Garante'nin AI Uygulama Kaydı
İtalya'nın Kişisel Verileri Koruma Kurumu (Garante), bir dizi çarpıcı uygulama eylemi ile AB'nin en agresif AI düzenleyicisi olarak kendini kanıtladı:
Mart 2023 — ChatGPT geçici yasak: Garante, OpenAI'ye İtalyan kullanıcılar için ChatGPT hizmetini geçici olarak askıya almasını emretti ve OpenAI'nin İtalyan kullanıcıların verilerini işlemek için yetersiz hukuki dayanağı olduğunu ve yaş doğrulama mekanizmasının bulunmadığını tespit etti. OpenAI, talep edilen değişiklikleri (yaş doğrulama, İtalyanca gizlilik bildirimi, eğitimde veri kullanımına itiraz mekanizması) uyguladı ve hizmet Nisan 2023'te yeniden başlatıldı.
Aralık 2024 — OpenAI'ye 15 milyon Euro ceza: Garante, OpenAI'ye İtalyan kullanıcıların kişisel verilerini yasadışı bir şekilde işlediği için 15 milyon Euro tutarında resmi bir ceza verdi. Uygulama bildirimi, yeterli hukuki dayanağın olmaması, kullanıcı verilerinin eğitimde nasıl kullanıldığına dair şeffaflık eksikliği ve reşit olmayanlar için yaş doğrulamanın uygulanmaması gibi nedenleri belirtti.
Devam eden soruşturmalar (2024-2025): Garante, İtalya'da faaliyet gösteren Replika (AI arkadaş), Worldcoin (biyometrik veri) ve birkaç üretken AI girişimi dahil olmak üzere birçok AI satıcısına karşı resmi soruşturmalar başlattı.
Bu desen, İtalya'yı belgelenmiş uyum önlemleri olmadan AI araçlarının dağıtımı için AB'nin en yüksek riskli yargı alanı olarak belirliyor.
Garante'nin AI Araçları Kullanıcılarından Beklentileri
Garante'nin uygulama eylemleri, İtalyan kuruluşlarının kişisel verileri işleyen AI araçlarını kullanırken neler yapması gerektiğini netleştirmiştir:
Hukuki dayanak belgeleri: İtalyan kullanıcıların kişisel verilerini işleyen her AI aracının GDPR Madde 6 uyarınca belgelenmiş hukuki dayanağa sahip olması gerekmektedir. Garante, AI eğitim verisi kullanımı için "meşru menfaat" iddialarına şüpheyle yaklaşmıştır — açık rıza veya sözleşmesel zorunluluk tercih edilen dayanaklardır.
Veri İşleme Anlaşmaları: Üçüncü taraf AI araçlarını veri işleyicisi olarak kullanan İtalyan kuruluşlarının GDPR ile uyumlu Veri İşleme Anlaşmalarına sahip olması gerekmektedir. Garante, AI satıcılarının DPA'larının veri kullanım kısıtlamalarını yeterince kapsayıp kapsamadığını özel olarak incelemiştir.
Girdi verisi kontrolleri: Garante'nin İtalyan kullanıcı verilerinin "yasadışı işlenmesi" üzerindeki uygulama odaklanması, kuruluşların AI sistemlerine hangi kişisel verilerin girdiğini kontrol etme gerekliliğini doğurmuştur. İtalyan kullanıcıların kişisel verilerinin uygun hukuki dayanak olmadan AI sistemlerine girmesini engelleyen teknik kontroller, Garante'nin maddi kaygısını tatmin etmektedir.
Tüketici erişimine sahip AI sistemleri için yaş doğrulama: ChatGPT yasaklamasının ardından, Garante, İtalyan tüketicilere erişilebilen AI sistemlerinin reşit olmayanlar için yaş doğrulama uygulamasını gerektirmektedir.
Şeffaflık: AI sistemlerinin kişisel verileri nasıl kullandığını açıkça açıklayan İtalyanca gizlilik bildirimleri, eğitim amaçları için herhangi bir kullanım dahil.
%63 İtalyan İşletme Açığı
2024 Garante anketi, AI araçlarını kullanan İtalyan şirketlerinin %63'ünün GDPR ile uyumlu AI kullanım politikalarına sahip olmadığını bulmuştur. Bu açık, Garante'nin AI uygulama programını genişletirken önemli bir uygulama riski yaratmaktadır.
ChatGPT yasaklamasının ardından İtalyan DPO kayıtları %340 oranında arttı — bu, AI dağıtımının DPO katılımı olmadan önemli hukuki riskler oluşturduğunu fark eden kuruluşlar tarafından yönlendirilen bir artıştır. Ancak, bir DPO'ya sahip olmak, DPO'nun politikalarını uygulayan teknik kontroller olmadan yeterli değildir.
DPO-politika-teknik-kontroller açığı, Garante uygulamasının hedef aldığı tam noktadır: yazılı AI politikalarına sahip olan ancak uyumu kendi kendine denetlemek için çalışanlara güvenen kuruluşlar, politikayı uygulanabilir kılan teknik önlemleri uygulamak yerine.
Garante Uyumu için Teknik Uygulama
İtalyan kuruluşları veya İtalyan kullanıcıları olan kuruluşlar için, AI kullanımı için Garante ile uyumlu teknik yığın şunları içerir:
AI öncesi PII filtreleme: Chrome Eklentisi veya MCP Sunucu entegrasyonu, AI istemi gönderimini engelleyen ve İtalyan kişisel verilerini AI modeline ulaşmadan önce kaldıran bir teknik katman oluşturur. Bu, Garante'nin "İtalyan kullanıcı verilerinin yasadışı işlenmesi" konusundaki temel kaygısını tatmin eder — eğer İtalyan PII gönderimden önce kaldırılırsa, İtalyan kişisel verileri AI sistemine ulaşmaz.
İtalyan'a özgü varlık türleri: İtalyan PII tespiti şunları kapsamalıdır:
- Codice fiscale (İtalyan vergi numarası — 16 karakterli alfanümerik ulusal kimlik)
- Partita IVA (İtalyan KDV numarası — 11 haneli iş tanımlayıcı)
- Carta d'identità (İtalyan ulusal kimlik kartı)
- Tessera sanitaria (İtalyan sağlık kartı, codice fiscale'yi içerir)
- İtalyan IBAN formatları
Standart PII araçları İtalyan varlık türlerini içermediğinde codice fiscale'yi — birincil İtalyan ulusal tanımlayıcıyı — ve diğer yargı alanına özgü tanımlayıcıları kaçırır.
Düzenleyici gösterim için denetim izi: Garante denetim talepleri, genellikle AI kullanımının uygun teknik kontrollerle birlikte olduğunu gösterme gerekliliğini talep eder. İtalyan kullanıcı verileri için ön gönderim PII filtrelemenin uygulandığını gösteren merkezi bir denetim izi, bu gösterim için kanıt sağlar.
DPA belgeleri: Veri işleyicisi olarak kullanılan AI araçları için: her AI satıcısı için tamamlanmış bir DPA inceleme belgesi, eğitim verisi kullanım koşullarının değerlendirmesini içermelidir.
Sektöre Özgü Garante Odak Alanları
Garante'nin uygulama programı belirli sektör odaklarına sahiptir:
Sağlık hizmetleri: Garante, İtalyan sağlık verilerini GDPR Madde 9 uyarınca yüksek riskli olarak değerlendirir. İtalyan hasta verilerini işleyen herhangi bir AI aracının açık hukuki dayanağa, DPA'ya ve geliştirilmiş teknik önlemlere sahip olması gerekmektedir. Garante, AI tanı araçlarını ve klinik belge AI'sını DPIA gerektiren araçlar olarak özel olarak işaretlemiştir.
Finansal hizmetler: AI kullanarak tüketici profilleme Garante'nin incelemesine tabi olmuştur. İtalyan bankaları ve finansal kuruluşları, kredi kararları veya pazarlama kişiselleştirmesi için AI kullandıklarında DPIA'lar gerçekleştirmeli ve açıklanabilirlik kontrolleri uygulamalıdır.
İK ve istihdam: İstihdam, performans değerlendirmesi ve çalışan izleme için AI araçları, İtalyan yasası ve Garante'nin çalışan izleme konusundaki rehberliği (Provvedimento 2023) uyarınca DPIA gerektirmektedir.
Eğitim: İtalyan eğitim ortamlarındaki AI araçları, Garante'nin öğrenci verilerini koruma konusundaki rehberliği (2024) sonrasında ek gereksinimlere sahiptir.
Bu sektörlerdeki kuruluşlar için, AI dağıtımları için Garante uyumu, genel gereksinimlerin ötesinde sektör spesifik belgeler gerektirmektedir.
Kaynaklar: