이탈리아 Garante: GDPR 및 개인정보 기술 규정 준수
2026년 기준 최신화
이탈리아의 가장 적극적인 개인정보 감독 기관
Garante per la protezione dei dati personali는 이탈리아의 데이터 보호 기관입니다. EU에서 AI 규제에 가장 적극적인 감독 기관입니다.
두 가지 조치가 Garante의 접근 방식을 잘 보여줍니다. 2023년 3월, Garante는 OpenAI에 이탈리아 사용자 대상 ChatGPT 서비스를 중단하라고 명령했습니다. 데이터 이용에 적법한 법적 근거가 없고, 미성년자 연령 확인도 이루어지지 않았다는 이유에서였습니다. OpenAI는 연령 확인 절차, 학습 데이터 사용 거부 옵션, 이탈리아어 개인정보 보호 공지를 추가했고, 2023년 4월 서비스가 재개되었습니다.
2024년 12월, Garante는 OpenAI에 1,500만 유로의 벌금을 부과했습니다. 세 가지 이유가 있었습니다. 유효한 법적 근거 부재, 학습 목적 데이터 이용에 대한 명확한 고지 부재, 미성년자 연령 확인 부재였습니다.
이탈리아 사용자의 개인정보를 처리하는 AI 도구는 모두 동일한 기준을 충족해야 합니다.
OpenAI 사례에서 드러난 문제점
1,500만 유로 벌금 결정에서는 구체적인 결함이 명시되었습니다. 각각의 결함은 부재한 기술적 통제 수단에 해당합니다.
학습 데이터의 법적 근거: Garante는 사용자 데이터 학습에 대한 법적 근거로 '정당한 이익'을 인정하지 않았습니다. AI 학습을 위한 개인정보 처리에는 명시적 동의 또는 계약상 근거가 필요합니다. '정당한 이익' 주장만으로는 충분하지 않습니다.
투명성: 사용자들은 자신의 데이터가 AI 학습에 어떻게 활용되는지 고지받지 못했고, 명확한 거부 방법도 제공되지 않았습니다.
연령 확인: 미성년자가 연령 확인 없이 ChatGPT에 접근할 수 있었습니다. Garante는 이를 소비자 대상 AI 도구의 필수 요건으로 봅니다.
핵심 시사점: 이탈리아에서 사용자 입력을 받는 모든 AI 시스템은 GDPR 법적 근거를 문서화해야 합니다. '정당한 이익'은 높은 위험을 수반합니다.
이탈리아 국가 식별 정보
이탈리아에는 고유한 ID 형식이 있습니다. 범용 도구는 이를 종종 놓칩니다. 데이터 감지 체계는 세 가지 모두를 포함해야 합니다.
코디체 피스칼레 (Codice Fiscale)
코디체 피스칼레는 16자리 주민등록번호입니다. 성의 자음, 이름의 자음, 생년월일, 성별, 출생지가 인코딩되어 있습니다. 마지막 문자는 검사 숫자입니다.
2024년 Garante 기술 분석에 따르면, 범용 NLP 도구는 코디체 피스칼레를 67%만 감지합니다. 주요 실패 원인은 다음과 같습니다. 도구가 16자리 패턴은 일치시키지만 검사 숫자 로직을 건너뛰어 오탐(false positive)이 발생합니다. 성명 인코딩 규칙을 적용하지 않는 도구는 기존 코드를 검증할 수 없습니다.
올바른 감지를 위해 세 가지가 필요합니다.
- 완전한 검사 문자 알고리즘
- 성과 이름의 문자 추출 규칙
- 실제 현지 데이터를 이용한 테스트
파르티타 IVA (Partita IVA)
파르티타 IVA는 이탈리아의 11자리 사업자 부가가치세 번호입니다. 마지막 자리는 검사 숫자입니다. 청구서, 계약서, 사업 서신에 등장합니다. 도구는 11자리 패턴만 일치시키는 것이 아니라 검사 숫자 알고리즘을 실행해야 합니다.
테세라 사니타리아 (Tessera Sanitaria)
건강보험증(테세라 사니타리아)에는 코드의 일부로 코디체 피스칼레가 포함되어 있습니다. 건강 데이터는 GDPR 제9조에 따라 특수 범주에 해당합니다. 이는 요구되는 보호 수준을 높입니다.
AI 도구에 대한 Garante 요건
Garante의 지침은 세 가지 영역을 다룹니다.
AI 처리 전: AI 시스템에 데이터가 입력되기 전에 개인정보를 식별하고 제거해야 합니다. 이탈리아에서 사용하는 AI 도구(브라우저 확장 프로그램, MCP 서버 포함)의 경우, 프롬프트를 전송하기 전에 코디체 피스칼레, 파르티타 IVA, 건강 데이터를 제거해야 합니다. 이 단계를 기록하는 방법은 규정 준수 가이드를 참고하세요.
AI 학습: 명시적인 법적 근거가 필요합니다. Garante는 사용자 콘텐츠 학습에 있어 동의를 선호하는 법적 근거로 봅니다. '정당한 이익'을 근거로 할 경우 서면 균형 검토가 필요합니다. 이 검토는 학습 목적이 사용자의 데이터 권리보다 우선하지 않음을 보여야 합니다.
AI 출력물: 실존 인물에 대한 콘텐츠를 작성하는 시스템은 허위 정보 생성 위험을 해결해야 합니다. Garante는 날조된 개인정보를 기술적 해결책이 필요한 별도의 위험으로 명시했습니다.
기업의 63% 규정 준수 격차
2024년 Garante 조사에 따르면 이탈리아 기업의 63%가 GDPR에 맞는 AI 정책을 갖추지 못하고 있습니다. 당국은 이 격차를 적극적인 감사 대상으로 삼고 있습니다.
기술적 통제 없는 정책은 방어하기 어렵습니다. Garante는 직원들의 자율적인 데이터 사용 관리에 의존하는 기업을 주요 감사 대상으로 합니다. 자동화된 통제 수단이 서면 정책을 어떻게 뒷받침하는지는 보안 개요를 확인하세요.
Garante 규정 준수를 위한 네 가지 통제 수단
1. 제출 전 개인정보 필터링
AI 모델에 입력이 전달되기 전에 코디체 피스칼레, 파르티타 IVA, 테세라 사니타리아 데이터를 제거하세요. 이것이 Garante 판례가 요구하는 핵심 기술적 조치입니다.
2. 이탈리아어 NER (개체명 인식)
이탈리아 텍스트로 학습된 개체명 인식 모델을 사용하세요. 예: spaCy it_core_news. 일반 영어 학습 모델은 이탈리아 이름 패턴을 놓칩니다. 모델 선택에 대해서는 다국어 개인정보 감지 가이드를 참고하세요.
3. 법적 근거 문서화
사용 중인 각 AI 도구에 대해 법적 근거를 기록하세요. 학습이 포함되는 경우 균형 검토를 추가하세요. 감사관이 신속하게 접근할 수 있는 곳에 보관하세요.
4. 감사 추적
필터링 실행 여부, 감지된 개체 유형, 제거된 항목을 기록하세요. 이는 장황한 수동 검토 없이 검사관에게 필요한 증거를 제공합니다.