în care interpretările actuale sunt considerate prea restrictive sau neuniforme la nivelul Uniunii Europene.
Printre modificările relevante se numără ajustări privind cererile de acces la date (Data Subject Access Requests - DSAR), evaluările de impact privind protecția datelor (Data Protection Impact Assessments - DPIA), notificarea incidentelor de securitate, precum și temeiurile legale pentru prelucrarea datelor, inclusiv în contextul dezvoltării și operării sistemelor de inteligență artificială. În ansamblu, aceste modificări încearcă să clarifice modul în care organizațiile pot gestiona cererile de acces excesive sau abuzive, să armonizeze metodologia DPIA la nivel european și să ofere mai multă predictibilitate juridică pentru utilizarea datelor în activități de cercetare și inovare.
În cazul cererilor de acces la date, propunerea introduce posibilitatea ca operatorii să refuze sau să taxeze anumite solicitări considerate excesive sau nejustificate, în special atunci când acestea nu urmăresc în mod real exercitarea drepturilor privind protecția datelor. De asemenea, Digital Omnibus propune clarificarea faptului că solicitările trebuie să fie suficient de specifice, pentru a evita situațiile în care operatorii sunt obligați să proceseze cereri extrem de largi sau nedeterminate.
În ceea ce privește evaluările de impact privind protecția datelor, pachetul introduce ideea unor liste și metodologii armonizate la nivel european, dezvoltate sub coordonarea Comitetului European pentru Protecția Datelor (EDPB). Scopul este reducerea fragmentării actuale, în care fiecare autoritate națională poate avea propriile criterii sau liste privind situațiile în care este necesară realizarea unei DPIA.
De asemenea, sunt propuse ajustări ale regulilor privind notificarea incidentelor de securitate, inclusiv extinderea termenului pentru notificare și armonizarea pragurilor de raportare. În paralel, pachetul introduce clarificări privind utilizarea interesului legitim și a altor temeiuri legale pentru prelucrarea datelor în contextul dezvoltării inteligenței artificiale, precum și o interpretare mai flexibilă a conceptului de „cercetare științifică”, care ar putea include activități de inovare tehnologică desfășurate de sectorul privat.
Pentru România, aceste evoluții au implicații directe asupra cadrului legislativ existent. Deși GDPR este un regulament european aplicabil direct, implementarea sa în dreptul intern este completată prin Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR, care stabilește anumite reguli și clarificări la nivel național. În cazul modificării GDPR, unele dintre prevederile acestei legi sau practicile administrative dezvoltate în jurul ei ar putea deveni nealiniate cu noul cadru european.
Problema nu se limitează la aspecte strict legislative. În practică, interpretările divergente ale cererilor DSAR sau ale obligațiilor privind DPIA pot genera litigii, controale administrative inconsistent aplicate sau incertitudine pentru operatori. Dacă statele membre nu își ajustează cadrul legislativ și orientările administrative, există riscul apariției unor diferențe semnificative în aplicarea noilor reguli.
În acest context, România ar putea adopta o abordare proactivă printr-un set de măsuri relativ limitate, dar esențiale pentru asigurarea coerenței normative. În primul rând, ar fi utilă realizarea unei analize de conformitate („gap analysis”) a Legii 190/2018, pentru a identifica eventualele prevederi care devin redundante sau incompatibile cu modificările propuse la nivel european. Pe baza acestei analize, ar putea fi pregătite amendamente legislative punctuale, menite să alinieze legislația națională la noua arhitectură a GDPR.
În paralel, un rol important îl pot avea orientările administrative. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) ar putea elabora ghiduri sau clarificări privind aplicarea noilor reguli referitoare la cererile DSAR, evaluările DPIA și notificarea incidentelor de securitate. Astfel de instrumente ar contribui la reducerea incertitudinii juridice și la asigurarea unei aplicări uniforme a cadrului european în România.
În ansamblu, modificările propuse prin Digital Omnibus nu schimbă obiectivele fundamentale ale GDPR, dar recalibrează modul în care anumite obligații sunt aplicate în practică. Pentru România, provocarea principală nu este adoptarea unor reforme legislative majore, ci adaptarea cadrului existent pentru a reflecta clarificările introduse la nivel european și pentru a preveni apariția unor incoerențe între dreptul european și legislația națională.
Tabel 2: Modificările GDPR – implicații pentru România
3. Single Entry Point pentru raportarea incidentelor
Un alt element important introdus prin pachetul Digital Omnibus este crearea unui Single Entry Point (SEP) pentru raportarea incidentelor de securitate la nivelul UE (Figura 3). Propunerea vizează centralizarea procesului de notificare a incidentelor într-un portal unic administrat de Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA), care ar permite organizațiilor să transmită raportări într-un singur loc, chiar și atunci când acestea intră sub incidența mai multor regimuri legislative.
Un alt element important introdus prin pachetul Digital Omnibus este crearea unui Single Entry Point (SEP) pentru raportarea incidentelor de securitate la nivelul UE (Figura 3). Propunerea vizează centralizarea procesului de notificare a incidentelor într-un portal unic administrat de Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA), care ar permite organizațiilor să transmită raportări într-un singur loc, chiar și atunci când acestea intră sub incidența mai multor regimuri legislative.
Figura 3: Raportarea incidentelor înainte și după Omnibus
În prezent, ecosistemul european de raportare a incidentelor este fragmentat. Un incident de securitate informatică poate declanșa simultan obligații de notificare în baza GDPR, NIS2, Digital Operational Resilience Act (DORA) sau Critical Entities Resilience Directive (CER). Aceste obligații sunt adresate unor autorități diferite și pot implica termene sau proceduri distincte. În practică, această situație generează costuri administrative ridicate pentru organizații și poate crea confuzii privind modul de raportare a incidentelor.
Prin introducerea unui portal unic, CE urmărește simplificarea fluxurilor de raportare și reducerea redundanțelor administrative, permițând transmiterea unui singur set de informații către un punct centralizat, care ar putea ulterior distribui raportarea către autoritățile relevante.
Pentru statele membre, această schimbare ridică însă o serie de implicații instituționale și procedurale. În România, directiva NIS2 a fost transpusă prin OUG nr. 155/2024 și Legea nr. 124/2025, care stabilesc cadrul național pentru raportarea incidentelor de securitate cibernetică și rolul autorităților competente. Introducerea unui mecanism european unic de raportare necesită ajustări ale acestui cadru, pentru a evita situațiile în care organizațiile ar trebui să transmită notificări atât prin SEP, cât și prin mecanismele naționale existente.
În lipsa unei alinieri legislative, există riscul apariției unui sistem paralel de raportare, în care operatorii economici ar trebui să respecte simultan obligații de notificare la nivel european și național. Acest lucru ar contraveni chiar obiectivului principal al Digital Omnibus, acela de a simplifica conformitatea și de a reduce povara administrativă.
Pentru a preveni aceste probleme, România ar trebui să adapteze legislația națională astfel încât raportarea prin Single Entry Point să fie recunoscută ca mecanism valid de notificare în cadrul regimului NIS2 și al altor instrumente relevante. În paralel, ar fi necesară dezvoltarea unui mecanism intern de triere a notificărilor, care să permită distribuirea automată a informațiilor către autoritățile competente.
De asemenea, implementarea SEP ar putea necesita integrarea infrastructurilor IT naționale cu platforma europeană, precum și definirea unor proceduri de rezervă („fallback procedures”) în cazul în care portalul centralizat nu este disponibil.
În ansamblu, introducerea unui Single Entry Point reprezintă un pas important către armonizarea și simplificarea regimurilor de raportare a incidentelor în Uniunea Europeană. Pentru România, însă, beneficiile acestui mecanism depind în mare măsură de capacitatea de a adapta rapid cadrul legislativ și instituțional existent, astfel încât noul sistem să reducă efectiv povara administrativă pentru organizații și să îmbunătățească coordonarea între autoritățile competente.
Prin introducerea unui portal unic, CE urmărește simplificarea fluxurilor de raportare și reducerea redundanțelor administrative, permițând transmiterea unui singur set de informații către un punct centralizat, care ar putea ulterior distribui raportarea către autoritățile relevante.
Pentru statele membre, această schimbare ridică însă o serie de implicații instituționale și procedurale. În România, directiva NIS2 a fost transpusă prin OUG nr. 155/2024 și Legea nr. 124/2025, care stabilesc cadrul național pentru raportarea incidentelor de securitate cibernetică și rolul autorităților competente. Introducerea unui mecanism european unic de raportare necesită ajustări ale acestui cadru, pentru a evita situațiile în care organizațiile ar trebui să transmită notificări atât prin SEP, cât și prin mecanismele naționale existente.
În lipsa unei alinieri legislative, există riscul apariției unui sistem paralel de raportare, în care operatorii economici ar trebui să respecte simultan obligații de notificare la nivel european și național. Acest lucru ar contraveni chiar obiectivului principal al Digital Omnibus, acela de a simplifica conformitatea și de a reduce povara administrativă.
Pentru a preveni aceste probleme, România ar trebui să adapteze legislația națională astfel încât raportarea prin Single Entry Point să fie recunoscută ca mecanism valid de notificare în cadrul regimului NIS2 și al altor instrumente relevante. În paralel, ar fi necesară dezvoltarea unui mecanism intern de triere a notificărilor, care să permită distribuirea automată a informațiilor către autoritățile competente.
De asemenea, implementarea SEP ar putea necesita integrarea infrastructurilor IT naționale cu platforma europeană, precum și definirea unor proceduri de rezervă („fallback procedures”) în cazul în care portalul centralizat nu este disponibil.
În ansamblu, introducerea unui Single Entry Point reprezintă un pas important către armonizarea și simplificarea regimurilor de raportare a incidentelor în Uniunea Europeană. Pentru România, însă, beneficiile acestui mecanism depind în mare măsură de capacitatea de a adapta rapid cadrul legislativ și instituțional existent, astfel încât noul sistem să reducă efectiv povara administrativă pentru organizații și să îmbunătățească coordonarea între autoritățile competente.
Tabel 3: Single Entry Point (SEP) – implicații pentru România
4. Consolidarea cadrului legislativ privind datele
O altă direcție importantă a pachetului Digital Omnibus este reorganizarea cadrului european privind guvernanța și accesul la date. Propunerea urmărește consolidarea mai multor instrumente legislative existente într-un cadru mai coerent, în care Data Act ar deveni principalul pilon al reglementării economiei datelor în Uniunea Europeană. În acest context, anumite elemente ale Data Governance Act (DGA), Open Data Directive (ODD) și Free Flow of Non-Personal Data Regulation ar urma să fie integrate sau absorbite în arhitectura Data Act.
Obiectivul acestei reforme este reducerea fragmentării legislative și simplificarea modului în care organizațiile și administrațiile publice interacționează cu diferitele regimuri juridice privind accesul, reutilizarea și partajarea datelor. În forma actuală, ecosistemul european al datelor este reglementat printr-o serie de instrumente distincte, fiecare cu propriile concepte, proceduri și mecanisme administrative. Pentru operatorii economici și pentru autoritățile publice, această fragmentare poate crea dificultăți de interpretare și costuri suplimentare de conformitate.
Prin transformarea Data Act într-un cadru central al legislației privind datele, CE urmărește crearea unei arhitecturi normative mai clare și mai ușor de aplicat. În același timp, această consolidare presupune ajustarea modului în care statele membre și-au organizat legislația și procedurile administrative în domeniul datelor.
Pentru România, implicațiile sunt în special relevante în domeniul datelor publice și al reutilizării informațiilor din sectorul public. În ultimii ani, mai multe acte normative, programe și structuri administrative au fost dezvoltate în jurul instrumentelor europene existente, în special Open Data Directive și Data Governance Act. Dacă aceste instrumente sunt integrate sau modificate în cadrul Data Act, există riscul ca unele dintre aceste reglementări naționale să devină parțial redundante sau să rămână ancorate într-o arhitectură europeană care nu mai există în aceeași formă.
În lipsa unei actualizări legislative, administrațiile naționale ar putea ajunge să opereze într-un cadru normativ fragmentat, în care coexistă reguli europene consolidate și acte naționale construite pe baza unor instrumente europene separate. O astfel de situație ar putea genera suprapuneri normative, proceduri administrative paralele și incertitudine pentru utilizatorii de date, în special pentru actorii care reutilizează date din sectorul public.
Pentru a preveni aceste probleme, România ar putea adopta o abordare sistematică, bazată pe trei pași principali. În primul rând, ar fi utilă realizarea unui inventar al actelor normative și procedurilor administrative relevante în domeniul datelor, inclusiv cele legate de reutilizarea datelor publice, guvernanța datelor sau partajarea datelor între sectorul public și cel privat. În al doilea rând, pe baza acestui inventar, ar putea fi pregătit un pachet legislativ de armonizare („cleanup package”), care să includă abrogări, amendamente sau consolidări ale actelor normative existente. În al treilea rând, ar putea fi revizuite procedurile administrative aplicabile instituțiilor publice pentru a reflecta noua arhitectură europeană a guvernanței datelor.
În ansamblu, consolidarea cadrului legislativ european privind datele poate reprezenta o oportunitate pentru simplificarea ecosistemului normativ și pentru facilitarea accesului la date în economia digitală. Totuși, beneficiile acestei reforme depind în mare măsură de capacitatea statelor membre de a alinia legislația națională și procedurile administrative la noua arhitectură europeană.
O altă direcție importantă a pachetului Digital Omnibus este reorganizarea cadrului european privind guvernanța și accesul la date. Propunerea urmărește consolidarea mai multor instrumente legislative existente într-un cadru mai coerent, în care Data Act ar deveni principalul pilon al reglementării economiei datelor în Uniunea Europeană. În acest context, anumite elemente ale Data Governance Act (DGA), Open Data Directive (ODD) și Free Flow of Non-Personal Data Regulation ar urma să fie integrate sau absorbite în arhitectura Data Act.
Obiectivul acestei reforme este reducerea fragmentării legislative și simplificarea modului în care organizațiile și administrațiile publice interacționează cu diferitele regimuri juridice privind accesul, reutilizarea și partajarea datelor. În forma actuală, ecosistemul european al datelor este reglementat printr-o serie de instrumente distincte, fiecare cu propriile concepte, proceduri și mecanisme administrative. Pentru operatorii economici și pentru autoritățile publice, această fragmentare poate crea dificultăți de interpretare și costuri suplimentare de conformitate.
Prin transformarea Data Act într-un cadru central al legislației privind datele, CE urmărește crearea unei arhitecturi normative mai clare și mai ușor de aplicat. În același timp, această consolidare presupune ajustarea modului în care statele membre și-au organizat legislația și procedurile administrative în domeniul datelor.
Pentru România, implicațiile sunt în special relevante în domeniul datelor publice și al reutilizării informațiilor din sectorul public. În ultimii ani, mai multe acte normative, programe și structuri administrative au fost dezvoltate în jurul instrumentelor europene existente, în special Open Data Directive și Data Governance Act. Dacă aceste instrumente sunt integrate sau modificate în cadrul Data Act, există riscul ca unele dintre aceste reglementări naționale să devină parțial redundante sau să rămână ancorate într-o arhitectură europeană care nu mai există în aceeași formă.
În lipsa unei actualizări legislative, administrațiile naționale ar putea ajunge să opereze într-un cadru normativ fragmentat, în care coexistă reguli europene consolidate și acte naționale construite pe baza unor instrumente europene separate. O astfel de situație ar putea genera suprapuneri normative, proceduri administrative paralele și incertitudine pentru utilizatorii de date, în special pentru actorii care reutilizează date din sectorul public.
Pentru a preveni aceste probleme, România ar putea adopta o abordare sistematică, bazată pe trei pași principali. În primul rând, ar fi utilă realizarea unui inventar al actelor normative și procedurilor administrative relevante în domeniul datelor, inclusiv cele legate de reutilizarea datelor publice, guvernanța datelor sau partajarea datelor între sectorul public și cel privat. În al doilea rând, pe baza acestui inventar, ar putea fi pregătit un pachet legislativ de armonizare („cleanup package”), care să includă abrogări, amendamente sau consolidări ale actelor normative existente. În al treilea rând, ar putea fi revizuite procedurile administrative aplicabile instituțiilor publice pentru a reflecta noua arhitectură europeană a guvernanței datelor.
În ansamblu, consolidarea cadrului legislativ european privind datele poate reprezenta o oportunitate pentru simplificarea ecosistemului normativ și pentru facilitarea accesului la date în economia digitală. Totuși, beneficiile acestei reforme depind în mare măsură de capacitatea statelor membre de a alinia legislația națională și procedurile administrative la noua arhitectură europeană.
Tabel 4: Consolidarea cadrului legislativ privind datele – implicații pentru România
5. Implementarea AI Act în contextul modificărilor Omnibus
Pachetul Digital Omnibus include și o componentă dedicată ajustării mecanismelor de implementare ale AI Act. Modificările propuse nu schimbă arhitectura fundamentală a AI Act, bazată pe o abordare de tip risk-based, însă introduc anumite ajustări privind calendarul de implementare, obligațiile administrative și mecanismele de guvernanță.
În special, pachetul Omnibus urmărește să ofere mai multă flexibilitate în aplicarea obligațiilor pentru sistemele IA considerate cu risc ridicat, corelând intrarea în vigoare a unor cerințe cu disponibilitatea standardelor tehnice și a ghidurilor de implementare. De asemenea, sunt propuse anumite măsuri de simplificare administrativă, inclusiv extinderea unor facilități pentru întreprinderile mici și mijlocii și consolidarea rolului AI Office în coordonarea supravegherii la nivel european.
Cu toate acestea, aceste ajustări nu modifică o realitate fundamentală a AI Act: implementarea efectivă a regulamentului depinde în mare măsură de structurile instituționale ale statelor membre. Regulamentul impune fiecărui stat desemnarea unor autorități competente pentru supravegherea sistemelor AI, stabilirea unor mecanisme de cooperare cu instituțiile europene și dezvoltarea unor proceduri administrative pentru evaluarea conformității și aplicarea sancțiunilor.
În cazul României, cadrul instituțional pentru implementarea AI Act este încă în curs de definire. Deși unele instituții precum Autoritatea pentru Digitalizarea României (ADR), Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPCD) sau Directoratul Național de Securitate Cibernetică (DNSC) au competențe relevante în domenii conexe, nu există încă o arhitectură instituțională clară dedicată supravegherii sistemelor IA.
În lipsa unor desemnări explicite și a unei coordonări instituționale clare, există riscul apariției unui gol instituțional în momentul în care obligațiile AI Act devin pe deplin aplicabile. Un astfel de scenariu ar putea genera incertitudine pentru operatorii economici, dificultăți în aplicarea normelor și o capacitate limitată a autorităților de a interveni în cazurile de neconformitate.
În acest context, o opțiune pragmatică pentru România ar fi adoptarea unei legi naționale de implementare a AI Act, care să clarifice arhitectura instituțională și procedurile administrative necesare aplicării regulamentului. O astfel de lege ar putea stabili autoritățile competente pentru diferitele categorii de sisteme IA, mecanismele de cooperare cu instituțiile europene și procedurile de investigare și sancționare.
În paralel, implementarea AI Act ar necesita și dezvoltarea capacității administrative a instituțiilor relevante, inclusiv prin programe de formare și dezvoltare a expertizei tehnice. În mod particular, sectorul public ar avea nevoie de instrumente de orientare și programe de AI literacy, mai ales în domenii precum achizițiile publice sau utilizarea sistemelor IA în administrație.
În ansamblu, modificările introduse prin Digital Omnibus oferă statelor membre o marjă mai mare de adaptare în implementarea AI Act. Totuși, succesul acestui proces depinde în mare măsură de capacitatea guvernelor naționale de a construi rapid structuri instituționale funcționale și mecanisme administrative clare, care să asigure aplicarea coerentă a cadrului european.
Pachetul Digital Omnibus include și o componentă dedicată ajustării mecanismelor de implementare ale AI Act. Modificările propuse nu schimbă arhitectura fundamentală a AI Act, bazată pe o abordare de tip risk-based, însă introduc anumite ajustări privind calendarul de implementare, obligațiile administrative și mecanismele de guvernanță.
În special, pachetul Omnibus urmărește să ofere mai multă flexibilitate în aplicarea obligațiilor pentru sistemele IA considerate cu risc ridicat, corelând intrarea în vigoare a unor cerințe cu disponibilitatea standardelor tehnice și a ghidurilor de implementare. De asemenea, sunt propuse anumite măsuri de simplificare administrativă, inclusiv extinderea unor facilități pentru întreprinderile mici și mijlocii și consolidarea rolului AI Office în coordonarea supravegherii la nivel european.
Cu toate acestea, aceste ajustări nu modifică o realitate fundamentală a AI Act: implementarea efectivă a regulamentului depinde în mare măsură de structurile instituționale ale statelor membre. Regulamentul impune fiecărui stat desemnarea unor autorități competente pentru supravegherea sistemelor AI, stabilirea unor mecanisme de cooperare cu instituțiile europene și dezvoltarea unor proceduri administrative pentru evaluarea conformității și aplicarea sancțiunilor.
În cazul României, cadrul instituțional pentru implementarea AI Act este încă în curs de definire. Deși unele instituții precum Autoritatea pentru Digitalizarea României (ADR), Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPCD) sau Directoratul Național de Securitate Cibernetică (DNSC) au competențe relevante în domenii conexe, nu există încă o arhitectură instituțională clară dedicată supravegherii sistemelor IA.
În lipsa unor desemnări explicite și a unei coordonări instituționale clare, există riscul apariției unui gol instituțional în momentul în care obligațiile AI Act devin pe deplin aplicabile. Un astfel de scenariu ar putea genera incertitudine pentru operatorii economici, dificultăți în aplicarea normelor și o capacitate limitată a autorităților de a interveni în cazurile de neconformitate.
În acest context, o opțiune pragmatică pentru România ar fi adoptarea unei legi naționale de implementare a AI Act, care să clarifice arhitectura instituțională și procedurile administrative necesare aplicării regulamentului. O astfel de lege ar putea stabili autoritățile competente pentru diferitele categorii de sisteme IA, mecanismele de cooperare cu instituțiile europene și procedurile de investigare și sancționare.
În paralel, implementarea AI Act ar necesita și dezvoltarea capacității administrative a instituțiilor relevante, inclusiv prin programe de formare și dezvoltare a expertizei tehnice. În mod particular, sectorul public ar avea nevoie de instrumente de orientare și programe de AI literacy, mai ales în domenii precum achizițiile publice sau utilizarea sistemelor IA în administrație.
În ansamblu, modificările introduse prin Digital Omnibus oferă statelor membre o marjă mai mare de adaptare în implementarea AI Act. Totuși, succesul acestui proces depinde în mare măsură de capacitatea guvernelor naționale de a construi rapid structuri instituționale funcționale și mecanisme administrative clare, care să asigure aplicarea coerentă a cadrului european.
Tabel 5: Implementarea AI Act – implicații pentru România
