Pe 18 februarie 2026, Agenția Spaniolă pentru Protecția Datelor (AEPD) a publicat „Liniile directoare privind inteligența artificială agentică din perspectiva protecției datelor”, menite să ajute operatorii de date și persoanele împuternicite de operatori să identifice riscurile care apar atunci când se utilizează agenți IA în prelucrarea datelor cu caracter personal. Mesajul de bază este clar: IA agentică necesită o revizuire a modului în care este guvernată prelucrarea datelor și a modului în care sunt protejate drepturile persoanelor.
AEPD clarifică faptul că nu intenționează să rezolve un caz specific, ci mai degrabă să ofere un cadru pentru gestionarea caracteristicilor unice ale acestei tehnologii. Nu este un ghid despre solicitări, ci mai degrabă despre modul în care prelucrarea datelor se schimbă atunci când sistemul planifică, consultă instrumente, accesează memoria și execută acțiuni cu diferite grade de autonomie.
Ce înțelege AEPD prin IA agentică
AEPD definește IA agentică ca fiind sisteme capabile să acționeze autonom pentru a atinge obiective. Spre deosebire de un model reactiv, agentul poate descompune sarcini, utiliza instrumente, consulta memoria și executa acțiuni în mai mulți pași.
Cu alte cuvinte, IA agentică nu este doar „un alt chatbot”. Există cel puțin patru elemente care explică de ce Agenția Spaniolă pentru Protecția Datelor (AEPD) i-a dedicat un ghid specific:
Lucrează pentru obiective, nu doar instrucțiuni izolate. Agentul nu doar răspunde: poate planifica subsarcini și poate înlănțui pași pentru a obține un rezultat, implicând diferite sisteme și niveluri de încredere.
Poate utiliza instrumente și se poate conecta cu lumea exterioară. Aceste sisteme pot interacționa cu multiple servicii și surse externe, ceea ce extinde suprafața de expunere și explică de ce analiza nu poate fi limitată la LLM (Modelul de Management al Învățării) izolat.
Poate încorpora memorie. Memoria permite contextualizarea acțiunilor viitoare, dar poate conține și date personale și prejudecăți dacă nu există reguli clare pentru păstrare și ștergere.
Poate opera cu diferite niveluri de autonomie. AEPD face distincția între agenții care doar propun și agenții care execută. Cu cât autonomia este mai mare, cu atât sunt mai mari cerințele de supraveghere, minimizare, explicabilitate și reversibilitate.
Ce schimbă abordarea protecției datelor?
Introducerea IA agentică într-o activitate de prelucrare a datelor îi modifică natura: poate reduce riscurile existente, dar poate crea și altele noi. Prin urmare, Agenția Spaniolă pentru Protecția Datelor (AEPD) solicită un proces redeschis de analiză și gestionare a riscurilor.
Autonomia agentului mută accentul analizei asupra comportamentului general al sistemului: ceea ce interoghează, își amintește, partajează, deduce și execută. Acest lucru poate afecta părțile interesate, datele, fluxurile de lucru, perioadele de păstrare, transparența și scopurile.
Ghidul clarifică, de asemenea, faptul că IA agentială nu necesită automat o Evaluare a Impactului asupra Protecției Datelor (DPIA) în toate cazurile, dar poate necesita una – sau o revizuire a uneia existente – dacă modifică riscul evaluat inițial.
Riscurile care preocupă cel mai mult Agenția Spaniolă pentru Protecția Datelor (AEPD)
Ghidul abordează riscuri specifice și merge dincolo de un avertisment generic despre „utilizarea IA cu precauție”.
Opacitate și un fals sentiment de control. Utilizatorii și dezvoltatorii pot să nu înțeleagă pe deplin modul în care agentul ia decizii. Combinația dintre inferența distribuită, instrumentele externe și memoria poate crea o aparență de fiabilitate, împiedicând în același timp explicabilitatea, auditarea și supravegherea umană.
Supraîncărcarea datelor, memoria persistentă și profilarea. Păstrarea unui context prea mare sau reutilizarea memoriei între instanțe poate transfera date irelevante și poate profila utilizatorii sistemului dacă înregistrările nu sunt limitate, pseudonimizate și expirate.
Accesul excesiv la informații și încălcarea principiului de minimizare. Agenții cu acces autonom la mai multe surse pot efectua extragere masivă de date sau pot transmite mai multe date decât este necesar.
Injecția promptă și amenințările indirecte. Instrucțiunile rău intenționate pot fi încorporate într-un site web, e-mail sau document accesat de agent.
Scurgeri din umbră sau infiltrare silențioasă a datelor. De asemenea, avertizează asupra scurgerilor din umbră: răspunsuri parțiale care permit reconstrucția informațiilor confidențiale.
Ce măsuri recomandă organizațiilor Agenția Spaniolă pentru Protecția Datelor (AEPD)?
Răspunsul AEPD este structural: guvernanță și design, nu doar avertismente sau validări finale.
În primul rând, necesită integrarea inteligenței artificiale agențice în guvernanța prelucrării datelor și implicarea responsabilului cu protecția datelor (RPD) încă din etapa de proiectare.
În al doilea rând, pune accent pe confidențialitate prin proiectare: prelucrarea doar a datelor necesare și menținerea trasabilității și explicabilității.
În al treilea rând, solicită măsuri tehnice concrete: minimizarea granulară, filtrarea între componente și eliminarea metadatelor inutile.
De asemenea, solicită limitarea utilizării memoriei și a jurnalelor, pseudonimizarea înregistrărilor și stabilirea datelor de expirare.
În cele din urmă, operatorul de date trebuie să definească și să documenteze autonomia agentului în funcție de context și risc. „Regula celor doi” avertizează împotriva combinării intrărilor necontrolate, a datelor sensibile și a acțiunilor automatizate.
