O Registro de Aplicação da IA do Garante
O Garante per la protezione dei dati personali (Garante) da Itália se estabeleceu como o regulador de IA mais agressivo da UE por meio de uma sequência de ações de aplicação de precedentes:
Março de 2023 — Proibição temporária do ChatGPT: O Garante ordenou à OpenAI que suspendesse temporariamente o serviço do ChatGPT para usuários italianos, constatando que a OpenAI não tinha base legal suficiente para processar os dados dos usuários italianos e não possuía um mecanismo de verificação de idade. A OpenAI implementou as mudanças solicitadas (verificação de idade, aviso de privacidade em italiano, mecanismo de opt-out para uso de dados em treinamento) e o serviço foi restaurado em abril de 2023.
Dezembro de 2024 — Multa de €15M contra a OpenAI: O Garante emitiu uma multa formal de €15M contra a OpenAI por processamento ilegal de dados pessoais de usuários italianos. O aviso de aplicação citou: ausência de base legal adequada, falta de transparência sobre como os dados dos usuários foram utilizados no treinamento e falha em implementar verificação de idade para menores.
Investigações em andamento (2024-2025): O Garante iniciou investigações formais contra vários fornecedores de IA que operam na Itália, incluindo Replika (companheiro de IA), Worldcoin (dados biométricos) e várias startups de IA generativa.
O padrão estabelece a Itália como a jurisdição de maior risco da UE para implantações de ferramentas de IA sem medidas de conformidade documentadas.
O Que o Garante Exige dos Usuários de Ferramentas de IA
As ações de aplicação do Garante esclareceram o que as organizações italianas devem fazer ao utilizar ferramentas de IA que processam dados pessoais:
Documentação da base legal: Cada ferramenta de IA que processa dados pessoais de usuários italianos requer uma base legal documentada sob o Artigo 6 do GDPR. O Garante tem sido cético em relação às alegações de "interesse legítimo" para o uso de dados de treinamento de IA — consentimento explícito ou necessidade contratual são bases preferidas.
Acordos de Processamento de Dados: Organizações italianas que utilizam ferramentas de IA de terceiros como processadores de dados devem ter Acordos de Processamento de Dados em conformidade com o GDPR. O Garante revisou especificamente se os DPAs dos fornecedores de IA cobriam adequadamente as restrições de uso de dados.
Controles de dados de entrada: O foco do Garante na aplicação de "processamento ilegal" dos dados dos usuários italianos gerou a exigência de que as organizações controlem quais dados pessoais entram nos sistemas de IA. Controles técnicos que impedem que os dados pessoais dos usuários italianos entrem nos sistemas de IA sem a base legal apropriada satisfazem a preocupação substancial do Garante.
Verificação de idade para sistemas de IA com acesso ao consumidor: Após a proibição do ChatGPT, o Garante exige que os sistemas de IA acessíveis aos consumidores italianos implementem verificação de idade para menores.
Transparência: Avisos de privacidade em italiano que expliquem claramente como os sistemas de IA utilizam dados pessoais, incluindo qualquer uso para fins de treinamento.
A Lacuna de 63% nas Empresas Italianas
Uma pesquisa do Garante de 2024 descobriu que 63% das empresas italianas que utilizam ferramentas de IA não possuem políticas de uso de IA em conformidade com o GDPR. Essa lacuna cria um risco substancial de aplicação à medida que o Garante expande seu programa de aplicação de IA.
As inscrições de DPO na Itália aumentaram 340% após a proibição do ChatGPT — um aumento impulsionado por organizações que reconhecem que a implantação de IA sem a participação do DPO estava criando uma exposição legal significativa. No entanto, ter um DPO não é suficiente sem controles técnicos que façam as políticas do DPO serem aplicáveis.
A lacuna entre a política de DPO e a falta de controles técnicos é exatamente o que a aplicação do Garante visa: organizações que têm políticas de IA escritas, mas dependem de funcionários para se auto-policiar em conformidade, em vez de implementar medidas técnicas que tornem a política aplicável.
Implementação Técnica para Conformidade com o Garante
Para organizações italianas ou organizações com usuários italianos, a pilha técnica em conformidade com o Garante para uso de IA inclui:
Filtragem de PII pré-envio de IA: A extensão do Chrome ou a integração do servidor MCP cria uma camada técnica que intercepta a submissão de prompts de IA e remove dados pessoais italianos antes que cheguem ao modelo de IA. Isso satisfaz a preocupação central do Garante sobre "processamento ilegal de dados de usuários italianos" — se os PII italianos forem removidos antes da submissão, os dados pessoais italianos não alcançam o sistema de IA.
Tipos de entidades específicas da Itália: A detecção de PII italiana deve cobrir:
- Codice fiscale (código fiscal italiano — ID nacional alfanumérico de 16 caracteres)
- Partita IVA (número de IVA italiano — identificador de negócios de 11 dígitos)
- Carta d'identità (cartão de identidade nacional italiano)
- Tessera sanitaria (cartão de saúde italiano, incorporando o codice fiscale)
- Formatos de IBAN italianos
Ferramentas padrão de PII sem tipos de entidades italianas perdem o codice fiscale — o principal identificador nacional italiano — e outros identificadores específicos da jurisdição.
Rastro de auditoria para demonstração regulatória: Os pedidos de inspeção do Garante geralmente exigem a demonstração de que o uso de IA foi acompanhado por controles técnicos apropriados. Um rastro de auditoria centralizado que mostre que a filtragem de PII pré-submissão foi aplicada aos dados de usuários italianos fornece a evidência para essa demonstração.
Documentação de DPA: Para ferramentas de IA usadas como processadores de dados: um documento de revisão de DPA completo para cada fornecedor de IA, incluindo avaliação das disposições de uso de dados de treinamento.
Áreas de Foco Específicas do Setor do Garante
O programa de aplicação do Garante tem focos específicos por setor:
Saúde: O Garante trata os dados de saúde italianos como de alto risco sob o Artigo 9 do GDPR. Qualquer ferramenta de IA que processe dados de pacientes italianos requer base legal explícita, DPA e medidas técnicas aprimoradas. O Garante destacou especificamente ferramentas de diagnóstico de IA e IA de documentação clínica como exigindo DPIAs.
Serviços financeiros: O perfilamento de consumidores usando IA recebeu escrutínio do Garante. Bancos e instituições financeiras italianas que utilizam IA para decisões de crédito ou personalização de marketing devem conduzir DPIAs e implementar controles de explicabilidade.
RH e emprego: Ferramentas de IA para recrutamento, avaliação de desempenho e monitoramento de funcionários exigem DPIAs sob a legislação italiana e a orientação do Garante sobre monitoramento de funcionários (Provvedimento 2023).
Educação: Ferramentas de IA em ambientes educacionais italianos têm requisitos adicionais seguindo a orientação do Garante sobre proteção de dados de estudantes (2024).
Para organizações nesses setores, a conformidade com o Garante para implantações de IA requer documentação específica do setor além dos requisitos gerais.
Fontes: