anonym.legal

By · Last updated 2026-06-05

Înapoi la BlogGDPR & Conformitate

Garante Italia: Conformitate AI și date personale

Garante-ul Italiei a amendat OpenAI cu 15 milioane de euro în decembrie 2024 și a interzis temporar ChatGPT în 2023. 63% dintre firmele italiene nu au politici de guvernanță a datelor AI.

June 5, 20269 min citire
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Garante Italia: Conformitate GDPR și tehnice pentru date personale

Actualizat pentru 2026

Cel mai activ organism de reglementare a confidențialității din Italia

Garante per la protezione dei dati personali este autoritatea de date a Italiei. Este cel mai activ organism de reglementare AI din UE.

Două acțiuni îi definesc abordarea. În martie 2023, Garante a ordonat OpenAI să oprească ChatGPT pentru utilizatorii din Italia. A constatat că nu există un temei juridic valabil pentru utilizarea datelor și că nu există verificare de vârstă pentru minori. OpenAI a adăugat controale de vârstă, o opțiune de refuz a antrenamentului și o notificare de confidențialitate în italiană. Serviciul a revenit în aprilie 2023.

În decembrie 2024, autoritatea a amendat OpenAI cu 15 milioane de euro. Trei lucruri au provocat amenda: niciun temei juridic valabil, nicio notificare clară privind utilizarea pentru antrenament și nicio verificare de vârstă pentru minori.

Orice instrument AI care gestionează date personale ale utilizatorilor din Italia trebuie să îndeplinească aceleași standarde.

Ce a eșuat în cazul OpenAI

Amenda de 15 milioane de euro a specificat lacune concrete. Fiecare se mapează la un control tehnic lipsă.

Temeiul juridic pentru datele de antrenament: Garante a respins „interesul legitim" ca temei pentru antrenamentul pe datele utilizatorilor. Antrenamentul AI pe date personale necesită consimțământ explicit sau un temei contractual. O invocare a „interesului legitim" singur nu este suficientă.

Transparență: Utilizatorii nu au fost informați cum sunt folosite datele lor pentru antrenament. Nu aveau o opțiune clară de refuz.

Verificarea vârstei: Minorii puteau accesa ChatGPT fără verificare de vârstă. Garante tratează aceasta ca o regulă imperativă pentru instrumentele AI destinate consumatorilor.

Implicație cheie: Orice sistem AI care primește date de la utilizatori din Italia trebuie să aibă un temei juridic GDPR documentat. „Interesul legitim" prezintă risc ridicat.

Identificatorii naționali italieni

Italia are formate unice de acte de identitate. Instrumentele generice le ratează adesea. Stiva de detectare trebuie să acopere toate trei.

Codice Fiscale

Codul fiscal (codice fiscale) este un act de identitate național de 16 caractere. Codifică sunetele numelui de familie, sunetele prenumelui, data nașterii, sexul și orașul de naștere. Ultimul caracter este o cifră de control.

Analiza tehnică a Garante din 2024 a constatat că instrumentele NLP generice detectează codul fiscal cu doar 67% acuratețe. Eșecul principal: instrumentele potrivesc tiparul de 16 caractere, dar ignoră logica cifrei de control. Aceasta produce fals pozitive. Instrumentele care sar regulile de extragere a literelor din nume nu pot verifica codurile existente.

Detectarea corectă necesită trei lucruri:

  • Algoritmul complet al caracterului de control
  • Regulile de extragere a literelor din numele de familie și prenume
  • Testare pe date locale reale

Partita IVA

Partita IVA este numărul de TVA italian pentru companii, cu 11 cifre. Ultima cifră este o cifră de control. Apare pe facturi, contracte și corespondență comercială. Instrumentul dumneavoastră trebuie să ruleze algoritmul cifrei de control, nu doar să potrivească un tipar de 11 cifre.

Tessera Sanitaria

Cardul de sănătate (tessera sanitaria) conține codul fiscal ca parte a codului său. Datele medicale sunt date din categorii speciale conform Articolului 9 GDPR. Aceasta ridică nivelul necesar de garanții.

Cerințele Garante pentru instrumentele AI

Ghidul Garante acoperă trei domenii.

Înainte de prelucrarea AI: Datele personale trebuie găsite și eliminate înainte ca datele să intre în sistemul AI. Pentru instrumentele AI utilizate în Italia — inclusiv extensii de browser și servere MCP — aceasta înseamnă extragerea codurilor fiscale, partitelor IVA și datelor medicale din prompturi înainte de trimitere. Consultați ghidul nostru de conformitate pentru cum să documentați acest pas.

Pentru antrenamentul AI: Este necesar un temei juridic explicit. Consimțământul este temeiul preferat de Garante pentru antrenamentul pe conținutul utilizatorilor. „Interesul legitim" necesită un test de echilibrare scris. Acel test trebuie să demonstreze că scopul antrenamentului nu depășește drepturile utilizatorilor la date.

Pentru ieșirile AI: Sistemele care generează conținut despre persoane reale trebuie să abordeze riscul afirmațiilor false. Garante a identificat datele personale fabricate ca un risc distinct care necesită o soluție tehnică.

Lacuna de 63% la nivel de întreprinderi

Un sondaj Garante din 2024 a constatat că 63% dintre firmele italiene nu au o politică AI aliniată cu GDPR. Autoritatea a făcut din această lacună un subiect activ de audit.

O politică fără controale tehnice este greu de apărat. Garante vizează firmele care se bazează pe auto-polițierea angajaților privind utilizarea datelor. Prezentarea noastră de securitate arată cum controalele automate susțin politica scrisă.

Patru controale pentru conformitatea cu Garante

1. Filtrarea datelor personale înainte de trimitere

Eliminați codul fiscal, partita IVA și datele tessera sanitaria înainte ca inputul să ajungă la orice model AI. Acesta este corectivul tehnic fundamental pe care logica cazului Garante îl impune.

2. NER în italiană

Folositiun model de entități denumite antrenat pe text italian. De exemplu, spaCy it_core_news. Modelele generice antrenate în engleză ratează tiparele de nume italiene. Consultați ghidul nostru de detectare multilingvă a datelor personale pentru selecția modelelor.

3. Documentarea temeiului juridic

Pentru fiecare instrument AI utilizat: consemnați temeiul juridic. Dacă este implicat antrenamentul, adăugați testul de echilibrare. Stocați-le unde auditorii le pot găsi rapid.

4. Pistă de audit

Jurnalizați că filtrarea a rulat, ce tipuri de entități au fost găsite și ce a fost eliminat. Aceasta oferă inspectorilor dovezile de care au nevoie fără o revizuire manuală îndelungată.

Surse

Articole Asemănătoare

GDPR & Conformitate

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformitate

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformitate

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pregătit să vă protejați datele?

Începeți să anonimizati PII cu 285+ tipuri de entități în 48 de limbi.

Începeți Proba GratuităVizualizați Funcționalitățile

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.