anonym.legal
Назад на блоготGDPR & Усогласеност

Garante Италија: ДПА кој забрани ChatGPT...

Italijanski Garante наложи глоба од €15M на OpenAI во декември 2024 и привремено го забрани ChatGPT во 2023.

April 21, 20267 мин читање
Garante ItalyItalian GDPRChatGPT banAI compliance ItalyOpenAI fine

Garante-овиот рекорд на спровођање на ИТ

Italijanski Garante per la protezione dei dati personali (Garante) се утврди како најагресивниот регулатор на ЕУ за ИТ преку серија од историски спровођачи:

Март 2023 — ChatGPT привремена забрана: Garante нареди на OpenAI да привремено суспендира ChatGPT услуга за Italijanski корисници, откривајќи дека OpenAI нема доволна правна основа за обработка на Italijanski корисничких податоци и нема механизам за верификација на возраст. OpenAI ги имплементира побарани промени (верификација на возраст, Italijanski-јазична приватна забелешка, механизам за оптирање од користење на податоци во обучување) и услугата беше возвратена во април 2023.

Декември 2024 — €15M глоба против OpenAI: Garante издаде формална глоба од €15M против OpenAI за незаконска обработка на Italijanski корисничките лични податоци. Спровођачка забелешка цитира: отсутство на адекватна правна основа, недостаток на транспаренција околу тоа како корисничките податоци беа користени при обучување, и неуспех да се имплементира верификација на возраст за малолетници.

Текући истраги (2024-2025): Garante инициираше формални истраги против повеќе ИТ продавачи кои работат во Italija, вклучително и Replika (ИТ придружник), Worldcoin (биометриски податоци), и неколку генеративни ИТ стартапи.

Образецот утврди Italija како最ризична јурисдикција на ЕУ за развој на ИТ алатки без документирани мерки за согласност.

Што Garante бара од корисниците на ИТ алатки

Garante-овите спровођачи акции јасно изложиле што Italijanski организациите мора да направат кога користат ИТ алатки кои обработуваат лични податоци:

Документирање на правна основа: Секоја ИТ алатка која обработува Italijanski корисничките лични податоци бара документирана правна основа под GDPR Членот 6. Garante бил скептичен во однос на "легитимни интерес" барања за користење на ИТ обучување даторе — експлицитна согласност или договорна неопходност се претпочитани основи.

Договори за обработка на податоци: Italijanski организациите користејќи третирани ИТ алатки како обработувачи на податоци мора имаат GDPR-согласни договори за обработка на податоци. Garante специфично прегледа дали ИТ продавачите ДПА адекватно покриваа ограничување на користење на податоци.

Контроли за влезни податоци: Garante-овиот спровођачки фокус на "незаконска обработка" на Italijanski корисничските податоци го привел барање дека организациите контролираат кои лични податоци влезуваат во ИТ системи. Технички контроли кои спречуваат Italijanski корисничките лични податоци од влез во ИТ системи без соодветна правна основа го задоволуваат Garante-овиот суштински интерес.

Верификација на возраст за ИТ системи со пристап на потрошувачи: Следејќи го ChatGPT забраната, Garante бара дека ИТ системи достапни за Italijanski потрошувачи имплементираат верификација на возраст за малолетници.

Транспаренција: Italijanski-јазични приватни забелешки кои јасно објаснуваат како ИТ системи користат лични податоци, вклучително и било каква употреба за обучување цели.

63% Italijanski бизниски јаз

2024 Garante анкета откри дека 63% од Italijanski компании користејќи ИТ алатки недостасуваат GDPR-согласни ИТ политики за употреба. Овој јаз создава суштинска опасност за спровођање додека Garante ја проширува својата ИТ програма за спровођање.

Italijanski ДПО регистрации се зголемија 340% следејќи го ChatGPT забраната — раст движен од организациите препознавајќи дека ИТ развој без ДПО вклученост создава значительна правна експозиција. Сепак, имањето ДПО не е доволно без технички контроли кои ја спроведуваат ДПО политиката.

ДПО-политика-без-технички-контроли јазот е токму што Garante спровођање таргетира: организациите кои имаат напишана ИТ политика но се ослабиваат на вработени само да се контролираат согласност, наместо имплементирање на технички мерки кои ја направаа политиката спровoводива.

Техничка имплементација за Garante согласност

За Italijanski организациите или организациите со Italijanski корисници, Garante-совместна техничка стопа за ИТ користење вклучува:

Пред-ИТ суб мисија ПИИ филтрирање: Chrome Extension или MCP Server интеграција создава техничка слој кој ги пресретнува ИТ пораката за поднесување и отстранува Italijanski личните податоци пред да ја достигне ИТ моделот. Ова го задоволува Garante-овиот суштински интерес за "незаконска обработка на Italijanski корисничките податоци" — ако Italijanski ПИИ е отстранен пред поднесување, Italijanski личните податоци не ја достигнуваат ИТ системот.

Italijanski-специфични видови ентитети: Italijanski ПИИ детективност мора да покрива:

  • Codice fiscale (Italijanski даночна шифра — 16-карактерна буквално-бројна национална ИД)
  • Partita IVA (Italijanski ДДВ број — 11-цифрен бизнис идентификатор)
  • Carta d'identità (Italijanski национална ИД картичка)
  • Tessera sanitaria (Italijanski здравствена картичка, вклучување codice fiscale)
  • Italijanski IBAN формати

Стандардни ПИИ алатки без Italijanski видови ентитета пропускаат codice fiscale — примарниот Italijanski национален идентификатор — и други јурисдикција-специфични идентификатори.

Ревизорска трага за регулаторна демонстрација: Garante проверка барања рутински бараат демонстрација дека ИТ користење беше придружено со соодветни технички контроли. Централизирана ревизорска трага показувајќи дека пред-поднесување ПИИ филтрирање беше применета за Italijanski корисничките податоци обезбедува доказ за оваа демонстрација.

ДПА документирање: За ИТ алатки користени како обработувачи на податоци: завршена ДПА ревизијска документа за секој ИТ продавач, вклучително и процена на користење на обучување датор обезбедување.

Сектор-специфични Garante областите на фокус

Garante-овата програма за спровођање има специфични сектор фокуси:

Здравство: Garante ги третира Italijanski здравствени податоци како висок ризик под GDPR Членот 9. Било каква ИТ алатка обработување на Italijanski паციентските податоци бара експлицитна правна основа, ДПА, и зајакнати технички мерки. Garante специфично сигнализира дијагностички ИТ алатки и клиничко документирање ИТ како бараа ДПИАс.

Финансиски услуги: Потрошувачко профилирање користејќи ИТ јe примивше Garante скрутинка. Italijanski банки и финансиски институции користејќи ИТ за кредитни одлуки или маркетинг персонализирање мора да направат ДПИАс и имплементираат објаснување контроли.

ЛР и вработување: ИТ алатки за регрутирање, процена на перформанси, и мониторирање на вработени бараат ДПИАс под Italijanski закон и Garante-овата упатство за мониторирање на вработени (Provvedimento 2023).

Образование: ИТ алатки во Italijanski образовните поставки имаат дополнителни барања следејќи Garante упатство на заштита на студентските податоци (2024).

За организациите во овие сектори, Garante согласност за ИТ развој бара сектор-специфични документирање надвор од опште барања.

Извори:

Поврзани статии

GDPR & Усогласеност

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Усогласеност

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Усогласеност

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Подготвени да ги заштитите вашите податоци?

Започнете со анонимизација на PII со 285+ типови на ентитети на 48 јазици.

Започнете бесплатен пробен периодПогледнете ги карактеристиките