سجل تنفيذ Garante في مجال الذكاء الاصطناعي
أرست هيئة حماية البيانات الشخصية الإيطالية (Garante per la protezione dei dati personali) نفسها باعتبارها أكثر جهات تنظيم الذكاء الاصطناعي عدوانيةً في الاتحاد الأوروبي من خلال سلسلة من إجراءات التنفيذ البارزة:
مارس 2023 — الحظر المؤقت لـ ChatGPT: أصدرت Garante أمراً بتعليق خدمة ChatGPT للمستخدمين الإيطاليين مؤقتاً، إذ وجدت أن OpenAI لا تملك أساساً قانونياً كافياً لمعالجة بيانات المستخدمين الإيطاليين ولا آلية للتحقق من الأعمار. طبّقت OpenAI التغييرات المطلوبة (التحقق من السن وإشعار الخصوصية باللغة الإيطالية وآلية الرفض لاستخدام البيانات في التدريب) وعاد الخدمة في أبريل 2023.
ديسمبر 2024 — غرامة 15 مليون يورو ضد OpenAI: أصدرت Garante غرامة رسمية بقيمة 15 مليون يورو ضد OpenAI لمعالجة غير مشروعة للبيانات الشخصية للمستخدمين الإيطاليين. استشهد إشعار التنفيذ بـ: غياب الأساس القانوني الكافي ونقص الشفافية حول كيفية استخدام بيانات المستخدمين في التدريب والإخفاق في تطبيق التحقق من السن للقاصرين.
تحقيقات جارية (2024-2025): بدأت Garante تحقيقات رسمية ضد عدة بائعي ذكاء اصطناعي يعملون في إيطاليا، بما في ذلك Replika (مصاحب ذكاء اصطناعي) وWorldcoin (البيانات الحيوية) وعدة شركات ناشئة في الذكاء الاصطناعي التوليدي.
يُرسي النمط إيطاليا باعتبارها الولاية القضائية الأعلى مخاطرة في الاتحاد الأوروبي لنشر أدوات الذكاء الاصطناعي بدون تدابير امتثال موثَّقة.
ما تشترطه Garante من مستخدمي أدوات الذكاء الاصطناعي
أوضحت إجراءات تنفيذ Garante ما يجب على المؤسسات الإيطالية فعله عند استخدام أدوات الذكاء الاصطناعي التي تعالج البيانات الشخصية:
توثيق الأساس القانوني: كل أداة ذكاء اصطناعي تعالج البيانات الشخصية للمستخدمين الإيطاليين تستلزم أساساً قانونياً موثَّقاً بموجب المادة 6 من GDPR. تشكّكت Garante في ادعاءات "المصلحة المشروعة" لاستخدام بيانات تدريب الذكاء الاصطناعي — الموافقة الصريحة أو الضرورة التعاقدية أُسس مُفضَّلة.
اتفاقيات معالجة البيانات: يجب على المؤسسات الإيطالية التي تستخدم أدوات ذكاء اصطناعي تابعة لأطراف ثالثة كمعالجي بيانات امتلاك اتفاقيات معالجة بيانات متوافقة مع GDPR. راجعت Garante تحديداً ما إذا كانت اتفاقيات المعالجة لبائعي ChatGPT لدى المؤسسات الإيطالية تغطّي كل معالجة البيانات المتضمَّنة.
حماية بيانات الفئات الخاصة (المادة 9): إدخال أي من هذه الفئات في أداة ذكاء اصطناعي — الصحة والتوجه السياسي والمعتقد الديني ومعلومات الهوية الجنسية — يستلزم تقييم تأثير حماية البيانات (DPIA) وأساساً قانونياً بموجب المادة 9. وجدت Garante في تحقيقات متعددة أن المؤسسات تُدخل البيانات الطبية في أدوات الذكاء الاصطناعي دون هذه الوثائق.
ضوابط إخفاء الهوية قبل المعالجة: أرست تعليقات Garante على المُحيطات خلال تحقيق ChatGPT أن إدخال البيانات الشخصية في أدوات الذكاء الاصطناعي يُعدّ معالجة بيانات تستلزم الأساس القانوني. نهج إخفاء الهوية: تطبيق إخفاء الهوية قبل الإدخال في الأداة يُلغي متطلب الأساس القانوني للمدخل — لأن البيانات المجهولة ليست بيانات شخصية بموجب GDPR.
متطلبات التنفيذ التقني لأدوات الذكاء الاصطناعي في إيطاليا
تُحدّد إرشادات Garante وسوابق التنفيذ قائمة متطلبات تقنية للمؤسسات التي تعمل في إيطاليا:
1. DPIA لكل نشر ذكاء اصطناعي: تشترط ممارسة Garante في التنفيذ تقييم DPIA لأنظمة الذكاء الاصطناعي التي تعالج بيانات المستخدمين الإيطاليين. يجب أن يشمل DPIA: تقييم المخاطر للمعالجة المقترحة وتدابير التخفيف بما في ذلك إخفاء الهوية قبل المعالجة والأساس القانوني لكل مرحلة معالجة وبروتوكول حقوق المستخدم.
2. توثيق اتفاقية المعالجة: لكل أداة ذكاء اصطناعي تابعة لطرف ثالث: اتفاقية معالجة بيانات بموجب المادة 28 من GDPR، وخرائط التحويل إذا كانت البيانات تُنقل خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية، وتوثيق أساس النقل.
3. تدابير التحقق من السن لتطبيقات المستهلك: إذا كان الخدمة تستخدم نماذج الذكاء الاصطناعي المعرَّضة للمستخدمين دون 18 عاماً، يجب تطبيق التحقق من السن. أرست قضية ChatGPT أن غياب التحقق من السن هو انتهاك تقني مستقل.
4. إخفاء الهوية المُدعَّم: للمؤسسات التي تدخل بيانات الأعمال في أدوات الذكاء الاصطناعي: الإخفاء المسبق للمعالجة المدعوم بسجلات التدقيق. في حالة تحقيق Garante، يُثبت سجل التدقيق المدعوم بالأدلة أن البيانات الشخصية لم تُدخَل في الأداة غير المُخوَّلة.
معرّفات PII الخاصة بإيطاليا لأدوات الاكتشاف
للمؤسسات التي تنشر حلول إخفاء الهوية في إيطاليا، الكيانات الخاصة بإيطاليا التي يجب تغطيتها:
- Codice fiscale (الرمز الضريبي): معرّف إيطالي فريد من 16 حرفاً لجميع المقيمين — حقل PII شائع في جميع المعاملات الحكومية والتجارية الإيطالية
- Partita IVA (الرقم الضريبي للأعمال): رقم ضريبي من 11 رقماً للشركات — يُعدّ PII في سياقات المؤسسات الفردية والمهنيين
- Patente di guida (رخصة القيادة): رقم رخصة القيادة الإيطالية
- Carta d'identità (بطاقة الهوية): رقم بطاقة الهوية الوطنية الإيطالية (CXXXXXXXXXXXXX)
- Numero di previdenza sociale (INPS): رقم الضمان الاجتماعي الإيطالي
- Codice sanitario (رمز الخدمة الصحية): رقم بطاقة الخدمة الصحية الإيطالية
يشمل تطبيق NER الإيطالي معالجة الأسماء الإيطالية المركّبة والأسماء ذات جسيمات (di وdel وdella) والأسماء الإقليمية.
المصادر: