Рекордът за прилагане на AI на Garante
Италианският Garante per la protezione dei dati personali (Garante) се утвърди като най-агресивният регулатор на ИИ в ЕС чрез поредица от забележителни действия за правоприлагане:
Март 2023 г. — временна забрана на ChatGPT: Garante нареди на OpenAI временно да спре услугата ChatGPT за италиански потребители, като установи, че OpenAI няма достатъчно правно основание за обработка на данни на италиански потребители и няма механизъм за проверка на възрастта. OpenAI въведе исканите промени (проверка на възрастта, съобщение за поверителност на италиански език, механизъм за отказ за използване на данни в обучение) и услугата беше възстановена през април 2023 г.
Декември 2024 г. — 15 милиона евро глоба срещу OpenAI: Garante наложи официална глоба от 15 милиона евро срещу OpenAI за неправомерно обработване на лични данни на италиански потребители. Известието за прилагане цитира: липса на подходящо правно основание, липса на прозрачност за това как данните на потребителите са били използвани в обучението и неизпълнение на проверка на възрастта за непълнолетни.
Текущи разследвания (2024-2025): Garante инициира официални разследвания срещу множество доставчици на AI, работещи в Италия, включително Replika (придружител на AI), Worldcoin (биометрични данни) и няколко генеративни стартиращи AI компании.
Моделът установява Италия като най-рисковата юрисдикция в ЕС за внедряване на инструменти за ИИ без документирани мерки за съответствие.
Какво Garante изисква от потребителите на AI Tool
Действията по правоприлагането на Garante изясниха какво трябва да правят италианските организации, когато използват AI инструменти, които обработват лични данни:
Документация за правно основание: Всеки инструмент за AI, обработващ лични данни на италиански потребители, изисква документирано правно основание съгласно член 6 на GDPR. Garante е скептично настроен към претенциите за „легитимен интерес“ за използване на данни за обучение на AI — изричното съгласие или договорната необходимост са предпочитани основи.
**Споразумения за обработка на данни: ** Италианските организации, използващи AI инструменти на трети страни като обработващи данни, трябва да имат споразумения за обработка на данни, съвместими със GDPR. Garante конкретно прегледа дали DPA на доставчиците на AI обхващат адекватно ограниченията за използване на данни.
**Контрол на входните данни: ** Фокусът на правоприлагането на Garante върху „незаконната обработка“ на италиански потребителски данни доведе до изискване организациите да контролират какви лични данни влизат в системите за изкуствен интелект. Техническите контроли, които не позволяват на личните данни на италианските потребители да влизат в AI системи без подходящо правно основание, удовлетворяват съществената загриженост на Garante.
Проверка на възрастта за AI системи с потребителски достъп: След забраната на ChatGPT, Garante изисква AI системите, достъпни за италианските потребители, да прилагат проверка на възрастта за непълнолетни.
Прозрачност: Бележки за поверителност на италиански език, които ясно обясняват как AI системите използват лични данни, включително всяка употреба за целите на обучението.
63% разлика в италианското предприятие
Проучване на Garante от 2024 г. установи, че 63% от италианските компании, използващи AI инструменти, нямат съвместими с GDPR политики за използване на AI. Тази празнина създава значителен риск за прилагане, тъй като Garante разширява своята програма за прилагане на AI.
Регистрациите на DPO в Италия се увеличиха с 340% след забраната ChatGPT — скок, предизвикан от организации, които признават, че внедряването на AI без участие на DPO създава значителна правна експозиция. Наличието на DPO обаче не е достатъчно без технически контрол, който налага прилагането на политиките на DPO.
Пропускът в политиката на DPO-без-технически контрол е точно това, което Garante насочва към прилагането: организации, които са написали политики за ИИ, но разчитат на служителите да се самоконтролират, вместо да прилагат технически мерки, които правят политиката приложима.
Техническа реализация за съответствие с Garante
За италиански организации или организации с италиански потребители съвместимият с Garante технически стек за използване на AI включва:
Филтриране на PII преди подаване на AI: Интеграцията на Chrome Extension или MCP Server създава технически слой, който прихваща AI бързото изпращане и премахва италианските лични данни, преди да достигнат до AI модела. Това удовлетворява основната загриженост на Garante за „незаконно обработване на италиански потребителски данни“ — ако италианската PII бъде премахната преди изпращането, италианските лични данни не достигат до системата за изкуствен интелект.
Специфични за Италия типове обекти: Откриването на италиански PII трябва да обхваща:
- Codice fiscale (италиански данъчен код — 16-знаков буквено-цифров национален идентификатор)
- Partita IVA (италиански ДДС номер — 11-цифрен бизнес идентификатор)
- Carta d'identità (италианска национална лична карта)
- Tessera sanitaria (италианска здравна карта, включваща codice fiscale)
- италиански IBAN формати
Стандартните инструменти за лична информация без италиански типове юридически лица пропускат codice fiscale — основния италиански национален идентификатор — и други идентификатори, специфични за юрисдикцията.
Одитна пътека за регулаторна демонстрация: Заявките за проверка на Garante рутинно изискват демонстрация, че използването на AI е придружено от подходящ технически контрол. Централизирана одитна пътека, показваща, че филтрирането на PII преди подаване е приложено за италиански потребителски данни, предоставя доказателства за тази демонстрация.
Документация на DPA: За AI инструменти, използвани като процесори за обработка на данни: попълнен документ за преглед на DPA за всеки доставчик на AI, включително оценка на разпоредбите за използване на данни за обучение.
Специфични за сектора Garante области на фокус
Програмата за прилагане на Garante има специфични секторни фокуси:
Здравеопазване: Garante третира италианските здравни данни като високорискови съгласно член 9 на GDPR. Всеки инструмент с изкуствен интелект, обработващ данни на италиански пациенти, изисква изрично правно основание, DPA и подобрени технически мерки. Garante специално маркира AI диагностични инструменти и клинична документация AI като изискващи DPIA.
Финансови услуги: Профилирането на потребителите с помощта на AI е подложено на Garante проверка. Италианските банки и финансови институции, използващи AI за кредитни решения или маркетингова персонализация, трябва да извършват DPIAs и да прилагат контроли за обяснение.
Човешки ресурси и заетост: AI инструментите за набиране на персонал, оценка на представянето и наблюдение на служителите изискват DPIA съгласно италианското законодателство и насоките на Garante относно наблюдението на служителите (Provvedimento 2023).
Образование: Инструментите за изкуствен интелект в италианските образователни среди имат допълнителни изисквания съгласно указанията на Garante за защита на данните на учениците (2024 г.).
За организации в тези сектори съответствието на Garante за внедряване на AI изисква специфична за сектора документация извън общите изисквания.
Източници: