anonym.legal

By · Last updated 2026-06-05

Kembali ke BlogGDPR & Pematuhan

Garante Itali: Pematuhan AI dan PII

Garante Itali mendenda OpenAI sebanyak 15 juta euro pada Disember 2024 dan melarang ChatGPT buat sementara waktu pada 2023. 63% firma Itali kekurangan dasar tadbir urus data AI.

June 5, 20269 min baca
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Garante Itali: Pematuhan GDPR dan PII Teknikal

Dikemas kini untuk 2026

Pengawal Selia Privasi Paling Aktif Itali

Garante per la protezione dei dati personali adalah pihak berkuasa data Itali. Ia adalah pengawal selia AI paling aktif di EU.

Dua tindakan mentakrifkan pendekatannya. Pada Mac 2023, Garante memberitahu OpenAI untuk menghentikan ChatGPT untuk pengguna di Itali. Ia mendapati tiada asas undang-undang yang sah untuk penggunaan data. Ia juga mendapati tiada semakan umur untuk kanak-kanak. OpenAI menambah kawalan umur, pilihan opt-out latihan, dan notis privasi dalam bahasa Itali. Perkhidmatan kembali pada April 2023.

Pada Disember 2024, pihak berkuasa mendenda OpenAI sebanyak 15 juta euro. Tiga perkara menyebabkan denda: tiada asas undang-undang yang sah, tiada notis yang jelas tentang penggunaan latihan, dan tiada semakan umur untuk kanak-kanak.

Mana-mana alat AI yang mengendalikan data peribadi daripada pengguna di Itali mesti memenuhi piawaian yang sama.

Apa yang Gagal dalam Kes OpenAI

Denda 15 juta euro menyebut jurang tertentu. Setiap satu memetakan kepada kawalan teknikal yang hilang.

Asas undang-undang data latihan: Garante menolak "kepentingan yang sah" sebagai asas untuk latihan pada data pengguna. Latihan AI pada data peribadi memerlukan persetujuan eksplisit atau asas kontrak. Dakwaan "kepentingan yang sah" sahaja tidak lulus.

Ketelusan: Pengguna tidak diberitahu cara data mereka digunakan untuk latihan. Mereka tidak mempunyai pilihan opt-out yang jelas.

Pengesahan umur: Kanak-kanak boleh mengakses ChatGPT tanpa semakan umur. Garante menganggap ini sebagai peraturan keras untuk alat AI pengguna.

Implikasi utama: Mana-mana sistem AI yang menerima input pengguna di Itali mesti mempunyai asas undang-undang GDPR yang didokumentasikan. "Kepentingan yang sah" adalah berisiko tinggi.

Pengecam Kebangsaan Itali

Itali mempunyai format ID yang unik. Alat generik sering terlepas. Timbunan pengesanan anda mesti meliputi ketiga-tiganya.

Codice Fiscale

Codeice fiscale adalah ID kebangsaan 16 aksara. Ia mengekod bunyi nama keluarga, bunyi nama diri, tarikh lahir, jantina, dan bandar lahir. Aksara terakhir adalah digit semak.

Analisis teknikal Garante dari 2024 mendapati bahawa alat NLP generik menangkap codice fiscale hanya 67% daripada masa. Kegagalan utama: alat memadankan corak 16 aksara tetapi melangkau logik digit semak. Mereka kemudian menghasilkan positif palsu. Alat yang melangkau peraturan pengekodan nama juga tidak dapat mengesahkan kod sedia ada.

Pengesanan yang baik memerlukan tiga perkara:

  • Algoritma aksara semak penuh
  • Peraturan pengekstrakan huruf nama keluarga dan nama diri
  • Pengujian terhadap data tempatan sebenar

Partita IVA

Partita IVA adalah nombor VAT perniagaan Itali 11 digit. Digit terakhir adalah digit semak. Ia muncul dalam invois, kontrak, dan surat perniagaan. Alat anda mesti menjalankan algoritma digit semak, bukan sekadar memadankan corak 11 digit.

Tessera Sanitaria

Kad kesihatan (tessera sanitaria) menyimpan codice fiscale sebagai sebahagian daripada kodnya. Data kesihatan adalah kategori khas di bawah Artikel 9 GDPR. Itu meningkatkan tahap perlindungan yang diperlukan.

Keperluan Garante untuk Alat AI

Panduan Garante meliputi tiga kawasan.

Sebelum pemprosesan AI: PII mesti dijumpai dan dikeluarkan sebelum data memasuki sistem AI. Untuk alat AI yang digunakan di Itali — termasuk sambungan pelayar dan pelayan MCP — ini bermakna mengeluarkan codici fiscali, partite IVA, dan data kesihatan daripada arahan sebelum ia dihantar. Lihat panduan pematuhan kami untuk cara merekod langkah ini.

Untuk latihan AI: Asas undang-undang eksplisit diperlukan. Persetujuan adalah asas pilihan Garante untuk latihan pada kandungan pengguna. "Kepentingan yang sah" memerlukan ujian pengimbangan bertulis. Ujian itu mesti menunjukkan matlamat latihan tidak mengatasi hak data pengguna.

Untuk output AI: Sistem yang menulis kandungan tentang orang sebenar mesti menangani risiko dakwaan palsu. Garante telah menyebut data peribadi yang direka sebagai risiko tersendiri yang memerlukan penyelesaian teknikal.

Jurang Perusahaan 63%

Tinjauan Garante 2024 mendapati bahawa 63% firma Itali tidak mempunyai dasar AI yang sejajar dengan GDPR. Pihak berkuasa telah menjadikan jurang ini sebagai fokus audit aktif.

Dasar tanpa kawalan teknikal sukar untuk dipertahankan. Garante menyasarkan firma yang bergantung pada kakitangan untuk mengendalikan penggunaan data secara sendiri. Gambaran keselamatan kami menunjukkan cara kawalan automatik menyokong dasar bertulis.

Empat Kawalan untuk Pematuhan Garante

1. Penapisan PII pra-penyerahan

Keluarkan codice fiscale, partita IVA, dan data tessera sanitaria sebelum input mencapai mana-mana model AI. Ini adalah penyelesaian teknikal utama yang dituntut oleh logik kes Garante.

2. NER berbahasa Itali

Gunakan model entiti bernama yang dilatih pada teks Itali. Contohnya, spaCy it_core_news. Model yang dilatih dalam bahasa Inggeris generik terlepas corak nama Itali. Lihat panduan pengesanan PII berbilang bahasa kami untuk pemilihan model.

3. Dokumentasi asas undang-undang

Untuk setiap alat AI yang digunakan: tuliskan asas undang-undang. Jika latihan terlibat, tambahkan ujian pengimbangan. Simpannya di mana juruaudit boleh menemuinya dengan cepat.

4. Jejak audit

Log bahawa penapisan dijalankan, jenis entiti yang ditemui, dan apa yang dikeluarkan. Ini memberikan pemeriksa bukti yang mereka perlukan tanpa semakan manual yang panjang.

Sumber

Artikel Berkaitan

GDPR & Pematuhan

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Pematuhan

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Pematuhan

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Sedia untuk melindungi data anda?

Mulakan pengenalan PII dengan 285+ jenis entiti dalam 48 bahasa.

Mulakan Percubaan PercumaLihat Ciri-ciri

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.