El Registro de Cumplimiento de AI del Garante
El Garante per la protezione dei dati personali (Garante) de Italia se ha establecido como el regulador de AI más agresivo de la UE a través de una serie de acciones de cumplimiento históricas:
Marzo de 2023 — Prohibición temporal de ChatGPT: El Garante ordenó a OpenAI suspender temporalmente el servicio de ChatGPT para los usuarios italianos, encontrando que OpenAI no tenía una base legal suficiente para procesar los datos de los usuarios italianos y carecía de un mecanismo de verificación de edad. OpenAI implementó los cambios solicitados (verificación de edad, aviso de privacidad en italiano, mecanismo de exclusión para el uso de datos en el entrenamiento) y el servicio fue restaurado en abril de 2023.
Diciembre de 2024 — Multa de 15 millones de euros contra OpenAI: El Garante emitió una multa formal de 15 millones de euros contra OpenAI por el procesamiento ilegal de datos personales de usuarios italianos. El aviso de cumplimiento citó: ausencia de una base legal adecuada, falta de transparencia sobre cómo se utilizaron los datos de los usuarios en el entrenamiento y la falta de implementación de la verificación de edad para menores.
Investigaciones en curso (2024-2025): El Garante inició investigaciones formales contra múltiples proveedores de AI que operan en Italia, incluyendo Replika (compañero de AI), Worldcoin (datos biométricos) y varias startups de AI generativa.
El patrón establece a Italia como la jurisdicción de mayor riesgo de la UE para las implementaciones de herramientas de AI sin medidas de cumplimiento documentadas.
Lo que el Garante Requiere de los Usuarios de Herramientas de AI
Las acciones de cumplimiento del Garante han aclarado lo que las organizaciones italianas deben hacer al usar herramientas de AI que procesan datos personales:
Documentación de la base legal: Cada herramienta de AI que procese datos personales de usuarios italianos requiere una base legal documentada bajo el Artículo 6 del GDPR. El Garante ha sido escéptico respecto a las afirmaciones de "interés legítimo" para el uso de datos de entrenamiento de AI; se prefieren el consentimiento explícito o la necesidad contractual como bases.
Acuerdos de Procesamiento de Datos: Las organizaciones italianas que utilizan herramientas de AI de terceros como procesadores de datos deben tener Acuerdos de Procesamiento de Datos que cumplan con el GDPR. El Garante revisó específicamente si los APD de los proveedores de AI cubrían adecuadamente las restricciones sobre el uso de datos.
Controles de datos de entrada: El enfoque de cumplimiento del Garante en el "procesamiento ilegal" de datos de usuarios italianos ha impulsado un requisito de que las organizaciones controlen qué datos personales ingresan a los sistemas de AI. Los controles técnicos que evitan que los datos personales de usuarios italianos ingresen a los sistemas de AI sin una base legal adecuada satisfacen la preocupación sustantiva del Garante.
Verificación de edad para sistemas de AI con acceso al consumidor: Tras la prohibición de ChatGPT, el Garante requiere que los sistemas de AI accesibles para los consumidores italianos implementen verificación de edad para menores.
Transparencia: Avisos de privacidad en italiano que expliquen claramente cómo los sistemas de AI utilizan datos personales, incluyendo cualquier uso para fines de entrenamiento.
La Brecha del 63% en Empresas Italianas
Una encuesta del Garante de 2024 encontró que el 63% de las empresas italianas que utilizan herramientas de AI carecen de políticas de uso de AI que cumplan con el GDPR. Esta brecha crea un riesgo de cumplimiento sustancial a medida que el Garante expande su programa de cumplimiento de AI.
Las inscripciones de DPO en Italia aumentaron un 340% tras la prohibición de ChatGPT, un aumento impulsado por organizaciones que reconocen que la implementación de AI sin la participación de un DPO estaba creando una exposición legal significativa. Sin embargo, tener un DPO no es suficiente sin controles técnicos que hagan cumplir las políticas del DPO.
La brecha de política de DPO sin controles técnicos es exactamente lo que los esfuerzos de cumplimiento del Garante apuntan: organizaciones que tienen políticas de AI escritas pero dependen de los empleados para autocontrolar el cumplimiento, en lugar de implementar medidas técnicas que hagan que la política sea ejecutable.
Implementación Técnica para el Cumplimiento del Garante
Para organizaciones italianas o organizaciones con usuarios italianos, la pila técnica conforme al Garante para el uso de AI incluye:
Filtrado de PII antes de la presentación de AI: La extensión de Chrome o la integración del servidor MCP crea una capa técnica que intercepta la presentación de solicitudes de AI y elimina los datos personales italianos antes de que lleguen al modelo de AI. Esto satisface la preocupación central del Garante sobre el "procesamiento ilegal de datos de usuarios italianos"; si los PII italianos se eliminan antes de la presentación, los datos personales italianos no llegan al sistema de AI.
Tipos de entidades específicas de Italia: La detección de PII italiana debe cubrir:
- Codice fiscale (código fiscal italiano — ID nacional alfanumérico de 16 caracteres)
- Partita IVA (número de IVA italiano — identificador comercial de 11 dígitos)
- Carta d'identità (tarjeta de identificación nacional italiana)
- Tessera sanitaria (tarjeta de salud italiana, que incorpora el codice fiscale)
- Formatos de IBAN italianos
Las herramientas estándar de PII sin tipos de entidades italianas no detectan el codice fiscale — el principal identificador nacional italiano — y otros identificadores específicos de la jurisdicción.
Registro de auditoría para demostración regulatoria: Las solicitudes de inspección del Garante requieren rutinariamente la demostración de que el uso de AI fue acompañado por controles técnicos apropiados. Un registro de auditoría centralizado que muestre que se aplicó el filtrado de PII antes de la presentación para los datos de usuarios italianos proporciona la evidencia para esta demostración.
Documentación de DPA: Para herramientas de AI utilizadas como procesadores de datos: un documento de revisión de DPA completado para cada proveedor de AI, incluyendo la evaluación de las disposiciones sobre el uso de datos de entrenamiento.
Áreas de Enfoque Específicas del Garante
El programa de cumplimiento del Garante tiene enfoques específicos por sector:
Salud: El Garante trata los datos de salud italianos como de alto riesgo bajo el Artículo 9 del GDPR. Cualquier herramienta de AI que procese datos de pacientes italianos requiere una base legal explícita, DPA y medidas técnicas mejoradas. El Garante ha señalado específicamente que las herramientas de diagnóstico de AI y la documentación clínica de AI requieren DPIAs.
Servicios financieros: La elaboración de perfiles de consumidores utilizando AI ha recibido el escrutinio del Garante. Los bancos e instituciones financieras italianas que utilizan AI para decisiones de crédito o personalización de marketing deben realizar DPIAs e implementar controles de explicabilidad.
RRHH y empleo: Las herramientas de AI para reclutamiento, evaluación del rendimiento y monitoreo de empleados requieren DPIAs bajo la ley italiana y la guía del Garante sobre el monitoreo de empleados (Provvedimento 2023).
Educación: Las herramientas de AI en entornos educativos italianos tienen requisitos adicionales según la guía del Garante sobre la protección de datos de estudiantes (2024).
Para las organizaciones en estos sectores, el cumplimiento del Garante para las implementaciones de AI requiere documentación específica del sector más allá de los requisitos generales.
Fuentes: