anonym.legal

By · Last updated 2026-06-05

Itzuli BlogeraAI Segurtasuna

PII Prebentzioa Denbora Errealean: AIaren Datu-ihesak Geldiaraztea

Langile batek bezeroaren izena ChatGPT-n idazten duenean, datuak berehala irteten dira erakundearen kontroletik. Ondorengo DLP-ak ezin du txilin hori desegin.

June 5, 20267 min irakurri
AI data preventionChatGPT PIIreal-time anonymizationDLP alternativeChrome Extension

PII Prebentzioa Denbora Errealean: AIaren Datu-ihesak Gertatu Aurretik Geldiaraztea

2026rako eguneratua.

2023ko martxoan, Samsung-eko ingeniari batek iturburu-kodea ChatGPT-n itsatsi zuen. Kodea berehala atera zen Samsung-en kontroletik. Ezein tresnak ez zuen garaiz harrapatu. Ondorengo segurtasun-kontrolek ezin dituzte AIaren datu-ihesak geldiarazi. Gertakari honek berak frogatu zuen hori.

Detekzio-tresnek gertatutakoa esaten dizute ondoren. Erregistroen egiaztapenak, amaierako DLP-ak eta ikuskaritza-erregistroak horrela funtzionatzen dute. AIaren ihesen kasuan, ondoren izatea berandu da. Datuak AI eredura iritsi dira dagoeneko.

Arazoaren Eskala

2025eko Cyberhaven ikerketa batek enpresek AI nola erabiltzen duten aztertu zuen. Aurkikuntzak nabarmenak ziren.

  • ChatGPT gonbida guztien %11k datu pribatuak edo sentikorrak dituzte.
  • Batez besteko langileak egunean 14 aldiz erabiltzen ditu AI tresnak.
  • Erabilera altuko langileek egunean 30 eta 50 aldiz erabiltzen dituzte.
  • %11rekin, horrek esan nahi du langile bakoitzak egunean 3 eta 5 bidalketa sentikorren artean egiten dituela.

500 erabilera altuko langileko enpresa batean, hori egunean 2.000 bidalketa sentikorretara heltzen da. Bakoitza GDPR 83. Artikuluko urraketa izan daiteke. Arriskua ez da soilik juridikoa. Konfiantza eta ospea ere arriskuan daude.

AI gonbidetan ohikoak diren eduki sentikorren motak hauek dira.

  • Bezeroen izenak eta harremanetarako datuak.
  • Kontu-zenbakiak eta ordainketa-erregistroak.
  • Osasun-langileek idatzitako oharrak.
  • Abokaturengandik datozen kasu-xehetasunak.
  • GGEEko langile-ebaluazioen oharrak.
  • Barne-diru-sarrerak edo salmenta-aurreikuspenak.

Ikerketak ez du bereizten nahita egindako partekatzea ustekabekoaren. Biek arrisku juridiko bera sortzen dute. Bezeroaren izena kentzea ahaztu duen langile batek araua alde batera uzten duenak bezain urraketa bera sortzen du. Asmoak ez du emaitza aldatzen.

Zergatik Detekzioak Huts Egiten Duen

Sare-egiaztapenek ezin dute HTTPS trafikoa irakurri TLS blokeoa gabe. TLS blokeoak karga gehigarria sortzen du eta pribatutasun-kezkak sortzen ditu. Nabigatzaile modernoek sarritan ukatu egiten dute.

Amaierako DLP agenteak arbelaren eta teklatu-sarreraren gainbegiratzailea dira. Baina atzerapena dute. Agenteak eredu bat markatu aurretik, gonbidak dagoeneko bidali dira.

Saltzaileen ikuskaritza-erregistroek partekatu dena erregistratzen dute partekatu ondoren. Erantzunerako lagungarriak dira. Ez dituzte ihesak geldiarazten.

Langile-trebakuntza politika da, ez kontrol bat. Cyberhaven ikerketak erakusten du politika argi dituzten enpresetan gonbida guztien %11k oraindik eduki sentikorrak dituztela. Trebakuntzak ez du ustekabekoaren partekatzea edo lan-prozesuan izandako hutsuneak geldiarazten.

AI tresnen blokeatzeak etekin-irabaziak kentzen ditu. Langileek gailuen pertsonalak edo kontuak erabiltzen dituzte orduan. Horrek lana edozein gainbegiratzetik kanpo jartzen du.

Metodo horietako batek ere ez ditu eduki sentikorrak AI sistemetara denbora errealean iristea geldiarazten.

Sarrerako Puntuan Prebentzioa

Bakarra defentsa segurua gonbida bidali aurretik maskaratzea da. [PERSON_1] bezala ordezkatutako bezero-izen bat nabigatzailetik irten aurretik AI ereduak inoiz ez du ikusten.

Hona nola funtzionatzen duen linean maskaratzeak.

  1. Langile batek bezero-posta elektroniko bat Claude edo ChatGPT-n idazten du.
  2. Nabigatzaile gehigarriak denbora errealean datu pertsonalak detektatzen ditu.
  3. Entitateak mota etiketekin markatzen dira: PERSON, EMAIL_ADDRESS, ACCOUNT_NUMBER.
  4. Langileak markatutako elementuak berrikusi egiten ditu.
  5. Klik batek entitate guztiak tokenei ordezkatzen dizkio.
  6. Maskaratutako gonbida bidaltzen da.

AIk honelako gonbida bat jasotzen du: "[PERSON_1] bezeroak [EMAIL_1] helbidean [ACCOUNT_1] kontua du."

AIk eskaera kudeatzen du. Benetako izenak edo zenbakiak inoiz ez ditu ikusten. Langileak benetako bezeroa testuingurutik ezagutzen du.

Ikuspegi honek onura argiak ditu.

  • Datu pertsonalek kanpoko AI sistemetatik kanpo jarraitzen dute.
  • Bezeroaren xehetasunak ez dira AI trebakuntzako multzoengatik gehitzen.
  • Langileek AI tresnetarako sarbidea mantentzen dute. Etekinak handiak dira.

Ez ditu tresna saihesten duen langilearen nahitako partekatzea geldiarazten. Fitxategi-igoerek lan-fluxu bereizi bat behar dute. Ez dago kontrol perfekturik. Baina linean maskaratzeak ustekabekoaren taldea kentzen du. Talde hori gertakari gehienen iturria da. Emaitza arrisku nabarmen bat da eguneroko lan-fluxuan aldaketarik gabe.

Abokatu-bulegoko Kasu Azterketa

Abokatu-bulego baten langileek Claude erabili zuten kontratu-oharrak idazteko. Euren metodoa: kontratu-atalak kopiatu, Claude-n itsatsi, laburpen bat eskatu.

Chrome Extension erabili aurretik - lehenengo 6 hilabeteak:

  • Berrikuspenaen bitartean aurkitutako 3 bezero-datu gertakari.
  • Gertakari bakoitzean: bezeroaren izen bat eta gai-erreferentzia-zenbaki bat gonbidan agertzen zen.
  • 3 guztiak ustekabekoak ziren.

Chrome Extension erabili ondoren - hurrengo 6 hilabeteak:

  • Zero bezero-datu gertakari.
  • Langileek bezero-izenak dituzten atalak itsasketaren gaineko alerta errealak jasotzen zituzten.
  • Klik batek "Johnson Controls Matter 2024-0347" ordezkatu zuen "[PERSON_1] Matter [REFERENCE_1]."-rekin
  • Metodoa berdina geratu zen.

Kudeatzaile partaideak esan zuen: "Gure langileek politika ezagutzen zuten gehigarria baino lehen. Gehigarriak betetzeari bide erraza bihurtu zion."

Ikusi nola kudeatu duten beste enpresek hau gure kasu azterketetan. Berrikusi kontrolak segurtasun ikuspegian.

GDPR Erregistroak Betetze-taldeentzat

Nabigatzaile-oinarritutako AI maskaraketa erabiltzen duten enpresek kontrol tekniko gisa dokumentatu behar dute.

Prozesamenduaren Erregistroak (ROPA): Adierazi AI gonbidak saltzaileengana iritsi aurretik bezero-aldetik maskaraketa pasatzen dutela. Zerrendatu entitate-motak, motorraren bertsioa eta zabalkunde-erregistroak froga gisa.

Datu-prozesatzaileen hitzarmenak: Datu pertsonal ez denean AI saltzaileari iristen, DPA betebeharrak sinpleak dira. Edukitzen dituzun datu pertsonalek zure sistema inoiz uzten ez dute.

Ikuskaritza-erregistroak: Gehigarri-erregistroek saio bakoitzeko entitate-kopurua, maskara-tasa eta bolumenaren arabera entitate-motak jasotzen dituzte. Metrika hauek betetze-txostenetan sartzen dira.

Berrikusi AIrako GDPR arauak gure betetze-gida juridikoan eta glosarioan. Ohiko galderak gure FAQ-an daude.

Ondorioa

Samsung-eko gertakariak erakutsi zuen AIaren ihesak edozein ondorengo kontrolak joka dezakeen baino azkarrago gertatzen direla. Cyberhaven ikerketak zenbaki bat jarri zion honi: gonbida guztien %11, langile bakoitzeko hainbat aldiz, egunero.

Bidali aurretiko denbora errealeko maskaratzeak erro-kausa konpontzen du. Datu pertsonalek AIra inoiz iristen ez dutenean, ez dago ezer detektatu, erregistratu edo garbitu beharrik. Langileek AI tresnak mantentzen dituzte. Enpresek euren betetze-egoera mantentzen dute.

Detekzioak esaten dizu prebentzioak huts egin duenean. AIaren datu-ihesen kasuan, hutseginaren kostua - isunak, ospearen kaltea, konfiantza-galera - prebentzioa lehen justifikatzen du.

Arakatu prezioak zure enpresarentzat. Irakurri gure sortzailearen adierazpena zergatik prebentzioa-lehenengo gure oinarrizko diseinu-printzipioa den.

Iturriak

  • Cyberhaven: AI Datuen Exposizio Ikerketa 2025 - cyberhaven.com.
  • Samsung ChatGPT Datu-urraketa, 2023ko martxoa - Bloomberg.
  • GDPR 4. eta 32. Artikuluak: Datu pertsonalak eta neurri teknikoak - gdpr-info.eu.

Lotutako Artikuluak

AI Segurtasuna

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI Segurtasuna

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

AI Segurtasuna

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Prest zure datuak babesteko?

Hasi PII anonimizatzen 285+ entitate mota 48 hizkuntzatan.

Hasi Probako BertsioaIkusi Ezaugarriak

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.