Dacă conduci o companie de 50–150 de angajați, sunt șanse mari ca o parte din echipă să folosească deja tool-uri AI (ChatGPT, Copilot, Gemini, tool-uri de transcriere) pe cont propriu, cu date pe care nu ar trebui să le introducă, fără ca managementul să aibă vreo vizibilitate.
Articolul ăsta nu e despre ce e shadow AI, informația aceea o găsești oriunde. E despre ce faci concret într-o companie mică sau medie unde oamenii folosesc deja tool-uri AI pe cont propriu, fără reguli.
Pasul 1: Inventarul – cum îl faci fără să pară anchetă
Cel mai prost mod de a face inventarul e un email de la IT care sună a verificare. „Vă rugăm să ne comunicați ce aplicații neautorizate folosiți.” Oamenii se sperie și ascund.
Ce funcționează: un email scurt de la director sau HR, formulat ca oportunitate:
„Știm că mulți dintre voi folosiți tool-uri AI pentru muncă și e bine, ne interesează să oferim variante sigure și plătite de companie. Ca să putem face asta, avem nevoie să înțelegem ce se folosește acum. Vă rugăm completați formularul de mai jos. Nu e o verificare și nu are consecințe.”
Formularul conține patru întrebări
- Ce tool-uri AI folosești pentru muncă? (ChatGPT, Copilot, Gemini, Claude, tool-uri de transcriere, altele)
- Pe ce cont? (personal gratuit, personal plătit, cont companie)
- Pentru ce le folosești? (emailuri, rezumate, analize, cod, transcrieri, altele)
- Ce tipuri de date introduci de obicei? (texte generice, date clienți, contracte, financiar, HR)
Alternativa tehnică: IT-ul verifică traficul de rețea către openai.com, claude.ai, gemini.google.com. Nu vezi ce date s-au introdus, dar vezi cât trafic e și de pe ce stații. Combinat cu formularul, ai o imagine destul de clară.
Într-o companie de 70 de angajați, formularul a arătat că 23 de oameni foloseau ChatGPT zilnic. IT-ul nu avea idee. Directorul nu avea idee. Oamenii din vânzări introduceau liste cu nume, emailuri și telefoane de clienți ca să genereze emailuri personalizate. Contabilitatea copia clauze din contracte ca să facă rezumate. HR-ul folosea un tool de transcriere gratuit pentru interviuri cu nume, așteptări salariale și date personale ale candidaților trimise pe servere din SUA fără niciun acord contractual.
Timp necesar: 1–2 zile (trimitere + colectare răspunsuri).
Pasul 2: Decizia pe tool-uri
Pe baza inventarului, decizi ce e permis.
Varianta minimă pentru majoritatea companiilor mid-market
- ChatGPT Team (25$/utilizator/lună) – datele nu sunt folosite pentru antrenament, ai DPA, poți controla cine are acces
- sau Microsoft Copilot (dacă ești pe M365 Business Premium, e inclus parțial) – datele rămân în tenant-ul companiei
- Interdicție explicită pe conturi gratuite personale pentru date de lucru
Diferențele contează: pe un cont ChatGPT gratuit, OpenAI poate folosi datele introduse pentru antrenarea modelului (cu opt-out în setări, dar câți angajați știu să facă asta?). Pe ChatGPT Team, datele nu sunt folosite pentru antrenament și ai un DPA pe care-l poți arăta la un audit GDPR. Pe Copilot M365, datele nici nu ies din tenant-ul companiei.
Costul: pentru 20 de utilizatori activi pe ChatGPT Team, vorbim de 500$/lună. E neglijabil față de o amendă GDPR care poate ajunge la sute de mii de euro.
Pasul 3: Politica internă – un document de o pagină
Am văzut politici de utilizare AI de 15 pagini pe care nimeni nu le-a deschis vreodată. Ce funcționează e o pagină cu trei secțiuni:
Template
[NUMELE COMPANIEI] – Reguli de utilizare AI
1. Tool-uri aprobate
- [ChatGPT Team / Microsoft Copilot / altele] – conturi furnizate de companie
- Versiunile gratuite NU se folosesc pentru date de lucru
2. Date care NU se introduc în niciun tool AI
- Date personale ale clienților sau angajaților (nume, CNP, adrese, contacte)
- Contracte sau fragmente de contracte
- Informații financiare (marje, prețuri, cash flow, facturi)
- Date HR (evaluări, salarii, avertismente, date medicale)
- Procese sau metodologii interne proprietare
3. Dacă nu ești sigur
- Întreabă [persoana de contact] pe [canal – email/Slack/Teams]. Nu există consecințe pentru întrebări.
Responsabil actualizare: [Nume], frecvență: trimestrială.
Aprobat de: [Director], data: [___]
Tipărește-l, pune-l la onboarding, trimite-l pe email. Și cel mai important: discută-l într-o ședință de 15 minute cu echipa. Un PDF trimis pe email pe care nimeni nu-l deschide nu e o politică, e un fișier.
Pasul 4: Verificarea periodică – 30 de minute pe lună
O dată pe lună, IT-ul verifică:
- au apărut tool-uri noi în traficul de rețea?
- sunt întrebări sau situații neclare?
- politica e încă relevantă sau trebuie actualizată?
Și o dată pe trimestru, management-ul recitește politica și o semnează din nou. Sub NIS2, „nu am știut” nu e o apărare. Dovada că ai luat măsuri e.
Ce se greșește cel mai des
Trei lucruri.
Primul: politica există dar tool-urile nu. Spui „nu folosiți ChatGPT gratuit” dar nu dai alternativă plătită. Oamenii vor continua, doar că ascuns. E ca și cum ai interzice mașina personală la serviciu dar nu ai parcare.
Al doilea: politica e trimisă pe email dar nu e discutată. Nimeni nu o citește. Nimeni nu știe ce scrie. Dar „avem politică”, bifă pusă.
Al treilea: nimeni nu verifică. Politica e semnată în ianuarie, în martie jumătate din echipă folosește un tool nou de transcriere pe care l-a recomandat cineva pe LinkedIn, și nimeni nu știe. Un tool gratuit, cu date sensibile, pe servere din cine știe unde.
Diferența e între companiile care au un document și companiile care au un proces. Documentul e necesar dar insuficient. Procesul (inventar, decizie, comunicare, verificare) e cel care reduce riscul efectiv.
Implicații GDPR și NIS2
GDPR: transfer de date personale către un procesor extern fără DPA = neconformare. Amenda: până la 4% din cifra de afaceri sau 20 milioane EUR. ANSPDCP a început să primească sesizări pe tema utilizării AI cu date personale. Nu e o chestie teoretică.
NIS2: tool-urile AI externe sunt servicii terțe necontrolate. OUG 155/2024 cere gestionarea riscurilor din supply chain digital. Directorul nu poate delega responsabilitatea și nu poate invoca lipsa de cunoștințe. Dacă un angajat introduce date sensibile într-un tool neaprobat și apare un incident, managementul răspunde personal.
Diferența dintre „avem o problemă” și „avem o soluție” e o după-amiază de muncă și 500$ pe lună. Între o amendă de sute de mii de euro și o politică funcțională sunt câteva ore de muncă și o decizie. E probabil cea mai bună investiție pe care o poate face un director în 2026.
Dacă vrei să înțelegi riscurile din compania ta
Dacă nu ești sigur ce tool-uri AI se folosesc în compania ta sau ce date ajung acolo, poți începe cu o discuție scurtă în care analizăm situația actuală și identificăm zonele care merită adresate prima dată.