הנחיות משותפות של הנציבות האירופית (European Commission) ושל המועצה האירופית להגנת מידע (EDPB) צפויות לשפוך אור בנוגע לחפיפה בין ה-GDPR וה-AI Act. טיוטה ראשונה עשויה להתפרסם בקרוב, וגרסה סופית עשויה להתקבל עד סוף השנה.
בנאום שנשאה בכנס IAPP AI Governance Global Europe 2026 בדבלין, אמרה Gintarė Pažereckaitė, היועצת המשפטית של ה-EDPB, כי ההנחיות יעסקו באופן שבו סוגיות של הגנת מידע מתעוררות בהקשר של יחסי הגומלין שלהן עם תחומים כגון שקיפות, הערכות סיכונים, זיהוי הטיה (bias) ואחריותיות. המסמך נועד להיות כללי אך יישומי, ולכלול דוגמאות קונקרטיות.
ההנחיות מתפרסמות ברגע של תנודתיות רגולטורית. הפרלמנט האירופי אישר לאחרונה את Omnibus on AI, אשר מכניס שינויים לנוסח המקורי של ה-AI Act ודוחה את תחולתן של כמה מהוראותיו.
באשר לשקיפות, ציינה Pažereckaitė כי עמידה בדרישות השקיפות של ה-AI Act יכולה לסייע במילוי חלק מחובות האחריותיות לפי ה-GDPR. עם זאת, צוין כי השקיפות משרתת מטרות שונות בכל אחד מן המשטרים: לפי ה-GDPR היא נועדה לאפשר את מימוש זכויות נושאי המידע, בעוד שלפי ה-AI Act היא יכולה לסייע בבניית אמון בטכנולוגיה.
ההנחיות יעסקו גם בהערכות סיכונים. תסקירי השפעה על הפרטיות (DPIAs) לפי ה-GDPR הן רחבות יותר באופיין, בעוד שתסקירי השפעה על זכויות יסוד (FRIAs) לפי ה-AI Act יתייחסו למקרים ספציפיים. ה-EDPB הבהירה כי ייתכן שמפעילים (Operators) יוכלו לכלול את שני סוגי התסקירים במסמך אחד, כאשר Pažereckaitė ציינה כי FRIA תוביל בדרך כלל לצורך בביצוע DPIA, אך לא להפך. מקור: IAPP (Isabelle Roccia)
