Garante per la protezione dei dati personali (Garante) i Italia er EUs mest aggressive personvernsregulator for AI. I mars 2023 ble Garante den første databeskyttelsesmyndigheten globalt som midlertidig forbød ChatGPT fra Italia — noe som tvang OpenAI til å implementere eksplisitte aldersverifiserings- og transparensmål før tjenesten ble gjenopprettet. I desember 2024 ilagte Garante OpenAI en bot på €15 millioner for ulovlig behandling av italienske brukeres data.
For organisasjoner som bruker AI-verktøy i Italia — eller som implementerer AI-systemer som kan behandle italienske personopplysninger — setter Garante sitt håndhevelsesmønster de mest krevende tekniske forventningene i EU.
OpenAI/ChatGPT-saken: Hva Garante fant
Garante sin bot på €15 millioner mot OpenAI i desember 2024 var basert på flere brudd:
Feil ved aldersverifisering: ChatGPT var tilgjengelig for italienske mindreårige uten tilstrekkelig aldersverifisering. Garante fant at OpenAI ikke hadde implementert rimelige tiltak for å forhindre bruk av personer under 13 år.
Ulovlig behandling av treningsdata: Garante fant at OpenAIs bruk av italienske brukerdata for å trene ChatGPT 3.5/4 manglet tilstrekkelig juridisk grunnlag. Påstanden om "legitim interesse" ble avvist — Garante fant at bruk av personopplysninger for å trene kommersielle AI-modeller krever enten samtykke eller et klarere juridisk grunnlag enn det LLM-treningsleverandører vanligvis påberoper seg.
Manglende transparens: OpenAI informerte ikke tilstrekkelig italienske brukere om hvordan dataene deres ble brukt til trening, eller ga tilgjengelige mekanismer for å melde seg ut.
Praktiske implikasjoner: Ethvert AI-system som behandler italienske personopplysninger — enten det er trening, finjustering eller inferens på italienske brukerinnspill — må ha et dokumentert GDPR-juridisk grunnlag under Garante-standardene som går utover enkle "legitim interesse"-påstander. Samtykke eller spesifikk kontraktsoppfyllelse er vanligvis nødvendig.
Italienske nasjonale identifikatorer
Codice fiscale: Italias 16-tegn alfanumeriske skattenummer — en av de mest informasjonrike nasjonale identifikatorene i EU. Struktur:
- Tegn 1-3: Konsonanter fra etternavn (spesifikke utvinningsregler)
- Tegn 4-6: Konsonanter og vokaler fra fornavn (spesifikke utvinningsregler)
- Tegn 7-8: De to siste sifrene av fødselsåret
- Tegn 9: Bokstav som representerer fødselsmåned (A=januar, B=februar, C=mars, D=april, E=mai, H=juni, L=juli, M=august, P=september, R=oktober, S=november, T=desember)
- Tegn 10-11: Fødselsdag (menn: dagnummer; kvinner: dag + 40)
- Tegn 12-15: Belfiore-kode (4 tegn) for fødested eller land
- Tegn 16: Kontrolltegn (bokstav, beregnet ved hjelp av spesifikk algoritme)
Codice fiscale koder innledende lyder fra etternavn, innledende lyder fra fornavn, fødselsdato, kjønn (via fødselsdagkoding) og fødested. Det er kanskje EUs mest personlig identifiserende nasjonale identifikator etter informasjonsinnhold.
Deteksjonsnøyaktighet: Generiske NLP-verktøy oppdager codice fiscale med bare 67% nøyaktighet (Garante 2024 teknisk analyse). Feilene: verktøy som matcher 16-tegn alfanumeriske mønstre uten å implementere kontrolltegnalgoritmen kan ikke skille gyldige codici fiscali fra falske positiver; verktøy som ikke implementerer reglene for utvinning av etternavn/fornavn kan ikke validere eksisterende numre.
Partita IVA: Italias 11-sifrede næringsmomssnummer, med et kontrollsiffer beregnet ved hjelp av en vektet sum modulus-10-algoritme. Det siste sifferet er kontrollsifferet. Partita IVA vises i alle italienske kommersielle dokumenter — fakturaer, kontrakter og forretningskorrespondanse.
Tessera sanitaria: Italias helsekort — kombinerer codice fiscale med tilleggsdata spesifik for helse. Formatet inkluderer codice fiscale som en komponent.
Garante's krav til AI-verktøy
Garante's veiledning om "tekniske og organisatoriske tiltak" for AI-systemer som behandler italienske personopplysninger:
Før AI-behandling: PII må identifiseres og enten fjernes eller pseudonymiseres før input til AI-systemer. Garante's Chrome Extension/AI-integrasjonskontekst: ethvert AI-verktøy som mottar italienske personopplysninger (navn, codici fiscali, helsedata) i forespørslene må ha disse identifikatorene fjernet før overføring.
For AI-trening: Eksplisitt dokumentert juridisk grunnlag er påkrevd. Samtykke er Garante's foretrukne grunnlag for trening på italiensk bruker-generert innhold. "Legitim interesse" krever en dokumentert balanseringstest som viser at treningsformålet ikke overstyrer italienske brukeres databeskyttelsesinteresser.
For AI-utdata: Systemer som genererer utdata om italienske individer må implementere sikkerhetstiltak mot hallusinasjon av personopplysninger (generering av falsk informasjon tilskrevet virkelige individer) — Garante har flagget dette som en spesifikk risiko som krever teknisk avbøtning.
63% av italienske virksomheter mangler GDPR-kompatible AI-datastyringspolitikker (Garante 2024). For organisasjoner som implementerer AI-verktøy i Italia: codice fiscale og partita IVA deteksjon med full validering av kontrolltegn, italienskspråklig NER (spaCy it_core_news), og dokumentert GDPR-juridisk grunnlag for all AI-trening på italienske personopplysninger er minimumskravene for Garante-overholdelse.
Kilder: