Garante Италии: ИИ и соответствие требованиям по персональным данным
Актуально для 2026 года
История правоприменения Garante в области ИИ
Итальянский регулятор в сфере защиты данных — Garante. Это самый активный ИИ-регулятор в ЕС. Два крупных дела определяют его подход.
Март 2023 — запрет ChatGPT: Garante обязал OpenAI прекратить предоставление ChatGPT пользователям в Италии. Регулятор не нашёл действительного правового основания для использования данных, а также отсутствия проверки возраста несовершеннолетних. OpenAI добавил проверку возраста, возможность отказа от использования данных в обучении и уведомление о конфиденциальности на итальянском языке. Сервис возобновил работу в апреле 2023 года.
Декабрь 2024 — штраф €15 млн: Garante оштрафовал OpenAI на €15 миллионов. Три нарушения стали основанием для штрафа. Первое — отсутствие действительного правового основания. Второе — недостаточная прозрачность в отношении использования данных для обучения. Третье — отсутствие проверки возраста несовершеннолетних.
Текущие расследования (2024–2025): Ведомство инициировало проверки в отношении Replika, Worldcoin и ряда ИИ-стартапов.
Италия — наиболее рискованная юрисдикция в ЕС для применения ИИ-инструментов. Любой инструмент, обрабатывающий персональные данные без чётко документированных мер соответствия, создаёт юридические риски. Действуйте заблаговременно.
Что требует Garante
Решения о правоприменении уточняют, что именно обязаны делать организации при использовании ИИ-инструментов.
Правовое основание: Каждый ИИ-инструмент должен иметь документально подтверждённое правовое основание по статье 6 GDPR. Регулятор скептически относится к «законному интересу» в качестве основания для обучения ИИ. Предпочтительны явное согласие или договорная необходимость.
Соглашения об обработке данных: Компании, использующие сторонние ИИ-инструменты в качестве обработчиков, обязаны заключать соглашения об обработке данных (DPA), соответствующие GDPR. Регулятор проверял, распространяются ли DPA вендоров на ограничения использования данных. Пробелы здесь привлекают пристальное внимание.
Контроль входных данных: Акцент регулятора на незаконной обработке требует технических фильтров. Фильтры, удаляющие персональные данные до того, как они попадают в ИИ-модель, устраняют саму проблему. Подробнее см. наше руководство по соответствию.
Проверка возраста: ИИ-системы, доступные потребителям, должны верифицировать возраст несовершеннолетних. Это требование возникло в результате запрета ChatGPT.
Понятные уведомления: Уведомления о конфиденциальности должны быть на итальянском языке и объяснять, как ИИ использует персональные данные, включая использование для обучения.
Разрыв в 63%
По данным опроса Garante 2024 года, 63% компаний не имеют согласованных с GDPR политик использования ИИ. Этот разрыв растёт по мере расширения ИИ-программы регулятора.
Число зарегистрированных специалистов по защите данных (DPO) выросло на 340% после запрета ChatGPT. Компании осознали, что использование ИИ без DPO создаёт юридический риск. Однако DPO недостаточно. Письменная политика без технических средств контроля трудновыполнима. Именно на этот разрыв направлено внимание регулятора — на компании, которые полагаются на самоконтроль сотрудников. Наш обзор защиты показывает, как технические средства подкрепляют политику.
Техническая настройка для соответствия требованиям
Для компаний с пользователями в Италии набор мер, соответствующий требованиям Garante, включает следующее.
Предварительная фильтрация персональных данных: Расширение Chrome или MCP-сервер располагается между пользователем и ИИ-моделью. Он удаляет персональные данные до их попадания в модель. Отсутствие персональных данных на входе означает отсутствие незаконной обработки. Это ключевое решение.
Типы идентификаторов, специфичные для Италии: Стандартные инструменты защиты персональных данных часто упускают местные типы идентификаторов. Ваш инструмент должен распознавать:
- Codice fiscale — 16-символьный национальный идентификационный код
- Partita IVA — 11-значный номер организации
- Carta d'identità — национальное удостоверение личности
- Tessera sanitaria — карта медицинского страхования, содержащая codice fiscale
- Итальянские форматы IBAN
Codice fiscale — основной национальный идентификатор. Его пропуск оставляет критический пробел. Ознакомьтесь с нашим руководством по идентификаторам для полного охвата. Тестируйте на реальных местных данных.
Журнал аудита: Проверки Garante требуют доказательства наличия технических средств контроля. Централизованный журнал, подтверждающий работу предварительной фильтрации, предоставляет инспекторам необходимые доказательства.
Документация DPA: Для каждого ИИ-вендора: ведите заполненный документ проверки DPA с указанием ограничений использования данных и условий обучения. Храните эти документы в легкодоступном месте. См. наши часто задаваемые вопросы по типичным вопросам DPA.
Приоритетные отрасли
Garante уделяет особое внимание конкретным секторам.
Здравоохранение: Медицинские данные относятся к высокорисковым по статье 9 GDPR. Любой ИИ-инструмент, обрабатывающий данные пациентов, требует явного правового основания, DPA и надёжных мер защиты. Диагностические и клинические ИИ-инструменты требуют проведения DPIA.
Финансы: Профилирование потребителей с использованием ИИ вызывает пристальное внимание регулятора. Банки и финансовые организации, применяющие ИИ для кредитования или маркетинга, обязаны проводить DPIA и внедрять средства контроля интерпретируемости.
HR: ИИ-инструменты для найма, оценки и мониторинга персонала требуют проведения DPIA. В 2023 году Garante выпустил руководство по мониторингу сотрудников.
Образование: Школьные ИИ-инструменты подпадают под дополнительные правила согласно руководству Garante 2024 года о данных учащихся.
Компаниям в этих секторах необходима документация, специфичная для их отрасли, помимо базовых требований. Ознакомьтесь с нашими кейсами или тарифными планами.