O Garante per la protezione dei dati personali (Garante) da Itália é o regulador de privacidade de IA mais agressivo da UE. Em março de 2023, o Garante se tornou a primeira autoridade de proteção de dados global a banir temporariamente o ChatGPT da Itália — forçando a OpenAI a implementar medidas explícitas de verificação de idade e transparência antes que o serviço fosse restaurado. Em dezembro de 2024, o Garante multou a OpenAI em €15 milhões por processamento ilegal de dados de usuários italianos.
Para organizações que utilizam ferramentas de IA na Itália — ou que implantam sistemas de IA que podem processar dados pessoais italianos — o padrão de aplicação do Garante estabelece as expectativas técnicas mais exigentes da UE.
O Caso OpenAI/ChatGPT: O que o Garante Encontrou
A multa de €15 milhões do Garante contra a OpenAI em dezembro de 2024 foi baseada em várias violações:
Falha na verificação de idade: O ChatGPT estava acessível a menores italianos sem verificação de idade adequada. O Garante constatou que a OpenAI não implementou medidas razoáveis para prevenir o uso por menores de 13 anos.
Processamento ilegal de dados de treinamento: O Garante constatou que o uso de dados de usuários italianos pela OpenAI para treinar o ChatGPT 3.5/4 carecia de uma base legal adequada. A alegação de "interesse legítimo" foi rejeitada — o Garante constatou que o uso de dados pessoais para treinar modelos de IA comerciais requer consentimento ou uma base legal mais clara do que a que os provedores de treinamento de LLM normalmente invocam.
Falta de transparência: A OpenAI não informou adequadamente os usuários italianos sobre como seus dados foram utilizados para treinamento, nem forneceu mecanismos de opt-out acessíveis.
Implicações práticas: Qualquer sistema de IA que processe dados pessoais italianos — seja para treinamento, ajuste fino ou inferência sobre entradas de usuários italianos — deve ter uma base legal documentada sob os padrões do Garante que vá além de simples alegações de "interesse legítimo". Consentimento ou desempenho de contrato específico é tipicamente exigido.
Identificadores Nacionais Italianos
Codice fiscale: O código fiscal alfanumérico de 16 caracteres da Itália — um dos identificadores nacionais mais ricos em informações da UE. Estrutura:
- Caracteres 1-3: Consoantes do sobrenome (regras de extração específicas)
- Caracteres 4-6: Consoantes e vogais do primeiro nome (regras de extração específicas)
- Caracteres 7-8: Últimos dois dígitos do ano de nascimento
- Caracter 9: Letra representando o mês de nascimento (A=Janeiro, B=Fevereiro, C=Março, D=Abril, E=Maio, H=Junho, L=Julho, M=Agosto, P=Setembro, R=Outubro, S=Novembro, T=Dezembro)
- Caracteres 10-11: Dia de nascimento (masculinos: número do dia; femininos: dia + 40)
- Caracteres 12-15: Código Belfiore (4 caracteres) do município ou país de nascimento
- Caracter 16: Caracter de verificação (letra, calculada usando algoritmo específico)
O codice fiscale codifica sons iniciais do sobrenome, sons iniciais do primeiro nome, data de nascimento, gênero (via codificação do dia de nascimento) e local de nascimento. É, sem dúvida, o identificador nacional mais identificável da UE em termos de conteúdo informativo.
Precisão de detecção: Ferramentas genéricas de PLN detectam o codice fiscale com apenas 67% de precisão (análise técnica do Garante 2024). As falhas: ferramentas que correspondem a padrões alfanuméricos de 16 caracteres sem implementar o algoritmo do caractere de verificação não conseguem distinguir codici fiscali válidos de falsos positivos; ferramentas que não implementam as regras de extração de sobrenome/nome não conseguem validar números existentes.
Partita IVA: O número de IVA empresarial de 11 dígitos da Itália, com um dígito de verificação calculado usando um algoritmo de soma ponderada módulo-10. O último dígito é o dígito de verificação. A partita IVA aparece em todos os documentos comerciais italianos — faturas, contratos e correspondência comercial.
Tessera sanitaria: O cartão de saúde da Itália — combina o codice fiscale com dados adicionais específicos de saúde. O formato inclui o codice fiscale como um componente.
Requisitos de Ferramentas de IA do Garante
A orientação do Garante sobre "medidas técnicas e organizacionais" para sistemas de IA que processam dados pessoais italianos:
Antes do processamento de IA: PII deve ser identificada e removida ou pseudonimizada antes da entrada em sistemas de IA. O contexto da extensão Chrome/integração de IA do Garante: qualquer ferramenta de IA que receba dados pessoais italianos (nomes, codici fiscali, dados de saúde) em prompts deve ter esses identificadores removidos antes da transmissão.
Para treinamento de IA: Uma base legal documentada explícita é necessária. O consentimento é a base preferida do Garante para treinamento em conteúdo gerado por usuários italianos. "Interesse legítimo" requer um teste de balanceamento documentado demonstrando que o propósito do treinamento não sobrepõe os interesses de proteção de dados dos usuários italianos.
Para saídas de IA: Sistemas que geram saídas sobre indivíduos italianos devem implementar salvaguardas contra a alucinação de dados pessoais (gerando informações falsas atribuídas a indivíduos reais) — o Garante destacou isso como um risco específico que requer mitigação técnica.
63% das empresas italianas não possuem políticas de governança de dados de IA em conformidade com o GDPR (Garante 2024). Para organizações que implantam ferramentas de IA na Itália: detecção do codice fiscale e partita IVA com validação completa do caractere de verificação, NER em italiano (spaCy it_core_news) e base legal documentada do GDPR para qualquer treinamento de IA em dados pessoais italianos são os requisitos básicos para conformidade com o Garante.
Fontes: