anonym.legal

By · Last updated 2026-06-05

Tornar al BlogGDPR i Compliment

Garante d'Italia: Compliment d'IA i PII

El Garante d'Italia va multar OpenAI amb 15 milions d'euros el desembre del 2024 i va prohibir temporalment ChatGPT el 2023. El 63% de les empreses italianes no tenen politiques de govern de dades per a la IA.

June 5, 20269 min llegit
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Garante d'Italia: Compliment de GDPR i PII tecnic

Actualitzat per al 2026

El regulador de privadesa mes actiu d'Italia

El Garante per la protezione dei dati personali es l'autoritat de dades italiana. Es el regulador d'IA mes actiu de la UE.

Dues accions defineixen el seu enfocament. El marc de 2023, el Garante va ordenar a OpenAI que aturés ChatGPT per als usuaris a Italia. Va determinar que no hi havia base juridica valida per a l'us de les dades. Tambe va detectar l'absencia de verificacio d'edat per a menors. OpenAI va afegir controls d'edat, una opcio d'exclusio de l'entrenament i un avis de privadesa en italia. El servei va reprendre l'abril del 2023.

El desembre del 2024, l'autoritat va multar OpenAI amb 15 milions d'euros. Tres motius van provocar la multa: absencia de base juridica valida, falta d'avis clar sobre l'us per a l'entrenament i absencia de verificacio d'edat per a menors.

Qualsevol eina d'IA que gestioni dades personals d'usuaris a Italia ha de complir els mateixos estandards.

Que va fallar en el cas OpenAI

La multa de 15 milions d'euros va identificar mancances especifiques. Cadascuna mapeja un control tecnic absent.

Base juridica per a les dades d'entrenament: El Garante va rebutjar l'"interes legitim" com a base per a l'entrenament amb dades d'usuaris. L'entrenament d'IA sobre dades personals necessita consentiment explicit o una base contractual. Una reclamacio d'"interes legitim" sola no es suficient.

Transparencia: Els usuaris no van ser informats de com s'usaven les seves dades per a l'entrenament. No tenien cap opcio clara d'exclusio.

Verificacio d'edat: Els menors podien accedir a ChatGPT sense cap verificacio d'edat. El Garante tracta aixo com una norma obligatoria per a les eines d'IA de consum.

Implicacio clau: Qualsevol sistema d'IA que rebi entrades d'usuaris a Italia ha de tenir una base juridica GDPR documentada. L'"interes legitim" es d'alt risc.

Identificadors nacionals italians

Italia te formats d'identificacio unics. Les eines generiques sovint se'ls escapen. La vostra pila de deteccio ha de cobrir els tres.

Codice Fiscale

El codice fiscale es un document d'identitat nacional de 16 caracters. Codifica sons del cognom, sons del nom de pila, data de naixement, sexe i localitat de naixement. L'ultim caracter es un digit de control.

L'analisi tecnica del Garante del 2024 va trobar que les eines NLP generiques detecten el codice fiscale nomes el 67% de les vegades. El principal error: les eines fan coincidir el patro de 16 caracters pero salten la logica del digit de control. Despres produeixen falsos positius. Les eines que salten les normes de codificacio de noms tampoc poden verificar codis existents.

Una bona deteccio necessita tres elements:

  • Algorisme complet del caracter de control
  • Normes d'extraccio de lletres de cognom i nom de pila
  • Proves amb dades locals reals

Partita IVA

La partita IVA es el numero d'IVA empresarial italia de 11 digits. L'ultim digit es un digit de control. Apareix en factures, contractes i cartes comercials. La vostra eina ha d'executar l'algorisme del digit de control, no nomes fer coincidir un patro d'11 digits.

Tessera Sanitaria

La targeta sanitaria (tessera sanitaria) conte el codice fiscale com a part del seu codi. Les dades de salut son de categoria especial sota l'article 9 del GDPR. Aixo augmenta el nivell de salvaguarda requerit.

Requisits del Garante per a les eines d'IA

L'orientacio del Garante cobreix tres arees.

Abans del processament d'IA: La PII s'ha de trobar i eliminar abans que les dades entrin en un sistema d'IA. Per a les eines d'IA usades a Italia, incloent extensions del navegador i servidors MCP, aixo significa eliminar codici fiscali, partite IVA i dades de salut dels prompts abans d'enviar-los. Vegeu la nostra guia de compliment per saber com registrar aquest pas.

Per a l'entrenament d'IA: Es necessaria una base juridica explicita. El consentiment es la base preferida del Garante per a l'entrenament amb contingut d'usuaris. L'"interes legitim" exigeix una prova d'equilibri escrita. Aquesta prova ha de demostrar que l'objectiu de l'entrenament no prima sobre els drets de dades dels usuaris.

Per a les sortides d'IA: Els sistemes que escriuen contingut sobre persones reals han d'abordar el risc de falses afirmacions. El Garante ha identificat les dades personals fabricades com un risc diferent que necessita una solucio tecnica.

La bretxa del 63% en les empreses

Una enquesta del Garante del 2024 va trobar que el 63% de les empreses italianes no tenen cap politica d'IA alineada amb el GDPR. L'autoritat ha fet d'aquesta bretxa un focus d'auditoria actiu.

Una politica sense controls tecnics es dificil de defensar. El Garante s'orienta cap a les empreses que confien que el personal s'autoreguli en l'us de les dades. El nostre resum de seguretat mostra com els controls automatitzats reforcen la politica escrita.

Quatre controls per al compliment del Garante

1. Filtratge de PII abans de la submissio

Elimineu el codice fiscale, la partita IVA i les dades de la tessera sanitaria abans que les entrades arribin a qualsevol model d'IA. Aquest es el correctiu tecnic central que demana la logica del cas del Garante.

2. NER en italia

Useu un model d'entitats nomenades entrenat en text italia. Per exemple, spaCy it_core_news. Els models generics entrenats en angles no detecten els patrons de noms italians. Vegeu la nostra guia de deteccio de PII multilingue per a la seleccio de models.

3. Documentacio de la base juridica

Per a cada eina d'IA en us: registreu la base juridica. Si hi ha entrenament implicat, afegiu la prova d'equilibri. Emmagatzemeu-ho on els auditors puguin trobar-ho rapidament.

4. Rastre d'auditoria

Registreu que el filtratge va funcionar, quins tipus d'entitats es van trobar i que es va eliminar. Aixo dona als inspectors l'evidencia que necessiten sense una llarga revisio manual.

Fonts

Articles Relacionats

GDPR i Compliment

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i Compliment

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i Compliment

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Preparat per protegir les vostres dades?

Comenceu a anonimitzar PII amb més de 285 tipus d'entitats en 48 idiomes.

Comença Prova GratuïtaVeure Funcions

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.