Италианският Garante per la protezione dei dati personali (Garante) е най-агресивният регулатор на поверителността на AI в ЕС. През март 2023 г. Garante стана първият орган за защита на данните в световен мащаб, който временно забрани ChatGPT от Италия — принуждавайки OpenAI да приложи изрична проверка на възрастта и мерки за прозрачност, преди услугата да бъде възстановена. През декември 2024 г. Garante глоби OpenAI с 15 милиона евро за неправомерна обработка на италиански потребителски данни.
За организации, използващи AI инструменти в Италия — или внедряващи AI системи, които могат да обработват италиански лични данни — моделът за прилагане на Garante задава най-взискателните технически очаквания в ЕС.
Случаят OpenAI/ChatGPT: Какво откри Garante
Глобата от 15 милиона евро на Garante срещу OpenAI през декември 2024 г. се основава на множество нарушения:
Неуспешна проверка на възрастта: ChatGPT беше достъпен за непълнолетни италианци без адекватна проверка на възрастта. Garante установи, че OpenAI не е успял да приложи разумни мерки за предотвратяване на употреба под 13 години.
**Незаконна обработка на данни за обучение: ** Garante установи, че използването от OpenAI на италиански потребителски данни за обучение ChatGPT 3.5/4 няма адекватно правно основание. Твърдението за „легитимен интерес“ беше отхвърлено — Garante установи, че използването на лични данни за обучение на търговски AI модели изисква или съгласие, или по-ясно правно основание, отколкото доставчиците на LLM обучение обикновено се позовават.
Липса на прозрачност: OpenAI не е информирал адекватно италианските потребители как техните данни са били използвани за обучение, нито е предоставил достъпни механизми за отказ.
Практически последици: Всяка система с изкуствен интелект, обработваща италиански лични данни — независимо дали обучение, фина настройка или извеждане на информация от италиански потребители — трябва да има документирано правно основание GDPR съгласно стандартите Garante, което надхвърля обикновените претенции за „легитимен интерес“. Обикновено се изисква съгласие или конкретно изпълнение на договора.
Италиански национални идентификатори
Codice fiscale: 16-символен буквено-цифров данъчен код на Италия — един от най-богатите на информация национални идентификатори в ЕС. Структура:
- Знаци 1-3: съгласни от фамилното име (специфични правила за извличане)
- Знаци 4-6: Съгласни и гласни от собственото име (специфични правила за извличане)
- Знаци 7-8: Последните две цифри от годината на раждане
- Знак 9: Буква, представляваща месеца на раждане (A=януари, B=февруари, C=март, D=април, E=май, H=юни, L=юли, M=август, P=септември, R=октомври, S=ноември, T=декември)
- Знаци 10-11: Рожден ден (мъже: номер на деня; жени: ден + 40)
- Знаци 12-15: Код на Белфиоре (4 знака) на община или държава на раждане
- Знак 16: Проверете знак (буква, изчислена чрез специфичен алгоритъм)
Codice fiscale кодира началните звуци на фамилията, началните звуци на собственото име, дата на раждане, пол (чрез кодиране на деня на раждане) и място на раждане. Това е може би най-личният национален идентификатор в ЕС по информационно съдържание.
**Точност на откриване: ** Генеричните NLP инструменти откриват codice fiscale само с 67% точност (технически анализ Garante 2024). Неуспехите: инструменти, които отговарят на 16-символни буквено-цифрови шаблони, без да прилагат алгоритъма за контролни знаци, не могат да разграничат валидните codici fiscali от фалшивите положителни резултати; инструменти, които не прилагат правилата за извличане на фамилия/име, не могат да валидират съществуващи номера.
Partita IVA: 11-цифрен бизнес ДДС номер на Италия с контролна цифра, изчислена с помощта на алгоритъм за претеглен сбор модул-10. Последната цифра е контролната. Partita IVA се появява във всички италиански търговски документи — фактури, договори и бизнес кореспонденция.
Tessera sanitaria: Здравна карта на Италия — съчетава codice fiscale с допълнителни специфични за здравето данни. Форматът включва codice fiscale като компонент.
Garante Изисквания за AI инструмента
Ръководството на Garante относно „технически и организационни мерки“ за AI системи, които обработват италиански лични данни:
Преди обработка с AI: PII трябва да бъдат идентифицирани и премахнати или псевдонимизирани преди въвеждане в системите с AI. Контекстът за интегриране на Chrome Extension/AI на Garante: всеки AI инструмент, който получава италиански лични данни (имена, фискални кодове, здравни данни) в подкани, трябва да премахне тези идентификатори преди предаване.
За обучение с изкуствен интелект: Изисква се изрично документирано правно основание. Съгласието е предпочитаната основа на Garante за обучение по съдържание, генерирано от италиански потребители. „Легитимен интерес“ изисква документиран тест за балансиране, показващ, че целта на обучението не надделява над интересите на италианските потребители за защита на данните.
**За AI изходи: ** Системите, генериращи изходи за италиански лица, трябва да прилагат предпазни мерки срещу халюцинации на лични данни (генериране на невярна информация, приписвана на реални лица) — Garante е маркирал това като специфичен риск, изискващ техническо смекчаване.
63% от италианските предприятия нямат съвместими със GDPR политики за управление на данни за AI (Garante 2024 г.). За организации, внедряващи AI инструменти в Италия: codice fiscale и partita IVA откриване с пълно валидиране на контролен знак, NER на италиански език (spaCy it_core_news) и документирана GDPR правна основа за всяко обучение на AI за италиански лични данни са основните изисквания за съответствие с Garante.
Източници: