Garante AI täitmise kirje
Itaalia Garante per la protezione dei dati personali (Garante) määras ennast EL-i agressiivseim AI regulator läbi järjekord majamargi täitmise tegevused:
Märts 2023 — ChatGPT ajutine keeld: Garante käsku OpenAI ajutiselt peatada ChatGPT teenus Itaalia kasutaja jaoks, avastund, et OpenAI oli ebapiisav õiguslik alus Itaalia kasutaja andmete töötlemisele ja pole vanusekinnitamise mehhanism. OpenAI rakendas taotletud muudatusi (vanusekinnitamist, Itaalia-keelne privaatsuse märkust, opt-out mehhanism andmete kasutamisele koolitamisele) ja teenus oli taastamist aprilli 2023.
Detsember 2024 — €15M trahv OpenAI vastu: Garante väljastusid ametlik trahv €15M OpenAI vastu ebaseadusliku töötlemise Itaalia kasutaja isiklikke andmeid. Täitmise märkus viitas: puudumine vastava õiguslik alus, puudus läbipaistvus kuidas kasutaja andmet kasutati koolitamisele ja ebaõnnestu rakendada vanusekinnitamise alaealisele.
Jätkuva uuringute (2024-2025): Garante algatusid ametlik uuringute vastu mitmes AI müüjatest opereerimist Itaalias, sealhulgas Replika (AI kaaslane), Worldcoin (biomeetrilise andmete) ja mitmel genereerimine AI startupiga.
Muster kehtestab Itaalia kõrgeim-riski jurisdiktsioon AI tööriist juurutusele ilma dokumenteeritud järgimise meetmeteta.
Mida Garante nõuab AI tööriist kasutajatest
Garante täitmise tegevused on selgelt, mida Itaalia organisatsioonid peavad tegemist AI tööriistade kasutamisele, mis töötlemist Itaalia kasutaja isiklikke andmete:
Õiguslik alus dokumentatsioon: Iga AI tööriist töötlemist Itaalia kasutaja isiklikke andmete nõuab dokumenteeritud õiguslik alus GDPR artiklis 6. Garante on skeptiline "õigustatud huvi" väited AI koolitusandmete kasutamisele — selge nõusolek või lepingu vajadus on eelistatud alused.
Andmete töötlemise lepingud: Itaalia organisatsioonid kasutama kolmanda osapoole AI tööriistadena andmete protsessori peab olema GDPR-nõuetele vastav andmete töötlemise lepingud. Garante spetsiaalselt ülevaatamisega kas AI müüjatest DPA-d piisavalt kaetud andmete kasutamise piirangud.
Sisendandmete kontrollid: Garante täitmise fookus "ebaseadusliku töötlemise" Itaalia kasutaja andmete on ajamist nõude, et organisatsioonid kontrollida mida isiklikud andmed sisenevad AI süsteemidele. Tehniline kontrollid, mis ennetama Itaalia kasutaja isiklikud andmet sisenemist AI süsteemidele ilma vastava õiguslik alus rahuldada Garante vahekohtu huvi.
Vanusekinnitamise AI süsteemid koos tarbija juurdepääsuga: Järgmise ChatGPT keelu, Garante nõuab AI süsteemid juurdepääsetav Itaalia tarbijale rakendada vanusekinnitamist alaealisele.
Läbipaistvus: Itaalia-keelne privaatsuse märkused, mille selgelt seletada kuidas AI süsteemid kasutada isiklikud andmed, sealhulgas mis tahes kasutamine koolitamise eesmärkidel.
63% Itaalia ettevõtte vahe
2024 Garante küsitlus avastund, et 63% Itaalia ettevõtted, kes kasutama AI tööriistadele puudub GDPR-nõuetele vastav AI kasutamise poliitika. See vahe loob märkimisväärse täitmise riski Garante juurutama AI täitmise programmi.
