Послужной список Garante в правоприменении ИИ
Итальянский Garante per la protezione dei dati personali (Garante) утвердился как наиболее агрессивный регулятор ИИ в ЕС через ряд знаковых правоприменительных действий:
Март 2023 — временный запрет ChatGPT: Garante предписал OpenAI временно приостановить услуги ChatGPT для итальянских пользователей, установив, что у OpenAI недостаточно правовых оснований для обработки данных итальянских пользователей и нет механизма верификации возраста. OpenAI реализовал запрошенные изменения (верификация возраста, уведомление о конфиденциальности на итальянском языке, механизм отказа от использования данных для обучения) и обслуживание было восстановлено в апреле 2023 года.
Декабрь 2024 — штраф €15 млн против OpenAI: Garante выдал формальный штраф в размере €15 млн против OpenAI за незаконную обработку персональных данных итальянских пользователей. В уведомлении о правоприменении указывалось: отсутствие адекватного правового основания, недостаточная прозрачность в отношении использования данных пользователей при обучении, и неспособность внедрить верификацию возраста для несовершеннолетних.
Текущие расследования (2024–2025): Garante инициировал формальные расследования против нескольких поставщиков ИИ, работающих в Италии, включая Replika (компаньон ИИ), Worldcoin (биометрические данные) и несколько стартапов в области генеративного ИИ.
Паттерн устанавливает Италию как юрисдикцию с наибольшим риском в ЕС для развёртываний ИИ-инструментов без задокументированных мер соответствия.
Что Garante требует от пользователей ИИ-инструментов
Правоприменительные действия Garante прояснили, что итальянские организации должны делать при использовании ИИ-инструментов, обрабатывающих персональные данные:
Документация правового основания: Каждый ИИ-инструмент, обрабатывающий персональные данные итальянских пользователей, требует задокументированного правового основания согласно Статье 6 GDPR. Garante скептически относился к заявлениям о «законных интересах» для использования данных при обучении ИИ — предпочтительными основаниями являются явное согласие или договорная необходимость.
Соглашения об обработке данных: Итальянские организации, использующие сторонние ИИ-инструменты как обработчики данных, должны иметь соответствующие GDPR соглашения об обработке данных (DPA). Garante специально проверял, адекватно ли DPA поставщиков ИИ охватывают ограничения на использование данных.
Меры контроля входных данных: Акцент Garante в правоприменении на «незаконной обработке» данных итальянских пользователей выдвинул требование о том, чтобы организации контролировали, какие персональные данные попадают в ИИ-системы. Технические меры контроля, предотвращающие поступление персональных данных итальянских пользователей в ИИ-системы без соответствующего правового основания, удовлетворяют существенной обеспокоенности Garante.
Верификация возраста для ИИ-систем с потребительским доступом: После запрета ChatGPT Garante требует, чтобы ИИ-системы, доступные итальянским потребителям, реализовывали верификацию возраста для несовершеннолетних.
Прозрачность: Уведомления о конфиденциальности на итальянском языке, чётко объясняющие, как ИИ-системы используют персональные данные, включая любое использование для целей обучения.
Пробел в 63% у итальянских предприятий
Опрос Garante 2024 года показал, что 63% итальянских компаний, использующих ИИ-инструменты, не имеют политик использования ИИ, соответствующих GDPR. Этот пробел создаёт значительный риск правоприменения по мере расширения программы правоприменения ИИ Garante.
Регистрации DPO в Италии увеличились на 340% после запрета ChatGPT — волна, вызванная тем, что организации осознали: развёртывание ИИ без участия DPO создаёт значительную юридическую уязвимость. Однако наличие DPO недостаточно без технических мер контроля, обеспечивающих политики DPO.
Именно этот пробел — политика-DPO-без-технических-мер-контроля — является мишенью правоприменения Garante: организации, которые написали политики ИИ, но полагаются на то, что сотрудники сами следят за соблюдением, вместо внедрения технических мер, делающих политику выполнимой.
Техническая реализация для соответствия Garante
Для итальянских организаций или организаций с итальянскими пользователями технический стек, соответствующий Garante, для использования ИИ включает:
Фильтрация PII перед передачей в ИИ: Интеграция расширения Chrome или MCP Server создаёт технический слой, перехватывающий передачу запросов ИИ и удаляющий итальянские персональные данные до их поступления в модель ИИ. Это удовлетворяет основной обеспокоенности Garante в отношении «незаконной обработки данных итальянских пользователей» — если итальянские PII удалены перед передачей, итальянские персональные данные не достигают ИИ-системы.
Типы сущностей, специфичных для Италии: Обнаружение итальянских PII должно охватывать:
- Codice fiscale (итальянский налоговый код — 16-символьный буквенно-цифровой национальный идентификатор)
- Partita IVA (итальянский номер НДС — 11-значный бизнес-идентификатор)
- Carta d'identità (итальянское национальное удостоверение личности)
- Tessera sanitaria (итальянская карта медицинского страхования, включающая codice fiscale)
- Форматы итальянского IBAN
Стандартные инструменты PII без итальянских типов сущностей пропускают codice fiscale — основной итальянский национальный идентификатор — и другие специфичные для юрисдикции идентификаторы.
Журнал аудита для регуляторной демонстрации: Запросы инспекции Garante регулярно требуют демонстрации того, что использование ИИ сопровождалось надлежащими техническими мерами контроля. Централизованный журнал аудита, показывающий, что фильтрация PII перед передачей была применена для данных итальянских пользователей, предоставляет доказательства для этой демонстрации.
Документация DPA: Для ИИ-инструментов, используемых как обработчики данных: завершённый документ проверки DPA для каждого поставщика ИИ, включая оценку положений об использовании обучающих данных.
Отраслевые приоритетные области Garante
Программа правоприменения Garante имеет специфические отраслевые фокусы:
Здравоохранение: Garante рассматривает итальянские данные о здоровье как высокорискованные согласно Статье 9 GDPR. Любой ИИ-инструмент, обрабатывающий данные итальянских пациентов, требует явного правового основания, DPA и расширенных технических мер. Garante специально отметил ИИ-инструменты диагностики и ИИ клинической документации как требующие DPIA.
Финансовые услуги: Профилирование потребителей с использованием ИИ подверглось проверке Garante. Итальянские банки и финансовые учреждения, использующие ИИ для кредитных решений или персонализации маркетинга, должны проводить DPIA и внедрять меры контроля объяснимости.
HR и занятость: ИИ-инструменты для найма, оценки производительности и мониторинга сотрудников требуют DPIA согласно итальянскому законодательству и руководству Garante по мониторингу сотрудников (Provvedimento 2023).
Образование: ИИ-инструменты в итальянских образовательных учреждениях имеют дополнительные требования в соответствии с руководством Garante по защите данных студентов (2024).
Для организаций в этих секторах соответствие Garante для развёртываний ИИ требует отраслевой документации помимо общих требований.
Источники: