In breve
L'Italia applica il GDPR insieme a una legge nazionale propria. Il Garante per la protezione dei dati personali vigila su entrambi. Le sanzioni arrivano fino a 20 milioni di euro. Oppure fino al 4% del fatturato mondiale annuo. anonym.plus gira solo sul vostro dispositivo. Nessun documento va in rete. Nessun server nel mezzo. L'app riconosce Codice Fiscale, Partita IVA, IBAN e altro. Sostituisce, oscura o cifra i dati sul posto. Così non esiste un rischio di trasferimento. Questo riduce il lavoro di verifica. Questo abbassa il rischio legale. Questo tiene i dati dove devono stare: da voi.
Chi tratta dati personali in Italia opera in un contesto regolatorio rigoroso, dove il GDPR si affianca a una normativa nazionale di attuazione, e dove il Garante per la protezione dei dati personali è tra le autorità europee più attive in materia di enforcement — incluso il caso, ampiamente noto, del blocco temporaneo di ChatGPT nel marzo 2023 per carenze sulla base giuridica del trattamento, poi seguito da una sanzione a OpenAI a fine 2024. Per aziende, studi professionali, strutture sanitarie e pubbliche amministrazioni, questo significa che documenti contenenti Codice Fiscale, Partita IVA, IBAN o dati sanitari vanno trattati con particolare attenzione prima di essere archiviati, condivisi o inseriti in sistemi esterni, incluse le applicazioni di intelligenza artificiale. Le sezioni seguenti descrivono l'autorità competente, i campi italiani che anonym.plus riconosce e perché l'elaborazione esclusivamente locale è la risposta più semplice alle regole italiane sul trasferimento dei dati.
Autorità di controllo in Italia
In Italia la vigilanza sulla protezione dei dati personali è affidata a un'unica autorità nazionale indipendente.
Garante per la protezione dei dati personali
Autorità : Garante per la protezione dei dati personali (Garante Privacy)
Base giuridica: Regolamento (UE) 2016/679 (GDPR) e Codice in materia di protezione dei dati personali, D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018
Sanzioni: fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, secondo l'Art. 83(5) GDPR
Ambito: imprese, liberi professionisti, enti pubblici e soggetti che trattano dati su territorio italiano o rivolti a interessati in Italia
Codice Privacy — legge nazionale
Norma: D.Lgs. 196/2003, "Codice in materia di protezione dei dati personali", come modificato dal D.Lgs. 101/2018 per l'adeguamento al GDPR
Funzione: utilizza le clausole di apertura del GDPR — ad esempio su trattamento dei dati sanitari, ambito giudiziario e specifiche misure nazionali di attuazione
Effetto pratico: le organizzazioni italiane devono rispettare GDPR e Codice Privacy congiuntamente, non solo il regolamento europeo
Enforcement e vigilanza
Attività : il Garante pubblica provvedimenti, linee guida e istruttorie su temi che spaziano dai dati sanitari all'intelligenza artificiale
Precedente noto: nel marzo 2023 il Garante ha disposto la limitazione provvisoria del trattamento dati da parte di OpenAI per ChatGPT
Segnalazione violazioni: l'Art. 33 GDPR impone la notifica di una violazione di dati personali entro 72 ore dalla scoperta
Tipi di dati personali italiani
anonym.plus rileva 340+ tipi di entità PII, inclusi i seguenti identificativi italiani che gli strumenti generici in lingua inglese spesso non riconoscono.
| Entità | Formato / Descrizione | Nota sulla verifica |
|---|---|---|
| Codice Fiscale | 16 caratteri alfanumerici, es. RSSMRA87R12A123K — genera cognome, nome, data e luogo di nascita, sesso | Contiene un carattere di controllo finale; l'algoritmo esatto non viene qui asserito con certezza |
| Partita IVA | 11 cifre numeriche assegnate a imprese e liberi professionisti | Formato a lunghezza fissa con cifra di controllo; il rilevamento avviene per pattern numerico |
| IBAN (conto bancario italiano) | 27 caratteri: IT + 2 cifre di controllo + CIN + ABI + CAB + numero di conto | Cifre di controllo secondo lo standard internazionale IBAN (ISO 7064, MOD 97-10) |
| Numero carta d'identità | Formato cartaceo (es. AB1234567) o elettronico (CIE, 9 caratteri alfanumerici) | Riconoscimento tramite pattern di formato; senza asserzione di uno specifico algoritmo di controllo |
| Tessera sanitaria / numero TEAM | 20 caratteri alfanumerici sul retro della tessera, associata al Servizio Sanitario Nazionale | Riconoscimento per formato e contesto documentale |
| Patente di guida | 10 caratteri alfanumerici, formato armonizzato UE | Pattern di formato conforme al modello europeo |
| Targa veicolo | Formato attuale: 2 lettere + 3 cifre + 2 lettere (es. AB 123 CD) | Corrispondenza di pattern regex |
| Telefono / e-mail | Numerazione italiana (+39) e sintassi standard degli indirizzi e-mail | Verifica tramite regex e contesto |
| Indirizzo postale | Via, numero civico, CAP a 5 cifre, città e provincia | Riconoscimento NLP con confronto su elenco toponimi |
Prima/dopo: l'anonimizzazione in pratica
Una frase di esempio come quelle che compaiono in fatture, contratti o fascicoli — prima e dopo l'anonimizzazione locale con anonym.plus.
Disposizioni GDPR chiave per l'anonimizzazione
Art. 4(1) — Dati personali
Definisce cosa costituisce un dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile. Questa definizione determina se un documento rientra o meno nell'ambito del GDPR.
Art. 5(1)(c) — Minimizzazione dei dati
I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento. Anonimizzare prima di condividere con terzi o sistemi di IA è un'attuazione diretta di questo principio.
Art. 9 — Categorie particolari di dati
Dati sanitari, biometrici e altre categorie sensibili sono soggetti a un divieto di trattamento di base, con eccezioni limitate. Tessera sanitaria e informazioni sanitarie nei documenti rientrano tipicamente in questa categoria.
Art. 17 — Diritto alla cancellazione
Gli interessati possono richiedere la cancellazione dei propri dati. Un'anonimizzazione efficace e irreversibile soddisfa spesso questo requisito in modo equivalente, quando la cancellazione completa non è tecnicamente praticabile.
Art. 32 — Sicurezza del trattamento
Richiede misure tecniche e organizzative adeguate al rischio; pseudonimizzazione e cifratura sono espressamente citate come esempi di misura all'Art. 32(1)(a).
Art. 44-49 — Trasferimenti verso paesi terzi
Disciplinano le condizioni per il trattamento di dati personali al di fuori dell'UE/SEE — decisione di adeguatezza, clausole contrattuali standard o deroghe specifiche. È esattamente questo capitolo a non applicarsi quando non avviene alcun trasferimento.
Il vantaggio offline: nessun trasferimento, nessun rischio
"Non c'è alcuna questione di trasferimento — i dati non lasciano mai il dispositivo."
Il Garante limita rigorosamente il trasferimento transfrontaliero dei dati e impone una minimizzazione coerente ai sensi dell'Art. 5(1)(c) GDPR. È proprio per questo che gli strumenti PII basati su cloud devono verificare decisioni di adeguatezza, clausole contrattuali standard o accordi di trattamento dati prima che un documento lasci la propria infrastruttura.
anonym.plus non può violare queste regole di trasferimento per il semplice fatto che nessun documento lascia il dispositivo. Il rilevamento e l'anonimizzazione avvengono interamente in locale: Presidio e spaCy sono inclusi nell'installer, non ci sono chiamate API per il riconoscimento del testo, e nessuna chiamata di rete in uscita fin dalla progettazione — puoi verificarlo tu stesso disconnettendo completamente la rete e confermando che l'anonimizzazione continua a funzionare. Dove è prevista la cifratura, avviene localmente con AES-256-GCM — la chiave resta presso di voi.
Il risultato: nessun accordo di trattamento dati con terzi, nessuna verifica di trasferimento extra-UE, nessun fornitore cloud nella catena. Solo l'app, il documento e il vostro dispositivo.
Inizia ora
Scarica anonym.plus come app desktop per Windows, macOS e Linux. Piano gratuito disponibile, licenze una tantum senza abbonamento a partire da 149 €.