anonym.legal

By · Last updated 2026-06-05

بازگشت به وبلاگGDPR و انطباق

Garante ایتالیا: هوش مصنوعی و انطباق PII

Garante ایتالیا در دسامبر ۲۰۲۴ جریمه ۱۵ میلیون یورویی برای OpenAI صادر کرد و در سال ۲۰۲۳ ChatGPT را به‌طور موقت در ایتالیا ممنوع کرد. ۶۳ درصد از شرکت‌های ایتالیایی فاقد سیاست حاکمیت داده هوش مصنوعی هستند.

June 5, 20269 دقیقه مطالعه
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Garante ایتالیا: GDPR و انطباق فنی PII

به‌روزرسانی برای ۲۰۲۶

فعال‌ترین ناظر حریم خصوصی ایتالیا

Garante per la protezione dei dati personali مرجع داده ایتالیا است و فعال‌ترین ناظر هوش مصنوعی در اتحادیه اروپا محسوب می‌شود.

دو اقدام رویکرد آن را مشخص می‌کنند. در مارس ۲۰۲۳، Garante به OpenAI دستور داد ChatGPT را برای کاربران در ایتالیا متوقف کند — زیرا مبنای قانونی معتبری برای استفاده از داده یافت نشد و بررسی سنی برای کودکان وجود نداشت. OpenAI کنترل‌های سنی، گزینه انصراف از آموزش و اطلاعیه حریم خصوصی به زبان ایتالیایی اضافه کرد و سرویس در آوریل ۲۰۲۳ بازگشت.

در دسامبر ۲۰۲۴، این مرجع OpenAI را ۱۵ میلیون یورو جریمه کرد. سه دلیل جریمه: فقدان مبنای قانونی معتبر، عدم اطلاع‌رسانی شفاف درباره استفاده آموزشی و فقدان بررسی سنی برای کودکان.

هر ابزار هوش مصنوعی که داده شخصی کاربران در ایتالیا را پردازش می‌کند باید همین استانداردها را رعایت کند.

آنچه در پرونده OpenAI اشتباه بود

جریمه ۱۵ میلیون یورویی شکاف‌های مشخصی را نام برد که هر یک به یک کنترل فنی غایب نگاشت می‌شود:

مبنای قانونی داده آموزشی: Garante «منافع مشروع» را به‌عنوان مبنای آموزش بر روی داده کاربران رد کرد. آموزش هوش مصنوعی بر داده شخصی نیاز به رضایت صریح یا مبنای قراردادی دارد.

شفافیت: کاربران مطلع نشدند چگونه داده‌شان برای آموزش استفاده می‌شود و هیچ گزینه انصراف واضحی نداشتند.

تأیید سن: کودکان می‌توانستند بدون بررسی سنی به ChatGPT دسترسی پیدا کنند. Garante این را یک قانون سفت‌وسخت برای ابزارهای هوش مصنوعی مصرفی می‌داند.

پیامد کلیدی: هر سیستم هوش مصنوعی که ورودی کاربر را در ایتالیا می‌پذیرد باید مبنای GDPR مستند داشته باشد. «منافع مشروع» پُرخطر است.

شناسه‌های ملی ایتالیا

ایتالیا فرمت‌های شناسه منحصربه‌فردی دارد. ابزارهای عمومی اغلب آن‌ها را از دست می‌دهند. پشته شناسایی شما باید هر سه را پوشش دهد:

Codice Fiscale

کد مالی (codice fiscale) یک شناسه ملی ۱۶ کاراکتری است. صداهای نام خانوادگی، صداهای نام کوچک، تاریخ تولد، جنسیت و شهر تولد را رمزگذاری می‌کند. کاراکتر آخر رقم کنترل است.

تحلیل فنی Garante در سال ۲۰۲۴ نشان داد ابزارهای NLP عمومی codice fiscale را تنها ۶۷ درصد مواقع تشخیص می‌دهند. خرابی اصلی: ابزارها الگوی ۱۶ کاراکتری را تطبیق می‌دهند اما منطق رقم کنترل را نادیده می‌گیرند و سپس مثبت کاذب تولید می‌کنند.

شناسایی خوب به سه چیز نیاز دارد:

  • الگوریتم کامل کاراکتر کنترل
  • قوانین استخراج حرف نام خانوادگی و نام کوچک
  • آزمایش بر روی داده محلی واقعی

Partita IVA

partita IVA شماره VAT تجاری ۱۱ رقمی ایتالیا است. آخرین رقم رقم کنترل است. در فاکتورها، قراردادها و نامه‌های تجاری ظاهر می‌شود. ابزار شما باید الگوریتم رقم کنترل را اجرا کند، نه فقط یک الگوی ۱۱ رقمی را تطبیق دهد.

Tessera Sanitaria

کارت سلامت (tessera sanitaria) codice fiscale را به‌عنوان بخشی از کدش نگه می‌دارد. داده سلامت تحت ماده ۹ GDPR دسته خاص محسوب می‌شود که سطح تدابیر حمایتی الزامی را بالا می‌برد.

الزامات Garante برای ابزارهای هوش مصنوعی

راهنمای Garante سه حوزه را پوشش می‌دهد:

پیش از پردازش هوش مصنوعی: PII باید پیش از ورود داده به سیستم هوش مصنوعی یافت و حذف شود. برای ابزارهای هوش مصنوعی مورد استفاده در ایتالیا — از جمله افزونه‌های مرورگر و سرورهای MCP — این به معنی حذف codici fiscali، partite IVA و داده سلامت از prompt‌ها قبل از ارسال آن‌ها است.

برای آموزش هوش مصنوعی: مبنای قانونی صریح الزامی است. رضایت مبنای ترجیحی Garante برای آموزش بر محتوای کاربر است. «منافع مشروع» نیازمند یک آزمون تعادل مکتوب است که نشان می‌دهد هدف آموزش بر حقوق داده کاربران چیره نمی‌شود.

برای خروجی‌های هوش مصنوعی: سیستم‌هایی که درباره افراد واقعی محتوا می‌نویسند باید ریسک ادعاهای کذب را مدیریت کنند. Garante داده شخصی ساختگی را یک ریسک مجزا نامیده که نیاز به رفع فنی دارد.

شکاف ۶۳ درصدی سازمانی

بررسی Garante در سال ۲۰۲۴ نشان داد ۶۳ درصد از شرکت‌های ایتالیایی هیچ سیاست هوش مصنوعی همسو با GDPR ندارند. این مرجع این شکاف را به تمرکز ممیزی فعال تبدیل کرده است.

یک سیاست بدون کنترل‌های فنی دشوار است. Garante شرکت‌هایی را هدف قرار می‌دهد که برای خودکنترلی کارمندان تکیه می‌کنند. نمای کلی امنیتی ما نشان می‌دهد کنترل‌های خودکار چگونه از سیاست مکتوب پشتیبانی می‌کنند.

چهار کنترل برای انطباق با Garante

۱. فیلترینگ PII پیش از ارسال

codice fiscale، partita IVA و داده tessera sanitaria را پیش از رسیدن ورودی به هر مدل هوش مصنوعی حذف کنید. این رفع فنی اصلی است که منطق پرونده Garante می‌طلبد.

۲. NER به زبان ایتالیایی

از یک مدل تشخیص موجودیت آموزش‌دیده بر روی متن ایتالیایی استفاده کنید — برای مثال spaCy it_core_news. مدل‌های عمومی آموزش‌دیده به زبان انگلیسی الگوهای نام ایتالیایی را از دست می‌دهند.

۳. مستندسازی مبنای قانونی

برای هر ابزار هوش مصنوعی در استفاده: مبنای قانونی را مکتوب کنید. اگر آموزش درگیر است، آزمون تعادل را اضافه کنید. این را در جایی نگه دارید که ممیزان بتوانند به سرعت پیدا کنند.

۴. مسیر حسابرسی

ثبت کنید که فیلترینگ اجرا شد، چه انواع موجودیتی یافت شدند و چه چیزی حذف شد. این به بازرسان شواهد مورد نیاز را بدون بررسی دستی طولانی می‌دهد.

منابع

مقالات مرتبط

GDPR و انطباق

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR و انطباق

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR و انطباق

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

آماده‌اید داده‌های خود را محافظت کنید؟

شروع به ناشناس‌سازی PII با بیش از ۲۸۵ نوع نهاد در ۴۸ زبان.

آغاز دوره آزمایشی رایگانمشاهده ویژگی‌ها

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.