İtalya'nın Garante per la protezione dei dati personali (Garante), AB'nin en agresif AI gizlilik düzenleyicisidir. Mart 2023'te Garante, ChatGPT'yi İtalya'dan geçici olarak yasaklayan ilk veri koruma otoritesi oldu — OpenAI'yi hizmet yeniden başlatılmadan önce açık yaş doğrulama ve şeffaflık önlemleri uygulamaya zorladı. Aralık 2024'te Garante, OpenAI'ye İtalyan kullanıcı verilerini yasadışı işleme nedeniyle 15 milyon € ceza kesti.
İtalya'da AI araçları kullanan veya İtalyan kişisel verilerini işleyebilecek AI sistemleri dağıtan kuruluşlar için Garante'nin uygulama modeli, AB'deki en talepkar teknik beklentileri belirlemektedir.
OpenAI/ChatGPT Davası: Garante'nin Bulduğu
Garante'nin Aralık 2024'te OpenAI'ye kestiği 15 milyon € ceza, birden fazla ihlale dayanmaktadır:
Yaş doğrulama hatası: ChatGPT, yeterli yaş doğrulaması olmadan İtalyan reşit olmayanlara erişilebilir durumdaydı. Garante, OpenAI'nin 13 yaş altı kullanımını önlemek için makul önlemler almadığını buldu.
Yasadışı eğitim verisi işleme: Garante, OpenAI'nin İtalyan kullanıcı verilerini ChatGPT 3.5/4 için eğitimde kullanmasının yeterli yasal temelden yoksun olduğunu buldu. "Meşru çıkar" iddiası reddedildi — Garante, ticari AI modellerini eğitmek için kişisel verilerin kullanılmasının ya rıza ya da LLM eğitim sağlayıcılarının genellikle öne sürdüğünden daha net bir yasal temeli gerektirdiğini buldu.
Şeffaflık eksikliği: OpenAI, İtalyan kullanıcılara verilerinin eğitim için nasıl kullanıldığı konusunda yeterince bilgi vermedi veya erişilebilir opt-out mekanizmaları sağlamadı.
Pratik sonuçlar: İtalyan kişisel verilerini işleyen herhangi bir AI sistemi — ister eğitim, ince ayar, isterse İtalyan kullanıcı girdileri üzerinde çıkarım yapma — Garante standartları altında belgelenmiş bir GDPR yasal temeline sahip olmalıdır; bu, basit "meşru çıkar" iddialarının ötesine geçmelidir. Genellikle rıza veya belirli sözleşme yerine getirilmesi gereklidir.
İtalyan Ulusal Tanımlayıcıları
Codice fiscale: İtalya'nın 16 karakterli alfanümerik vergi kodu — AB'deki en bilgi zengini ulusal tanımlayıcılardan biri. Yapısı:
- Karakterler 1-3: Soyadından ünlüler (belirli çıkarım kuralları)
- Karakterler 4-6: İsimden ünlüler ve ünlüler (belirli çıkarım kuralları)
- Karakterler 7-8: Doğum yılının son iki rakamı
- Karakter 9: Doğum ayını temsil eden harf (A=Ocak, B=Şubat, C=Mart, D=Nisan, E=Mayıs, H=Haziran, L=Temmuz, M=Ağustos, P=Eylül, R=Ekim, S=Kasım, T=Aralık)
- Karakterler 10-11: Doğum günü (erkekler: gün numarası; kadınlar: gün + 40)
- Karakterler 12-15: Doğum belediyesi veya ülkesinin Belfiore kodu (4 karakter)
- Karakter 16: Kontrol karakteri (harf, belirli bir algoritma kullanılarak hesaplanır)
Codice fiscale, soyadının ilk seslerini, isminin ilk seslerini, doğum tarihini, cinsiyeti (doğum günü kodlaması aracılığıyla) ve doğum yerini kodlar. Bilgi içeriği açısından AB'nin en kişisel tanımlayıcı ulusal tanımlayıcısı olduğu söylenebilir.
Tespit doğruluğu: Genel NLP araçları, codice fiscale'yi yalnızca %67 doğrulukla tespit eder (Garante 2024 teknik analizi). Hatalar: 16 karakterli alfanümerik kalıpları eşleştiren ve kontrol karakteri algoritmasını uygulamayan araçlar, geçerli codici fiscali'yi yanlış pozitiflerden ayıramaz; soyadı/isim çıkarım kurallarını uygulamayan araçlar mevcut numaraları doğrulayamaz.
Partita IVA: İtalya'nın 11 haneli iş VAT numarası, ağırlıklı toplam modül-10 algoritması kullanılarak hesaplanan bir kontrol rakamına sahiptir. Son rakam kontrol rakamıdır. Partita IVA, tüm İtalyan ticari belgelerinde — faturalar, sözleşmeler ve ticari yazışmalar — görünür.
Tessera sanitaria: İtalya'nın sağlık kartı — codice fiscale'yi ek sağlık verileriyle birleştirir. Format, codice fiscale'yi bir bileşen olarak içerir.
Garante'nin AI Araç Gereksinimleri
Garante'nin İtalyan kişisel verilerini işleyen AI sistemleri için "teknik ve organizasyonel önlemler" konusundaki rehberliği:
AI işlemden önce: PII tanımlanmalı ve AI sistemlerine girmeden önce ya kaldırılmalı ya da taklit edilmeli. Garante'nin Chrome Uzantısı/AI entegrasyon bağlamı: İtalyan kişisel verilerini (isimler, codici fiscali, sağlık verileri) içeren herhangi bir AI aracı, iletimden önce bu tanımlayıcıların kaldırılmış olması gerekir.
AI eğitimi için: Açık belgelenmiş bir yasal temel gereklidir. Rıza, İtalyan kullanıcı tarafından üretilen içerik üzerinde eğitim için Garante'nin tercih ettiği temeldir. "Meşru çıkar" belgelendirilmiş bir denge testi gerektirir; bu test, eğitim amacının İtalyan kullanıcıların veri koruma çıkarlarını aşmadığını göstermelidir.
AI çıktıları için: İtalyan bireyler hakkında çıktılar üreten sistemler, kişisel verilerin halüsinasyonuna karşı koruma önlemleri uygulamalıdır (gerçek bireylere atfedilen yanlış bilgi üretimi) — Garante, bunun teknik olarak azaltılması gereken belirli bir risk olduğunu belirtmiştir.
İtalyan işletmelerinin %63'ü GDPR uyumlu AI veri yönetim politikalarına sahip değildir (Garante 2024). İtalya'da AI araçları dağıtan kuruluşlar için: codice fiscale ve partita IVA tespiti ile tam kontrol karakteri doğrulaması, İtalyanca NER (spaCy it_core_news) ve İtalyan kişisel verileri üzerinde herhangi bir AI eğitimi için belgelenmiş GDPR yasal temeli, Garante uyumu için temel gereksinimlerdir.
Kaynaklar: