تُعدّ الهيئة الإيطالية لحماية البيانات الشخصية (Garante) الجهة الأكثر صرامةً في تنظيم خصوصية الذكاء الاصطناعي على مستوى الاتحاد الأوروبي. في مارس 2023، أصبحت Garante أول هيئة حماية بيانات في العالم تحظر مؤقتاً خدمة ChatGPT في إيطاليا، مما أجبر OpenAI على تطبيق التحقق من السن وإجراءات الشفافية قبل استعادة الخدمة. وفي ديسمبر 2024، غرّمت الهيئة OpenAI بـ 15 مليون يورو على المعالجة غير القانونية لبيانات المستخدمين الإيطاليين.
على المنظمات التي تستخدم أدوات الذكاء الاصطناعي في إيطاليا — أو تنشر أنظمة ذكاء اصطناعي قد تعالج البيانات الشخصية الإيطالية — أن تأخذ في الاعتبار أن نمط تطبيق Garante يضع أعلى التوقعات التقنية في الاتحاد الأوروبي.
قضية OpenAI/ChatGPT: ما وجدته Garante
استندت غرامة Garante البالغة 15 مليون يورو ضد OpenAI في ديسمبر 2024 إلى مخالفات متعددة:
فشل التحقق من السن: كانت خدمة ChatGPT متاحة للقاصرين الإيطاليين دون التحقق الكافي من السن. وجدت Garante أن OpenAI أخفقت في تطبيق تدابير معقولة لمنع الاستخدام دون سن 13 عاماً.
معالجة غير مشروعة لبيانات التدريب: وجدت Garante أن استخدام OpenAI لبيانات المستخدمين الإيطاليين لتدريب ChatGPT 3.5/4 افتقر إلى الأساس القانوني الكافي. رُفض الادعاء بـ"المصلحة المشروعة" — وجدت الهيئة أن استخدام البيانات الشخصية لتدريب نماذج الذكاء الاصطناعي التجارية يستلزم إما الموافقة أو أساساً قانونياً أوضح مما يستشهد به مزودو تدريب نماذج اللغة عادةً.
انعدام الشفافية: لم تُبلّغ OpenAI المستخدمين الإيطاليين بشكل كافٍ بكيفية استخدام بياناتهم في التدريب، ولم توفر آليات انسحاب يسيرة.
التداعيات العملية: يجب على أي نظام ذكاء اصطناعي يعالج البيانات الشخصية الإيطالية — سواء للتدريب أو الضبط الدقيق أو الاستدلال على مدخلات المستخدمين الإيطاليين — أن يمتلك أساساً قانونياً موثقاً وفق معايير Garante للـ GDPR يتجاوز مجرد ادعاءات "المصلحة المشروعة". تُعدّ الموافقة أو أداء عقد محدد عموماً المطلوبَين.
المعرّفات الوطنية الإيطالية
Codice fiscale: الرمز الضريبي الإيطالي الأبجدي الرقمي المكوّن من 16 حرفاً — أحد أكثر المعرّفات الوطنية غنىً بالمعلومات في الاتحاد الأوروبي. هيكله:
- الأحرف 1-3: أصوات ساكنة من اللقب (قواعد استخراج محددة)
- الأحرف 4-6: أصوات ساكنة وحروف علّة من الاسم الأول (قواعد استخراج محددة)
- الأحرف 7-8: آخر رقمين من سنة الميلاد
- الحرف 9: حرف يمثّل شهر الميلاد (A=يناير، B=فبراير، C=مارس، D=أبريل، E=مايو، H=يونيو، L=يوليو، M=أغسطس، P=سبتمبر، R=أكتوبر، S=نوفمبر، T=ديسمبر)
- الأحرف 10-11: يوم الميلاد (ذكور: رقم اليوم؛ إناث: اليوم + 40)
- الأحرف 12-15: رمز Belfiore (4 أحرف) للبلدية أو الدولة
- الحرف 16: حرف التحقق (محسوب بخوارزمية محددة)
يُرمّز codice fiscale أصوات اسم العائلة والاسم الأول وتاريخ الميلاد والجنس (عبر ترميز يوم الميلاد) ومكان الميلاد. وتكتشف الأدوات العامة codice fiscale بدقة 67% فقط (التحليل التقني لـ Garante لعام 2024).
Partita IVA: رقم ضريبة القيمة المضافة الإيطالي للأعمال المكوّن من 11 رقماً، مع رقم تحقق يُحسَب باستخدام خوارزمية مجموع موزون modulus-10. يظهر في جميع الوثائق التجارية الإيطالية.
Tessera sanitaria: البطاقة الصحية الإيطالية — تدمج codice fiscale مع بيانات صحية إضافية.
متطلبات Garante لأدوات الذكاء الاصطناعي
توجيهات Garante بشأن "التدابير التقنية والتنظيمية" لأنظمة الذكاء الاصطناعي التي تعالج البيانات الشخصية الإيطالية:
قبل معالجة الذكاء الاصطناعي: يجب تحديد البيانات الشخصية إما لإزالتها أو إخفاء هويتها قبل إدخالها في أنظمة الذكاء الاصطناعي. في سياق Garante للتكامل مع الذكاء الاصطناعي: يجب إزالة أي أداة ذكاء اصطناعي تتلقى بيانات شخصية إيطالية (الأسماء والأرقام الضريبية والبيانات الصحية) من المطالبات قبل الإرسال.
للتدريب على الذكاء الاصطناعي: يُشترط أساس قانوني موثق صريح. تُفضّل Garante الموافقة كأساس لتدريب الذكاء الاصطناعي على المحتوى الذي ينشئه المستخدمون الإيطاليون. "المصلحة المشروعة" تستلزم اختباراً موازناً موثقاً يُثبت أن غرض التدريب لا يطغى على مصالح المستخدمين الإيطاليين في حماية البيانات.
لمخرجات الذكاء الاصطناعي: يجب على الأنظمة التي تولّد مخرجات حول الأفراد الإيطاليين تطبيق ضمانات ضد الهلوسة في البيانات الشخصية (توليد معلومات كاذبة منسوبة لأفراد حقيقيين) — أشارت Garante إلى هذا بوصفه خطراً محدداً يستلزم التخفيف التقني.
63% من المؤسسات الإيطالية تفتقر إلى سياسات حوكمة بيانات ذكاء اصطناعي متوافقة مع GDPR (Garante 2024). للمنظمات التي تنشر أدوات ذكاء اصطناعي في إيطاليا: اكتشاف codice fiscale وpartita IVA مع التحقق الكامل من حرف التحكم، ونماذج NER للإيطالية (spaCy it_core_news)، والأساس القانوني الموثق وفق GDPR لأي تدريب ذكاء اصطناعي على البيانات الشخصية الإيطالية تمثّل الحد الأدنى للامتثال للـ Garante.
المصادر: