Modulul 3 — Politica de Utilizare AI

Pro-Lex IT · Material Didactic Online

Modulul 3
Politica de
Utilizare AI

Ghid practic pentru angajații și colaboratorii organizațiilor din Republica Moldova. Ce este permis, ce este interzis și de ce contează când folosim instrumente de inteligență artificială.

3.1

Ce instrumente AI folosim deja? Inventar

⏱ 20 min

3.2

Riscuri: date sensibile în AI public

⏱ 30 min

3.3

Reguli de utilizare acceptabilă

⏱ 25 min

3.4

Ce NU se poate trimite unui AI extern

⏱ 20 min

3.5

Exercițiu: permis vs. interzis

⏱ 25 min

3.1 · Inventar instrumente AI

Ce este AI-ul și cum îl folosim deja?

⏱ 20 min

Inteligența artificială (AI) nu mai este un concept de viitor. Mulți dintre noi o folosim deja zilnic — uneori fără să realizăm. Înainte de a stabili reguli, trebuie să facem un inventar sincer al instrumentelor pe care le folosim.

💡 Ce înseamnă „AI public" sau „AI extern"?
Un sistem AI public sau extern este orice platformă sau aplicație AI care rulează pe serverele unei companii terțe (nu pe serverele organizației tale). Când trimiți text, imagini sau fișiere unui astfel de sistem, datele tale ajung pe serverele acelei companii.

Categorii principale de instrumente AI utilizate în organizații

💬

Asistenți conversaționali (Chatbot AI)

ChatGPT · Google Gemini · Microsoft Copilot · Claude (Anthropic)

Folosite pentru: redactarea textelor, rezumarea documentelor, generarea de răspunsuri la email, brainstorming, traduceri, explicarea unor concepte.

Risc mediu-ridicat

🌐

Traduceri automate

Google Translate · DeepL · Microsoft Translator

Folosite pentru: traducerea documentelor, email-urilor, rapoartelor. Atenție: textul introdus este procesat pe serverele externe.

Risc mediu

🖼️

Generatoare de imagini / prezentări

Canva AI · DALL·E · Midjourney · Gamma.app

Folosite pentru: crearea de materiale vizuale, prezentări, postere. Pot procesa prompts care conțin informații sensibile.

Risc scăzut-mediu

🎙️

Transcriere audio / video

Whisper · Otter.ai · Microsoft Teams (transcripție)

Folosite pentru: transcrierea ședințelor, interviurilor, înregistrărilor. Risc ridicat dacă ședința conține date personale sau confidențiale.

Risc ridicat

🔍

AI integrat în aplicații existente

Copilot în Word/Excel/Outlook · Gmail AI · Notion AI

Cel mai „invizibil" tip — funcționează în aplicații pe care deja le folosești. Regulile se aplică și aici, chiar dacă nu pare un „chat cu AI".

Risc mediu

3.1 · Cum funcționează AI-ul extern

Ce se întâmplă cu datele când le trimiți unui AI?

Pentru a înțelege riscurile, trebuie să știi ce se întâmplă tehnic când folosești un instrument AI extern. Procesul este simplu:

1

Tu introduci textul (promptul) Scrii un mesaj, dai copy-paste dintr-un document sau încarci un fișier. Conținutul poate include date personale, informații financiare sau date confidențiale — chiar și accidental.

2

Datele sunt trimise pe Internet la serverele companiei Textul tău pleacă de pe calculatorul tău la serverele OpenAI (ChatGPT), Google (Gemini), Anthropic (Claude) etc. Acestea pot fi în SUA, UE sau alte jurisdicții.

3

Modelul procesează datele și generează răspunsul Datele tale sunt procesate de modelul AI al companiei respective. Politica de confidențialitate a companiei determină ce se întâmplă cu ele în continuare.

4

Datele pot fi reținute și folosite pentru antrenarea modelului În funcție de termenii serviciului și setările de confidențialitate, datele introduse pot fi stocate și folosite pentru a îmbunătăți modelul. Versiunile gratuite prezintă un risc mai mare.

!

Concluzie: datele pot ajunge în afara controlului organizației Odată trimise, nu mai ai control asupra datelor. Nici organizația ta nu poate cere ștergerea lor cu certitudine.

⚠️ Exemplu concret Moldova: O angajată a unui ONG din Chișinău copiază o fișă de beneficiar (cu nume, CNP, diagnostic) în ChatGPT pentru a genera un raport. Datele acelei persoane ajung pe serverele OpenAI în SUA, potențial incluse în viitoare antrenamente ale modelului. Aceasta este o încălcare a Legii 133/2011 și a GDPR (transfer ilegal de date către un stat terț fără garanții adecvate).

3.1 · Exercițiu de inventar

Facem inventarul împreună

Înainte de a stabili reguli, trebuie să știi ce instrumente folosesc angajații organizației tale. Completați acest inventar pentru organizația voastră:

Instrument AI	Cine îl folosește?	Pentru ce?	Date introduse?	Autorizat?
ChatGPT	De completat	De completat	De completat	Neclar
Google Translate	De completat	De completat	De completat	Neclar
DeepL	De completat	De completat	De completat	Neclar
Copilot (Microsoft)	De completat	De completat	De completat	Neclar
Canva AI	De completat	De completat	De completat	Neclar
Altele:	Adăugați instrumentele specifice organizației voastre

🎯 Obiectiv după acest exercițiu: Fiecare organizație ar trebui să aibă o listă aprobată de instrumente AI pe care angajații le pot folosi, cu precizarea clară a condițiilor de utilizare. Instrumentele neautorizate nu trebuie folosite pentru activitatea organizațională.

📋 Discuție de grup

Câte instrumente AI ați identificat în organizația voastră? Există instrumente pe care le folosiți dar care nu sunt oficializate? Ce date ați introdus în ele până acum?

Studiile arată că în majoritatea organizațiilor, 40-70% din utilizarea AI este „shadow AI" — adică angajații folosesc instrumente AI personal, fără știrea organizației. Problema nu este tehnologia în sine, ci faptul că datele organizației (inclusiv date personale ale beneficiarilor) ajung în sisteme neautorizate și necontrolate. Inventarul sincer este primul pas spre o politică eficientă.

3.1 · Diferențe între instrumente

Nu toate instrumentele AI sunt la fel de riscante

Riscul unui instrument AI depinde de politica sa de confidențialitate, locația serverelor și modul în care gestionează datele introduse.

Instrument	Servere	Date folosite pt. antrenare?	Plan Enterprise disponibil?	Nivel risc
ChatGPT (gratuit)	SUA	Da (implicit)	Nu	Ridicat
ChatGPT (Plus/Enterprise)	SUA	Nu (cu setări corecte)	Da	Mediu
Google Translate (gratuit)	SUA/UE	Da (implicit)	Nu	Ridicat
DeepL Pro	Germania (UE)	Nu (versiunea Pro)	Da	Mediu-scăzut
Microsoft Copilot (M365 Enterprise)	UE (tenant propriu)	Nu	Da	Scăzut
Gemini (gratuit)	SUA	Da (implicit)	Nu	Ridicat

📌 Concluzie practică: Versiunile gratuite ale oricărui instrument AI prezintă cel mai mare risc — datele sunt adesea folosite pentru îmbunătățirea modelului. Versiunile Enterprise sau Pro oferă garanții contractuale. Pentru datele sensibile ale organizației, nicio versiune gratuită nu este acceptabilă.

📚 Surse OpenAI Privacy Policy: openai.com/policies/privacy-policy
DeepL Data Security: deepl.com/ro/security
Microsoft Copilot Data Protection: learn.microsoft.com

3.2 · Riscuri și confidențialitate

Ce riscuri concrete apar când folosim AI necontrolat?

⏱ 30 min

Utilizarea necontrolată a instrumentelor AI externe poate cauza daune reale — organizației, beneficiarilor, angajaților. Să le înțelegem concret.

Harta riscurilor — de la minor la critic

Scurgerea datelor personale ale beneficiarilor — CNP, adresă, diagnostic, situație socială trimise în ChatGPT pentru redactarea unui raport

CRITIC

Transferul datelor în state fără protecție adecvată — Serverele OpenAI/Google sunt în SUA; transferul fără garanții încalcă GDPR art. 46

CRITIC

Divulgarea informațiilor financiare confidențiale — Bugete, salarii, contracte cu parteneri introduse în AI pentru analiză

RIDICAT

Expunerea strategiei organizației — Planuri de proiecte, propuneri de finanțare, strategii interne procesate de AI extern

RIDICAT

Informații despre litigii sau procese juridice — Detalii despre cazuri juridice în derulare trimise pentru analiză sau traducere

RIDICAT

Dependența excesivă și dezinformarea — AI poate genera informații false (hallucination). Decizii bazate pe output AI neverificat.

MEDIU

Reproducerea neautorizată a conținutului protejat — Utilizarea outputului AI în documente publice fără verificarea drepturilor de autor

MODERAT

3.2 · Scenarii reale de risc

Cum arată un incident AI în practică?

Aceste scenarii sunt construite pe baza tipurilor de incidente raportate în organizații similare din Europa. Ele nu sunt cazuri ipotetice — se întâmplă frecvent.

🔴 Scenariu A — Asistenț social, raion Ungheni

Raluca, asistentă socială, trebuie să redacteze un raport de evaluare pentru un beneficiar. Pentru a economisi timp, copiază fișa beneficiarului (inclusiv CNP, diagnostic de sănătate mintală, adresă) în ChatGPT cu mesajul: „Scrie un raport profesional pe baza acestor informații".

Prompt introdus în ChatGPT: "Ion Popescu, CNP 1234567890123, str. Libertății 5, Ungheni, diagnosticat cu depresie severă, beneficiar al serviciului de asistență socială. Scrie un raport de evaluare."

Ce s-a întâmplat greșit:
🔴 Date personale + date sensibile (diagnostic psihiatric) trimise pe serverele OpenAI în SUA — transfer ilegal de date (GDPR art. 44-49).
🔴 Fără consimțământul beneficiarului pentru această prelucrare.
🔴 Date medicale (categorie specială) procesate fără temei legal adecvat.

Consecințe posibile:
• Amendă pentru organizație de la ANDPDCP (până la 50 000 MDL sau mai mult sub GDPR).
• Daune de reputație pentru organizație.
• Pierderea încrederii beneficiarului.
• Răspundere personală a angajatei.

Soluție corectă: Redactați raportul manual sau folosiți un instrument AI autorizat de organizație, care rulează intern, fără a introduce date identificabile.

🟡 Scenariu B — Contabilă, ONG Chișinău

Mihaela, contabilă, primește un tabel Excel cu salariile tuturor angajaților și trebuie să îl traducă din română în engleză pentru un raport pentru un finanțator extern. Folosește Google Translate pentru a traduce fișierul.

Da, este o problemă:
🟡 Datele salariale sunt date personale confidențiale ale angajaților.
🟡 Google Translate (versiunea gratuită) procesează datele pe serverele Google și le poate folosi pentru îmbunătățirea serviciului.
🟡 Angajații nu au consimțit la transmiterea datelor lor salariale unui terț.

Soluție corectă: Folosiți DeepL Pro (cu sediu în Germania, fără antrenare pe date utilizatorilor Pro) sau Microsoft Word cu traducere integrată în M365 Enterprise, sau traduceți manual datele sensibile.

3.2 · Riscuri de calitate

AI poate greși — și greșelile pot fi costisitoare

Pe lângă riscurile de confidențialitate, există un risc de calitate: AI-ul poate genera informații false, incomplete sau inaplicabile contextului moldovenesc.

🎭

Hallucination (halucinație AI)

AI-ul inventează fapte, articole de lege, surse sau statistici care par reale dar sunt false. Exemplu: ChatGPT poate cita un articol din Legea 133/2011 care nu există.

🌍

Context neadaptat Moldovei

AI-ul a fost antrenat predominant pe date din SUA/UE. Legislația, procedurile și contextul social moldovenesc pot fi prezentate greșit sau incomplet.

📅

Date depășite

Modelele AI au o dată-limită a cunoașterii (cutoff date). Legislația, procedurile ANDPDCP sau regulamentele moldovenești modificate recent pot să nu fie reflectate corect.

⚖️

Sfaturi juridice nevalide

AI-ul nu poate oferi consiliere juridică valabilă. A folosi outputul AI ca bază pentru decizii juridice sau contractuale fără verificare de specialist este riscant.

✅ Regula de aur pentru calitate: Orice informație importantă generată de AI (date statistice, articole de lege, proceduri) trebuie verificată manual în sursa originală înainte de a fi utilizată în documente oficiale sau decizii.

📋 Exemplu de hallucination documentat

Avocați americani au folosit ChatGPT pentru a redacta documente juridice. AI-ul a citat 6 cazuri judiciare inexistente cu titluri, date și detalii inventate complet. Avocații nu au verificat și au depus documentele în instanță. Au primit sancțiuni disciplinare.

Lecție aplicată în Moldova:
• Nu utilizați AI pentru a genera citate din legi sau reglementări fără a verifica textul original pe legis.md.
• Nu folosiți statistici generate de AI fără a le verifica pe statistica.gov.md sau andpdcp.md.
• Nu trimiteți documente generate de AI fără revizuire umană competentă.
• AI este un asistent, nu un expert.

3.2 · Cadrul legal aplicabil

Ce spune legea despre utilizarea AI și datele personale?

Nu există încă o lege specifică AI în Republica Moldova, dar utilizarea AI care implică date personale este reglementată de legislația existentă.

Act normativ	Ce prevede relevant pentru AI	Sancțiuni posibile
Legea 133/2011 (Protecția datelor, Moldova)	Interzice transferul datelor personale în state terțe fără garanții adecvate. Impune temeiul legal pentru orice prelucrare, inclusiv prin instrumente AI.	Până la 50 000 MDL pentru persoane juridice (art. 29)
GDPR (UE 2016/679)	Art. 44-49: Transferul de date în SUA/alte state necesită mecanisme de garanție (SCCs, BCRs). Lipsa acestora este amendabilă. Aplicabil când procesați date ale cetățenilor UE.	Până la 20 milioane EUR sau 4% din cifra de afaceri globală
AI Act (UE) — în vigoare 2024-2026	Reglementează utilizarea sistemelor AI în UE. Sisteme cu risc ridicat (ex: scorare socială, recrutare) au cerințe stricte. Se va aplica treptat.	Până la 35 milioane EUR sau 7% din cifra de afaceri
Legea 16/2019 (Securitatea cibernetică, Moldova)	Impune obligații de securitate pentru operatorii de date. Utilizarea instrumentelor AI neautorizate poate constitui o vulnerabilitate de securitate.	Sancțiuni administrative și penale

📌 Surse oficiale:
• AI Act (UE): eur-lex.europa.eu
• Ghid EDPB privind AI și GDPR: edpb.europa.eu
• Legea 133/2011: legis.md

3.3 · Reguli de utilizare acceptabilă

Politica de utilizare AI a organizației

⏱ 25 min

O politică de utilizare AI nu înseamnă „interziceți tot". Înseamnă utilizare responsabilă, sigură și eficientă. Iată cadrul recomandat pentru organizațiile din Moldova.

Principiul fundamental

🎯 Regula de bază: AI-ul este un instrument de productivitate pentru muncă generică și non-sensibilă. Nu este un depozit de date organizaționale și nu înlocuiește judecata umană în decizii importante.

Utilizare permisă ✅

Redactarea sau îmbunătățirea textelor generice (comunicări, anunțuri, prezentări) care nu conțin date personale sau confidențiale
Brainstorming de idei, generarea de titluri, structuri de documente
Traducerea textelor publice sau anonimizate
Rezumarea articolelor publice, legilor sau rapoartelor publice
Generarea de exemple, modele sau șabloane
Asistență la cod sau formule Excel (fără date reale)
Crearea de materiale de formare sau prezentări cu conținut generic

Utilizare interzisă ❌

Introducerea datelor personale ale beneficiarilor, angajaților sau clienților
Introducerea informațiilor financiare confidențiale (salarii, bugete, conturi)
Copierea documentelor interne confidențiale sau a contractelor
Utilizarea pentru decizii automate despre persoane (fără supraveghere umană)
Generarea de conținut care ar putea induce în eroare sau dezinforma
Utilizarea instrumentelor AI neaprobate de organizație
Publicarea outputului AI fără verificare și asumare de responsabilitate

3.3 · Reguli practice

Cum aplicăm regulile în activitatea zilnică?

Regulile abstracte nu ajută dacă nu știi cum să le aplici. Iată situațiile frecvente și răspunsul corect:

Situație	Acțiune corectă	Motivul
Trebuie să scriu un email de răspuns pentru un beneficiar	Cu precauție — Folosești AI numai dacă nu incluzi date personale în prompt. Scrii o variantă generică, pe care o personalizezi manual după.	Datele personale ale beneficiarului nu trebuie să apară în promptul AI.
Trebuie să traduc un raport anual public	✓ Permis — Document public, fără date personale, traducerea este acceptabilă.	Documentul este public, nu conține date confidențiale.
Trebuie să traduc un contract cu un partener	✗ Interzis prin AI public / Permis prin instrument aprobat (DeepL Pro, M365)	Contractele conțin informații confidențiale și clauze sensibile.
Vreau să rezum notele de la o ședință internă	✗ Interzis — dacă notele conțin date personale sau informații confidențiale	Ședințele conțin adesea informații strategice sau date personale.
Creez o prezentare pentru un training public	✓ Permis — Conținut generic, fără date sensibile.	Material educațional public nu conține date confidențiale.
Generez statistici despre beneficiarii organizației	✗ Interzis prin AI public — statisticile pot dezvălui indirect date personale	Chiar datele agregate pot dezvălui informații dacă grupul este mic.

✅ Tehnica „anonimizării înainte de AI": Dacă ai nevoie să folosești AI pentru un document cu date personale, anonimizează-l mai întâi: înlocuiește numele cu „Persoana A", CNP-ul cu „XXXXXXXXXXX", adresa cu „localitate din Moldova". Abia după, folosești AI pe versiunea anonimizată.

3.3 · Verificare și responsabilitate

Cine răspunde pentru outputul AI?

Un aspect important și adesea ignorat: responsabilitatea pentru outputul AI aparține utilizatorului și organizației, nu instrumentului AI.

👤

Angajatul răspunde pentru

Orice document pe care îl semnează sau publică, chiar dacă a fost generat de AI. „AI-ul a scris-o" nu este o scuză legală.

🏢

Organizația răspunde pentru

Datele introduse în AI de angajații săi. Politica de utilizare inexistentă sau neaplicată nu este o apărare în fața ANDPDCP.

⚖️

Compania AI NU răspunde pentru

Datele pe care tu le introduci. Termenii de utilizare (ToS) ale oricărui instrument AI transferă responsabilitatea utilizatorului.

Cele 3 verificări obligatorii înainte de publicarea oricărui content AI

1

Verificarea faptelor Orice cifră, dată, citare sau referință legală trebuie verificată în sursa originală. Nu presupune că AI-ul are dreptate.

2

Verificarea confidențialității Outputul nu conține accidental date personale sau confidențiale (AI poate „recompune" informații din promptul tău în răspuns).

3

Asumarea responsabilității Persoana care publică documentul trebuie să înțeleagă și să poată susține tot conținutul. Dacă nu îl înțelegi, nu îl publici.

3.3 · Checklist organizațional

Are organizația ta o politică AI adecvată?

Bifați elementele prezente în organizația voastră:

Documente și politici

Există o Politică de utilizare AI aprobată și comunicată tuturor angajaților

Lista instrumentelor AI aprobate pentru utilizare organizațională este documentată

Angajații au semnat că au luat cunoștință de politica AI

Procese operaționale

Există o procedură clară pentru cazurile în care AI-ul generează conținut greșit sau inadecvat

Angajații știu că trebuie să verifice orice output AI înainte de utilizare

Există o persoană desemnată responsabilă pentru monitorizarea utilizării AI

Securitate și conformitate

Instrumentele AI aprobate au contracte sau ToS compatibile cu GDPR/Legea 133

Angajații au primit instruire specifică despre riscurile AI (inclusiv acest training)

Versiunile gratuite ale instrumentelor AI public sunt interzise pentru date organizaționale

Există o procedură de raportare a incidentelor AI (output greșit, scurgeri de date)

0/10

Completați checklist-ul

3.4 · Ce NU se trimite AI-ului extern

Lista roșie — categorii de informații interzise

⏱ 20 min

Această secțiune este cea mai importantă din Modulul 3. Memorați și aplicați aceste categorii:

👥

Date personale ale beneficiarilor

Categorie: INTERZIS — NICIODATĂ

Orice combinație de: nume + identificator (CNP, nr. dosar, adresă). Includem și datele parțiale care permit identificarea.

Exemple: „Ion M., 45 ani, str. Trandafirilor 3, Bălți" · „beneficiarul 0045 cu dosar social activ"

🏥

Date medicale și de sănătate

Categorie: INTERZIS — date sensibile

Diagnostice, tratamente, istoricul medical, date despre dizabilități sau stare psihologică ale oricărei persoane.

💰

Informații financiare confidențiale

Categorie: INTERZIS

Salarii individuale, bugete detaliate, date bancare ale organizației, situații financiare nepublice, contracte cu valori.

⚖️

Informații juridice și litigii

Categorie: INTERZIS

Detalii despre procese juridice în derulare, corespondență cu avocați, strategii juridice, acorduri de confidențialitate (NDA).

🔑

Date de acces și securitate

Categorie: INTERZIS — ABSOLUT NICIODATĂ

Parole, chei API, certificate digitale, token-uri de acces, configurații de rețea internă.

📋

Documente interne strategice

Categorie: RESTRICȚIONAT

Planuri strategice, propuneri de finanțare nedepuse, rapoarte de audit intern, minute de ședințe confidențiale.

3.4 · Tehnica anonimizării

Cum folosești AI fără a expune date reale?

Anonimizarea este tehnica prin care înlocuiești datele reale cu date fictive înainte de a folosi AI. Astfel beneficiezi de ajutorul AI fără a expune informații confidențiale.

Principiul înlocuirii sistematice

Date reale (NU se introduc în AI)	Înlocuitor anonim (se poate introduce)
Ion Popescu	Persoana A / Beneficiarul
CNP 1234567890123	[CNP omis]
str. Trandafirilor 5, Bălți	o localitate din nordul Moldovei
Diagnosticat cu diabet tip 2	cu o afecțiune cronică
Salariu 12 500 MDL	salariu în intervalul X
Organizația „Speranța" SRL	organizația clientă
Contract nr. 45/2024, valoare 50 000 EUR	un contract de valoare semnificativă

✅ Exemplu de anonimizare corectă

Situație: Trebuie să redactezi o scrisoare de recomandare pentru un beneficiar, bazată pe fișa lui.

❌ GREȘIT — prompt cu date reale: "Ion Popescu, 52 ani, CNP 1234567890123, adresa Orhei, a participat la programul nostru 2023-2024. Diagnosticat cu hipertensiune. Scrie o scrisoare de recomandare." ✅ CORECT — prompt anonimizat: "Un beneficiar de 52 ani a participat la programul nostru de asistență în 2023-2024. Scrie o scrisoare de recomandare care subliniază progresul și angajamentul demonstrat. [Completez eu datele personale manual după]"

Abordarea corectă funcționează pentru că:
✅ AI-ul ajută la structura și formularea textului — exact la ce este bun.
✅ Nu sunt transmise date personale pe serverele externe.
✅ Tu completezi manual datele individuale în documentul final.
✅ Calitatea scrisorii este la fel de bună, riscul juridic este zero.

Regulă practică: Dacă simți nevoia să „explici contextul" AI-ului cu date reale despre o persoană, oprești-te și anonimizezi mai întâi.

3.4 · Prompturi sigure

Cum scrii un prompt sigur? Teste rapide

Înainte de a apăsa Enter, treci prin acest test mental de 3 secunde:

?

Testul 1: „Există un nume real în acest prompt?" Dacă răspunsul e DA — oprești și anonimizezi. Chiar și „Ion" singur poate fi problematic în context.

?

Testul 2: „Există un număr care identifică o persoană?" CNP, nr. dosar, nr. contract cu persoana, nr. telefon — orice identificator unic. Dacă DA — oprești.

?

Testul 3: „Aș fi confortabil dacă șeful meu ar vedea acest prompt?" Dacă răspunsul e NU sau „poate" — oprești și revizuiești.

?

Testul 4: „Instrumentul AI pe care îl folosesc este aprobat de organizație?" Dacă NU — oprești și folosești alternativa aprobată sau lucrezi fără AI.

✅ Prompturi sigure — exemple

„Ajută-mă să scriu un email de bun venit pentru noi voluntari"
„Generează 5 titluri pentru un atelier despre protecția datelor"
„Explică în termeni simpli ce înseamnă consimțământul GDPR"
„Creează o agendă pentru o ședință de 2 ore despre buget"
„Scrie o procedură generică de onboarding pentru angajați noi"

❌ Prompturi periculoase — exemple

„Analizează acest contract [text contract lipit]"
„Traduce această fișă de beneficiar [date reale]"
„Scrie un raport despre Ion M., CNP..."
„Rezumă această ședință [minute cu date personale]"
„Care este parola serverului nostru intern?" ← nu, niciodată

3.5 · Exercițiu practic

Identificarea scenariilor permise vs. interzise

⏱ 25 min

Acum testăm ce am învățat. Exercițiul are două parți:

🎮

Partea 1 — Clasificator interactiv (slide următor)

10 scenarii reale din activitatea organizațiilor moldovenești. Clasificați fiecare ca PERMIS sau INTERZIS și vedeți explicația.

✍️

Partea 2 — Rescrierea promptului (slide 18)

3 prompturi nesigure. Rescrieți-le în variante sigure, apoi comparați cu soluția propusă.

📌 Instrucțiuni: Nu există „capcane". Dacă nu ești sigur, aplică principiul precauției: tratează ca interzis până la clarificare. Scopul este să dezvolți reflexul rapid de evaluare, nu să obții scorul perfect din prima.

3.5 · Clasificator

Permis sau Interzis? Alege și verifică

Selectați pentru fiecare situație: PERMIS (poți folosi AI public gratuit) sau INTERZIS (nu poți / ai nevoie de instrument aprobat).

Scenariu 1: Copiezi fișa unui beneficiar (cu nume, adresă, CNP) în ChatGPT pentru a genera un raport de evaluare.

Date personale reale (nume + CNP + adresă) nu se introduc niciodată în AI public. Anonimizați mai întâi sau folosiți un instrument aprobat.

Scenariu 2: Folosești ChatGPT pentru a genera 5 idei de activități pentru tineri în cadrul unui proiect nou (fără a menționa date despre persoane concrete).

Conținut generic fără date personale sau confidențiale — utilizare acceptabilă. Verifică outputul înainte de a-l folosi.

Scenariu 3: Folosești Google Translate (gratuit) pentru a traduce un contract de finanțare de 200 000 EUR cu un donator internațional.

Contractele sunt documente confidențiale. Google Translate gratuit poate procesa datele pentru antrenare. Folosiți DeepL Pro sau Microsoft Translator din M365 Enterprise.

Scenariu 4: Ceri unui chatbot AI să explice în termeni simpli articolul 17 din GDPR (dreptul la ștergere).

Solicitare de informații publice, fără date personale. Permis — dar verificați informația în textul original al GDPR înainte de a o folosi în documente oficiale.

Scenariu 5: Înregistrezi o ședință internă cu minute care conțin discuții despre cazuri individuale de beneficiari și o transmiți unui serviciu AI de transcriere gratuit.

Înregistrările audio cu discuții despre beneficiari conțin date personale și sunt confidențiale. Serviciile de transcriere gratuite procesează datele audio pe servere externe.

Scenariu 6: Folosești Canva AI pentru a genera un poster grafic pentru un eveniment public al organizației (fără informații despre beneficiari).

Conținut vizual generic pentru un eveniment public — permis. Nu conține date personale sau confidențiale. Verificați drepturile de autor ale imaginilor generate.

Scenariu 7: Copiezi lista salariilor tuturor angajaților în Gemini (Google) pentru a genera o analiză comparativă.

Salariile individuale sunt date personale confidențiale. Gemini gratuit procesează datele pe serverele Google. Interzis. Alternativă: analizați manual în Excel sau cu formule, fără AI extern.

Scenariu 8: Ceri AI-ului să îți scrie un model de formular de consimțământ pentru colectarea datelor, pe care îl vei adapta și verifica cu un jurist.

Solicitare de model generic + verificare ulterioară cu specialist — utilizare corectă a AI. AI asistă, specialistul decide. Verificați că formularul reflectă Legea 133/2011, nu doar GDPR.

Scenariu 9: Introduci în ChatGPT planul strategic al organizației pentru următorii 3 ani pentru a-l reformula mai clar.

Planul strategic este informație internă confidențială — obiective, resurse, parteneri, vulnerabilități. Dacă ajunge pe serverele OpenAI, organizația pierde controlul asupra acestei informații strategice.

Scenariu 10: Folosești AI să corecteze gramatical și stilistic un comunicat de presă public înainte de publicare.

Comunicatul de presă este conținut destinat publicului — permis. Verificați outputul înainte de publicare și asumați-vă responsabilitatea pentru textul final.

Scor exercițiu: 0 / 10 corecte

3.5 · Rescrierea promptului

Transformă un prompt periculos în unul sigur

Citiți fiecare prompt periculos. Scrieți varianta sigură pe foaie sau mental, apoi verificați soluția propusă.

✏️ Exercițiu 1

PROMPT PERICULOS: "Maria Ionescu, 34 ani, din Cahul, singură cu 2 copii, a pierdut locul de muncă în mai 2024. Scrie o cerere de ajutor social în numele ei."

Probleme: Nume real, vârstă, localitate, situație familială și profesională — toate date personale.

✅ Prompt sigur:
„Scrie un model de cerere de ajutor social pentru o persoană adultă care a pierdut locul de muncă și are copii în întreținere. Menționează ce documente trebuie anexate conform legislației moldovenești."

Completezi tu manual datele reale ale Mariei în documentul final, fără a le trimite în AI.

✏️ Exercițiu 2

PROMPT PERICULOS: "Avem un contract cu ONG-ul Viitorul Luminos, valoare 75 000 EUR, scadent pe 15 decembrie 2024. Ei au întârziat cu raportul. Scrie un email de atenționare ferm dar diplomatic."

Probleme: Nume partener, valoarea contractului, termen, informații contractuale confidențiale.

✅ Prompt sigur:
„Scrie un email de atenționare ferm dar diplomatic pentru un partener contractual care a întârziat cu un raport obligatoriu. Tonul trebuie să mențină relația de colaborare dar să sublinieze importanța respectării termenelor."

Completezi tu: numele organizației, suma, termenul exact — în documentul final.

✏️ Exercițiu 3

PROMPT PERICULOS: "Angajatul Petru Vasile, 28 ani, a lipsit nemotivat 5 zile în octombrie. Salariu 9 800 MDL. Scrie o notă de avertizare conform Codului Muncii RM."

Probleme: Nume angajat, vârstă, salariu, date disciplinare — toate date personale ale unui angajat.

✅ Prompt sigur:
„Scrie un model de notă de avertizare pentru un angajat care a lipsit nemotivat mai multe zile conform Codului Muncii al Republicii Moldova. Indică ce elemente obligatorii trebuie incluse."

Personalizezi tu documentul cu datele reale ale angajatului, în afara AI-ului.

Evaluare · Modulul 3

Test de evaluare — Politica de Utilizare AI

10 întrebări. Selectați răspunsul corect. Scorul apare la final.

Întrebarea 1 / 10

Care este principalul risc al utilizării versiunilor GRATUITE ale instrumentelor AI (ChatGPT, Gemini) pentru activitatea organizației?

Calitatea răspunsurilor este mai slabă decât la versiunile plătite
Nu poți folosi mai mult de 10 întrebări pe zi
Datele introduse pot fi stocate și folosite pentru antrenarea modelului AI
Nu suportă limba română

Versiunile gratuite ale majorității instrumentelor AI (implicit) procesează și pot reține datele introduse pentru îmbunătățirea modelului. Datele organizației pot ajunge în afara controlului tău.

Întrebarea 2 / 10

Ce înseamnă „hallucination" (halucinație) în contextul AI?

Sistemul AI refuză să răspundă la întrebări sensibile
AI-ul generează informații false care par plauzibile (fapte, surse, articole de lege inexistente)
Interfața AI afișează imagini aleatorii
AI-ul traduce greșit din cauza lipsei de context

Hallucination = AI-ul generează cu încredere informații false: citează articole de lege inexistente, statistici inventate, cazuri judiciare fictive. De aceea orice informație importantă din AI trebuie verificată în sursa originală.

Întrebarea 3 / 10

Un angajat introduce într-un chatbot AI public datele personale ale unui beneficiar pentru a genera un raport. Conform Legii 133/2011, această acțiune reprezintă:

O practică acceptabilă dacă angajatul șterge conversația după
O practică acceptabilă dacă beneficiarul nu află
O problemă minoră care nu necesită notificare
Un transfer ilegal de date personale, potențial incident de securitate notificabil la ANDPDCP

Transmiterea datelor personale pe serverele unui operator AI extern (în SUA/alte state) fără garanții adecvate constituie un transfer ilegal de date (GDPR art. 44, Legea 133 art. 26). Ștergerea conversației locale nu înseamnă că datele sunt șterse de pe serverele companiei AI.

Întrebarea 4 / 10

Tehnica „anonimizării înainte de AI" înseamnă că:

Înlocuiești datele reale cu date fictive în prompt înainte de a folosi AI, și completezi datele reale manual în document după
Folosești un pseudonim pentru contul tău de AI
Ștergi istoricul conversației după fiecare sesiune
Folosești AI-ul numai în mod incognito

Anonimizarea înseamnă că trimiți AI-ului o versiune a textului fără date reale identificabile (nume → „Persoana A", CNP → omis, adresă → „localitate din Moldova") și completezi manual datele reale în documentul final.

Întrebarea 5 / 10

Care dintre aceste utilizări ale AI este PERMISĂ fără restricții speciale?

Traducerea unui contract cu un partener prin Google Translate gratuit
Generarea unui raport bazat pe fișele beneficiarilor
Generarea de idei pentru un eveniment public (fără date personale sau confidențiale)
Transcrierea automată a unei ședințe interne despre cazuri individuale

Generarea de idei pentru conținut generic, fără a introduce date personale sau confidențiale, este utilizarea ideală a AI. Celelalte opțiuni implică date confidențiale sau personale și sunt restricționate.

Întrebarea 6 / 10

Cine răspunde juridic dacă un angajat introduce date personale ale beneficiarilor în ChatGPT?

OpenAI, deoarece ei dețin și procesează datele
Atât angajatul cât și organizația, conform Legii 133/2011 și GDPR
Numai angajatul, în mod individual
Nimeni, dacă datele au fost șterse din conversație

Organizația (în calitate de operator de date) și angajatul (care a efectuat acțiunea) pot răspunde solidar. OpenAI nu este responsabil pentru datele pe care utilizatorii aleg să le introducă în serviciu — termenii lor de utilizare transferă responsabilitatea utilizatorului.

Întrebarea 7 / 10

Ce diferențiază DeepL Pro față de Google Translate gratuit în privința siguranței datelor?

DeepL Pro nu folosește AI, deci nu există riscuri
DeepL Pro este mai ieftin și mai rapid
Google Translate nu traduce în română, DeepL Pro da
DeepL Pro (sediu Germania/UE) nu antrenează modelul pe textele utilizatorilor Pro și oferă garanții GDPR

DeepL Pro are sediul în Germania (UE), oferă contracte de prelucrare GDPR-compliant și nu folosește textele clienților Pro pentru antrenarea modelului. Google Translate gratuit nu oferă aceste garanții.

Întrebarea 8 / 10

Care este „testul rapid" pe care trebuie să îl aplici înainte de a trimite un prompt unui AI extern?

Verifici dacă promptul conține nume reale, identificatori personali sau informații confidențiale
Verifici dacă promptul are mai puțin de 500 de cuvinte
Verifici dacă internetul funcționează corect
Verifici dacă abonamentul la AI este activ

Testul rapid: (1) Există un nume real? (2) Există un identificator personal? (3) Aș fi confortabil dacă șeful ar vedea acest prompt? (4) Instrumentul este aprobat de organizație? Dacă oricare din răspunsuri este negativ — oprești și revizuiești.

Întrebarea 9 / 10

AI Act (Regulamentul UE privind AI) clasifică sistemele de AI în categorii de risc. Care categorie este complet INTERZISĂ?

Sisteme AI pentru traducere automată
Sisteme AI pentru recomandări de conținut
Sisteme AI pentru „social scoring" (clasificarea cetățenilor pe baza comportamentului social) de către autorități publice
Sisteme AI pentru recunoașterea vocii

AI Act interzice complet „social scoring" — clasificarea oamenilor de către autorități publice pe baza comportamentului social. Această practică amintește de sisteme autoritare și este incompatibilă cu drepturile fundamentale europene.

Întrebarea 10 / 10

Dacă un angajat folosește un instrument AI neautorizat și datele beneficiarilor ajung pe servere externe, ce ar trebui să facă organizația?

Nimic — dacă datele nu au fost publicate, nu există incident
Evaluează dacă incidentul îndeplinește criteriile de notificare (risc pentru persoanele vizate), documentează și notifică ANDPDCP în 72h dacă este cazul
Concediază imediat angajatul
Contactează OpenAI/Google pentru ștergerea datelor și consideră incidentul închis

Procedura corectă: evaluezi riscul, documentezi în registrul incidentelor, și dacă există risc pentru drepturile persoanelor vizate, notifici ANDPDCP în 72h (Legea 133 art. 22, GDPR art. 33). Contactarea companiei AI este opțională și nu înlocuiește notificarea autorității.

0/10

Rezumat · Modulul 3

Ce reținem din Modulul 3

🔍

3.1 Inventar

Cunoaști toate instrumentele AI folosite în organizație. Versiunile gratuite = risc maxim. Fă inventarul „shadow AI".

⚡

3.2 Riscuri

Date trimise = date pierdute din control. AI poate halucina. Responsabilitatea rămâne la tine și organizație.

✅

3.3 Reguli

AI pentru muncă generică fără date sensibile. Verifici tot ce publici. Folosești doar instrumente aprobate.

🚫

3.4 Lista roșie

Date personale, medicale, financiare, juridice, parole — NICIODATĂ în AI public. Anonimizezi înainte.

🎯

3.5 Reflexul

Testul rapid: Există un nume real? Un identificator? E document confidențial? Dacă DA la oricare — nu trimiți.

Resurse pentru aprofundare

🇲🇩 Legislație Moldova:
• Legea nr. 133/2011: legis.md
• ANDPDCP — ghiduri și recomandări: andpdcp.md

🇪🇺 Regulamente europene:
• GDPR în română: eur-lex.europa.eu
• AI Act: eur-lex.europa.eu — AI Act
• Ghid EDPB privind AI și protecția datelor: edpb.europa.eu

🔒 Politici de confidențialitate instrumente AI:
• OpenAI Privacy Policy: openai.com
• Google Privacy Policy: policies.google.com
• DeepL Security: deepl.com/ro/security

✅ Acțiuni imediate după acest training:
1. Faceți inventarul instrumentelor AI folosite în organizație (slide 3)
2. Stabiliți lista instrumentelor aprobate și comunicați-o echipei
3. Implementați regula: versiunile gratuite AI = interzis pentru date organizaționale
4. Practicați tehnica anonimizării pentru situațiile în care aveți nevoie de AI
5. Adăugați utilizarea AI la procedura de gestionare a incidentelor de securitate

Felicitări pentru parcurgerea Modulului 3!

Pro-Lex IT · Chișinău, Republica Moldova