O companie solicită un credit. Răspunsul vine în câteva secunde: refuzat. Nicio întâlnire, nicio discuție, nicio explicație dincolo de un email standard. Decizia a fost luată de un algoritm, iar solicitantul nu are nicio idee ce anume a determinat rezultatul sau cum ar putea să îl conteste. Nu e un scenariu ipotetic. Se întâmplă zilnic în sectorul financiar european, iar problema reală nu e că algoritmii iau decizii, ci că cei afectați nu pot face aproape nimic concret în legătură cu asta.

De la drepturi pe hârtie la drepturi în practică

În forma în care e aplicată de cele mai multe ori, transparența riscă să rămână o simplă formalitate. Și asta e o problemă pe care Hategan Digital o vede constant în practică. Informarea nu e suficientă dacă nu vine la pachet cu puterea de a înțelege, de a contesta și de a obține o corectare reală.

Trei drepturi fundamentale din dreptul Uniunii Europene contează aici în mod direct, și anume protecția datelor, nediscriminarea și dreptul la un remediu efectiv. Nu sunt principii abstracte. Funcționează ca o structură logică, pentru că informația are valoare doar dacă deschide calea contestării. Iar contestarea e relevantă doar dacă poate duce la un remediu real. Dacă una dintre verigi lipsește, întregul lanț se rupe.

Ce face protecția datelor

Protecția datelor nu e doar o chestiune tehnică despre cine stochează ce și unde. Este un drept procedural care stabilește cum poate fi folosită informația pentru a produce efecte juridice asupra unei companii sau persoane. Fără garanții solide, relația dintre solicitant și instituția financiară devine dezechilibrată. Dinamica e simplă și se derulează după scenariul instituția vede, clasifică și decide, iar clientul nu poate verifica sau corecta ceea ce îl definește în ochii sistemului.

Nediscriminarea contează la fel de mult. În creditare, clasificarea e inevitabilă. Dar devine problematică atunci când criteriile sunt opace sau când reproduc inegalități istorice. Fără o justificare pe care solicitantul să o poată înțelege și fără posibilitatea de a cere o revizuire, egalitatea rămâne un principiu teoretic.

Iar dreptul la un remediu efectiv rămâne testul final. Un drept este real și efectiv doar dacă poate fi exercitat, verificat și reparat. Posibilitatea formală de a depune o plângere nu înseamnă nimic dacă nu există capacitatea reală de a obține o reevaluare autentică a deciziei.

Ce spune Articolul 22 GDPR și de ce contează hotărârea SCHUFA

Articolul 22 din GDPR se aplică atunci când o persoană sau companie e supusă unei decizii bazate exclusiv pe prelucrare automată, care produce efecte juridice sau un impact semnificativ. Refuzul unui credit, modificarea costurilor, limitarea accesului la anumite produse, toate intră aici.

Hotărârea SCHUFA din 2023, pronunțată de Curtea de Justiție a Uniunii Europene, a clarificat un lucru esențial. Dacă un scor automatizat determină în fapt decizia finală, atunci întreaga procedură intră sub incidența articolului 22. Nu contează ce etichetă pune instituția pe proces. Nu contează dacă un angajat semnează formal rezultatul. Ceea ce contează este efectul real. Responsabilitatea juridică urmează decizia, nu forma ei.

Asta închide una dintre cele mai frecvente portițe de evitare, materializată prin prezentarea unei decizii ca fiind revizuită de un operator uman când, de fapt, scorul automat a dictat rezultatul de la început.

Compliance de vitrină- ce înseamnă în practică

Din experiența a peste două decenii de activitate, Hategan Digital identifică mai multe mecanisme prin care instituțiile pot respecta formal cerințele legale fără a oferi o protecție reală.

Supravegherea umană pur simbolică e probabil cel mai frecvent exemplu. Cineva revizuiește decizia algoritmului, dar nu are nici informațiile, nici autoritatea să o schimbe. Apoi sunt explicațiile vagi, cele care răspund tehnic la cerința de transparență dar nu spun nimic util despre ce factori au contat și de ce. Există și canalele de contestare fără putere reală de a modifica rezultatul. Și, poate cel mai frustrant, fragmentarea responsabilității, fluxul urmând scenariul compania trimite la bancă, banca trimite la furnizorul de scoring, furnizorul trimite înapoi la bancă. Nimeni nu e responsabil, toată lumea e conformă.

Iar acestea nu sunt deloc cazuri izolate. Sunt tipare structurale ale guvernanței automatizate. Fără o ancorare în drepturile fundamentale și fără o arhitectură procedurală clară, garanțiile GDPR pot rămâne doar pe hârtie.

Un cadru procedural minimal care chiar funcționează

Av. Ioana Chiper Zah, Managing Asociat la Hategan Attorneys, împreună cu Cristina Donia Bodnariuc, fondator Lexethica și cercetător în guvernanța și răspunderea IA, au propus un cadru minimal de garanții procedurale pentru deciziile financiare automatizate. Propunerea a fost dezvoltată într-un articol academic elaborat în contextul dezbaterilor deschise de Conferința NAIL 2026 „AI, Finance & Law: Innovation, Integrity, and the Future of Markets" (Hamburg Network for AI & Law). Cadrul are patru elemente, fiecare construit pe cel precedent.

Notificare clară și la timp. Compania afectată trebuie să știe că a fost luată o decizie automatizată, ce rol a jucat automatizarea și ce opțiuni de contestare are. Nu după ce caută prin termeni și condiții, ci în momentul în care decizia produce efecte.

Motive inteligibile. Nu codul sursă al algoritmului și nu secrete comerciale. Dar factori concreți care au influențat decizia și datele personale care au fost decisive, prezentate într-un limbaj pe care destinatarul îl poate înțelege.

Revizuire umană autentică. O persoană competentă, cu acces la informațiile relevante și cu autoritatea de a schimba rezultatul. Dacă revizuirea umană nu poate modifica decizia, nu e revizuire.

Remediu efectiv. Un mecanism care corectează atât rezultatul individual, cât și eventualele erori sistemice din spatele deciziei.

Unde se leagă asta de AI Act și de noua Directivă privind creditul de consum

Cadrul procedural propus nu este doar un exercițiu academic. Se aliniază cu direcția clară a reglementării europene. AI Act clasifică sistemele de inteligență artificială utilizate în evaluarea bonității și scoring-ul de credit ca sisteme cu risc ridicat (high-risk). Asta înseamnă obligații concrete, care trebuie să se regăsească în  documentare tehnică detaliată, sisteme de management al riscului, supraveghere umană efectivă, transparență față de utilizatori și obligația de a menține jurnale de activitate. Nu sunt recomandări. Sunt cerințe cu sancțiuni.

În paralel, noua Directivă privind creditul de consum (Directiva 2023/2225) întărește regulile privind evaluarea bonității. Impune ca evaluarea să se bazeze pe informații relevante și exacte, să nu se limiteze la prelucrarea automată și să ofere o explicație clară în cazul refuzului. Prin urmare, se creează o obligație de transparență substanțială, nu doar formală.

Împreună, GDPR, AI Act și Directiva privind creditul de consum formează un cadru convergent. Instituțiile financiare care construiesc acum proceduri reale de transparență, contestare și remediu nu doar respectă legea. Se pregătesc pentru un mediu de reglementare care va deveni tot mai exigent.

Ce înseamnă asta pentru companii

Într-un ecosistem financiar tot mai dependent de automatizare, protecția nu poate fi redusă la o simplă informare bifată într-o casetă. Integritatea deciziilor nu depinde de cât de transparent e un algoritm în sine, ci de cât de contestabile și reparabile sunt rezultatele sale.

Companiile care operează în servicii financiare, fie bănci, fintech-uri sau asigurători, trebuie să depășească stadiul de checklist. Direcția reglementară e limpede. Iar cele care construiesc acum garanții procedurale reale vor fi mai bine poziționate decât cele care vor încerca să le adauge ulterior, sub presiune.

Hategan Digital lucrează cu companii la intersecția dintre tehnologie și reglementare. Proiectăm cadre de guvernanță AI care respectă cerințele GDPR, AI Act și legislația sectorială, menținând focusul pe ceea ce protejează cu adevărat afacerea: sisteme care nu sunt doar tehnic conforme, ci care rezistă atunci când sunt contestate.