Cum construiți un registru de IA în 90 de minute (Regulamentul UE privind IA)
Un registru de IA construit în 90 de minute, în cinci pași, de care au nevoie IMM-urile europene în temeiul art. 26 din Regulamentul privind IA și al orientărilor ICO. Coloane de pornire, capcane, reguli de responsabilitate.

Majoritatea IMM-urilor europene tratează registrul de IA ca pe un livrabil greoi, pe care îl vor produce când aplicarea Regulamentului UE privind IA va deveni presantă. Este o eroare de categorie. O versiune v1 funcțională se construiește în nouăzeci de minute dacă o concepeți ca pe un inventar ținut de implementator, nu ca pe un artefact de conformitate. Mai jos găsiți construcția în cinci pași pe care o derulăm cu responsabilii de operațiuni în misiunile noastre de audit — aceeași care așază o imagine de risc conformă Anexei III pe o singură pagină până vineri după-amiază și care câștigă spațiul de a face apoi munca mai lentă cum se cuvine.
Răspuns rapid. Un registru de IA este inventarul, ținut de implementator, al fiecărui sistem de IA din organizația dumneavoastră, presupus de obligațiile implementatorului din art. 26 din Regulamentul privind IA [1] și aliniat la orientările ICO în temeiul UK GDPR [2]. O versiune v1 funcțională se construiește în nouăzeci de minute pentru IMM-urile cu sub 200 de angajați: 15 minute pentru a enumera, 20 pentru a clasifica gradul de risc după Anexa III, 25 pentru a completa coloanele esențiale și 30 pentru a desemna responsabili și a verifica prin sondaj supravegherea.
Ce este un registru de IA?
Registrul de IA reprezintă pentru obligațiile implementatorului din art. 26 ceea ce reprezintă evidențele activităților de prelucrare (ROPA) pentru art. 30 din UK GDPR: un inventar viu care numește fiecare sistem, clasifică gradul său de risc și desemnează o persoană responsabilă. Este documentul pe care un investigator ICO, un departament de achiziții sau echipa de securitate a furnizorilor a unui client de întreprindere îl va cere primul.
Regulamentul UE privind IA nu prescrie formatul registrului în textul de reglementare. Art. 26 alin. (5) impune implementatorilor de sisteme cu grad ridicat de risc să asigure supravegherea umană de către o persoană desemnată, competentă; art. 26 alin. (6) impune păstrarea jurnalelor pentru utilizările cu grad ridicat de risc timp de cel puțin șase luni [1]. Registrul este substratul operațional care le face pe ambele vizibile. ICO a fost limpede din 2023 că IA care prelucrează date cu caracter personal în temeiul UK GDPR declanșează disciplina evaluării impactului asupra protecției datelor (DPIA) și obligații de responsabilitate [2], iar setul de instrumente ICO pentru auditul IA enumeră tipurile de evidențe structurate de care va avea nevoie un IMM [3]. Nicio autoritate de reglementare nu impune un anumit instrument. O foaie de calcul care numește coloanele corecte și desemnează responsabilii corecți trece testul.
De ce funcționează nouăzeci de minute (și ce nu vă cumpără)
Registrul nu este destinația. Este harta. Nouăzeci de minute ajung pentru a scoate la iveală ce IA este utilizată, a-i clasifica gradul de risc și a desemna responsabilitatea — trioul de fapte pe care orice implementator trebuie să le poată demonstra înainte ca o autoritate de reglementare, un client sau un consiliu să le ceară. Ce nu vă cumpără nouăzeci de minute: o evaluare a impactului asupra drepturilor fundamentale (FRIA) în temeiul art. 27 pentru fiecare sistem din Anexa III, o programă de alfabetizare în domeniul IA proporțională cu rolul, în temeiul art. 4, un dosar de diligență necesară a furnizorilor care să acopere contractele de prelucrare și fișele de model sau un protocol de supraveghere umană redactat integral [1]. Acestea sunt fluxuri de lucru ulterioare, dimensionate în funcție de ce scoate la iveală registrul.
