anonym.legal
Volver al BlogGDPR y Cumplimiento

Garante Italia: La AEPD que prohibió ChatGPT — Lo que requiere el cumplimiento de la IA y PII en Italia

La Garante de Italia multó a OpenAI con 15 millones de euros en diciembre de 2024 y prohibió temporalmente ChatGPT en 2023. El 63% de las empresas italianas carecen de políticas de gobernanza de datos de IA. Requisitos técnicos de detección de codice fiscale y partita IVA.

March 7, 20269 min de lectura
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

La Garante per la protezione dei dati personali (Garante) de Italia es el regulador de privacidad de IA más agresivo de la UE. En marzo de 2023, la Garante se convirtió en la primera autoridad de protección de datos a nivel mundial en prohibir temporalmente ChatGPT en Italia, obligando a OpenAI a implementar medidas explícitas de verificación de edad y transparencia antes de que se restaurara el servicio. En diciembre de 2024, la Garante multó a OpenAI con 15 millones de euros por el procesamiento ilegal de datos de usuarios italianos.

Para las organizaciones que utilizan herramientas de IA en Italia, o que implementan sistemas de IA que pueden procesar datos personales italianos, el patrón de aplicación de la Garante establece las expectativas técnicas más exigentes en la UE.

El Caso OpenAI/ChatGPT: Lo que encontró la Garante

La multa de 15 millones de euros de la Garante contra OpenAI en diciembre de 2024 se basó en múltiples violaciones:

Falta de verificación de edad: ChatGPT era accesible para menores italianos sin una verificación de edad adecuada. La Garante encontró que OpenAI no implementó medidas razonables para prevenir el uso por parte de menores de 13 años.

Procesamiento ilegal de datos de entrenamiento: La Garante encontró que el uso de datos de usuarios italianos por parte de OpenAI para entrenar ChatGPT 3.5/4 carecía de una base legal adecuada. La afirmación de "interés legítimo" fue rechazada; la Garante determinó que el uso de datos personales para entrenar modelos de IA comerciales requiere consentimiento o una base legal más clara que la que típicamente invocan los proveedores de entrenamiento de LLM.

Falta de transparencia: OpenAI no informó adecuadamente a los usuarios italianos sobre cómo se utilizaron sus datos para el entrenamiento, ni proporcionó mecanismos accesibles para optar por no participar.

Implicaciones prácticas: Cualquier sistema de IA que procese datos personales italianos, ya sea entrenando, ajustando o inferenciando sobre entradas de usuarios italianos, debe tener una base legal documentada bajo los estándares de la Garante que vaya más allá de simples afirmaciones de "interés legítimo". Generalmente se requiere consentimiento o el cumplimiento de un contrato específico.

Identificadores Nacionales Italianos

Codice fiscale: El código fiscal alfanumérico de 16 caracteres de Italia, uno de los identificadores nacionales más ricos en información de la UE. Estructura:

  • Caracteres 1-3: Consonantes del apellido (reglas de extracción específicas)
  • Caracteres 4-6: Consonantes y vocales del nombre (reglas de extracción específicas)
  • Caracteres 7-8: Últimos dos dígitos del año de nacimiento
  • Caracter 9: Letra que representa el mes de nacimiento (A=Enero, B=Febrero, C=Marzo, D=Abril, E=Mayo, H=Junio, L=Julio, M=Agosto, P=Septiembre, R=Octubre, S=Noviembre, T=Diciembre)
  • Caracteres 10-11: Día de nacimiento (hombres: número del día; mujeres: día + 40)
  • Caracteres 12-15: Código Belfiore (4 caracteres) del municipio o país de nacimiento
  • Caracter 16: Carácter de verificación (letra, calculada usando un algoritmo específico)

El codice fiscale codifica los sonidos iniciales del apellido, los sonidos iniciales del nombre, la fecha de nacimiento, el género (a través de la codificación del día de nacimiento) y el lugar de nacimiento. Es, sin duda, el identificador nacional más identificativo de la UE por contenido informativo.

Precisión de detección: Las herramientas de PLN genéricas detectan el codice fiscale con solo un 67% de precisión (análisis técnico de la Garante 2024). Las fallas: las herramientas que coinciden con patrones alfanuméricos de 16 caracteres sin implementar el algoritmo del carácter de verificación no pueden distinguir codici fiscali válidos de falsos positivos; las herramientas que no implementan las reglas de extracción de apellido/nombre no pueden validar números existentes.

Partita IVA: El número de IVA empresarial de 11 dígitos de Italia, con un dígito de verificación calculado utilizando un algoritmo de suma ponderada módulo 10. El último dígito es el dígito de verificación. La partita IVA aparece en todos los documentos comerciales italianos: facturas, contratos y correspondencia comercial.

Tessera sanitaria: La tarjeta de salud de Italia, que combina el codice fiscale con datos adicionales específicos de salud. El formato incluye el codice fiscale como un componente.

Requisitos de Herramientas de IA de la Garante

La guía de la Garante sobre "medidas técnicas y organizativas" para sistemas de IA que procesan datos personales italianos:

Antes del procesamiento de IA: Se deben identificar los PII y eliminarse o seudonimizarse antes de la entrada en los sistemas de IA. El contexto de la extensión de Chrome/IA de la Garante: cualquier herramienta de IA que reciba datos personales italianos (nombres, codici fiscali, datos de salud) en los mensajes debe tener esos identificadores eliminados antes de la transmisión.

Para el entrenamiento de IA: Se requiere una base legal explícita documentada. El consentimiento es la base preferida de la Garante para el entrenamiento en contenido generado por usuarios italianos. El "interés legítimo" requiere una prueba de balance documentada que demuestre que el propósito del entrenamiento no anula los intereses de protección de datos de los usuarios italianos.

Para los resultados de IA: Los sistemas que generan resultados sobre individuos italianos deben implementar salvaguardias contra la alucinación de datos personales (generar información falsa atribuida a individuos reales); la Garante ha señalado esto como un riesgo específico que requiere mitigación técnica.

El 63% de las empresas italianas carecen de políticas de gobernanza de datos de IA compatibles con el GDPR (Garante 2024). Para las organizaciones que implementan herramientas de IA en Italia: la detección de codice fiscale y partita IVA con validación completa del carácter de verificación, NER en italiano (spaCy it_core_news) y una base legal documentada del GDPR para cualquier entrenamiento de IA sobre datos personales italianos son los requisitos básicos para el cumplimiento de la Garante.

Fuentes:

Artículos Relacionados

GDPR y Cumplimiento

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR y Cumplimiento

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR y Cumplimiento

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características