El Garante d'Italia: IA i compliment de dades de caracter personal
Actualitzat per al 2026
El registre d'aplicacio d'IA del Garante
L'organisme de dades d'Italia es el Garante. Es el regulador d'IA mes actiu de la UE. Dues accions importants defineixen el seu enfocament.
Marc del 2023 - Prohibicio de ChatGPT: El Garante va ordenar a OpenAI que atures ChatGPT per als usuaris d'Italia. Va determinar que no hi havia cap base juridica valida per a l'us de les dades. Tampoc hi havia cap verificacio d'edat per als menors. OpenAI va afegir verificacions d'edat, una opcio d'exclusio voluntaria de l'entrenament i un aviso de privacitat en italia. El servei es va recuperar l'abril del 2023.
Desembre del 2024 - Multa de 15 milions d'euros: El Garante va multar OpenAI amb 15 milions d'euros. Tres fallades van causar la multa. Primera: cap base juridica valida. Segona: poca claredat sobre l'us per a l'entrenament. Tercera: cap verificacio d'edat per als menors.
Investigacions obertes (2024-2025): L'autoritat va iniciar investigacions contra Replika, Worldcoin i diverses startups d'IA.
Italia es el lloc d'alt risc de la UE per a l'us d'eines d'IA. Qualsevol eina que gestioni registres personals sense mesures clares de conformitat crea risc juridic. Actueu aviat.
El que requereix el Garante
Les accions d'aplicacio aclareixen el que les organitzacions han de fer quan utilitzen eines d'IA.
Base juridica: Cada eina d'IA necessita una base juridica documentada sota l'article 6 del GDPR. L'autoritat dubta de l'"interes legitim" per a l'entrenament d'IA. El consentiment explicit o la necessitat contractual son els fonaments preferits.
Acords de tractament de dades: Les empreses que utilitzen eines d'IA de tercers com a processadors han de tenir APD conformes amb el GDPR. L'autoritat va comprovar si els APD dels proveïdors cobrien els limits d'us de dades. Les llacunes aqui atreuen l'escrutini.
Controls d'entrada: L'enfocament de l'autoritat en el tractament il.legal exigeix controls d'entrada. Els filtres tecnics que eliminen els registres personals abans que arribin a un model d'IA solucionen el problema central. Vegeu la nostra guia de compliment per saber que cal documentar.
Verificacions d'edat: Els sistemes d'IA oberts als consumidors han de verificar l'edat dels menors. Aquesta norma va sorgir de la prohibicio de ChatGPT.
Avisos clars: Els avisos de privacitat han d'estar en italia. Han d'explicar com l'IA utilitza els registres personals, inclos l'us per a l'entrenament.
La bretxa empresarial del 63%
Una enquesta del Garante del 2024 va trobar que el 63% de les empreses no tenen politiques d'us d'IA alineades amb el GDPR. Aquesta bretxa creix a mesura que l'autoritat amplia el seu programa d'IA.
Les inscripcions de DPO van augmentar un 340% despres de la prohibicio de ChatGPT. Les empreses van veure que l'us d'IA sense un DPO creava risc juridic. Pero un DPO sol no n'hi ha prou. Una politica escrita sense controls tecnics es dificil d'aplicar. L'autoritat apunta a aquesta bretxa: empreses que confien en el personal per autoreglamentar-se. El nostre resum de proteccio mostra com els controls reforcen la politica.
Configuracio tecnica per a la conformitat
Per a les empreses amb usuaris a Italia, la configuracio alineada amb el Garante inclou el seguent.
Filtratge de DCP previs a l'enviament: Una Extensio de Chrome o un servidor MCP s'interposa entre l'usuari i el model d'IA. Elimina els registres personals abans que arribin al model. Sense dades personals a l'entrada, no hi ha tractament il.legal. Aquesta es la solucio central.
Tipus d'entitats especifiques d'Italia: Les eines de DCP estandard no detecten els tipus d'ID locals. La vostra eina ha de detectar els seguents:
- Codice fiscale - codi d'identificacio nacional de 16 caracters
- Partita IVA - numero d'empresa d'11 digits
- Carta d'identita - document nacional d'identitat
- Tessera sanitaria - targeta sanitaria que conte el codice fiscale
- Formats IBAN italians
El codice fiscale es el principal identificador nacional. No detectar-lo deixa una llacuna clau. Vegeu la nostra guia d'entitats per a una cobertura completa. Feu proves amb dades locals reals.
Rastre d'auditoria: Les inspeccions del Garante demanen prova de controls tecnics. Un registre central que mostri que el filtratge previs a l'enviament ha funcionat proporciona als inspectors l'evidencia que necessiten.
Registres d'APD: Per a cada proveïdor d'IA: conserveu una revisio d'APD completada. Anoteu els limits d'us de dades i les condicions d'entrenament. Emmagatzemeu-los on siguin facils de trobar. Vegeu la nostra FAQ per a les preguntes habituals sobre APD.
Arees d'enfocament sectorial
El Garante s'orienta cap a sectors especifics.
Sanitat: Els registres sanitaris son d'alt risc sous l'article 9 del GDPR. Qualsevol eina d'IA que gestioni registres de pacients necessita una base juridica explicita, un APD i salvaguardes solides. Les eines d'IA diagnostiques i cliniques requereixen EIPD.
Finances: El perfilat de consumidors mitjancant IA ha rebut escrutini. Els bancs i les empreses financeres que utilitzen IA per a credit o marketing han de realitzar EIPD i afegir controls d'explicabilitat.
RRHH: Les eines d'IA per a la contractacio, les avaluacions i la supervisio del personal requereixen EIPD. El Garante va publicar orientacions sobre el seguiment del personal el 2023.
Educacio: Les eines d'IA per a les escoles estan subjectes a normes addicionals sous la guia del Garante del 2024 sobre registres d'estudiants.
Les empreses d'aquests sectors necessiten registres especifics del sector mes enlla dels requisits base. Vegeu els nostres casos d'estudi per saber com els companys gestionen la conformitat. La perspectiva del nostre fundador sobre construir per a mercats regulats es a la nostra declaracio del fundador. Els nostres plans i tarifes cobreixen tots els sectors i mides d'empresa.