anonym.legal

By · Last updated 2026-06-05

Tilbage til BlogGDPR & Overholdelse

Garante Italien: AI og PII-compliance

Italiens Garante bødede OpenAI med €15 mio. i december 2024 og forbød midlertidigt ChatGPT i 2023. 63 % af italienske virksomheder mangler AI-datastyringspolitikker.

June 5, 20269 min læsning
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Garante Italien: GDPR og PII teknisk compliance

Opdateret til 2026

Italiens mest aktive privatlivsregulator

Garante per la protezione dei dati personali er Italiens datamyndighed. Det er EU's mest aktive AI-regulator.

To handlinger definerer dens tilgang. I marts 2023 pålagde Garante OpenAI at stoppe ChatGPT for brugere i Italien. Myndigheden fandt ingen gyldig retshjemmel for dataanvendelsen. Det fandt heller ingen alderskontrol for mindreårige. OpenAI tilføjede alderskontroller, en opt-out for træning og en privatlivspolitik på italiensk. Tjenesten kom tilbage i april 2023.

I december 2024 bødede myndigheden OpenAI med €15 millioner. Tre forhold forårsagede bøden: ingen gyldig retshjemmel, ingen klar underretning om træningsbrug og ingen alderskontrol for mindreårige.

Ethvert AI-værktøj, der håndterer personoplysninger fra brugere i Italien, skal opfylde disse samme standarder.

Hvad fejlede i OpenAI-sagen

€15 millioner-bøden navngav specifikke mangler. Hver enkelt svarer til et manglende teknisk kontrol.

Retsgrundlag for træningsdata: Garante afviste "legitim interesse" som grundlag for træning på brugerdata. AI-træning på personoplysninger kræver eksplicit samtykke eller et kontraktgrundlag. En påstand om "legitim interesse" alene holder ikke.

Gennemsigtighed: Brugere fik ikke besked om, hvordan deres data blev brugt til træning. De havde ingen klar opt-out-mulighed.

Aldersverifikation: Mindreårige kunne tilgå ChatGPT uden alderskontrol. Garante behandler dette som en ufravigelig regel for forbruger-AI-værktøjer.

Vigtig konsekvens: Ethvert AI-system, der modtager brugerinput i Italien, skal have et dokumenteret GDPR-retsgrundlag. "Legitim interesse" er højrisiko.

Italienske nationale identifikatorer

Italien har unikke ID-formater. Generiske værktøjer misser dem ofte. Din detektionsstabel skal dække alle tre.

Codice Fiscale

Codice fiscale er et 16-tegns nationalt ID. Det koder efternavnslyde, fornavnslyde, fødselsdato, køn og fødested. Det sidste tegn er et kontrolciffer.

Garantens tekniske analyse fra 2024 viste, at generiske NLP-værktøjer kun fanger codice fiscale i 67 % af tilfældene. Det primære fejlmønster: værktøjer matcher 16-tegns mønstret men springer kontrolciffer-logikken over. De producerer derefter falske positiver. Værktøjer, der springer navnekodningsreglerne over, kan heller ikke verificere eksisterende koder.

God detektion kræver tre ting:

  • Fuld kontroltegnsalgoritme
  • Regler for udtrækning af efternavns- og fornavnsbogstaver
  • Test mod rigtige lokale data

Partita IVA

Partita IVA er Italiens 11-cifrede virksomheds-moms-nummer. Det sidste ciffer er et kontrolciffer. Det forekommer i fakturaer, kontrakter og forretningsbreve. Dit værktøj skal køre kontrolciffer-algoritmen, ikke blot matche et 11-cifret mønster.

Tessera Sanitaria

Sundhedskortet (tessera sanitaria) indeholder codice fiscale som en del af sin kode. Sundhedsdata er en særlig kategori under GDPR artikel 9. Det hæver det krævede sikkerhedsniveau.

Garantens krav til AI-værktøjer

Garantens vejledning dækker tre områder.

Inden AI-behandling: PII skal identificeres og fjernes, inden data går ind i et AI-system. For AI-værktøjer, der bruges i Italien — herunder browserudvidelser og MCP-servere — betyder det, at codice fiscale, partita IVA og sundhedsdata skal fjernes fra prompter, inden de sendes. Se vores compliance-vejledning for, hvordan dette trin registreres.

Til AI-træning: Eksplicit retshjemmel er påkrævet. Samtykke er Garantens foretrukne grundlag for træning på brugerindhold. "Legitim interesse" kræver en skriftlig afvejningstest. Den test skal vise, at træningsmålet ikke tilsidesætter brugernes datarettigheder.

For AI-output: Systemer, der skriver indhold om virkelige mennesker, skal adressere risikoen for falske påstande. Garante har navngivet fabrikerede personoplysninger som en særskilt risiko, der kræver en teknisk løsning.

Den 63-procents virksomhedsgab

En Garante-undersøgelse fra 2024 viste, at 63 % af italienske virksomheder ikke har nogen GDPR-tilpasset AI-politik. Myndigheden har gjort dette gab til et aktivt revisionsfokus.

En politik uden tekniske kontroller er svær at forsvare. Garante retter sig mod virksomheder, der er afhængige af, at medarbejdere selv politiovervåger deres databrug. Vores sikkerhedsoversigt viser, hvordan automatiserede kontroller understøtter skriftlig politik.

Fire kontroller til Garante-compliance

1. PII-filtrering inden indsendelse

Fjern codice fiscale, partita IVA og tessera sanitaria-data, inden input når et AI-model. Det er den centrale tekniske løsning, som Garantens saglogik kræver.

2. Italiensksproget NER

Brug en named entity-model trænet på italiensk tekst. For eksempel spaCy it_core_news. Generiske engelsktrænede modeller misser italienske navnemønstre. Se vores guide til flersproget PII-detektion for modelvalg.

3. Dokumentation af retsgrundlag

For hvert AI-værktøj i brug: nedskriv retsgrundlaget. Hvis træning er involveret, tilføj afvejningstesten. Gem disse, så revisorer hurtigt kan finde dem.

4. Revisionsspor

Log, at filtrering kørte, hvilke entitetstyper der blev fundet, og hvad der blev fjernet. Det giver inspektørerne det bevis, de har brug for, uden en lang manuel gennemgang.

Kilder

Relaterede Artikler

GDPR & Overholdelse

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Overholdelse

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Overholdelse

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klar til at beskytte dine data?

Begynd at anonymisere PII med 285+ enhedstyper på tværs af 48 sprog.

Start Gratis PrøveperiodeSe Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.