Italiens Garante per la protezione dei dati personali (Garante) är EU:s mest aggressiva AI-integritetsregulator. I mars 2023 blev Garante den första dataskyddsmyndigheten globalt som tillfälligt förbjöd ChatGPT i Italien — vilket tvingade OpenAI att implementera explicita åldersverifierings- och transparensåtgärder innan tjänsten återställdes. I december 2024 bötfällde Garante OpenAI med 15 miljoner euro för olaglig behandling av italienska användardata.
För organisationer som använder AI-verktyg i Italien — eller implementerar AI-system som kan behandla italienska personuppgifter — sätter Garantes verkställande mönster de mest krävande tekniska förväntningarna i EU.
Fallet OpenAI/ChatGPT: Vad Garante fann
Garantes böter på 15 miljoner euro mot OpenAI i december 2024 baserades på flera överträdelser:
Misslyckande med åldersverifiering: ChatGPT var tillgängligt för italienska minderåriga utan adekvat åldersverifiering. Garante fann att OpenAI misslyckades med att implementera rimliga åtgärder för att förhindra användning av under-13.
Olaglig behandling av träningsdata: Garante fann att OpenAIs användning av italienska användardata för att träna ChatGPT 3.5/4 saknade adekvat rättslig grund. Påståendet om "legitimt intresse" avvisades — Garante fann att användning av personuppgifter för att träna kommersiella AI-modeller kräver antingen samtycke eller en tydligare rättslig grund än vad LLM-träningsleverantörer vanligtvis åberopar.
Brist på transparens: OpenAI informerade inte adekvat italienska användare om hur deras data användes för träning, eller tillhandahöll tillgängliga mekanismer för att avsäga sig.
Praktiska konsekvenser: Alla AI-system som behandlar italienska personuppgifter — oavsett om det handlar om träning, finjustering eller inferens på italienska användarinmatningar — måste ha en dokumenterad GDPR-rättslig grund enligt Garantes standarder som går bortom enkla påståenden om "legitimt intresse". Samtycke eller specifik kontraktsuppfyllelse krävs vanligtvis.
Italienska nationella identifierare
Kodfiscal: Italiens 16-tecken alfanumeriska skattenummer — en av de mest informationsrika nationella identifierarna i EU. Struktur:
- Tecken 1-3: Konsonanter från efternamn (specifika extraktionsregler)
- Tecken 4-6: Konsonanter och vokaler från förnamn (specifika extraktionsregler)
- Tecken 7-8: De två sista siffrorna av födelseåret
- Tecken 9: Bokstav som representerar födelsemånad (A=januari, B=februari, C=mars, D=april, E=maj, H=juni, L=juli, M=augusti, P=september, R=oktober, S=november, T=december)
- Tecken 10-11: Födelsedag (män: dagnummer; kvinnor: dag + 40)
- Tecken 12-15: Belfiore-kod (4 tecken) för födelsekommun eller land
- Tecken 16: Kontrolltecken (bokstav, beräknad med specifik algoritm)
Kodfiscal kodar in initialljud från efternamn, initialljud från förnamn, födelsedatum, kön (via födelsedagskodning) och födelseort. Det är kanske EU:s mest personligt identifierande nationella identifierare sett till informationsinnehåll.
Detektionsnoggrannhet: Generiska NLP-verktyg upptäcker kodfiscal med endast 67% noggrannhet (Garante 2024 teknisk analys). Misslyckandena: verktyg som matchar 16-tecken alfanumeriska mönster utan att implementera kontrollteckenalgoritmen kan inte särskilja giltiga kodfiscal från falska positiva; verktyg som inte implementerar reglerna för extraktion av efternamn/förnamn kan inte validera befintliga nummer.
Partita IVA: Italiens 11-siffriga företagsmomsnummer, med en kontrollsiffra beräknad med en viktad summa modulus-10-algoritm. Den sista siffran är kontrollsiffran. Partita IVA förekommer i alla italienska kommersiella dokument — fakturor, kontrakt och affärskorrespondens.
Tessera sanitaria: Italiens sjukvårdskort — kombinerar kodfiscal med ytterligare hälso-specifik data. Formatet inkluderar kodfiscal som en komponent.
Garantes krav på AI-verktyg
Garantes vägledning om "tekniska och organisatoriska åtgärder" för AI-system som behandlar italienska personuppgifter:
Innan AI-behandling: PII måste identifieras och antingen tas bort eller pseudonymiseras innan de matas in i AI-system. Garantes Chrome Extension/AI-integrationskontext: alla AI-verktyg som tar emot italienska personuppgifter (namn, kodfiscal, hälsoinformation) i uppmaningar måste ha dessa identifierare borttagna innan överföring.
För AI-träning: En uttrycklig dokumenterad rättslig grund krävs. Samtycke är Garantes föredragna grund för träning på italienskt användargenererat innehåll. "Legitimt intresse" kräver en dokumenterad avvägningstest som visar att träningssyftet inte överskrider italienska användares dataskyddsintressen.
För AI-utdata: System som genererar utdata om italienska individer måste implementera skyddsåtgärder mot hallucination av personuppgifter (generera falsk information som tillskrivs verkliga individer) — Garante har flaggat detta som en specifik risk som kräver teknisk åtgärd.
63% av italienska företag saknar GDPR-kompatibla AI-datagovernance-policyer (Garante 2024). För organisationer som implementerar AI-verktyg i Italien: kodfiscal och partita IVA-detektion med full kontrollteckenvalidering, italienskspråkig NER (spaCy it_core_news), och dokumenterad GDPR-rättslig grund för all AI-träning på italienska personuppgifter är baslinjekraven för Garante-efterlevnad.
Källor: