Garante:n tekoälyn valvontahistoria
Italian Garante per la protezione dei dati personali (Garante) on vakiinnuttanut asemansa EU:n aggressivisimpana tekoälyregulaattorina sarjalla merkittäviä valvontatoimia:
Maaliskuu 2023 — ChatGPT:n väliaikainen kielto: Garante määräsi OpenAI:n väliaikaisesti keskeyttämään ChatGPT-palvelun italialaisille käyttäjille, koska se totesi, että OpenAI:lla ei ollut riittävää oikeudellista perustaa italialaisten käyttäjien tietojen käsittelyyn eikä ikävarmennusmekanismia. OpenAI toteutti pyydetyt muutokset (ikävarmennus, italiankielinen tietosuojailmoitus, opt-out-mekanismi tietojen käytölle koulutuksessa) ja palvelu palautettiin huhtikuussa 2023.
Joulukuu 2024 — 15 miljoonan euron sakko OpenAI:lle: Garante määräsi virallisesti 15 miljoonan euron sakon OpenAI:lle laittomasta italialaisten käyttäjien henkilötietojen käsittelystä. Valvontailmoituksessa mainittiin: riittävän oikeudellisen perustan puute, läpinäkyvyyden puute siitä, miten käyttäjätietoja käytettiin koulutuksessa, ja ikävarmennuksen puute alaikäisille.
Käynnissä olevat tutkimukset (2024-2025): Garante aloitti viralliset tutkimukset useita tekoälytoimittajia vastaan, jotka toimivat Italiassa, mukaan lukien Replika (tekoälykumppani), Worldcoin (biometriset tiedot) ja useita generatiivisia tekoälystartupeja.
Tämä malli vahvistaa Italian EU:n korkeimman riskin lainkäyttöalueeksi tekoälytyökalujen käyttöönotossa ilman asiakirjoitettuja vaatimustenmukaisuusmenettelyjä.
Mitä Garante vaatii tekoälytyökalujen käyttäjiltä
Garante:n valvontatoimet ovat selventäneet, mitä italialaisten organisaatioiden on tehtävä käyttäessään tekoälytyökaluja, jotka käsittelevät henkilötietoja:
Oikeudellisen perustan dokumentointi: Jokaisella tekoälytyökalulla, joka käsittelee italialaisten käyttäjien henkilötietoja, on oltava asiakirjoitettu oikeudellinen perusta GDPR:n artiklan 6 mukaan. Garante on ollut skeptinen "laillisen edun" väitteitä kohtaan tekoälyn koulutustietojen käytössä — eksplisiittinen suostumus tai sopimustarve ovat suositeltuja perusteita.
Tietojenkäsittelysopimukset: Italialaisten organisaatioiden, jotka käyttävät kolmannen osapuolen tekoälytyökaluja tietojenkäsittelijöinä, on oltava GDPR:n mukaisia tietojenkäsittelysopimuksia. Garante tarkasteli erityisesti, kattavatko tekoälytoimittajien DPA:t riittävästi tietojen käyttörajoituksia.
Syöttötietojen hallinta: Garante:n valvontakeskittyminen italialaisten käyttäjien tietojen "laittomaan käsittelyyn" on johtanut vaatimukseen, että organisaatioiden on hallittava, mitä henkilötietoja pääsee tekoälyjärjestelmiin. Tekniset kontrollit, jotka estävät italialaisten käyttäjien henkilötietojen pääsyn tekoälyjärjestelmiin ilman asianmukaista oikeudellista perustaa, tyydyttävät Garante:n olennaista huolta.
Ikävarmennus kuluttajille suunnatuissa tekoälyjärjestelmissä: ChatGPT:n kiellon jälkeen Garante vaatii, että italialaisille kuluttajille avoimissa tekoälyjärjestelmissä on toteutettava ikävarmennus alaikäisille.
Läpinäkyvyys: Italiankieliset tietosuojailmoitukset, jotka selkeästi selittävät, miten tekoälyjärjestelmät käyttävät henkilötietoja, mukaan lukien mahdollinen käyttö koulutustarkoituksiin.
63 % italialaisten yritysten puute
Garante:n vuonna 2024 tekemä tutkimus osoitti, että 63 % italialaisista yrityksistä, jotka käyttävät tekoälytyökaluja, puuttuu GDPR:n mukaisia tekoälyn käyttöpolitiikkoja. Tämä puute luo merkittävän valvontariskin, kun Garante laajentaa tekoälyn valvontaprogrammiaan.
Italialaisten DPO-rekisteröintien määrä kasvoi 340 % ChatGPT:n kiellon jälkeen — nousu, jonka aiheutti organisaatioiden tunnistaminen, että tekoälyn käyttöönotto ilman DPO:n osallistumista loi merkittävää oikeudellista altistumista. Kuitenkin DPO:n olemassaolo ei ole riittävää ilman teknisiä kontrollitoimia, jotka valvovat DPO:n politiikkoja.
DPO-politiikka ilman teknisiä kontrollitoimia on juuri se, mitä Garante:n valvonta kohdistaa: organisaatiot, joilla on kirjallisia tekoälypolitiikkoja, mutta jotka luottavat työntekijöihin itsevalvoa vaatimustenmukaisuutta sen sijaan, että toteuttaisivat teknisiä toimenpiteitä, jotka tekevät politiikasta täytäntöönpanokelpoisen.
Tekninen toteutus Garante:n vaatimustenmukaisuudelle
Italian organisaatioille tai organisaatioille, joilla on italialaisia käyttäjiä, Garante:n vaatimustenmukainen tekninen pino tekoälyn käytölle sisältää:
Ennen tekoälyä PII-suodatus: Chrome-laajennus tai MCP-palvelinintegraatio luo teknisen kerroksen, joka keskeyttää tekoälykehotteen lähettämisen ja poistaa italialaiset henkilötiedot ennen kuin ne saavuttavat tekoälymallin. Tämä tyydyttää Garante:n keskeisen huolen "italialaisten käyttäjätietojen laittomasta käsittelystä" — jos italialaiset PII:t poistetaan ennen lähettämistä, italialaiset henkilötiedot eivät pääse tekoälyjärjestelmään.
Italian erityiset entiteettityypit: Italian PII-tunnistus on katettava:
- Codice fiscale (italialainen verotunnus — 16-merkkinen alfanumeerinen kansallinen ID)
- Partita IVA (italialainen ALV-numero — 11-numeroisen liiketunnus)
- Carta d'identità (italialainen kansallinen henkilökortti)
- Tessera sanitaria (italialainen terveydenhuollon kortti, joka sisältää codice fiscalen)
- Italialaiset IBAN-muodot
Vakiomuotoiset PII-työkalut ilman italialaisia entiteettityyppejä jättävät huomiotta codice fiscalen — ensisijaisen italialaisen kansallisen tunnisteen — ja muut lainkäyttöaluekohtaiset tunnisteet.
Audit trail sääntelynäyttöä varten: Garante:n tarkastuspyynnöt edellyttävät säännöllisesti näyttöä siitä, että tekoälyn käyttö oli varustettu asianmukaisilla teknisillä kontrollitoimilla. Keskitetty audit trail, joka osoittaa, että ennen lähettämistä PII-suodatus oli sovellettu italialaisten käyttäjätietojen osalta, tarjoaa todisteen tälle näytölle.
DPA-dokumentaatio: Tekoälytyökaluille, joita käytetään tietojenkäsittelijöinä: jokaisen tekoälytoimittajan osalta täytetty DPA-arviointiasiakirja, joka sisältää koulutustietojen käyttöä koskevien ehtojen arvioinnin.
Garante:n sektorikohtaiset painopistealueet
Garante:n valvontaprogrammilla on erityiset sektorikohtaiset painopisteet:
Terveydenhuolto: Garante käsittelee italialaisia terveystietoja korkean riskin tietona GDPR:n artiklan 9 mukaan. Mikä tahansa tekoälytyökalu, joka käsittelee italialaisten potilaiden tietoja, vaatii eksplisiittisen oikeudellisen perustan, DPA:n ja parannettuja teknisiä toimenpiteitä. Garante on erityisesti merkinnyt tekoälyn diagnostiikkatyökalut ja kliinisen dokumentoinnin tekoälyn vaativiksi DPIA:ita.
Rahoituspalvelut: Kuluttajaprofilointi tekoälyn avulla on saanut Garante:n tarkastelun kohteeksi. Italialaiset pankit ja rahoituslaitokset, jotka käyttävät tekoälyä luottopäätöksissä tai markkinoinnin personoinnissa, on suoritettava DPIA:t ja toteutettava selkeyttäviä kontrollitoimia.
HR ja työllisyys: Rekrytointiin, suorituskyvyn arviointiin ja työntekijöiden seurantaan käytettävät tekoälytyökalut vaativat DPIA:ita Italian lain ja Garante:n ohjeiden mukaan työntekijöiden seurannasta (Provvedimento 2023).
Koulutus: Tekoälytyökaluille italialaisissa koulutusympäristöissä on lisävaatimuksia Garante:n ohjeiden mukaisesti opiskelijatietojen suojaamiseksi (2024).
Näiden sektoreiden organisaatioilta Garante:n vaatimustenmukaisuus tekoälyn käyttöönotossa vaatii sektorikohtaisia asiakirjoja yleisten vaatimusten lisäksi.
Lähteet: