🇮🇹 Italia

Italia: anonimizzazione dei dati personali che non lascia mai il dispositivo

Rilevamento conforme al Garante dei campi tipicamente italiani — Codice Fiscale, Partita IVA, IBAN, tessera sanitaria, numero di carta d'identità — interamente offline, senza cloud, senza upload.

In breve

L'Italia applica il GDPR insieme a una legge nazionale propria. Il Garante per la protezione dei dati personali vigila su entrambi. Le sanzioni arrivano fino a 20 milioni di euro. Oppure fino al 4% del fatturato mondiale annuo. anonym.plus gira solo sul vostro dispositivo. Nessun documento va in rete. Nessun server nel mezzo. L'app riconosce Codice Fiscale, Partita IVA, IBAN e altro. Sostituisce, oscura o cifra i dati sul posto. Così non esiste un rischio di trasferimento. Questo riduce il lavoro di verifica. Questo abbassa il rischio legale. Questo tiene i dati dove devono stare: da voi.

Chi tratta dati personali in Italia opera in un contesto regolatorio rigoroso, dove il GDPR si affianca a una normativa nazionale di attuazione, e dove il Garante per la protezione dei dati personali è tra le autorità europee più attive in materia di enforcement — incluso il caso, ampiamente noto, del blocco temporaneo di ChatGPT nel marzo 2023 per carenze sulla base giuridica del trattamento, poi seguito da una sanzione a OpenAI a fine 2024. Per aziende, studi professionali, strutture sanitarie e pubbliche amministrazioni, questo significa che documenti contenenti Codice Fiscale, Partita IVA, IBAN o dati sanitari vanno trattati con particolare attenzione prima di essere archiviati, condivisi o inseriti in sistemi esterni, incluse le applicazioni di intelligenza artificiale. Le sezioni seguenti descrivono l'autorità competente, i campi italiani che anonym.plus riconosce e perché l'elaborazione esclusivamente locale è la risposta più semplice alle regole italiane sul trasferimento dei dati.

Autorità di controllo in Italia

In Italia la vigilanza sulla protezione dei dati personali è affidata a un'unica autorità nazionale indipendente.

Garante per la protezione dei dati personali

Autorità: Garante per la protezione dei dati personali (Garante Privacy)

Base giuridica: Regolamento (UE) 2016/679 (GDPR) e Codice in materia di protezione dei dati personali, D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018

Sanzioni: fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, secondo l'Art. 83(5) GDPR

Ambito: imprese, liberi professionisti, enti pubblici e soggetti che trattano dati su territorio italiano o rivolti a interessati in Italia

Codice Privacy — legge nazionale

Norma: D.Lgs. 196/2003, "Codice in materia di protezione dei dati personali", come modificato dal D.Lgs. 101/2018 per l'adeguamento al GDPR

Funzione: utilizza le clausole di apertura del GDPR — ad esempio su trattamento dei dati sanitari, ambito giudiziario e specifiche misure nazionali di attuazione

Effetto pratico: le organizzazioni italiane devono rispettare GDPR e Codice Privacy congiuntamente, non solo il regolamento europeo

Enforcement e vigilanza

Attività: il Garante pubblica provvedimenti, linee guida e istruttorie su temi che spaziano dai dati sanitari all'intelligenza artificiale

Precedente noto: nel marzo 2023 il Garante ha disposto la limitazione provvisoria del trattamento dati da parte di OpenAI per ChatGPT

Segnalazione violazioni: l'Art. 33 GDPR impone la notifica di una violazione di dati personali entro 72 ore dalla scoperta

Tipi di dati personali italiani

anonym.plus rileva 340+ tipi di entità PII, inclusi i seguenti identificativi italiani che gli strumenti generici in lingua inglese spesso non riconoscono.

EntitàFormato / DescrizioneNota sulla verifica
Codice Fiscale16 caratteri alfanumerici, es. RSSMRA87R12A123K — genera cognome, nome, data e luogo di nascita, sessoContiene un carattere di controllo finale; l'algoritmo esatto non viene qui asserito con certezza
Partita IVA11 cifre numeriche assegnate a imprese e liberi professionistiFormato a lunghezza fissa con cifra di controllo; il rilevamento avviene per pattern numerico
IBAN (conto bancario italiano)27 caratteri: IT + 2 cifre di controllo + CIN + ABI + CAB + numero di contoCifre di controllo secondo lo standard internazionale IBAN (ISO 7064, MOD 97-10)
Numero carta d'identitàFormato cartaceo (es. AB1234567) o elettronico (CIE, 9 caratteri alfanumerici)Riconoscimento tramite pattern di formato; senza asserzione di uno specifico algoritmo di controllo
Tessera sanitaria / numero TEAM20 caratteri alfanumerici sul retro della tessera, associata al Servizio Sanitario NazionaleRiconoscimento per formato e contesto documentale
Patente di guida10 caratteri alfanumerici, formato armonizzato UEPattern di formato conforme al modello europeo
Targa veicoloFormato attuale: 2 lettere + 3 cifre + 2 lettere (es. AB 123 CD)Corrispondenza di pattern regex
Telefono / e-mailNumerazione italiana (+39) e sintassi standard degli indirizzi e-mailVerifica tramite regex e contesto
Indirizzo postaleVia, numero civico, CAP a 5 cifre, città e provinciaRiconoscimento NLP con confronto su elenco toponimi

Prima/dopo: l'anonimizzazione in pratica

Una frase di esempio come quelle che compaiono in fatture, contratti o fascicoli — prima e dopo l'anonimizzazione locale con anonym.plus.

Originale
Contratto per Mario Rossini, Codice Fiscale RSSMRA87R12A123K, Partita IVA 12345678901, residente a 00100 Roma. Tessera sanitaria: 12345678901234567890.
↓ in locale, sul dispositivo ↓
Anonimizzato
Contratto per [NOME], Codice Fiscale [FISCAL_CODE], Partita IVA [VAT_ID], residente a [CAP] [CITTA]. Tessera sanitaria: [HEALTH_CARD_ID].

Disposizioni GDPR chiave per l'anonimizzazione

Art. 4(1) — Dati personali

Definisce cosa costituisce un dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile. Questa definizione determina se un documento rientra o meno nell'ambito del GDPR.

Art. 5(1)(c) — Minimizzazione dei dati

I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento. Anonimizzare prima di condividere con terzi o sistemi di IA è un'attuazione diretta di questo principio.

Art. 9 — Categorie particolari di dati

Dati sanitari, biometrici e altre categorie sensibili sono soggetti a un divieto di trattamento di base, con eccezioni limitate. Tessera sanitaria e informazioni sanitarie nei documenti rientrano tipicamente in questa categoria.

Art. 17 — Diritto alla cancellazione

Gli interessati possono richiedere la cancellazione dei propri dati. Un'anonimizzazione efficace e irreversibile soddisfa spesso questo requisito in modo equivalente, quando la cancellazione completa non è tecnicamente praticabile.

Art. 32 — Sicurezza del trattamento

Richiede misure tecniche e organizzative adeguate al rischio; pseudonimizzazione e cifratura sono espressamente citate come esempi di misura all'Art. 32(1)(a).

Art. 44-49 — Trasferimenti verso paesi terzi

Disciplinano le condizioni per il trattamento di dati personali al di fuori dell'UE/SEE — decisione di adeguatezza, clausole contrattuali standard o deroghe specifiche. È esattamente questo capitolo a non applicarsi quando non avviene alcun trasferimento.

Il vantaggio offline: nessun trasferimento, nessun rischio

"Non c'è alcuna questione di trasferimento — i dati non lasciano mai il dispositivo."

Il Garante limita rigorosamente il trasferimento transfrontaliero dei dati e impone una minimizzazione coerente ai sensi dell'Art. 5(1)(c) GDPR. È proprio per questo che gli strumenti PII basati su cloud devono verificare decisioni di adeguatezza, clausole contrattuali standard o accordi di trattamento dati prima che un documento lasci la propria infrastruttura.

anonym.plus non può violare queste regole di trasferimento per il semplice fatto che nessun documento lascia il dispositivo. Il rilevamento e l'anonimizzazione avvengono interamente in locale: Presidio e spaCy sono inclusi nell'installer, non ci sono chiamate API per il riconoscimento del testo, e nessuna chiamata di rete in uscita fin dalla progettazione — puoi verificarlo tu stesso disconnettendo completamente la rete e confermando che l'anonimizzazione continua a funzionare. Dove è prevista la cifratura, avviene localmente con AES-256-GCM — la chiave resta presso di voi.

Il risultato: nessun accordo di trattamento dati con terzi, nessuna verifica di trasferimento extra-UE, nessun fornitore cloud nella catena. Solo l'app, il documento e il vostro dispositivo.

Inizia ora

Scarica anonym.plus come app desktop per Windows, macOS e Linux. Piano gratuito disponibile, licenze una tantum senza abbonamento a partire da 149 €.