anonym.legal

By · Last updated 2026-06-05

Powrót do blogaGDPR i zgodność

Garante Włochy: Zgodność AI i PII z RODO

Włoski Garante nałożył karę 15 mln euro na OpenAI w grudniu 2024 roku i tymczasowo zablokował ChatGPT w 2023 roku. 63% włoskich firm nie posiada polityk zarządzania danymi AI zgodnych z RODO.

June 5, 20269 min czytania
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Garante Włochy: Techniczna zgodność z RODO i PII

Aktualizacja na rok 2026

Najbardziej aktywny włoski organ ochrony prywatności

Garante per la protezione dei dati personali to włoski organ ochrony danych. Jest to najbardziej aktywny unijny regulator w obszarze AI.

Jego podejście definiują dwie działania. W marcu 2023 roku Garante nakazał OpenAI zaprzestanie działania ChatGPT dla użytkowników we Włoszech. Stwierdził brak ważnej podstawy prawnej przetwarzania danych. Stwierdzono też brak weryfikacji wieku dla małoletnich. OpenAI dodał kontrole wieku, możliwość rezygnacji z treningu i informację o prywatności po włosku. Usługa wróciła w kwietniu 2023 roku.

W grudniu 2024 roku organ nałożył na OpenAI karę w wysokości 15 milionów euro. Trzy przyczyny kary: brak ważnej podstawy prawnej, brak jasnej informacji o wykorzystaniu danych do treningu oraz brak weryfikacji wieku małoletnich.

Każde narzędzie AI przetwarzające dane osobowe użytkowników we Włoszech musi spełniać te same standardy.

Co zawiodło w sprawie OpenAI

Kara 15 milionów euro wskazała konkretne luki. Każda z nich odpowiada brakującej kontroli technicznej.

Podstawa prawna danych treningowych: Garante odrzucił „uzasadniony interes” jako podstawę treningu na danych użytkowników. Trening AI na danych osobowych wymaga wyraźnej zgody lub podstawy umownej. Samo powołanie się na „uzasadniony interes” nie jest wystarczające.

Przejrzystość: Użytkownicy nie byli informowani o tym, jak ich dane były wykorzystywane do treningu. Nie posiadali jasnej możliwości rezygnacji.

Weryfikacja wieku: Małoletni mogli korzystać z ChatGPT bez żadnej weryfikacji wieku. Garante traktuje to jako bezwzględny wymóg dla konsumenckich narzędzi AI.

Kluczowa implikacja: Każdy system AI przyjmujący dane użytkowników we Włoszech musi mieć udokumentowaną podstawę prawną RODO. „Uzasadniony interes” to ryzyko wysokiego poziomu.

Włoskie krajowe identyfikatory

Włochy mają unikatowe formaty identyfikatorów. Ogólne narzędzia często je pomijają. Twój stos wykrywania musi obejmować wszystkie trzy.

Codice Fiscale

Codice fiscale to 16-znakowy krajowy identyfikator. Koduje brzmienie nazwiska, brzmienie imienia, datę urodzenia, płeć i miejscowość urodzenia. Ostatni znak to cyfra kontrolna.

Analiza techniczna Garante z 2024 roku wykazała, że ogólne narzędzia NLP wykrywają codice fiscale tylko w 67% przypadków. Główna przyczyna: narzędzia dopasowują 16-znakowy wzorzec, ale pomijają logikę cyfry kontrolnej. Generują wtedy fałszywe wyniki pozytywne. Narzędzia pomijające reguły kodowania imion i nazwisk nie mogą też weryfikować istniejących kodów.

Dobre wykrywanie wymaga trzech rzeczy:

  • Pełny algorytm znaku kontrolnego
  • Reguły ekstrakcji liter z nazwiska i imienia
  • Testowanie na rzeczywistych danych lokalnych

Partita IVA

Partita IVA to włoski 11-cyfrowy numer identyfikacji podatkowej dla firm. Ostatnia cyfra to cyfra kontrolna. Pojawia się w fakturach, umowach i pismach handlowych. Twoje narzędzie musi wykonywać algorytm cyfry kontrolnej, a nie tylko dopasowywać wzorzec 11-cyfrowy.

Tessera Sanitaria

Karta zdrowotna (tessera sanitaria) zawiera codice fiscale jako część swojego kodu. Dane zdrowotne to dane szczególnych kategorii zgodnie z art. 9 RODO. Podnosi to wymagany poziom zabezpieczeń.

Wymagania Garante wobec narzędzi AI

Wytyczne Garante obejmują trzy obszary.

Przed przetwarzaniem AI: Dane PII muszą być znalezione i usunięte zanim dane trafią do systemu AI. W przypadku narzędzi AI używanych we Włoszech — w tym rozszerzeń przeglądarki i serwerów MCP — oznacza to usuwanie codici fiscali, partite IVA i danych zdrowotnych z promptów przed ich wysłaniem. Sprawdź nasz przewodnik po zgodności, aby dowiedzieć się jak dokumentować ten krok.

Dla treningu AI: Wymagana jest wyraźna podstawa prawna. Zgoda to preferowana przez Garante podstawa dla treningu na treściach użytkowników. „Uzasadniony interes” wymaga pisemnego testu wyważenia. Test musi wykazać, że cel treningu nie nadrzęduje prawom użytkowników do danych.

Dla wyników AI: Systemy tworzące treści o prawdziwych osobach muszą uwzględniać ryzyko fałszywych twierdzeń. Garante wskazał sfabrykowane dane osobowe jako odrębne ryzyko wymagające technicznej naprawy.

Luka 63% przedsiębiorstw

Badanie Garante z 2024 roku wykazało, że 63% włoskich firm nie posiada polityki AI zgodnej z RODO. Organ uczynił tę lukę aktywnym obszarem audytów.

Polityka bez kontroli technicznych jest trudna do obrony. Garante celuje w firmy opierające się na samokontroli pracowników w zakresie korzystania z danych. Nasze omówienie bezpieczeństwa pokazuje jak zautomatyzowane kontrole wspierają pisemną politykę.

Cztery kontrole dla zgodności z Garante

1. Filtrowanie PII przed wysłaniem

Usuń codice fiscale, partita IVA i dane tessera sanitaria zanim dane wejdą do jakiegokolwiek modelu AI. To podstawowa techniczna korekta, której domaga się logika spraw Garante.

2. Włoski NER

Użyj modelu rozpoznawania nazwanych encji trenowanego na tekście włoskim. Na przykład spaCy it_core_news. Ogólne modele trenowane na angielskim pomijają włoskie wzorce nazw. Sprawdź nasz przewodnik po wielojęzycznym wykrywaniu PII w kwestii doboru modeli.

3. Dokumentacja podstawy prawnej

Dla każdego używanego narzędzia AI: zapisz podstawę prawną. Jeśli trening jest zaangażowany, dodaj test wyważenia. Przechowuj je w miejscu, gdzie audytorzy mogą je szybko znaleźć.

4. Ścieżka audytu

Rejestruj że filtrowanie zostało uruchomione, jakie typy encji zostały znalezione i co zostało usunięte. Daje to inspektorom potrzebne dowody bez żmudnego ręcznego przeglądu.

Źródła

Pokrewne artykuły

GDPR i zgodność

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i zgodność

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i zgodność

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gotowy, aby chronić swoje dane?

Rozpocznij anonimizację PII z 285+ typami podmiotów w 48 językach.

Rozpocznij bezpłatny okres próbnyZobacz funkcje

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.