Garante: Профіль регулятора
Garante per la protezione dei dati personali — орган захисту даних Італії — відомий своєю агресивною позицією у застосуванні GDPR. У 2023-2024 роках Garante:
- Заборонив ChatGPT в Італії (30 березня 2023) — перший у ЄС
- Оштрафував OpenAI на €15 мільйонів (грудень 2024)
- Провів масштабні розслідування Meta, TikTok, Clearview AI
- Ввів спеціальні правила щодо використання ШІ-інструментів
Загальна сума штрафів за 2023-2024: понад €80 мільйонів
Garante є членом EDPB і активно впливає на загальноєвропейські стандарти.
Специфічні PII в Італії
Codice Fiscale (Податковий код)
Codice Fiscale — унікальний 16-символьний буквено-цифровий ідентифікатор кожного громадянина Італії. Формат: RSSMRA80A01H501U
Структура:
- 3 символи — прізвище (приголосні)
- 3 символи — ім'я (приголосні)
- 2 цифри — рік народження
- 1 буква — місяць народження (A=січень, B=лютий...)
- 2 цифри — день народження (жінки +40)
- 4 символи — код муніципалітету народження
- 1 символ — контрольна цифра
Regex:
[A-Z]{6}[0-9]{2}[A-Z][0-9]{2}[A-Z][0-9]{3}[A-Z]
Важливість: Codice Fiscale є надзвичайно чутливим — він розкриває дату народження, місце народження та стать. Garante кваліфікує його як персональні дані, що потребують особливого захисту.
Partita IVA (ПДВ-ідентифікатор)
11-значний числовий код для компаній та самозайнятих:
IT[0-9]{11}
Є персональними даними фізичних осіб-підприємців.
Carta d'identità (Посвідчення особи)
Номер виданий у форматі AA1234567:
[A-Z]{2}[0-9]{7}
Tessera Sanitaria (Медична картка)
16-значний код, що ідентифікує пацієнта в системі охорони здоров'я:
[0-9]{16}
Ключові рішення Garante: Технічні уроки
ChatGPT та обробка даних без правової підстави
Рішення: Тимчасова заборона (березень-квітень 2023), потім відновлення з умовами.
Технічні вимоги, встановлені Garante:
- Чіткий механізм відмови від використання даних для навчання моделей
- Верифікація віку (15+ для Італії)
- Повідомлення про витоки протягом 72 годин
Урок для розробників: Системи на базі ШІ, що обробляють дані італійських користувачів, повинні мати явний механізм відмови від обробки даних для цілей ML.
Telepass та аналітика місцезнаходження
Garante встановив строгі правила щодо геоданих:
- Дані про місцезнаходження транспортних засобів — персональні дані
- Необхідна явна згода для аналітичних цілей
- Зберігання не більше часу, необхідного для виставлення рахунку
Clearview AI: Збір біометричних даних
Штраф €20 мільйонів за збір облич з інтернету без правової підстави. Biometric data в Італії — спеціальна категорія, вимагає явної згоди або законного інтересу при дуже строгій оцінці.
Вимоги Garante щодо технічних заходів
Шифрування
Garante очікує шифрування:
- У стані спокою (AES-256 мінімум)
- При передачі (TLS 1.2+)
- Резервних копій
Контроль доступу
- RBAC (Role-Based Access Control) зі строгим дотриманням мінімальних привілеїв
- MFA для всіх адмінів та осіб, що мають доступ до PII
- Регулярний огляд прав доступу
Логування та аудит
- Журнали доступу до персональних даних зберігаються мінімум 6 місяців
- Журнали не повинні самі містити чутливі PII
- Механізм виявлення аномалій доступу
Обробка спеціальних категорій
Для медичних даних, біометрики, даних про расу/етнічність — додаткові вимоги:
- Шифрування в кожній точці обробки
- Обов'язкова DPIA (ст. 35)
- Часто потрібен DPO
Призначення DPO в Італії
Garante регулярно штрафує організації за відсутність DPO, коли він є обов'язковим. Призначення DPO потрібне, якщо:
- Публічний орган
- Масштабний систематичний моніторинг суб'єктів даних
- Масштабна обробка спеціальних категорій даних
Особлива увага Garante: ШІ-системи, що обробляють дані масштабно, часто потрапляють під третій критерій.
DPO повинен бути зареєстрований у Garante через онлайн-форму.
Права суб'єктів даних: Строки в Італії
| Право | Строк відповіді |
|---|---|
| Доступ (ст. 15) | 30 днів (можливо продовження до 90 при складності) |
| Виправлення (ст. 16) | Без необґрунтованої затримки |
| Видалення (ст. 17) | Без необґрунтованої затримки |
| Переносимість (ст. 20) | 30 днів |
| Заперечення (ст. 21) | Негайно |
Garante відомий тим, що ретельно перевіряє порушення строків.
Практичні рекомендації для роботи з Garante
Реєстрація у реєстрах
Garante веде окремі реєстри:
- DPO (обов'язково для відповідних організацій)
- Реєстр порушень (збережіть всі повідомлення)
Підготовка до перевірки
При отриманні запиту від Garante:
- Залучіть юриста, що спеціалізується на захисті даних в Італії
- Підготуйте ROPA, DPIA, всі контракти з обробниками
- Перевірте технічні заходи на відповідність фактичному стану систем
- Не намагайтеся приховати або мінімізувати інциденти — Garante цінує прозорість
Мова комунікації
Garante проводить комунікацію виключно італійською мовою. Забезпечте наявність перекладача або юриста для всіх офіційних комунікацій.
Висновок
Garante — один з найактивніших і найбільш технічно компетентних регуляторів ЄС. Для компаній, що обробляють дані італійців — особливо Codice Fiscale, медичні дані або використовують ШІ — необхідно:
- Забезпечити технічні заходи на рівні очікувань Garante
- Призначити DPO, якщо вимагається
- Готувати документацію регулярно, а не лише перед перевіркою
- Стежити за рішеннями Garante як за орієнтиром стандартів
Джерела: