anonym.legal

By · Last updated 2026-06-05

Nazaj na blogGDPR in skladnost

Garante Italija: Skladnost AI in PII

Italijanski Garante je decembra 2024 oglobil OpenAI z 15 milijoni EUR in leta 2023 zacasno prepovedal ChatGPT. 63 % italijanskih podjetij nima politik upravljanja podatkov AI.

June 5, 20269 min branja
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Garante Italija: GDPR in tehnicna skladnost PII

Posodobljeno za leto 2026

Italijanski najbolj aktivni regulator zasebnosti

Garante per la protezione dei dati personali je italijanski nadzorni organ za varstvo podatkov. Je najaktivnejsi regulator AI v EU.

Njegov pristop opredeljujeta dve dejanji. Marca 2023 je Garante OpenAI zahteval, da ustavi ChatGPT za uporabnike v Italiji. Ugotovil je, da ni veljavne pravne podlage za uporabo podatkov. Ugotovil je tudi, da ni preverjanja starosti za mladoletnike. OpenAI je dodal kontrole starosti, moznost odjave usposabljanja in obvestilo o zasebnosti v italianscini. Storitev se je vrnila aprila 2023.

Decembra 2024 je organ OpenAI oglobil z 15 milijoni EUR. Tri stvari so povzrocile globo: ni veljavne pravne podlage, ni jasnega obvestila o namenu usposabljanja in ni preverjanja starosti za mladoletnike.

Vsako orodje AI, ki obravnava osebne podatke uporabnikov v Italiji, mora izpolnjevati enake standarde.

Kaj je odpodvedalo v primeru OpenAI

Globa v visini 15 milijonov EUR je imenovala specificne vrzeli. Vsaka se preslika na manjkajoco tehnicno kontrolo.

Pravna podlaga za usposabljanje: Garante je zavrnil "legitimni interes" kot podlago za usposabljanje na uporabniskih podatkih. Usposabljanje AI na osebnih podatkih zahteva izrecno soglasje ali pogodbeno podlago. Samo sklicevanje na "legitimni interes" ne zadostuje.

Preglednost: Uporabniki niso bili obvesceni, kako so bili njihovi podatki uporabljeni za usposabljanje. Niso imeli jasne moznosti odjave.

Preverjanje starosti: Mladoletniki so lahko dostopali do ChatGPT brez preverjanja starosti. Garante to obravnava kot trdo pravilo za orodja AI za potrosniski trg.

Kljucna posledica: Vsak sistem AI, ki sprejema vnose uporabnikov v Italiji, mora imeti dokumentirano pravno podlago GDPR. "Legitimni interes" je visoko tvegan.

Italijanski nacionalni identifikatorji

Italija ima edinstvene formate ID. Generica orodja jih pogosto zamudijo. Vas sistem za zaznavo mora pokrivati vse tri.

Codice fiscale

Codice fiscale je 16-znakovna nacionalna ID. Kodira zvoke priimka, zvoke imen, datum rojstva, spol in kraj rojstva. Zadnji znak je kontrolna stevilka.

Tehnicna analiza Garante iz leta 2024 je ugotovila, da genericna orodja NLP zaznavajo codice fiscale le v 67 % primerov. Glavna pomanjkljivost: orodja se ujemajo s 16-znacnim vzorcem, toda preskocijo logiko kontrolnega znaka. Nato producirajo lazno pozitivne zadetke. Orodja, ki preskocijo pravila ekstrakcie crk imen, prav tako ne morejo preveriti obstojech kod.

Dobra zaznava potrebuje tri stvari:

  • Celoten algoritem kontrolnega znaka
  • Pravila za ekstrakcijo crk priimka in imena
  • Testiranje na realnih lokalnih podatkih

Partita IVA

Partita IVA je italiansko 11-mestno poslovno stevilko DDV. Zadnja stevilka je kontrolna. Pojavi se v racunih, pogodbah in poslovnih pismu. Vase orodje mora izvesti algoritem kontrolne stevilke, ne le iskati 11-mestnega vzorca.

Tessera sanitaria

Zdravstvena kartica (tessera sanitaria) vsebuje codice fiscale kot del svoje kode. Zdravstveni podatki spadajo v posebno kategorijo po clenu 9 GDPR. To dviga zahtevano raven zavarovalnic.

Zahteve Garante za orodja AI

Smernice Garante pokrivajo tri podrocja.

Pred obdelavo AI: PII je treba najti in odstraniti, preden podatki vstopijo v sistem AI. Za orodja AI, ki se uporabljajo v Italiji - vkljucno z razsiritvami brskalnika in MCP strezniki - to pomeni odstranjevanje codici fiscali, partite IVA in zdravstvenih podatkov iz pozivov pred posiljanjem. Pregled vodnika za skladnost, kako dokumentirati ta korak.

Za usposabljanje AI: Zahtevana je izrecna pravna podlaga. Soglasje je Garantejeva prednostna podlaga za usposabljanje na vsebini uporabnikov. "Legitimni interes" zahteva pisni test uravnotezenja. Ta test mora pokazati, da cilj usposabljanja ne prevlada nad pravicami uporabnikov do podatkov.

Za izhode AI: Sistemi, ki piscejo vsebino o resnicnih osebah, morajo obravnavati tveganje laznih trditev. Garante je lazno poosebljene osebne podatke imenoval kot posebno tveganje, ki zahteva tehnicno resitev.

Vrzel 63 % pri podjetjih

Research Garante iz leta 2024 je ugotovil, da 63 % italijanskih podjetij nima politike AI, usklajene z GDPR. Organ je to vrzel prepoznal kot aktivno revizijsko temo.

Politika brez tehnicnih kontrol je tezko vzdrzljiva. Garante cilja na podjetja, ki se zanasajo, da bodo zaposleni sami nadzorovali uporabo podatkov. Nas varnostni pregled kaze, kako avtomatizirani nadzori podpirajo pisno politiko.

Stiri kontrole za skladnost z Garante

1. Filtriranje PII pred oddajo

Odstranite codice fiscale, partita IVA in podatke tessera sanitaria, preden vnos doseze kateri koli model AI. To je osrednja tehnicna resitev, ki jo zahteva logika primera Garante.

2. NER z italijanskim jezikom

Uporabite model za prepoznavanje poimenovanih entitet, usposobljen na italijanskem besedilu, na primer spaCy it_core_news. Generični modeli, usposobljeni na anglescini, zamudijo italijanske vzorce imen. V nasem vodniku za vecjezicno zaznavo PII si oglejte izbiro modela.

3. Dokumentacija pravne podlage

Za vsako orodje AI v uporabi: zapisite pravno podlago. Kadar je vpleteno usposabljanje, dodajte test uravnotezenja. Shranite to, kjer jo revizorji hitro najdejo.

4. Revizijska sled

Zabelezite, da je filtriranje teklo, katere vrste entitet so bile najdene in kaj je bilo odstranjeno. To da inspektorjem dokaze, ki jih potrebujejo, brez dolgotrajnega rocinega pregleda.

Viri

Sorodni članki

GDPR in skladnost

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR in skladnost

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR in skladnost

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Ste pripravljeni zaščititi svoje podatke?

Začnite z anonimizacijo PII z več kot 285 tipi entitet v 48 jezikih.

Začnite brezplačno preizkušnjoOgled funkcij

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.