O Garante italiano: IA e conformidade de dados pessoais
Atualizado para 2026
O histórico de aplicação do Garante
A autoridade italiana de proteção de dados é o Garante per la protezione dei dati personali. É o regulador de IA mais ativo da UE. Duas ações importantes definem a sua abordagem.
Março de 2023 — Proibição do ChatGPT: O Garante ordenou à OpenAI que suspendesse o ChatGPT para utilizadores em Itália. A autoridade não encontrou base jurídica válida para o tratamento de dados. Também não encontrou verificação de idade para menores. A OpenAI cumpriu. Adicionou verificações de idade, uma opção de exclusão para treino e um aviso de privacidade em italiano. O serviço foi restaurado em abril de 2023.
Dezembro de 2024 — Multa de 15 milhões de euros: O Garante multou a OpenAI em 15 milhões de euros. Três falhas causaram a multa. Primeiro: nenhuma base jurídica válida. Segundo: falta de clareza sobre o uso para treino. Terceiro: sem verificação de idade para menores.
Investigações em curso (2024–2025): A autoridade abriu investigações formais contra a Replika, a Worldcoin e várias startups de IA.
Itália é o local de maior risco na UE para a utilização de ferramentas de IA. Qualquer ferramenta que trate registos pessoais sem medidas de conformidade claras cria risco legal. Aja cedo.
O que o Garante exige
As ações de aplicação clarificam o que as organizações devem fazer ao usar ferramentas de IA.
Base jurídica: Cada ferramenta de IA precisa de uma base jurídica documentada ao abrigo do artigo 6.º do RGPD. A autoridade duvida do «interesse legítimo» para o treino de IA. O consentimento explícito ou a necessidade contratual são as bases preferidas.
Acordos de processamento de dados: Organizações que usam ferramentas de IA de terceiros como processadores devem ter APDs conformes com o RGPD. A autoridade verificou se os APDs dos fornecedores cobriam as restrições de uso de dados. Lacunas atraem escrutínio.
Controlos de entrada: O foco da autoridade no tratamento ilícito exige controlos de entrada. Filtros técnicos que removem registos pessoais antes de chegarem a um modelo de IA resolvem o problema central. Consulte o nosso guia de conformidade para os requisitos de documentação.
Verificação de idade: Sistemas de IA acessíveis a consumidores devem verificar a idade dos menores. Esta regra decorreu diretamente da proibição do ChatGPT.
Avisos claros: Os avisos de privacidade devem estar em italiano. Devem explicar como o sistema de IA usa os registos pessoais, incluindo o uso para treino.
A lacuna de 63%
Um inquérito do Garante de 2024 revelou que 63% das empresas que usam ferramentas de IA não têm políticas de uso de IA alinhadas com o RGPD. Esta lacuna cresce à medida que a autoridade expande o seu programa de IA.
Os registos de DPO aumentaram 340% após a proibição do ChatGPT. As organizações reconheceram que a utilização de IA sem DPO criava exposição legal. Mas um DPO sozinho não é suficiente. Políticas escritas sem controlos técnicos são difíceis de aplicar. A autoridade visa exatamente esta lacuna: empresas que dependem da autodisciplina dos funcionários. A nossa visão geral de proteção mostra como os controlos apoiam as políticas.
Implementação técnica
Para organizações com utilizadores em Itália, a configuração técnica alinhada com o Garante inclui o seguinte.
Filtragem PII antes da submissão: Uma extensão Chrome ou um servidor MCP situa-se entre o utilizador e o modelo de IA. Remove os registos pessoais antes de chegarem ao modelo. Sem dados pessoais na entrada não há tratamento ilícito. Esta é a solução central.
Tipos de entidades locais: As ferramentas PII padrão ignoram os tipos de ID locais. A sua ferramenta deve detetar:
- Codice fiscale — código de identificação nacional de 16 caracteres
- Partita IVA — número de empresa de 11 dígitos
- Carta d'identità — cartão de identidade nacional
- Tessera sanitaria — cartão de saúde que incorpora o codice fiscale
- Formatos IBAN italianos
O codice fiscale é o principal identificador nacional. Omiti-lo deixa uma lacuna crítica. Consulte o nosso guia de entidades para detalhes de cobertura completa. Teste com dados locais reais.
Trilha de auditoria: As inspeções do Garante solicitam prova de controlos técnicos. Um registo centralizado mostrando que a filtragem antes da submissão foi aplicada fornece as evidências necessárias.
Documentação APD: Para cada fornecedor de IA usado como processador: mantenha uma revisão APD completa. Anote as restrições de uso de dados e as condições de treino. Guarde onde seja fácil de encontrar. O nosso FAQ responde a perguntas comuns sobre APD.
Áreas de foco setorial
O Garante concentra-se em setores específicos.
Saúde: Os dados de saúde são de alto risco ao abrigo do artigo 9.º do RGPD. Qualquer ferramenta de IA que trate registos de pacientes precisa de base jurídica explícita, um APD e salvaguardas fortes. As ferramentas de diagnóstico de IA e documentação clínica requerem AIAs.
Serviços financeiros: A elaboração de perfis de consumidores usando IA tem sido alvo de escrutínio. Bancos e instituições financeiras que usam IA para crédito ou personalização devem realizar AIAs e implementar controlos de explicabilidade.
RH: Ferramentas de IA para recrutamento, avaliações e monitorização do pessoal requerem AIAs. O Garante emitiu orientações específicas sobre monitorização de funcionários em 2023.
Educação: As ferramentas de IA nas escolas têm requisitos adicionais ao abrigo das orientações do Garante 2024 sobre dados de alunos.
As organizações nestes setores precisam de documentação específica do setor. Leia os nossos casos de estudo para saber como os pares lidam com a conformidade. A perspetiva do nosso fundador está na nossa declaração do fundador. Os nossos planos e tarifas cobrem todos os setores.