Disciplina încadrării în timp contează mai mult decât finisajul. În misiunile noastre de audit, IMM-urile care tratează registrul ca pe un proiect de mai multe săptămâni de regulă nu îl produc; IMM-urile care încadrează versiunea v1 în nouăzeci de minute produc un registru în prima zi și apoi îl iterează. Obligațiile din art. 26 sunt continue, nu punctuale, așa că o versiune v1 pe care o puteți actualiza valorează categoric mai mult decât o versiune v3 cu care nici nu ați început.
Cum se derulează fluxul de lucru al registrului de IA în 90 de minute?
Pasul 1 — Enumerați fiecare sistem de IA utilizat (15 minute)
Trei surse acoperă cea mai mare parte din ce veți găsi. Extrageți abonamentele SaaS plătite din registrul financiar sau de pe cardul de cheltuieli — orice furnizor cu „AI", „ML", „Copilot", „Assistant" sau „Insight" în denumirea produsului face parte din listă. Extrageți IA încorporată din platformele existente — Microsoft 365 Copilot, funcțiile Gemini din Google Workspace, Salesforce Einstein, HubSpot Breeze, răspunsurile automate din Outlook, rezumatele reuniunilor din Teams intră toate în domeniul de aplicare, plătite sau nu. Extrageți shadow AI dintr-un mesaj de un paragraf către întreg personalul, întrebând ce instrumente de IA folosesc oamenii de la o zi la alta, inclusiv conturile gratuite pentru consumatori.
Tratați shadow AI ca intrând în domeniul de aplicare. Un membru al personalului care lipește un CV într-un cont ChatGPT gratuit face din IMM un implementator cu grad ridicat de risc din Anexa III, în temeiul dispozițiilor privind ocuparea forței de muncă din Regulamentul UE privind IA [1], iar datele părăsesc mediul dumneavoastră în temeiul UK GDPR [2]. Rolul registrului este să le scoată la iveală, nu să le sancționeze. Supravegherea vine în pasul 4, odată ce știți ce există acolo.
Pasul 2 — Clasificați gradul de risc al fiecărui sistem după Anexa III (20 de minute)
Anexa III la Regulamentul privind IA enumeră opt domenii cu grad ridicat de risc [1]: identificarea biometrică, infrastructura critică, educația și formarea profesională, ocuparea forței de muncă și gestionarea lucrătorilor, accesul la servicii esențiale, asigurarea respectării legii, gestionarea migrației și a controlului la frontiere și administrarea justiției. Pentru IMM-uri, declanșatoarele active sunt de obicei ocuparea forței de muncă (selecția CV-urilor, ierarhizarea performanței, programarea automată), accesul la servicii (decizii de creditare, stabilirea prețurilor la asigurări) și educația (evaluarea instruirilor, certificările).
Pentru fiecare sistem din listă, etichetați-l ca fiind unul dintre: cu grad ridicat de risc (corespondență cu Anexa III), cu risc limitat (obligații de transparență în temeiul art. 50), cu risc minim (fără obligații specifice dincolo de alfabetizarea din art. 4) sau implementator de IA de uz general (folosind un model de IA de uz general drept coloană vertebrală pentru un chatbot ori un asistent) [1]. Majoritatea stivelor tehnologice ale IMM-urilor se încadrează în două sau trei niveluri. Clasificarea este decizia implementatorului; nu poate fi delegată furnizorului și nu este influențată de dimensiunea companiei.
Pasul 3 — Completați cele zece coloane esențiale (25 de minute)
Coloanele care își merită locul într-un registru ținut de implementator:
- Denumirea sistemului — cum îi spune personalul de la o zi la alta.
- Furnizorul — entitatea juridică din spatele produsului.
- Modelul sau versiunea — acolo unde se cunosc (de exemplu, GPT-4o, Claude 3.5, Gemini 1.5, intern).
- Cazul de utilizare — o singură propoziție care descrie ce decide sau generează sistemul.
- Gradul de risc — ridicat / limitat / minim / implementator de IA de uz general.
- Date cu caracter personal implicate — Da/Nu, plus categoriile în temeiul UK GDPR.
- Temeiul legal — temeiul din art. 6 din UK GDPR (interes legitim, contract, consimțământ etc.).
- Persoana responsabilă — o persoană desemnată nominal, nu o echipă sau un rol.
- Păstrarea jurnalelor în temeiul art. 26 alin. (6) — Da/Nu/Nu se aplică pentru implementările cu grad ridicat de risc.
- Data implementării — cel puțin luna și anul.
O foaie de calcul cu aceste zece coloane răspunde la prima întrebare pe care o va pune orice autoritate de reglementare, client sau membru al consiliului. Orice depășește aceasta este muncă iterativă, nu muncă de v1. Rezistați impulsului de a adăuga coloane până nu le-ați completat pe toate zece, pe fiecare rând.
Pasul 4 — Desemnați o persoană responsabilă pentru fiecare sistem (15 minute)
Art. 26 alin. (5) impune implementatorilor de sisteme cu grad ridicat de risc să asigure supravegherea umană de către o persoană competentă, responsabilă, învestită cu autoritatea de a suspenda ori anula sistemul [1]. Transpuneți aceasta în registru desemnând o persoană efectivă pentru fiecare rând din Anexa III — nu un rol precum „responsabil IT" sau „șef de operațiuni". Persoana responsabilă are nevoie de trei însușiri: poate citi rezultatele sistemului, are autoritatea de a-l opri și poate fi contactată nominal în registru.
Pentru sistemele din afara Anexei III, desemnați totuși un responsabil. Obligația formală este mai ușoară; disciplina este aceeași. Responsabilii de operațiuni și cadrele de conducere superioare sunt responsabilii firești în majoritatea IMM-urilor; un director tehnic sau un director de date nu este necesar.
Pasul 5 — Verificați prin sondaj supravegherea umană la un sistem cu grad ridicat de risc (15 minute)
Pentru rândul cu cel mai ridicat grad de risc din Anexa III, parcurgeți trei întrebări: analizează un om rezultatul IA înainte ca acesta să afecteze o persoană (testul factorului uman în proces)?; poate acel om să anuleze decizia IA în practică (testul autorității)?; a primit omul o instruire adecvată rolului în temeiul art. 4 (testul alfabetizării) [1]? Răspunsurile intră într-o coloană de text liber „note privind supravegherea umană", alăturată celor zece coloane esențiale.
Nu veți finaliza protocolul de supraveghere umană în cincisprezece minute. Scopul este să scoateți la iveală unde se află lacuna, nu să o închideți. Un rând care spune „nu există analiză umană la selecția CV-urilor; lacună de închis în 30 de zile" este exact rezultatul corect. Rolul registrului este să facă lacuna vizibilă; închiderea ei este un flux de lucru separat și un buget separat.

Care sunt cele cinci capcane care omoară un registru de IA v1?
- Tratarea registrului ca pe un document de unică folosință. Obligațiile din art. 26 sunt continue; registrul este un artefact viu, revizuit cel puțin trimestrial și actualizat ori de câte ori se implementează un sistem de IA nou sau un furnizor lansează o schimbare majoră de model.
- Omiterea shadow AI. Conturile gratuite pentru consumatori și sesiunile personale de Copilot sunt categoria cu cele mai multe incidente și cea mai redusă vizibilitate. Dacă registrul nu le scoate la iveală, minte.
- Cumpărarea unui „instrument de conformitate" înainte de a enumera. Un SaaS de conformitate al unui furnizor nu vă va clasifica cazurile de utilizare — doar echipa dumneavoastră poate. Mai întâi foaia de calcul, instrumentul mai târziu (sau niciodată; pentru IMM-urile cu sub 200 de angajați, o foaie de calcul întreținută este suficientă).
- Desemnarea unui rol în loc de o persoană. O „echipă IT" nu poate fi apelată. O persoană desemnată nominal, cu număr de telefon, poate. Art. 26 alin. (5) o presupune pe cea din urmă [1].
- Omiterea cu totul a alfabetizării din art. 4. Art. 4 se aplică din 2 februarie 2025 fiecărui membru al personalului care folosește IA, proporțional cu rolul său [1]. Nu este un nivel — fiecare sistem scoate la iveală o obligație în temeiul art. 4. Notați-o în registru chiar și atunci când programa în sine este o muncă ulterioară.
Ce să faceți după cele nouăzeci de minute
Registrul este stratul de descoperire. De pe el decolează de regulă trei fluxuri de lucru ulterioare:
- Dimensionarea FRIA pentru fiecare rând din Anexa III, în temeiul art. 27 din Regulamentul privind IA [1] — un document separat, mai aprofundat, pe care coloana de grad de risc a registrului îl inițiază, nu îl înlocuiește.
- Programa de alfabetizare în domeniul IA — proporțională cu rolul, dimensionată în funcție de coloana persoanei responsabile a registrului, nu în funcție de numărul de angajați.
- Dosarul de diligență necesară a furnizorilor — contracte de prelucrare, fișe de model, descendența modelelor de uz general, dimensionat în funcție de coloana furnizorului a registrului și actualizat la reînnoirea achizițiilor.
Acestea sunt fluxurile de lucru pe care o abordare cu conformitatea încorporată din proiectare le acoperă în aproximativ douăsprezece săptămâni, la 18 000–32 000 £, potrivit experienței noastre din misiuni, și aceleași fluxuri pe care o abordare de adaptare retroactivă le acoperă în șase săptămâni comprimate, la 85 000–145 000 £ — un multiplicator coerent cu datele MIT Sloan de după RGPD privind firmele din UE care și-au redus datele stocate cu 26 % și calculul cu 15 % sub presiunea aplicării [4]. Registrul este cea mai ieftină primă mișcare cu putință împotriva acestei aritmetici.
Rezumat
AI Register in 90 Minutes — a deployer-side inventory │ ├─ The five-step build │ ├─ List (15m) — paid, embedded, and shadow AI in scope │ ├─ Risk-tier (20m) — match each system to Annex III │ ├─ Ten columns (25m) — the audit-ready floor, no more │ ├─ Name owners (15m) — a person per system, not a team │ └─ Spot-check (15m) — surface the oversight gap, don't close it │ ├─ Why timebox v1 │ ├─ A living map — Article 26 duties are continuous │ └─ v1 you update beats v3 you never start │ └─ What it doesn't buy └─ Downstream — FRIA, Article 4 literacy, vendor due diligence
Articole conexe
- AI Governance From Day One: SMB Cost of Retrofitting Compliance — articolul-pilon pe care îl susține acest ghid. Citiți-l pentru aritmetica costurilor, cazul Northbridge și cele șapte artefacte ale guvernanței din prima zi.
- Your SMB Doesn't Need More AI Tools. It Needs an AI Strategy.EN — piesa din amonte despre de ce o listă de IA aprobată contează mai mult decât orice abonament individual și secvența de auditare și consolidare care produce una.
Ultima actualizare: mai 2026. Versiunea 1.0.
Frequently Asked Questions
Înlocuiește un registru de IA evidențele activităților de prelucrare din RGPD?
Personalul nostru folosește ChatGPT gratuit și Copilot pentru consumatori. Contează acestea pentru registru?
IMM-ul nostru are sediul în afara UE. Se aplică Regulamentul privind IA registrului nostru?
Cine ar trebui să răspundă de registrul de IA într-un IMM fără director tehnic?
Cât de des ar trebui să actualizăm registrul?
Este suficientă o foaie de calcul sau ne trebuie un instrument GRC dedicat?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 3.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.