anonym.legal

By · Last updated 2026-06-05

Volver al BlogGDPR y Cumplimiento

Garante Italia: La AEPD que prohibió ChatGPT...

La Garante de Italia multó a OpenAI con 15 millones de euros en diciembre de 2024 y prohibió temporalmente ChatGPT en 2023.

June 5, 20269 min de lectura
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Garante Italia: Cumplimiento técnico del RGPD y datos personales

Actualizado para 2026

El regulador de privacidad más activo de Italia

El Garante per la protezione dei dati personali es la autoridad de protección de datos de Italia. Es el regulador de IA más activo de la UE.

Dos acciones definen su enfoque. En marzo de 2023, el Garante ordenó a OpenAI suspender ChatGPT para usuarios en Italia. La autoridad no encontró base legal válida para el uso de los datos. Tampoco había verificación de edad para menores. OpenAI implementó controles de edad, una opción de exclusión del entrenamiento y un aviso de privacidad en italiano. El servicio se reanudó en abril de 2023.

En diciembre de 2024, la autoridad multó a OpenAI con 15 millones de euros. Tres infracciones motivaron la sanción: ninguna base legal válida, falta de transparencia sobre el uso de datos para el entrenamiento y ausencia de verificación de edad para menores.

Cualquier herramienta de IA que procese datos personales de usuarios en Italia debe cumplir estos mismos estándares.

Lo que falló en el caso OpenAI

La multa de 15 millones de euros identificó fallos concretos. Cada uno corresponde a un control técnico ausente.

Base legal para datos de entrenamiento: El Garante rechazó el "interés legítimo" como base legal para entrenar con datos de usuarios. El entrenamiento de IA con datos personales requiere consentimiento explícito o una base contractual. El "interés legítimo" por sí solo no es suficiente.

Transparencia: Los usuarios no fueron informados de cómo se usaban sus datos para el entrenamiento. No había mecanismo de exclusión claro.

Verificación de edad: Los menores podían acceder a ChatGPT sin ningún control de edad. El Garante trata esto como un requisito obligatorio para herramientas de IA dirigidas al consumidor.

Implicación principal: Cualquier sistema de IA que reciba entradas de usuarios en Italia debe tener una base legal RGPD documentada. El "interés legítimo" es un riesgo alto.

Identificadores nacionales italianos

Italia utiliza formatos de identificadores únicos. Las herramientas genéricas suelen omitirlos. Su sistema de detección debe cubrir los tres.

Codice Fiscale

El codice fiscale es un identificador nacional alfanumérico de 16 caracteres. Codifica los sonidos del apellido, las iniciales del nombre, la fecha de nacimiento, el sexo y el municipio de nacimiento. El último carácter es un dígito de control.

Un análisis técnico del Garante de 2024 reveló que las herramientas NLP genéricas solo detectan el codice fiscale en el 67 % de los casos. El problema principal: las herramientas que reconocen el patrón de 16 caracteres pero omiten la lógica del dígito de control generan falsos positivos. Las que no aplican las reglas de extracción de nombres tampoco pueden validar códigos existentes.

Una buena detección requiere tres cosas:

  • Implementación completa del algoritmo del carácter de control
  • Reglas de extracción para apellido y nombre
  • Pruebas con datos locales reales

Partita IVA

La partita IVA es el número de IVA empresarial de 11 dígitos de Italia. El último dígito es un dígito de control. Aparece en facturas, contratos y correspondencia comercial. Su herramienta debe ejecutar el algoritmo del dígito de control, no solo reconocer un patrón de 11 dígitos.

Tessera Sanitaria

La tarjeta sanitaria (tessera sanitaria) incluye el codice fiscale como componente. Los datos de salud son una categoría especial según el artículo 9 del RGPD. Esto eleva el nivel de protección requerido.

Requisitos del Garante para herramientas de IA

Las directrices del Garante cubren tres áreas.

Antes del procesamiento con IA: Los datos personales deben identificarse y eliminarse antes de entrar en un sistema de IA. Para herramientas de IA usadas en Italia — incluidas extensiones de navegador y servidores MCP — esto significa eliminar codici fiscali, partite IVA y datos de salud de los prompts antes de su envío. Consulte nuestra guía de cumplimiento para documentar este paso.

Para el entrenamiento de IA: Se requiere base legal explícita. El Garante prefiere el consentimiento para el entrenamiento con contenido generado por usuarios. El "interés legítimo" requiere una prueba de ponderación documentada. Esta prueba debe demostrar que el objetivo del entrenamiento no prevalece sobre los derechos de los usuarios.

Para las salidas de IA: Los sistemas que generan contenido sobre personas reales deben abordar el riesgo de información falsa. El Garante ha identificado la generación de datos personales falsos como un riesgo técnico diferenciado que requiere mitigación.

La brecha del 63 % en las empresas

Una encuesta del Garante de 2024 reveló que el 63 % de las empresas italianas no tiene una política de gobernanza de IA alineada con el RGPD. La autoridad ha convertido esta brecha en un foco activo de auditoría.

Una política sin controles técnicos es difícil de defender. El Garante apunta a las empresas que confían en que sus empleados gestionen el uso de datos por cuenta propia. Nuestra descripción de seguridad muestra cómo los controles automáticos respaldan las políticas escritas.

Cuatro controles para el cumplimiento del Garante

1. Filtrado de datos personales antes del envío

Eliminar el codice fiscale, la partita IVA y la tessera sanitaria antes de que las entradas lleguen a cualquier modelo de IA. Esta es la medida técnica central que exige la lógica de los casos del Garante.

2. NER en lengua italiana

Utilizar un modelo de reconocimiento de entidades nombradas entrenado en texto italiano, por ejemplo spaCy it_core_news. Los modelos genéricos entrenados en inglés no detectan los patrones de nombres italianos. Consulte nuestra guía de detección multilingüe de datos personales para la selección del modelo.

3. Documentación de la base legal

Para cada herramienta de IA en uso: registrar la base legal. Si hay entrenamiento, documentar la prueba de ponderación. Guardar estos documentos donde los auditores puedan encontrarlos rápidamente.

4. Registro de auditoría

Registrar que el filtrado se ejecutó, qué tipos de entidades se encontraron y qué se eliminó. Esto proporciona a los inspectores las pruebas que necesitan sin una revisión manual larga.

Fuentes

Artículos Relacionados

GDPR y Cumplimiento

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR y Cumplimiento

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR y Cumplimiento

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.