El Garante italiano: IA y cumplimiento de datos personales
Actualizado para 2026
El historial de aplicación del Garante
La autoridad italiana de protección de datos es el Garante per la protezione dei dati personali. Es el regulador de IA más activo de la UE. Dos acciones importantes definen su enfoque.
Marzo 2023 — Prohibición de ChatGPT: El Garante ordenó a OpenAI suspender ChatGPT para los usuarios en Italia. La autoridad no encontró base legal válida para el procesamiento de datos. Tampoco encontró verificación de edad para menores. OpenAI cumplió. Añadió controles de edad, una opción de exclusión para el entrenamiento y un aviso de privacidad en italiano. El servicio se restableció en abril de 2023.
Diciembre 2024 — Multa de 15 millones de euros: El Garante multó a OpenAI con 15 millones de euros. Tres fallos causaron la multa. Primero: ninguna base legal válida. Segundo: falta de claridad sobre el uso para entrenamiento. Tercero: sin verificación de edad para menores.
Investigaciones en curso (2024–2025): La autoridad abrió investigaciones formales contra Replika, Worldcoin y varias startups de IA.
Italia es el lugar de mayor riesgo en la UE para el despliegue de herramientas IA. Cualquier herramienta que maneje registros personales sin medidas de conformidad claras crea riesgo legal. Actúe pronto.
Lo que requiere el Garante
Las acciones de aplicación aclaran lo que las organizaciones deben hacer al usar herramientas de IA.
Base legal: Cada herramienta de IA necesita una base legal documentada bajo el artículo 6 del RGPD. La autoridad duda del «interés legítimo» para el entrenamiento de IA. El consentimiento explícito o la necesidad contractual son las bases preferidas.
Acuerdos de procesamiento de datos: Las organizaciones que usan herramientas de IA de terceros como encargados deben tener DPAs conformes con el RGPD. La autoridad verificó si los DPAs de los proveedores cubrían las restricciones de uso de datos. Las lagunas atraen el escrutinio.
Controles de entrada: El enfoque de la autoridad en el procesamiento ilícito exige controles de entrada. Los filtros técnicos que eliminan registros personales antes de que lleguen a un modelo de IA resuelven el problema central. Consulte nuestra guía de conformidad para los requisitos de documentación.
Verificación de edad: Los sistemas de IA accesibles a consumidores deben verificar la edad de los menores. Esta regla surgió directamente de la prohibición de ChatGPT.
Avisos claros: Los avisos de privacidad deben estar en italiano. Deben explicar cómo el sistema de IA usa los registros personales, incluido el uso para entrenamiento.
La brecha del 63%
Una encuesta del Garante de 2024 encontró que el 63% de las empresas que usan herramientas de IA carecen de políticas de uso de IA alineadas con el RGPD. Esta brecha crece a medida que la autoridad expande su programa de IA.
Los registros de DPO aumentaron un 340% tras la prohibición de ChatGPT. Las organizaciones reconocieron que el despliegue de IA sin un DPO creaba exposición legal. Pero un DPO solo no es suficiente. Las políticas escritas sin controles técnicos son difíciles de hacer cumplir. La autoridad apunta exactamente a esta brecha: empresas que dependen de la autodisciplina de los empleados. Nuestra descripción general de protección muestra cómo los controles respaldan las políticas.
Implementación técnica
Para organizaciones con usuarios en Italia, la configuración técnica alineada con el Garante incluye lo siguiente.
Filtrado PII antes del envío: Una extensión de Chrome o un servidor MCP se sitúa entre el usuario y el modelo de IA. Elimina los registros personales antes de que lleguen al modelo. Sin datos personales de entrada no hay procesamiento ilícito. Esta es la solución central.
Tipos de entidades locales: Las herramientas PII estándar pasan por alto los tipos de ID locales. Su herramienta debe detectar:
- Codice fiscale — código de identificación nacional de 16 caracteres
- Partita IVA — número de empresa de 11 dígitos
- Carta d'identità — documento nacional de identidad
- Tessera sanitaria — tarjeta sanitaria que incluye el codice fiscale
- Formatos IBAN italianos
El codice fiscale es el principal identificador nacional. Omitirlo deja una brecha crítica. Consulte nuestra guía de entidades para detalles de cobertura completa. Pruebe con datos locales reales.
Registro de auditoría: Las inspecciones del Garante solicitan pruebas de controles técnicos. Un registro centralizado que muestre que se aplicó el filtrado previo al envío proporciona la evidencia necesaria.
Documentación DPA: Para cada proveedor de IA utilizado como encargado: conserve una revisión DPA completada. Anote las restricciones de uso de datos y las condiciones de entrenamiento. Guárdela donde sea fácil de encontrar. Nuestro FAQ responde preguntas comunes sobre DPA.
Áreas de enfoque sectorial
El Garante se centra en sectores específicos.
Sanidad: Los datos de salud son de alto riesgo bajo el artículo 9 del RGPD. Cualquier herramienta de IA que maneje registros de pacientes necesita base legal explícita, un DPA y salvaguardas sólidas. Las herramientas de diagnóstico de IA y documentación clínica requieren EIPDs.
Servicios financieros: La elaboración de perfiles de consumidores mediante IA ha generado escrutinio. Los bancos e instituciones financieras que usan IA para crédito o personalización deben realizar EIPDs e implementar controles de explicabilidad.
RRHH: Las herramientas de IA para contratación, evaluaciones y supervisión del personal requieren EIPDs. El Garante emitió orientaciones específicas sobre supervisión de empleados en 2023.
Educación: Las herramientas de IA en centros educativos tienen requisitos adicionales según las orientaciones del Garante 2024 sobre datos de estudiantes.
Las organizaciones en estos sectores necesitan documentación específica del sector. Lea nuestros casos de estudio para aprender cómo los pares gestionan la conformidad. La perspectiva de nuestro fundador está en nuestra declaración del fundador. Nuestros planes y tarifas cubren todos los sectores.