anonym.legal

By · Last updated 2026-06-05

Bumalik sa BlogGDPR & Pagsunod

Garante Italy: Pagsunod sa AI at PII

Pinarusahan ng Garante ng Italy ang OpenAI ng €15M noong Disyembre 2024 at pansamantalang ipinagbawal ang ChatGPT noong 2023. 63% ng mga Italian na kumpanya ang kulang sa mga patakaran ng pamamahala ng AI data.

June 5, 20269 min basahin
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Garante Italy: GDPR at Teknikal na Pagsunod sa PII

Na-update para sa 2026

Pinaka-Aktibong Privacy Regulator ng Italy

Ang Garante per la protezione dei dati personali ang awtoridad ng data ng Italy. Ito ang pinaka-aktibong AI regulator ng EU.

Dalawang aksyon ang nagtatakda ng pamamaraan nito. Noong Marso 2023, sinabi ng Garante sa OpenAI na ihinto ang ChatGPT para sa mga gumagamit sa Italy. Natuklasan nito na walang wastong legal na batayan para sa paggamit ng data. Natuklasan din nito na walang pag-check ng edad para sa mga menor de edad. Nagdagdag ang OpenAI ng mga kontrol sa edad, isang opt-out sa training, at isang abiso sa privacy sa Italian. Bumalik ang serbisyo noong Abril 2023.

Noong Disyembre 2024, pinarusahan ng awtoridad ang OpenAI ng €15 milyon. Tatlong bagay ang nagdulot ng multa: walang wastong legal na batayan, walang malinaw na abiso tungkol sa paggamit sa training, at walang pag-check ng edad para sa mga menor de edad.

Anumang tool ng AI na humahawak ng personal na data mula sa mga gumagamit sa Italy ay dapat matugunan ang parehong mga pamantayan.

Ano ang Nabigo sa Kaso ng OpenAI

Pinangalanan ng multa na €15 milyon ang mga tiyak na agwat. Bawat isa ay naimamapa sa isang nawawalang teknikal na kontrol.

Legal na batayan ng training data: Tinanggihan ng Garante ang "legitimate interest" bilang batayan para sa training sa data ng gumagamit. Nangangailangan ng explicit na pahintulot o batayan ng kontrata ang AI training sa personal na data. Ang pag-angkin ng "legitimate interest" lamang ay hindi pumapasa.

Transparency: Hindi sinabihan ang mga gumagamit kung paano ginagamit ang kanilang data para sa training. Wala silang malinaw na opt-out.

Pag-verify ng edad: Maaaring ma-access ng mga menor de edad ang ChatGPT nang walang pag-check ng edad. Tinatrato ito ng Garante bilang mahigpit na panuntunan para sa mga consumer AI tool.

Pangunahing implikasyon: Ang anumang sistema ng AI na tumatanggap ng input ng gumagamit sa Italy ay dapat may dokumentadong legal na batayan ng GDPR. Ang "legitimate interest" ay may mataas na panganib.

Mga Italian National Identifier

Ang Italy ay may natatanging mga format ng ID. Madalas na nami-miss ang mga ito ng mga generic na tool. Dapat saklawin ng iyong detection stack ang lahat ng tatlo.

Codice Fiscale

Ang codice fiscale ay isang 16-character na national ID. Nag-e-encode ito ng mga tunog ng apelyido, mga tunog ng pangalan, petsa ng kapanganakan, kasarian, at lugar ng kapanganakan. Ang huling karakter ay isang check digit.

Natuklasan ng teknikal na pagsusuri ng Garante noong 2024 na nakaka-detect ang mga generic na NLP tool ng codice fiscale sa 67% ng oras lamang. Ang pangunahing kabiguan: nagtutugma ang mga tool sa 16-character na pattern ngunit nilalaktawan ang lohika ng check digit. Nagbubunga sila ng mga false positive. Hindi rin ma-verify ng mga tool na nilalaktawan ang mga panuntunan sa pag-encode ng pangalan ang mga kasalukuyang code.

Tatlong bagay ang kailangan ng mahusay na pag-detect:

  • Buong check character algorithm
  • Mga panuntunan sa pagkuha ng titik ng apelyido at pangalan
  • Pagsubok laban sa tunay na lokal na data

Partita IVA

Ang partita IVA ay ang 11-digit na business VAT number ng Italy. Ang huling digit ay isang check digit. Lumalabas ito sa mga invoice, kontrata, at liham ng negosyo. Dapat patakbuhin ng iyong tool ang check digit algorithm, hindi lamang tumugma sa isang 11-digit na pattern.

Tessera Sanitaria

Ang health card (tessera sanitaria) ay nagtatago ng codice fiscale bilang bahagi ng code nito. Ang data ng kalusugan ay special-category sa ilalim ng GDPR Article 9. Nagpapataas iyon ng kinakailangang antas ng pag-iingat.

Mga Kinakailangan ng Garante para sa Mga Tool ng AI

Sinasaklaw ng gabay ng Garante ang tatlong lugar.

Bago ang pagpoproseso ng AI: Ang PII ay dapat mahanap at alisin bago pumasok ang data sa isang sistema ng AI. Para sa mga tool ng AI na ginagamit sa Italy — kasama ang mga browser extension at MCP server — nangangahulugan ito ng pag-strip ng mga codici fiscali, partite IVA, at data ng kalusugan mula sa mga prompt bago ipadala. Tingnan ang aming gabay sa pagsunod para sa paraan ng pag-record ng hakbang na ito.

Para sa AI training: Kinakailangan ang explicit na legal na batayan. Ang pahintulot ang preferred na batayan ng Garante para sa training sa nilalaman ng gumagamit. Nangangailangan ang "legitimate interest" ng nakasulat na balancing test. Dapat ipakita ng pagsubok na iyon na ang layunin ng training ay hindi nagpapalabis sa mga karapatan ng data ng mga gumagamit.

Para sa mga output ng AI: Ang mga sistema na sumusulat ng nilalaman tungkol sa mga tunay na tao ay dapat tugunan ang panganib ng mga maling pahayag. Pinangalanan ng Garante ang gawa-gawang personal na data bilang isang natatanging panganib na nangangailangan ng teknikal na solusyon.

Ang 63% na Agwat sa Enterprise

Natuklasan ng pagsisiyasat ng Garante noong 2024 na 63% ng mga Italian na kumpanya ay walang GDPR-aligned na patakaran sa AI. Ginawa ng awtoridad ang agwat na ito na isang aktibong pokus ng pag-audit.

Mahirap ipagtanggol ang isang patakaran nang walang mga teknikal na kontrol. Tinatarget ng Garante ang mga kumpanyang umaasa sa mga kawani na mag-self-police ng paggamit ng data. Ipinapakita ng aming pangkalahatang-ideya ng seguridad kung paano sinusuportahan ng automated na mga kontrol ang nakasulat na patakaran.

Apat na Kontrol para sa Pagsunod sa Garante

1. Pre-submission PII filtering

I-strip ang codice fiscale, partita IVA, at data ng tessera sanitaria bago maabot ng input ang anumang modelo ng AI. Ito ang pangunahing teknikal na solusyon na hinihingi ng lohika ng kaso ng Garante.

2. Italian-language NER

Gumamit ng named entity model na sinanay sa Italian na teksto. Halimbawa, spaCy it_core_news. Nami-miss ng mga generic na modelo na sinanay sa English ang mga Italian na pattern ng pangalan. Tingnan ang aming gabay sa multilingual na pag-detect ng PII para sa pagpili ng modelo.

3. Dokumentasyon ng legal na batayan

Para sa bawat tool ng AI na ginagamit: isulat ang legal na batayan. Kung kasangkot ang training, idagdag ang balancing test. I-store ang mga ito kung saan mabilis na mahanap ng mga auditor.

4. Audit trail

I-log na tumakbo ang pag-filter, aling mga uri ng entity ang natuklasan, at ano ang tinanggal. Binibigyan nito ng ebidensya ang mga inspektor nang hindi kinakailangan ng matagal na manual na pagsusuri.

Mga Pinagkukunan

Mga Kaugnay na Artikulo

GDPR & Pagsunod

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Pagsunod

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Pagsunod

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Handa nang protektahan ang iyong data?

Simulan ang anonymization ng PII gamit ang 285+ uri ng entidad sa 48 wika.

Simulan ang Libreng PagsubokTingnan ang Mga Tampok

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.