anonym.legal

By · Last updated 2026-06-05

Torna al BlogGDPR e Conformità

Garante Italia: Guida alla Conformità IA e PII

Il Garante italiano ha multato OpenAI con €15M nel dicembre 2024 e ha temporaneamente vietato ChatGPT nel 2023. Ecco cosa richiede il più attivo regolatore europeo sull'IA.

June 5, 20267 min di lettura
Garante ItalyItalian GDPRChatGPT banAI compliance ItalyOpenAI fine

Il Garante italiano: conformità IA e dati personali

Aggiornato al 2026

Il record di enforcement del Garante sull'IA

L'autorità italiana di protezione dei dati è il Garante. È il regolatore IA più attivo dell'UE. Due grandi interventi definiscono il suo approccio.

Marzo 2023 — Blocco di ChatGPT: Il Garante ha ordinato a OpenAI di sospendere ChatGPT per gli utenti in Italia. Ha riscontrato l'assenza di una base giuridica valida per il trattamento dei dati e di un controllo dell'età per i minori. OpenAI ha introdotto controlli sull'età, un'opzione di opt-out per l'addestramento e un'informativa sulla privacy in italiano. Il servizio è stato ripristinato nell'aprile 2023.

Dicembre 2024 — Multa da €15 milioni: Il Garante ha sanzionato OpenAI con €15 milioni. Tre violazioni hanno determinato la sanzione: assenza di una base giuridica valida, scarsa chiarezza sull'uso dei dati per l'addestramento e mancanza di controlli per i minori.

Indagini aperte (2024–2025): L'autorità ha avviato procedimenti contro Replika, Worldcoin e alcune startup del settore IA.

L'Italia è il paese europeo a più alto rischio per l'utilizzo di strumenti di IA. Qualsiasi strumento che tratta dati personali senza adeguate misure di conformità crea un rischio legale concreto. È opportuno intervenire per tempo.

I requisiti del Garante

I provvedimenti di enforcement chiariscono gli adempimenti richiesti alle organizzazioni che utilizzano strumenti di IA.

Base giuridica: Ogni strumento di IA deve avere una base giuridica documentata ai sensi dell'Articolo 6 del GDPR. L'autorità contesta l'"interesse legittimo" come fondamento per l'addestramento di IA. Il consenso esplicito o la necessità contrattuale sono le basi preferite.

Accordi sul trattamento dei dati: Le aziende che utilizzano strumenti di IA di terze parti come responsabili del trattamento devono disporre di DPA conformi al GDPR. L'autorità ha verificato se i DPA dei fornitori coprivano le limitazioni d'uso dei dati. Le lacune in questo ambito attirano l'attenzione del Garante.

Controlli sugli input: La posizione dell'autorità sul trattamento illecito impone controlli tecnici sugli input. I filtri tecnici che eliminano i dati personali prima che raggiungano un modello di IA risolvono il problema alla radice. Consulta la nostra guida alla conformità per sapere cosa documentare.

Controllo dell'età: I sistemi di IA aperti ai consumatori devono verificare l'età degli utenti minorenni. Questo requisito è emerso a seguito del blocco di ChatGPT.

Informative chiare: Le informative sulla privacy devono essere in italiano e spiegare come il sistema di IA utilizza i dati personali, incluso l'uso per l'addestramento.

Il gap del 63% nelle imprese

Una ricerca del Garante del 2024 ha rilevato che il 63% delle aziende non dispone di policy sull'uso dell'IA allineate al GDPR. Questo divario si amplia man mano che l'autorità estende il suo programma sull'IA.

Le iscrizioni ai ruoli di DPO sono aumentate del 340% dopo il blocco di ChatGPT. Le aziende hanno compreso che l'uso dell'IA senza un DPO creava rischi legali. Ma un DPO da solo non basta. Una policy scritta senza controlli tecnici è difficile da far rispettare. Il Garante punta proprio su questo gap: le aziende che si affidano all'autocontrollo dei dipendenti. La nostra panoramica sulla protezione illustra come i controlli tecnici supportino le policy.

Configurazione tecnica per la conformità

Per le aziende con utenti in Italia, la configurazione allineata alle richieste del Garante prevede quanto segue.

Filtraggio PII pre-invio: Un'estensione Chrome o un server MCP si inserisce tra l'utente e il modello di IA, eliminando i dati personali prima che raggiungano il modello. Nessun dato personale in ingresso significa nessun trattamento illecito. Questa è la soluzione principale.

Tipi di entità specifici per l'Italia: Gli strumenti PII standard non riconoscono i tipi di identificativo nazionali. Lo strumento deve essere in grado di rilevare:

  • Codice fiscale — codice alfanumerico di 16 caratteri
  • Partita IVA — numero a 11 cifre per le imprese
  • Carta d'identità — documento di identità nazionale
  • Tessera sanitaria — contiene il codice fiscale
  • Formati IBAN italiani

Il codice fiscale è il principale identificativo nazionale. Non rilevarlo costituisce una lacuna significativa. Consulta la nostra guida alle entità per la copertura completa. Esegui test su dati locali reali.

Registro delle attività: Le ispezioni del Garante richiedono prove dei controlli tecnici adottati. Un log centralizzato che attesti l'esecuzione del filtraggio pre-invio fornisce agli ispettori le evidenze necessarie.

Documenti DPA: Per ciascun fornitore di IA: conserva un DPA verificato, annotando i limiti d'uso dei dati e le condizioni di addestramento. Tieni questi documenti in un luogo facilmente accessibile. Consulta le nostre FAQ per le domande più comuni sui DPA.

Settori di particolare attenzione

Il Garante si concentra su settori specifici.

Sanitario: I dati sanitari rientrano nella categoria speciale ai sensi dell'Articolo 9 del GDPR. Qualsiasi strumento di IA che tratta dati di pazienti richiede una base giuridica esplicita, un DPA e misure di protezione robuste. Gli strumenti di IA diagnostica e clinica richiedono DPIA.

Finanziario: La profilazione dei consumatori tramite IA ha attirato l'attenzione del Garante. Banche e istituti finanziari che utilizzano l'IA per il credito o il marketing devono effettuare DPIA e introdurre meccanismi di spiegabilità.

HR: Gli strumenti di IA per le assunzioni, le valutazioni e il monitoraggio del personale richiedono DPIA. Il Garante ha pubblicato linee guida sul monitoraggio dei dipendenti nel 2023.

Istruzione: Gli strumenti di IA scolastici sono soggetti a regole aggiuntive in base alle linee guida del Garante del 2024 sui dati degli studenti.

Le aziende operanti in questi settori devono predisporre documentazione specifica aggiuntiva rispetto ai requisiti di base. Consulta i nostri casi di studio per vedere come le aziende del settore gestiscono la conformità. La prospettiva del nostro fondatore sulla costruzione di prodotti per mercati regolamentati è disponibile alla pagina della dichiarazione del fondatore. I nostri piani e tariffe coprono tutti i settori e le dimensioni aziendali.

Fonti

Articoli Correlati

GDPR e Conformità

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR e Conformità

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR e Conformità

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto a proteggere i tuoi dati?

Inizia ad anonimizzare i PII con oltre 285 tipi di entità in 48 lingue.

Inizia Prova GratuitaVisualizza Funzionalità

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.