Itaalia DPO registreerimiset suurenenud 340% järgmise ChatGPT keelu — suurenemine jõetud organisatsioonide tunne, et AI juurutamine ilma DPO osalemine oli loob oluline juriidiline nähtamatuse. Kuid kellel on DPO pole piisav ilma tehniline kontrollid, mida sundida DPO poliitika.
DPO-poliitika-ilma-tehniline-kontrollid vahe on täpselt mida Garante täitmise sihtpunktid: organisatsioonid, kes on kirjutanud AI poliitika kuid toetuvad töötajad eneseanalüüsile järgimise, asemel rakendama tehniline meetodeid, mis tegemine poliitika sundivad.
Tehniline rakendamine Garante järgimise jaoks
Itaalia organisatsioonid või organisatsioonid Itaalia kasutajatega, Garante-nõuetele vastav tehniline virnas AI kasutamise kaasab:
Eelnõus PII filtreerimist: Chrome pikendamine või MCP serveri integratsioon loob tehniline kiht, mis peatakse AI käskluse esitamine ja eemaldab Itaalia isiklikud andmed enne, kui see saavutab AI mudel. See rahuldab Garante peamise märksõna umbes "ebaseadusliku töötlemise Itaalia kasutaja andmete" — kui Itaalia PII on eemaldatud enne esitamise, Itaalia isiklikud andmet ei jõua AI süsteem.
Itaalia konkreetsete üksuste tüüp: Itaalia PII tuvastamine peab katvus:
- Codice fiscale (Itaalia maksu kood — 16-tähe alfanumeeriliselt rahvuslik ID)
- Partita IVA (Itaalia km number — 11-numbriliselt äri identifikaator)
- Carta d'identità (Itaalia rahvuslik ID kaart)
- Tessera sanitaria (Itaalia tervishoiu kaart, kaasarvatud codice fiscale)
- Itaalia IBAN vormingud
Standardsed PII tööriistadele ilma Itaalia üksuste tüüpideta puudub codice fiscale — peamise Itaalia rahvuslik identifikaator — ja muud jurisdiktsiooni konkreetse identifikaatorid.
Auditeerida rida reguleerimise demonstratsiooni jaoks: Garante inspektsiooni taotlused tavaliselt nõuavad demonstratsiooni, et AI kasutamise oli kaasaarvatud asjakohaseid tehnilist kontrolli. Keskne auditeerida rida näitab, et enne-esitamise PII filtreerimist oli rakendatud Itaalia kasutaja andmete annab tõendi selle demonstratsiooni.
DPA dokumentatsioon: AI tööriistadele kasutatakse andmete protsessori: lõpetatud DPA ülevaatuse dokument iga AI müüjatest, kaasaarvatud hindamise koolitusandmete kasutamise sätte.
Sektor-spetsiifiline Garante fookus alad
Garante täitmise programm on spetsiifiline sektor fookus:
Tervishoiu: Garante käsitlema Itaalia tervishoiu andmete kõrge-riski GDPR artiklis 9. Iga AI tööriist töötlemist Itaalia patsiendi andmete nõuab selge õiguslik alus, DPA ja suurendada tehniline meetodeid. Garante on spetsiaalselt lipu AI diagnoose tööriist ja kliiniliselt dokumentatsioon AI nagu nõues DPIA.
Finantsline teenused: Tarbija profileerimine AI abil on saanud Garante skanduaalset. Itaalia pangad ja finantsline institutsioonid, kes kasutama AI krediidi otsuste või turundamise isikupärasuse jaoks peab tegemist DPIA ja rakendama selgitavus kontrolli.
HR ja tööhõive: AI tööriistadele värbamist, tulemuslikkust hindamist ja töötaja jälgimist nõuab DPIA Itaalia õiguse all ja Garante juhendust töötaja jälgimisele (Provvedimento 2023).
Haridus: AI tööriistadele Itaalia haridus seadistus on täiendav nõudmised järgmise Garante juhendust õpilase andmete kaitse (2024).
Organisatsioonide nende sektoritest, Garante järgimise AI juurutuse nõuab sektor-spetsiifiline dokumentatsioon väljaspool üldist nõudlused.
Allikad: