IziWeb
|
Înapoi la toate case studies
Servicii de marketing / Agenție digitală & studio webShadow AIGuvernanță AIEU AI ActGDPRAgenție digitalăAutomatizare marketingn8nRomânia

Cum a oprit o agenție digitală din București cu 72 de angajați Shadow AI-ul să scurgă datele clienților — și a livrat 14 fluxuri guvernate în 90 de zile fără să încetinească livrările

O agenție de performance marketing și studio web era mai rapidă ca niciodată pe ChatGPT — și nu știa care prompturi conțineau contracte de client, CNP-uri sau bugete de campanie. Cu termenul EU AI Act în august 2026 și un client retail major care cerea un addendum de guvernanță AI, fondatorul avea șase săptămâni să înlocuiască utilizarea haotică a tool-urilor cu un strat de automatizare guvernat pe care toată echipa să-l folosească cu adevărat.

11 min de cititAgenție digitală, performance marketing + studio web, București, 72 angajați, ~140 conturi active de client
Cum a oprit o agenție digitală din București cu 72 de angajați Shadow AI-ul să scurgă datele clienților — și a livrat 14 fluxuri guvernate în 90 de zile fără să încetinească livrările
14
Fluxuri guvernate livrate în 90 de zile
-127/săpt.
Sesiuni Shadow AI blocate la gateway
+31%
Draft inițial mai rapid
100%
Documentație EU AI Act pregătită

Problema

Până în primăvara lui 2026, agenția arăta ca orice firmă românească de servicii pe LinkedIn: reel-uri despre productivitate cu AI, un canal Slack numit #ai-wins și o echipă de livrare care putea redacta o landing page, rescrie copy de ads și rezuma un brief de client în timpul în care odinioară abia programau call-ul de kickoff. Sub suprafață, nimeni nu putea răspunde la o întrebare mai simplă: unde ajungeau datele clientului când cineva scria un prompt?

Shadow AI — angajații care folosesc tool-uri neaprobate precum ChatGPT, Claude, Gemini sau Perplexity pe conturi personale — devenise default-ul. Un sondaj intern în martie 2026 a arătat că 68% din personal folosea AI generativ cel puțin săptămânal; 39% recunoșteau că lipiseră nume de clienți, bugete de campanie, extracte din contracte sau identificatori personali românești (CNP, IBAN) în tool-uri free-tier, fără acord de prelucrare a datelor. IT-ul nu interzisese nimic și nu monitoriza nimic. Productivitatea era sus. Riscul era invizibil.

Prima alarmă a venit de la un audit de client, nu de la un regulator. Un lanț retail mediu care reînnoia un retainer anual de 420K € a trimis în aprilie un chestionar de 14 pagini despre dacă subcontractorii folosesc AI pe datele lor, dacă modelele sunt antrenate pe inputuri și dacă agenția poate produce un inventar AI în 72 de ore. Fondatorul avea 48 de ore să răspundă onest. Răspunsul onest era: nu știm.

A doua alarmă a fost socială — literalmente. Pe X și Instagram, „AI agency hacks” devenise nișa dominantă de creatori în T2 2026: înregistrări de ecran cu lanțuri de prompturi, template-uri Notion, „înlocuiește-ți juniorul cu acest GPT”. Doi account manageri ai agenției postau tips de workflow care arătau din greșeală logo-uri de clienți în tab-urile browserului. Reel-ul viral al unui concurent („cum scriem 40 de variante de ad în 10 minute”) declanșase întrebarea clientului retail de la bun început.

Apoi calendarul a devenit serios. Obligațiile substanțiale ale EU AI Act pentru cei care implementează sisteme AI cu risc ridicat și AI de uz general intră în vigoare pe 2 august 2026 — la cinci luni distanță când a început proiectul. ANSPDCP din România semnalase deja că tratarea ChatGPT-ului free ca „scurtătură de productivitate” pentru PII de client e o încălcare GDPR de prelucrare, nu o zonă gri. DPO-ul agenției estima că o singură scurgere dovedită de date ale clienților printr-un prompt neguvernat putea declanșa rezilierea contractului, o notificare GDPR și o conversație de răspundere personală cu board-ul.

Ce am construit

Nu am interzis AI-ul. Interdicțiile erau motivul pentru care exista Shadow AI — echipa ar fi schimbat doar browserul. Am construit un strat guvernat care făcea calea aprobată mai rapidă decât cea clandestină: modele enterprise cu DPA, redactare automată, log-uri de audit și 14 fluxuri integrate acolo unde se făcea deja munca (HubSpot, Slack, Google Drive, Meta Ads Manager, comentarii Figma).

Două reguli din ziua întâi cu fondatorul și DPO-ul. Prima: niciun identificator de client nu trece prin gateway neredactat — CNP, IBAN, liste complete de email și bugete de campanie nepublicate sunt eliminate sau hash-uite înainte ca vreun model să le vadă. A doua: fiecare flux care atinge livrabile de client loghează hash de prompt, user, timestamp și destinația output-ului într-un store de audit găzduit în UE pe care DPO-ul îl poate exporta în sub o oră. Oamenii păstrează judecata creativă; gateway-ul ține dosarul de conformitate.

  • Gateway AI guvernat (Claude Enterprise + Azure OpenAI regiune UE): extensie de browser unică și comandă Slack `/ai` care înlocuiește tab-urile personale ChatGPT — 127 sesiuni shadow/săptămână au scăzut la zero în trei săptămâni pentru că calea aprobată era la un click și mai rapidă
  • Strat de redactare PII: scan regex + NER pe fiecare prompt outbound — blochează CNP-uri, IBAN-uri, numere de card și domenii client pe listă de excludere; marchează PDF-uri de contract pentru review manual în loc de auto-blocare (legal era 22% din prompturi)
  • Sumarizator de brief client: extrage ultimele note HubSpot + doc kickoff din Google Drive, produce un brief creativ structurat în template-ul agenției, scrie înapoi în deal — pregătirea brief-ului a scăzut de la 90 de minute la 11
  • Motor de variante copy ads: ingerează doc de brand voice aprobat + feed de produse, generează 12 variante Meta/Google per SKU cu validare număr de caractere, pune în coadă draft-uri Meta Ads pentru aprobare umană — nu publică niciodată automat
  • Prim draft landing page: plugin Figma + cale export Webflow — AI redactează hero, proof, FAQ din brief; designerul editează în Figma; changelog stocat pentru transparență AI Act
  • Verificator clauze SOW și contract: compară MSA-uri noi contra addendum-ului de guvernanță AI 2026 al agenției, evidențiază limbaj DPA lipsă, clauze DSR și subprocessori — timpul legal pe deal-uri noi a scăzut cu 44%
  • Asamblor raport client săptămânal: extrage Meta, Google, GA4 și Shopify într-un PDF narativ cu callout-uri de anomalii — account managerii au încetat să-și petreacă duminicile seara pe slide-uri
  • Generator brief SEO: cluster keyword + scrape SERP → outline cu H2/H3, hartă link-uri interne și listă „nu afirma” din note de conformitate client
  • Bot QA creativ: scanează ads exportate pentru afirmații off-brand, mărci concurente și disclaimer-e lipsă înainte de trafficking — a prins 19 probleme în prima lună care ar fi mers live
  • Slack #ai-wins → canal guvernat: prompturi virale interne migrate la template-uri aprobate cu redactare inclusă; like-uri și remixuri fără scurgere de context client
  • Micro-module literate AI (obligație EU AI Act din feb. 2025): 6×12 minute lecții Notion + quiz; finalizare urmărită în BambooHR înainte de deblocarea accesului la gateway
  • Playbook-uri răspuns la incidente: template notificare GDPR 72h, draft comunicare client și kill-switch pentru revocarea accesului unui user la gateway — testat o dată într-un exercițiu tabletop
  • Dashboard conformitate pentru DPO: inventar live al celor 14 fluxuri, clasificare risc per mapare EU AI Act Anexa III, pachet audit exportabil pentru chestionare client
  • Scan descoperire Shadow AI: raport plugin browser Okta + review log DNS a scos la iveală 11 tool-uri rogue rămase; înlocuite sau blocate în 30 de zile

Rezultatele după un trimestru

Până la finalul T2 2026 agenția avea zero scurgeri PII raportate prin tool-uri AI — față de trei aproape-incidente în T1 pe care legal le gestionase discret. Clientul retail a semnat reînnoirea cu addendum-ul de guvernanță AI atașat; alte două conturi au copiat aceeași clauză în șase săptămâni, pe care fondatorul o tratează acum ca asset de vânzare, nu ca povară de procurement.

Viteza de livrare a crescut, nu a scăzut — opusul a ceea ce se temea directorul creativ când a auzit „guvernanță”. Timpul până la primul draft pe copy ads și landing pages s-a îmbunătățit cu 31% pentru că fluxurile aprobate au eliminat taxa de copy-paste între HubSpot, Drive și ChatGPT personal. Account managerii au recăpătat în medie 6,4 ore pe săptămână petrecute anterior pe asamblarea rapoartelor și reformatarea brief-urilor.

Sesiunile Shadow AI blocate la gateway au atins vârful de 127 pe săptămână în săptămâna trei, apoi au scăzut la cifre unitare până în săptămâna opt, pe măsură ce echipa a încetat să deschidă tab-uri personale. Canalul Slack #ai-wins a rămas activ — dar fiecare prompt partajat trecea acum printr-un template, pe care head of performance l-a numit „diferența dintre a învăța hack-uri și a învăța un sistem”.

Dosarul de conformitate a fost câștigul tăcut. Când un prospect fintech a cerut dovezi de pregătire EU AI Act în mai, DPO-ul a exportat pachetul de audit în 41 de minute: inventar fluxuri, clasificări de risc, rate de finalizare training, log-uri redactare și semn-off-uri de supraveghere umană. Deal-ul s-a închis trei săptămâni mai târziu. Lectura fondatorului: „Am petrecut 90 de zile construind ce concurenții noștri încă se prefac că nu au nevoie.”

Ce am face diferit

Am lansat cu blocare dură pe orice upload PDF peste 10 pagini. Legal l-a lovit imediat cu MSA-uri de 40 de pagini de două ori pe zi. Am trecut pe „scan + coadă pentru om” în loc de blocare — fricțiunea a scăzut și legal a încetat să ocolească gateway-ul prin Gmail personal.

Am subestimat efectul Instagram. Doi account manageri continuau să scrie caption-uri în Notes pe telefon pentru că „e mai rapid decât Slack pe mobil”. Am adăugat o scurtătură mobilă cu un tap către gateway și o regulă: dacă e copy client-facing, trece prin gate sau nu iese. Postarea de vanitate a încetat să mai fie cale de exfiltrare.

Linia pe care am sublinia-o pentru orice agenție care se confruntă cu august 2026: guvernanța e un accelerator de livrare, nu o frână — dar numai dacă calea aprobată e cu adevărat mai rapidă decât Shadow AI. Memourile de interdicție eșuează. DPA-urile plus UX mai bun plus log-uri de audit câștigă. Și dacă un client cere inventarul tău AI, vrei să trimiți un link, nu să începi o vânătoare prin istoricul browserului echipei.

"Nu am încetinit echipa — am încetat să ne prefacem că 72 de oameni care lipeau date de client în ChatGPT free e „inovație”. Clientul retail nu voia să folosim mai puțin AI. Voia dovada că nu scurgem. Acum avem amândouă."

Fondator & CEO, agenție digitală

Unelte & stack

Claude EnterpriseAzure OpenAI (EU West)HubSpotn8nSlack Enterprise GridGoogle WorkspaceMeta Marketing APIFigma APILooker StudioBambooHROktaNotionServiciu custom redactare PII

Alte case studies

Cum a construit un lanț veterinar românesc cu 4 clinici o linie de triaj AI 24/7 pe WhatsApp și Instagram — și a redus backlogul de despăgubiri de la 9 săptămâni la 5 zile, fără să angajeze
Servicii veterinare / Clinici multi-locație de animale mici și urgență

Cum a construit un lanț veterinar românesc cu 4 clinici o linie de triaj AI 24/7 pe WhatsApp și Instagram — și a redus backlogul de despăgubiri de la 9 săptămâni la 5 zile, fără să angajeze

Pe 1 ianuarie 2026 e-Factura a devenit obligatorie pentru B2C, iar ANAF a lansat „Operațiunea Cabinet”, un val de inspecții care a pus cabinetele medicale și veterinare explicit pe listă. Am construit un agent AI de triaj pentru un lanț veterinar românesc cu 4 clinici care răspunde pe WhatsApp și Instagram în sub 60 de secunde, non-stop, redirectează cazurile cu semne de alarmă direct la medicul de gardă, completează formularele specifice fiecărui asigurător din datele ProVet și pune în coadă o e-Factura pentru fiecare tranzacție cash chiar în ziua respectivă — astfel încât echipa a procesat 18.400 de conversații lunare cu același personal, a redus timpul de procesare a dosarelor de asigurare de la 9 săptămâni la 5 zile și a încheiat T1 fără nicio constatare ANAF.

Citește case study-ul
Cum a supraviețuit un operator românesc de închirieri în regim hotelier pragului de conformitate din mai 2026 — și a ajuns la 140 de apartamente fără să angajeze — cu un agent AI de property management
HoReCa / Închirieri pe termen scurt & property management

Cum a supraviețuit un operator românesc de închirieri în regim hotelier pragului de conformitate din mai 2026 — și a ajuns la 140 de apartamente fără să angajeze — cu un agent AI de property management

Pe 20 mai 2026 au intrat în vigoare regulile UE pentru închirierile pe termen scurt (Regulamentul 2024/1028), iar ANAF a pus aproximativ 23.000 de proprietari români sub lupă, cu amenzi de 10.000–40.000 lei pentru listare fără număr de clasificare. Am construit un agent AI de property management care răspunde oaspeților non-stop, împinge un număr de înregistrare SITUR verificat pe fiecare anunț de Airbnb și Booking, programează echipele de curățenie între check-out-uri, stabilește prețul fiecărei nopți după cererea reală și pregătește e-Factura și Declarația Unică — astfel încât operatorul a crescut de la 90 la 140 de unități fără să mărească echipa și nu a pierdut niciun anunț în campania de control.

Citește case study-ul

Vrei rezultate ca acestea?

Rezervă un audit gratuit de 30 de minute. Îți mapăm cel mai dureros proces manual și îți arătăm exact unde se plătește cel mai rapid automatizarea.

Rezervă Audit GratuitContactează-ne