anonym.legal

By · Last updated 2026-06-05

Povratak na blogGDPR i usklađenost

Garante Italija: AI i PII uskladjenost

Italijanski Garante je kaznio OpenAI sa 15 miliona eura u decembru 2024. i privremeno zabranio ChatGPT 2023. 63% italijanskih firmi nema AI politike uskladjenosti sa GDPR-om.

June 5, 20269 min čitanja
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Garante Italija: GDPR i tehnicki zahtevi za PII

Azurirano za 2026.

Italijin najaktivniji regulator privatnosti

Garante per la protezione dei dati personali je italijanski organ za zastitu podataka. To je najaktivniji AI regulator u EU.

Dve akcije definisu njegov pristup. U martu 2023., Garante je naredio OpenAI da zaustavi ChatGPT za korisnike u Italiji. Utvrdio je da ne postoji valjana pravna osnova za koristenje podataka. Takodje nije pronadjena provera starosti za maloletnike. OpenAI je dodao kontrole starosti, opciju odustajanja od obuke i obavestenje o privatnosti na italijanskom. Usluga se vratila u aprilu 2023.

U decembru 2024., organ je kaznio OpenAI sa 15 miliona eura. Tri stvari su prouzrokovale kaznu: bez valjane pravne osnove, bez jasnog obavestenja o upotrebi za obuku i bez provere starosti za maloletnike.

Svaki AI alat koji rukuje licnim podacima korisnika u Italiji mora ispuniti iste standarde.

Sta je zakazalo u slucaju OpenAI

Kazna od 15 miliona eura navela je specificne nedostatke. Svaki se mapira na nedostajucu tehnicku kontrolu.

Pravna osnova za podatke za obuku: Garante je odbio "legitimni interes" kao osnovu za obuku na korisnickim podacima. AI obuka na licnim podacima zahteva eksplicitni pristanak ili ugovornu osnovu. Tvrdnja o "legitimnom interesu" sama po sebi ne prolazi.

Transparentnost: Korisnici nisu bili obavesteni kako se njihovi podaci koriste za obuku. Nisu imali jasnu opciju za odustajanje.

Verifikacija starosti: Maloletnici su mogli da pristupe ChatGPT bez provere starosti. Garante ovo tretira kao strogo pravilo za AI alate za potrosace.

Kljucna implikacija: Svaki AI sistem koji prihvata korisnicke unose u Italiji mora imati dokumentovanu GDPR pravnu osnovu. "Legitimni interes" je visokoriziean.

Italijanski nacionalni identifikatori

Italija ima jedinstvene ID formate. Genericki alati ih cesto propustaju. Vas detekcioni stek mora pokriti sve tri.

Codice Fiscale

Codeice fiscale je 16-znakovna nacionalna ID. Kodira zvukove prezimena, zvukove imena, datum rodjenja, pol i grad rodjenja. Poslednji znak je kontrolna cifra.

Garante tehnicka analiza iz 2024. pokazala je da genericki NLP alati hvataju codice fiscale sa samo 67% uspesnosti. Glavni propust: alati uparuju 16-znakovni obrazac ali preskacu logiku kontrolnog znaka. Zatim proizvode lazne pozitivne. Alati koji preskacu pravila kodiranja prezimena i imena takodje ne mogu verifikovati postojece kodove.

Dobra detekcija zahteva tri stvari:

  • Kompletan algoritam kontrolnog znaka
  • Pravila ekstrakcije slova prezimena i imena
  • Testiranje na realnim lokalnim podacima

Partita IVA

Partita IVA je italijanski 11-cifreni poslovni PDV broj. Poslednja cifra je kontrolna cifra. Pojavljuje se u fakturama, ugovorima i poslovnim pismima. Vas alat mora pokrenuti algoritam kontrolne cifre, ne samo upariti 11-cifreni obrazac.

Tessera Sanitaria

Zdravstvena kartica (tessera sanitaria) sadrzi codice fiscale kao deo svog koda. Zdravstveni podaci su posebna kategorija prema GDPR clanu 9. To povecava zahtevani nivo zastite.

Garante zahtevi za AI alate

Garante smernice pokrivaju tri oblasti.

Pre AI obrade: PII mora biti pronadjen i uklonjen pre nego sto podaci udju u AI sistem. Za AI alate koji se koriste u Italiji - ukljucujuci prosirenja za pretragivac i MCP servere - ovo znaci uklanjanje codici fiscali, partite IVA i zdravstvenih podataka iz upita pre njihovog slanja. Pogledajte nas vodic za uskladjenost za to kako evidentirati ovaj korak.

Za AI obuku: Zahteva se eksplicitna pravna osnova. Pristanak je Garanteova preferirana osnova za obuku na korisnickom sadrzaju. "Legitimni interes" zahteva pisani test ravnoteze. Taj test mora pokazati da cilj obuke ne nadjacava prava korisnika na privatnost podataka.

Za AI rezultate: Sistemi koji pisu sadrzaj o stvarnim osobama moraju se baviti rizikom od laznih tvrdnji. Garante je naveo fabricovane licne podatke kao poseban rizik koji zahteva tehnicko resenje.

Praznina od 63% u preduzecima

Istrazivanje Garante iz 2024. pokazalo je da 63% italijanskih firmi nema GDPR-uskladjenu AI politiku. Organ je ovu prazninu ucinio aktivnim auditnim fokusom.

Politika bez tehnickih kontrola je teska za odbraniti. Garante cilja firme koje se oslanjaju na zaposlene da sami nadziru koristenje podataka. Nas pregled bezbednosti pokazuje kako automatizovane kontrole podruzavaju pisanu politiku.

Cetiri kontrole za uskladjenost sa Garante

1. PII filtriranje pre podnosenja

Uklonite codice fiscale, partita IVA i tessera sanitaria podatke pre nego sto unos dospe do bilo kog AI modela. Ovo je osnovna tehnicka popravka koju logika Garante slucaja zahteva.

2. NER na italijanskom jeziku

Koristite model nazvanih entiteta treniran na italijanskim tekstovima. Na primer, spaCy it_core_news. Genericki modeli trenirani na engleskom propustaju italijanske obrasce imenima. Pogledajte nas vodic za visejezienu PII detekciju za izbor modela.

3. Dokumentacija pravne osnove

Za svaki AI alat u upotrebi: zapisite pravnu osnovu. Ako je ukljucena obuka, dodajte test ravnoteze. Cuvajtejte na mestu gde revizori mogu brzo proci.

4. Revizijski trag

Evidentujte da je filtriranje pokrenuto, koji tipovi entiteta su pronadjeni i sta je uklonjeno. Ovo daje inspektorima potrebne dokaze bez dugotrajnog rucnog pregleda.

Izvori

Povezani članci

GDPR i usklađenost

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i usklađenost

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i usklađenost

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Spremni da zaštitite svoje podatke?

Počnite sa anonimizacijom PII sa 285+ tipova entiteta na 48 jezika.

Započnite besplatnu probuPogledajte funkcije

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.