Garante Италия: Техническо съответствие с GDPR и лични данни
Актуализирано за 2026 г.
Най-активният регулатор за поверителност в Италия
Garante per la protezione dei dati personali е италианският орган за данни. Той е най-активният регулатор на AI в ЕС.
Две действия определят неговия подход. През март 2023 г. Garante разпореди на OpenAI да спре ChatGPT за потребители в Италия. Органът установи липса на валидно правно основание за използването на данните, а също и липса на проверка на възрастта за непълнолетни. OpenAI добави контрол на възрастта, опция за отказ от обучение и уведомление за поверителност на итальянски. Услугата беше възстановена през април 2023 г.
През декември 2024 г. органът глоби OpenAI с 15 млн. евро. Три причини обосноваха глобата: липса на валидно правно основание, липса на ясно уведомление относно използването на данни за обучение и липса на проверка на възрастта за непълнолетни.
Всеки AI инструмент, обработващ лични данни на потребители в Италия, трябва да отговаря на същите стандарти.
Какво се провали в делото с OpenAI
Глобата от 15 млн. евро посочи конкретни пропуски. Всеки от тях съответства на липсващ технически контрол.
Правно основание за данните за обучение: Garante отхвърли "законния интерес" като основание за обучение върху потребителски данни. Обучението на AI върху лични данни изисква изрично съгласие или договорно основание. Позоваването само на "законен интерес" не е достатъчно.
Прозрачност: Потребителите не са бивали информирани как данните им се използват за обучение. Те не са имали ясна опция за отказ.
Проверка на възрастта: Непълнолетни са могли да ползват ChatGPT без никаква проверка на възрастта. Garante третира това като твърдо правило за потребителски AI инструменти.
Ключово следствие: Всяка AI система, приемаща потребителски данни в Италия, трябва да разполага с документирано правно основание по GDPR. "Законният интерес" носи висок риск.
Италиански национални идентификатори
Италия разполага с уникални формати на идентификатори. Универсалните инструменти нерядко ги пропускат. Вашият стек за разпознаване трябва да обхваща и трите.
Codice Fiscale
Codice fiscale е 16-символен национален идентификатор. Той кодира звуци от фамилното и собственото ime, дата на раждане, пол и град на раждане. Последният символ е контролна цифра.
Техническият анализ на Garante от 2024 г. установи, че универсалните NLP инструменти разпознават codice fiscale само в 67% от случаите. Основният провал: инструментите съпоставят 16-символния шаблон, но пропускат логиката за контролна цифра. Това генерира фалшиви положителни. Инструменти, пропускащи правилата за извличане на букви от имената, не могат да верифицират съществуващи кодове.
Доброто разпознаване изисква три неща:
- Пълен алгоритъм за контролния символ
- Правила за извличане на букви от фамилно и собствено ime
- Тестване спрямо реални местни данни
Partita IVA
Partita IVA е 11-цифреният италиански ДДС номер на бизнес. Последната цифра е контролна. Среща се в фактури, договори и бизнес кореспонденция. Вашият инструмент трябва да изпълнява алгоритъма за контролна цифра, а не само да съпоставя 11-цифрен шаблон.
Tessera Sanitaria
Здравната карта (tessera sanitaria) съдържа codice fiscale като част от кода си. Здравните данни са от специална категория съгласно член 9 от GDPR. Това повишава изискваното ниво на гаранции.
Изисквания на Garante за AI инструменти
Насоките на Garante обхващат три области.
Преди AI обработка: Личните данни трябва да бъдат открити и премахнати, преди данните да влязат в AI система. За AI инструменти, използвани в Италия — включително разширения за браузър и MCP сървъри — това означава изчистване на codici fiscali, partite IVA и здравни данни от заявките, преди да бъдат изпратени. Вижте нашето ръководство за съответствие за начина на документиране на тази стъпка.
За обучение на AI: Изисква се изрично правно основание. Съгласието е предпочитаното от Garante основание за обучение върху потребителско съдържание. "Законният интерес" изисква писмен тест за баланс. Този тест трябва да доказва, че целта на обучението не надделява над правата на потребителите върху данните им.
За изходни данни от AI: Системите, генериращи съдържание за реални хора, трябва да адресират риска от неверни твърдения. Garante е определил фабрикуваните лични данни като отделен риск, изискващ техническо решение.
Пропастта при 63% от предприятията
Проучване на Garante от 2024 г. установи, че 63% от итальянските компании нямат политика за AI, съответстваща на GDPR. Органът е направил тази пропаст активен одитен фокус.
Политика без технически контроли е трудна за защита. Garante се насочва към компании, разчитащи на самоконтрол на служителите при работа с данни. Нашият преглед на сигурността показва как автоматизираните контроли подкрепят писмената политика.
Четири контрола за съответствие с Garante
1. Филтриране на лични данни преди изпращане
Премахнете данни за codice fiscale, partita IVA и tessera sanitaria, преди входящите данни да достигнат до AI модел. Това е основният технически контрол, изискван от логиката на делото на Garante.
2. NER на итальянски
Използвайте модел за разпознаване на именувани обекти, обучен на итальянски текст — например spaCy it_core_news. Универсалните модели, обучени на английски, пропускат итальянските именни шаблони. Вижте нашето ръководство за многоезично разпознаване на лични данни за избор на модел.
3. Документация на правното основание
За всеки AI инструмент в употреба: запишете правното основание. Ако е замесено обучение, добавете теста за баланс. Съхранявайте ги на достъпно за одиторите място.
4. Одитен запис
Документирайте, че филтрирането е изпълнено, кои типове обекти са открити и какво е премахнато. Това дава на проверяващите необходимите доказателства без продължителен ръчен преглед.