Garante Itália: Conformidade técnica com o RGPD e dados pessoais
Atualizado para 2026
O regulador de privacidade mais ativo da Itália
O Garante per la protezione dei dati personali é a autoridade de proteção de dados da Itália. É o regulador de IA mais ativo da UE.
Duas ações definem a sua abordagem. Em março de 2023, o Garante ordenou à OpenAI que suspendesse o ChatGPT para utilizadores em Itália. A autoridade não encontrou base legal válida para o uso dos dados. Também não havia verificação de idade para menores. A OpenAI introduziu controlos de idade, uma opção de exclusão do treino e um aviso de privacidade em italiano. O serviço foi retomado em abril de 2023.
Em dezembro de 2024, a autoridade aplicou uma coima de 15 milhões de euros à OpenAI. Três infrações motivaram a sanção: nenhuma base legal válida, falta de clareza sobre a utilização dos dados para treino e ausência de verificação de idade para menores.
Qualquer ferramenta de IA que processe dados pessoais de utilizadores em Itália deve cumprir os mesmos requisitos.
O que falhou no caso OpenAI
A coima de 15 milhões de euros identificou falhas concretas. Cada uma corresponde a um controlo técnico ausente.
Base legal para dados de treino: O Garante rejeitou o "interesse legítimo" como base legal para treino com dados de utilizadores. O treino de IA com dados pessoais requer consentimento explícito ou base contratual. O "interesse legítimo" por si só não é suficiente.
Transparência: Os utilizadores não foram informados de como os seus dados eram usados para treino. Não existia mecanismo de exclusão claro.
Verificação de idade: Os menores podiam aceder ao ChatGPT sem qualquer controlo de idade. O Garante trata este ponto como um requisito obrigatório para ferramentas de IA ao consumidor.
Implicação principal: Qualquer sistema de IA que receba entradas de utilizadores em Itália deve ter uma base legal RGPD documentada. O "interesse legítimo" é um risco elevado.
Identificadores nacionais italianos
Itália usa formatos de identificadores únicos. As ferramentas genéricas costumam não os detetar. O seu sistema de deteção deve cobrir os três tipos.
Codice Fiscale
O codice fiscale é um identificador nacional alfanumérico de 16 caracteres. Codifica os sons do apelido, as iniciais do nome próprio, a data de nascimento, o sexo e o município de nascimento. O último carácter é um dígito de controlo.
Uma análise técnica do Garante de 2024 revelou que ferramentas NLP genéricas detetam o codice fiscale em apenas 67 % dos casos. O problema principal: ferramentas que reconhecem o padrão de 16 caracteres mas ignoram a lógica do dígito de controlo geram falsos positivos. As que não implementam as regras de extração de nomes também não conseguem validar códigos existentes.
Uma boa deteção requer três coisas:
- Implementação completa do algoritmo do carácter de controlo
- Regras de extração para apelido e nome próprio
- Testes com dados locais reais
Partita IVA
A partita IVA é o número de IVA empresarial italiano de 11 dígitos. O último dígito é um dígito de controlo. Aparece em faturas, contratos e correspondência comercial. A sua ferramenta deve executar o algoritmo do dígito de controlo, não apenas reconhecer um padrão de 11 dígitos.
Tessera Sanitaria
O cartão de saúde (tessera sanitaria) inclui o codice fiscale como componente. Os dados de saúde são uma categoria especial ao abrigo do artigo 9.º do RGPD. Isso eleva o nível de proteção necessário.
Requisitos do Garante para ferramentas de IA
As orientações do Garante abrangem três áreas.
Antes do processamento com IA: Os dados pessoais devem ser identificados e removidos antes de entrarem num sistema de IA. Para ferramentas de IA usadas em Itália — incluindo extensões de browser e servidores MCP — isso significa remover codici fiscali, partite IVA e dados de saúde dos prompts antes do envio. Consulte o nosso guia de conformidade para saber como documentar este passo.
Para o treino de IA: É necessária base legal explícita. O Garante prefere o consentimento para treino com conteúdo gerado por utilizadores. O "interesse legítimo" exige um teste de ponderação documentado. Este teste deve mostrar que o objetivo do treino não prevalece sobre os direitos dos utilizadores.
Para as saídas de IA: Os sistemas que geram conteúdo sobre pessoas reais devem tratar o risco de informações falsas. O Garante identificou a geração de dados pessoais falsos como um risco técnico distinto que requer mitigação.
O défice de 63 % nas empresas
Um inquérito do Garante de 2024 revelou que 63 % das empresas italianas não têm uma política de governação de IA alinhada com o RGPD. A autoridade tornou este défice um foco ativo de auditoria.
Uma política sem controlos técnicos é difícil de defender. O Garante visa as empresas que confiam nos colaboradores para gerir o uso dos dados por iniciativa própria. A nossa visão geral de segurança mostra como os controlos automatizados apoiam as políticas escritas.
Quatro controlos para a conformidade com o Garante
1. Filtragem de dados pessoais antes do envio
Remover o codice fiscale, a partita IVA e a tessera sanitaria antes de as entradas chegarem a qualquer modelo de IA. Esta é a medida técnica central exigida pela lógica dos casos do Garante.
2. NER em língua italiana
Usar um modelo de reconhecimento de entidades nomeadas treinado em texto italiano, por exemplo spaCy it_core_news. Os modelos genéricos treinados em inglês não detetam padrões de nomes italianos. Consulte o nosso guia de deteção multilingue de dados pessoais para a seleção do modelo.
3. Documentação da base legal
Para cada ferramenta de IA em uso: registar a base legal. Se houver treino, documentar o teste de ponderação. Guardar estes documentos onde os auditores os encontrem rapidamente.
4. Trilha de auditoria
Registar que a filtragem foi executada, quais os tipos de entidades encontrados e o que foi removido. Isso fornece aos inspetores as provas de que precisam sem uma revisão manual longa.