anonym.legal
Tilbage til BlogGDPR & Overholdelse

Garante Italien: DPA'en der forbød ChatGPT — Hvad italiensk AI og PII-overholdelse kræver

Italiens Garante idømte OpenAI en bøde på €15M i december 2024 og forbød midlertidigt ChatGPT i 2023. 63% af italienske virksomheder mangler AI-datastyringspolitikker. Codice fiscale og partita IVA tekniske detektionskrav.

March 7, 20269 min læsning
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Italiens Garante per la protezione dei dati personali (Garante) er EU's mest aggressive AI privatlivsregulator. I marts 2023 blev Garante den første databeskyttelsesmyndighed globalt til midlertidigt at forbyde ChatGPT i Italien — hvilket tvang OpenAI til at implementere eksplicit aldersverifikation og gennemsigtighedsforanstaltninger, før tjenesten blev genoprettet. I december 2024 idømte Garante OpenAI en bøde på €15 millioner for ulovlig behandling af italienske brugerdata.

For organisationer, der bruger AI-værktøjer i Italien — eller implementerer AI-systemer, der kan behandle italienske personoplysninger — sætter Garante's håndhævelsesmønster de mest krævende tekniske forventninger i EU.

OpenAI/ChatGPT Sagen: Hvad Garante fandt

Garante's bøde på €15 millioner mod OpenAI i december 2024 var baseret på flere overtrædelser:

Aldersverifikationsfejl: ChatGPT var tilgængelig for italienske mindreårige uden tilstrækkelig aldersverifikation. Garante fandt, at OpenAI ikke havde implementeret rimelige foranstaltninger for at forhindre brug af personer under 13 år.

Ulovlig behandling af træningsdata: Garante fandt, at OpenAI's brug af italienske brugerdata til træning af ChatGPT 3.5/4 manglede tilstrækkelig juridisk grundlag. Kravet om "legitim interesse" blev afvist — Garante fandt, at brugen af personoplysninger til at træne kommercielle AI-modeller kræver enten samtykke eller et klarere juridisk grundlag end det, som LLM-træningsudbydere typisk påberåber sig.

Manglende gennemsigtighed: OpenAI informerede ikke tilstrækkeligt italienske brugere om, hvordan deres data blev brugt til træning, eller gav tilgængelige mekanismer til at fravælge.

Praktiske implikationer: Ethvert AI-system, der behandler italienske personoplysninger — hvad enten det er træning, finjustering eller inferens på italienske brugerinput — skal have et dokumenteret GDPR-juridisk grundlag under Garante-standarder, der går ud over simple "legitim interesse" krav. Samtykke eller specifik kontraktopfyldelse er typisk påkrævet.

Italienske nationale identifikatorer

Codice fiscale: Italiens 16-tegn alfanumeriske skattekode — en af de mest informationsrige nationale identifikatorer i EU. Struktur:

  • Tegn 1-3: Konsonanter fra efternavn (specifikke udtrækningsregler)
  • Tegn 4-6: Konsonanter og vokaler fra fornavn (specifikke udtrækningsregler)
  • Tegn 7-8: Sidste to cifre af fødselsåret
  • Tegn 9: Bogstav, der repræsenterer fødselsmåned (A=januar, B=februar, C=marts, D=april, E=maj, H=juni, L=juli, M=august, P=september, R=oktober, S=november, T=december)
  • Tegn 10-11: Fødselsdag (mænd: dagnummer; kvinder: dag + 40)
  • Tegn 12-15: Belfiore-kode (4 tegn) for fødskommunen eller landet
  • Tegn 16: Kontroltegn (bogstav, beregnet ved hjælp af specifik algoritme)

Codice fiscale koder efternavnsinitiallyde, fornavnsinitiallyde, fødselsdato, køn (via fødselsdagskodning) og fødested. Det er uden tvivl EU's mest personligt identificerende nationale identifikator efter informationsindhold.

Detektionsnøjagtighed: Generiske NLP-værktøjer registrerer codice fiscale med kun 67% nøjagtighed (Garante 2024 teknisk analyse). Fejlene: værktøjer, der matcher 16-tegn alfanumeriske mønstre uden at implementere kontroltegnalgoritmen, kan ikke skelne gyldige codici fiscali fra falske positiver; værktøjer, der ikke implementerer efternavn/fornavn udtrækningsregler, kan ikke validere eksisterende numre.

Partita IVA: Italiens 11-cifrede erhvervsmomsnummer, med et kontrolciffer beregnet ved hjælp af en vægtet sum modulus-10 algoritme. Det sidste ciffer er kontrolcifferet. Partita IVA vises i alle italienske kommercielle dokumenter — fakturaer, kontrakter og forretningskorrespondance.

Tessera sanitaria: Italiens sundhedskort — kombinerer codice fiscale med yderligere sundhedsspecifikke data. Formatet inkluderer codice fiscale som en komponent.

Garante's AI-værktøjskrav

Garante's vejledning om "tekniske og organisatoriske foranstaltninger" for AI-systemer, der behandler italienske personoplysninger:

Før AI-behandling: PII skal identificeres og enten fjernes eller pseudonymiseres, før den inputtes til AI-systemer. Garante's Chrome Extension/AI integrationskontekst: ethvert AI-værktøj, der modtager italienske personoplysninger (navne, codici fiscali, sundhedsdata) i prompts, skal have disse identifikatorer fjernet før transmission.

Til AI-træning: Eksplicit dokumenteret juridisk grundlag er påkrævet. Samtykke er Garante's foretrukne grundlag for træning på italiensk bruger-genereret indhold. "Legitim interesse" kræver en dokumenteret afvejningstest, der viser, at træningsformålet ikke overskrider italienske brugeres databeskyttelsesinteresser.

For AI-udgange: Systemer, der genererer output om italienske individer, skal implementere sikkerhedsforanstaltninger mod hallucination af personoplysninger (generering af falske oplysninger, der tilskrives virkelige individer) — Garante har markeret dette som en specifik risiko, der kræver teknisk afbødning.

63% af italienske virksomheder mangler GDPR-kompatible AI-datastyringspolitikker (Garante 2024). For organisationer, der implementerer AI-værktøjer i Italien: codice fiscale og partita IVA detektion med fuld kontroltegnvalidering, italiensksproget NER (spaCy it_core_news), og dokumenteret GDPR-juridisk grundlag for enhver AI-træning på italienske personoplysninger er de basale krav til Garante-overholdelse.

Kilder:

Relaterede Artikler

GDPR & Overholdelse

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Overholdelse

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Overholdelse

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Klar til at beskytte dine data?

Begynd at anonymisere PII med 285+ enhedstyper på tværs af 48 sprog.

Start Gratis PrøveperiodeSe Funktioner