anonym.legal

By · Last updated 2026-06-05

Bumalik sa BlogGDPR & Pagsunod

Garante Italy: Gabay sa AI at PII Compliance

Pinarusahan ng Garante ng Italy ang OpenAI ng €15M noong Disyembre 2024 at pansamantalang ipinagbawal ang ChatGPT noong 2023. Narito ang kinakailangan ng pinaka-agresibong AI regulator ng Italy.

June 5, 20267 min basahin
Garante ItalyItalian GDPRChatGPT banAI compliance ItalyOpenAI fine

Ang Garante ng Italy: AI at PII Compliance

Ina-update para sa 2026

Ang Rekord ng AI Enforcement ng Garante

Ang awtoridad sa datos ng Italy ay ang Garante. Ito ang pinaka-aktibong AI regulator sa EU. Dalawang mahahalagang aksyon ang nagtatakda ng kanyang diskarte.

Marso 2023 — Pagbabawal ng ChatGPT: Sinabi ng Garante sa OpenAI na itigil ang ChatGPT para sa mga gumagamit sa Italy. Natuklasan nito na walang valid na legal na batayan para sa paggamit ng datos. Natuklasan din nito na walang pagsusuri ng edad para sa mga menor de edad. Nagdagdag ang OpenAI ng mga pagsusuri ng edad, isang opt-out para sa pagsasanay, at isang abiso sa privacy sa Italyano. Bumalik ang serbisyo noong Abril 2023.

Disyembre 2024 — Multang €15M: Pinarusahan ng Garante ang OpenAI ng €15 milyon. Tatlong pagkabigo ang naging sanhi ng multa. Una: walang valid na legal na batayan. Ikalawa: mahinang kalinawan tungkol sa paggamit sa pagsasanay. Ikatlo: walang pagsusuri ng edad para sa mga menor de edad.

Mga bukas na pagsisiyasat (2024-2025): Naglunsad ang awtoridad ng mga pagsisiyasat laban sa Replika, Worldcoin, at ilang mga AI startup.

Ang Italy ay ang pinaka-mapanganib na lugar sa EU para sa paggamit ng AI tool. Anumang tool na nangangasiwa ng mga personal na rekord nang walang malinaw na mga hakbang ng pagsunod ay lumilikha ng legal na panganib. Kumilos nang maaga.

Ano ang Kinakailangan ng Garante

Ang mga aksyon ng enforcement ay naglilinaw ng dapat gawin ng mga organisasyon kapag gumagamit sila ng mga AI tool.

Legal na batayan: Bawat AI tool ay nangangailangan ng dokumentadong legal na batayan sa ilalim ng GDPR Article 6. Ang awtoridad ay nag-aalinlangan sa "lehitimong interes" para sa AI training. Ang tahasang pahintulot o pangangailangan ng kontrata ang mga gustong batayan.

Mga Kasunduan sa Pagpoproseso ng Datos: Ang mga kumpanyang gumagamit ng mga third-party na AI tool bilang mga processor ay dapat may mga DPA na sumusunod sa GDPR. Sinuri ng awtoridad kung ang mga vendor DPA ay sumasaklaw sa mga limitasyon ng paggamit ng datos. Ang mga agwat dito ay nakakaakit ng pagsisiyasat.

Mga kontrol sa input: Ang pokus ng awtoridad sa hindi awtorisadong pagpoproseso ay nangangailangan ng mga kontrol sa input. Ang mga teknikal na filter na nag-aalis ng mga personal na rekord bago sila maabot ng isang AI model ay nilulutas ang pangunahing problema. Tingnan ang aming gabay sa pagsunod para sa kung ano ang idokumento.

Mga pagsusuri ng edad: Ang mga AI system na bukas sa mga mamimili ay dapat i-verify ang edad ng mga menor de edad. Ang tuntuning ito ay nagmula sa pagbabawal ng ChatGPT.

Malinaw na mga abiso: Ang mga abiso sa privacy ay dapat nasa Italyano. Dapat nilang ipaliwanag kung paano ginagamit ng AI ang mga personal na rekord, kasama ang paggamit sa pagsasanay.

Ang 63% na Agwat ng Enterprise

Natuklasan ng isang survey ng Garante noong 2024 na 63% ng mga kumpanya ay kulang sa mga patakaran sa paggamit ng AI na nakahanay sa GDPR. Ang agwat na ito ay lumalaki habang pinalawak ng awtoridad ang programa nito sa AI.

Ang mga pag-sign up ng DPO ay tumaas ng 340% pagkatapos ng pagbabawal ng ChatGPT. Nakita ng mga kumpanya na ang paggamit ng AI nang walang DPO ay lumikha ng legal na panganib. Ngunit ang isang DPO lamang ay hindi sapat. Ang isang nakasulat na patakaran nang walang mga teknikal na kontrol ay mahirap ipatupad. Tinutukoy ng awtoridad ang agwat na ito: ang mga kumpanyang umaasa sa mga kawani na mag-self-police. Ang aming pangkalahatang-ideya ng proteksyon ay nagpapakita kung paano sinusuportahan ng mga kontrol ang patakaran.

Teknikal na Setup para sa Pagsunod

Para sa mga kumpanyang may mga gumagamit sa Italy, ang setup na nakahanay sa Garante ay kinabibilangan ng sumusunod.

Pre-submission na pag-filter ng PII: Ang isang Chrome Extension o MCP Server ay nauupo sa pagitan ng gumagamit at ng AI model. Inaalis nito ang mga personal na rekord bago sila maabot ang modelo. Walang personal na datos na pumapasok ay katumbas ng walang hindi awtorisadong pagpoproseso. Ito ang pangunahing solusyon.

Mga uri ng entity na tiyak sa Italy: Ang mga karaniwang PII tool ay nagmimiss ng mga lokal na uri ng ID. Dapat matukoy ng iyong tool ang mga ito:

  • Codice fiscale — 16-character na national ID code
  • Partita IVA — 11-digit na numero ng negosyo
  • Carta d'identita — national ID card
  • Tessera sanitaria — health card na naglalaman ng codice fiscale
  • Mga format ng IBAN ng Italy

Ang codice fiscale ang pangunahing national ID. Ang pagkawala nito ay nag-iiwan ng isang pangunahing agwat. Tingnan ang aming gabay sa entity para sa buong saklaw. Magpatakbo ng mga pagsubok sa tunay na lokal na datos.

Audit trail: Ang mga inspeksyon ng Garante ay humihingi ng patunay ng mga teknikal na kontrol. Ang isang sentral na log na nagpapakita na tumakbo ang pre-submission na pag-filter ay nagbibigay sa mga inspektor ng ebidensyang kailangan nila.

Mga rekord ng DPA: Para sa bawat vendor ng AI: panatilihin ang isang natapos na pagsusuri ng DPA. Tandaan ang mga limitasyon ng paggamit ng datos at mga tuntunin ng pagsasanay. Iimbak ang mga ito kung saan madaling mahanap. Tingnan ang aming FAQ para sa mga karaniwang tanong sa DPA.

Mga Lugar ng Pagtuon ng Sektor

Nilalagyan ng Garante ang mga partikular na sektor ng mas mataas na pansin.

Pangangalagang pangkalusugan: Ang mga rekord ng kalusugan ay mataas na panganib sa ilalim ng GDPR Article 9. Anumang AI tool na nangangasiwa ng mga rekord ng pasyente ay nangangailangan ng tahasang legal na batayan, isang DPA, at matibay na mga pag-iingat. Ang mga AI diagnostic at clinical tool ay nangangailangan ng mga DPIA.

Pananalapi: Ang consumer profiling gamit ang AI ay nakaakit ng pagsisiyasat. Ang mga bangko at kumpanya ng pananalapi na gumagamit ng AI para sa kredito o marketing ay dapat magpatakbo ng mga DPIA at magdagdag ng mga kontrol sa explainability.

HR: Ang mga AI tool para sa pagkuha, mga review, at pagmamasid sa kawani ay nangangailangan ng mga DPIA. Naglabas ang Garante ng gabay sa pagmamasid sa kawani noong 2023.

Edukasyon: Ang mga AI tool ng paaralan ay nahaharap sa karagdagang mga tuntunin sa ilalim ng gabay ng Garante noong 2024 sa mga rekord ng estudyante.

Ang mga kumpanya sa mga sektong ito ay nangangailangan ng mga rekord na tiyak sa sektor na higit pa sa mga pangunahing kinakailangan. Tingnan ang aming mga case study upang malaman kung paano pinangangasiwaan ng mga kapwa ang pagsunod. Ang perspektibo ng aming tagapagtatag sa pagtatayo para sa mga regulated na merkado ay nasa aming pahayag ng tagapagtatag. Ang aming mga plano at rate ay sumasaklaw sa lahat ng sektor at laki ng kumpanya.

Mga Pinagkukunan

Mga Kaugnay na Artikulo

GDPR & Pagsunod

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Pagsunod

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Pagsunod

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Handa nang protektahan ang iyong data?

Simulan ang anonymization ng PII gamit ang 285+ uri ng entidad sa 48 wika.

Simulan ang Libreng PagsubokTingnan ang Mga Tampok

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.