anonym.legal

By · Last updated 2026-06-05

חזרה לבלוגGDPR ועמידה

Garante איטליה: עמידה ב-AI ו-PII

ה-Garante האיטלקי קנס את OpenAI €15 מיליון בדצמבר 2024 ואסר זמנית על ChatGPT ב-2023. 63% מהחברות האיטלקיות חסרות מדיניות ממשל נתוני AI.

June 5, 20269 דקות קריאה
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Garante איטליה: עמידה ב-GDPR ו-PII טכני

עודכן ל-2026

הרגולטור הפעיל ביותר לפרטיות באיטליה

ה-Garante per la protezione dei dati personali הוא הרשות לנתונים של איטליה. הוא הרגולטור AI הפעיל ביותר באיחוד האירופי.

שתי פעולות מגדירות את גישתו. במרץ 2023, ה-Garante אמר ל-OpenAI לעצור את ChatGPT למשתמשים באיטליה. הוא מצא אין בסיס משפטי תקף לשימוש בנתונים. הוא גם מצא אין בדיקת גיל לקטינים. OpenAI הוסיפה בקרות גיל, אפשרות ביטול אימון והודעת פרטיות באיטלקית. השירות חזר באפריל 2023.

בדצמבר 2024, הרשות קנסה את OpenAI €15 מיליון. שלושה דברים גרמו לקנס: אין בסיס משפטי תקף, אין הודעה ברורה על שימוש לאימון ואין בדיקת גיל לקטינים.

כל כלי AI שמטפל בנתונים אישיים ממשתמשים באיטליה חייב לעמוד באותם סטנדרטים.

מה נכשל במקרה OpenAI

הקנס בסך €15 מיליון מנה פערים ספציפיים. כל אחד ממפה לבקרה טכנית חסרה.

בסיס משפטי לנתוני אימון: ה-Garante דחה "אינטרס לגיטימי" כבסיס לאימון על נתוני משתמשים. אימון AI על נתונים אישיים דורש הסכמה מפורשת או בסיס חוזי. טענת "אינטרס לגיטימי" בלבד אינה עוברת.

שקיפות: המשתמשים לא נאמר להם כיצד הנתונים שלהם שימשו לאימון. לא היה להם אפשרות ביטול ברורה.

אימות גיל: קטינים יכלו לגשת ל-ChatGPT ללא בדיקת גיל. ה-Garante מתייחס לכך ככלל קשיח לכלי AI צרכני.

השלכה מרכזית: כל מערכת AI שמקבלת קלט משתמשים באיטליה חייבת להיות בעלת בסיס GDPR משפטי מתועד. "אינטרס לגיטימי" כרוך בסיכון גבוה.

מזהים לאומיים איטלקיים

לאיטליה יש פורמטי מזהה ייחודיים. כלים גנריים לעיתים קרובות מחמיצים אותם. מחסנית הזיהוי שלכם חייבת לכסות את שלושתם.

Codice Fiscale

ה-codice fiscale הוא תעודת זהות לאומית בת 16 תווים. הוא מקדד צלילי שם משפחה, צלילי שם פרטי, תאריך לידה, מגדר ועיר לידה. התו האחרון הוא ספרת ביקורת.

ניתוח טכני של ה-Garante מ-2024 מצא שכלי NLP גנריים תופסים את ה-codice fiscale ב-67% מהמקרים בלבד. הכשל העיקרי: כלים מתאימים את תבנית 16 התווים אך מדלגים על לוגיקת ספרת הביקורת. לאחר מכן הם מייצרים חיוביים שגויים. כלים שמדלגים על כללי חילוץ אותיות השם גם אינם יכולים לאמת קודים קיימים.

זיהוי טוב דורש שלושה דברים:

  • אלגוריתם תו ביקורת מלא
  • כללי חילוץ אותיות שם משפחה ושם פרטי
  • בדיקה מול נתונים מקומיים אמיתיים

Partita IVA

ה-partita IVA הוא מספר מע"מ עסקי איטלקי בן 11 ספרות. הספרה האחרונה היא ספרת ביקורת. מופיע בחשבוניות, חוזים ומכתבים עסקיים. הכלי שלכם חייב להפעיל את אלגוריתם ספרת הביקורת, לא רק להתאים תבנית בת 11 ספרות.

Tessera Sanitaria

כרטיס הבריאות (tessera sanitaria) מכיל את ה-codice fiscale כחלק מהקוד שלו. נתוני בריאות הם מיוחדי קטגוריה לפי סעיף 9 של GDPR. זה מעלה את רמת ההגנה הנדרשת.

דרישות ה-Garante לכלי AI

הנחיית ה-Garante מכסה שלושה תחומים.

לפני עיבוד AI: PII חייב להימצא ולהוסר לפני שנתונים נכנסים למערכת AI. לכלי AI המשמשים באיטליה — כולל הרחבות דפדפן ושרתי MCP — זה אומר הסרת codici fiscali, partite IVA ונתוני בריאות מהנחיות לפני שליחתן. ראו את מדריך העמידה שלנו לאופן תיעוד שלב זה.

לאימון AI: נדרש בסיס משפטי מפורש. הסכמה היא הבסיס המועדף של ה-Garante לאימון על תוכן משתמשים. "אינטרס לגיטימי" מחייב מבחן איזון כתוב. מבחן זה חייב להראות שמטרת האימון אינה גוברת על זכויות הנתונים של המשתמשים.

לפלטי AI: מערכות שכותבות תוכן על אנשים אמיתיים חייבות לטפל בסיכון של טענות כוזבות. ה-Garante כינה נתונים אישיים מבודים כסיכון מובחן הדורש פתרון טכני.

פער ה-63% בארגונים

סקר ה-Garante מ-2024 מצא ש-63% מהחברות האיטלקיות אין להן מדיניות AI מותאמת GDPR. הרשות הפכה פער זה למוקד ביקורת פעיל.

מדיניות ללא בקרות טכניות קשה להגנה. ה-Garante מכוון לחברות המסתמכות על עובדים לפיקוח עצמי על שימוש בנתונים. סקירת האבטחה שלנו מראה כיצד בקרות אוטומטיות תומכות במדיניות כתובה.

ארבע בקרות לעמידת Garante

1. סינון PII לפני הגשה

הסירו codice fiscale, partita IVA ונתוני tessera sanitaria לפני שהקלט מגיע לכל מודל AI. זוהי התיקון הטכני המרכזי שלוגיקת מקרה ה-Garante דורשת.

2. NER באיטלקית

השתמשו במודל ישויות שמות שאומן על טקסט איטלקי. לדוגמה, spaCy it_core_news. מודלים גנריים שאומנו על אנגלית מחמיצים תבניות שמות איטלקיים. ראו את מדריך זיהוי PII הרב-לשוני שלנו לבחירת מודלים.

3. תיעוד הבסיס המשפטי

לכל כלי AI בשימוש: כתבו את הבסיס המשפטי. אם עיבוד מעורב, הוסיפו את מבחן האיזון. אחסנו אלה במקום שמבקרים יכולים למצוא במהירות.

4. נתיב ביקורת

רשמו שסינון פעל, אילו סוגי ישויות נמצאו ומה הוסר. זה מספק למפקחים את הראיות שהם צריכים ללא סקירה ידנית ממושכת.

מקורות

מאמרים קשורים

GDPR ועמידה

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR ועמידה

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR ועמידה

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

מוכן להגן על הנתונים שלך?

התחל לאנונימיזציה של PII עם 285+ סוגי ישויות ב-48 שפות.

התחל ניסיון חינםצפה בתכונות

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.