Протокол правозастосування AI Garante
Italian Garante per la protezione dei dati personali (Garante) зарекомендував себе як найагресивніший регулятор AI в ЄС через послідовність визначних дій правозастосування:
Березень 2023 — тимчасова заборона ChatGPT: Garante наказав OpenAI тимчасово призупинити сервіс ChatGPT для італійських користувачів, виявивши, що OpenAI не мав достатньої правової підстави для обробки даних італійських користувачів та відсутності механізму перевірки віку. OpenAI реалізував запрошені зміни та сервіс відновлено у квітні 2023 року.
Грудень 2024 — штраф €15 млн проти OpenAI: Garante видав офіційний штраф у розмірі €15 млн проти OpenAI за незаконну обробку персональних даних італійських користувачів.
Що Garante вимагає від організацій
Для систем AI з даними клієнтів:
- DPIA перед розгортанням будь-якого AI-інструменту, що обробляє персональні дані
- Явна правова підстава для кожного типу обробки AI
- Механізм відмови для використання даних у навчанні AI
- Контроль вікової перевірки для споживчих сервісів AI
Для робочих процесів AI підтримки клієнтів:
- Видалення PII перед надсиланням даних клієнтів до систем AI
- Документація потоків обробки даних в AI-пайплайнах
- Угоди з обробниками даних із постачальниками AI
Для навчальних наборів даних AI:
- Ретроспективний аналіз наявних наборів даних на наявність PII
- Документація правової підстави для включення кожної категорії даних
Джерела: