TUTELA DEI DATI PERSONALI
Comitato europeo per la protezione dei dati personali: con le Linee Guida 3/2026 su web scra-ping e IA generativa, l’EDPB chiarisce quando il trattamento è conforme al GDPR.
L’EDPB ha adottato nuove Linee guida dedicate al web scraping utilizzato per lo sviluppo e l’addestramento di sistemi di intelligenza artificiale generativa, con l’obiettivo di chiarire le principali implicazioni privacy di una pratica sempre più diffusa.
Il web scraping consiste nell’estrazione automatizzata, spesso su larga scala, di dati disponibili online. Questa attività può avvenire senza che gli interessati ne siano consapevoli e può comportare rischi significativi per i loro diritti, soprattutto quando i dati raccolti vengono successivamente conservati, organizzati, analizzati o utilizzati per l’addestramento di modelli di IA.
L’EDPB chiarisce anzitutto che il GDPR trova applicazione ogni volta che il web scraping comporta operazioni su dati personali, quali raccolta, registrazione, conservazione, organizzazione, consultazione o recupero delle informazioni. La circostanza che i dati siano pubblicamente accessibili non li sottrae quindi, di per sé, alla disciplina europea sulla protezione dei dati.
Particolare attenzione deve essere prestata ai principi di limitazione della finalità e di trasparenza. Il titolare deve definire con precisione perché i dati vengono raccolti e verificare che il loro successivo utilizzo per l’addestramento dell’IA sia compatibile con tale finalità. Quanto agli obblighi informativi, l’EDPB riconosce che, in alcuni casi, informare individualmente tutti gli interessati può risultare impossibile o richiedere uno sforzo sproporzionato. Tale esenzione, tuttavia, non opera automaticamente e deve essere valutata alla luce delle concrete caratteristiche del trattamento.
Le Linee guida richiamano inoltre il principio di esattezza. L’EDPB raccomanda di acquisire dati soltanto da fonti affidabili, di registrare il momento in cui le informazioni sono state raccolte e di verificarne la correttezza prima dell’utilizzo nei dataset di addestramento. Ciò è particolarmente importante perché dati inesatti, obsoleti o decontestualizzati possono incidere sulla qualità del modello e produrre risultati erronei o lesivi per gli interessati.
Un ulteriore profilo centrale riguarda il principio di minimizzazione. Il titolare dovrebbe limitare la raccolta ai dati realmente necessari, adottare filtri preventivi, escludere categorie non pertinenti, definire criteri selettivi di acquisizione e prevedere misure tecniche e organizzative volte a ridurre il volume di dati personali trattati.
Le Linee guida sviluppano anche il tema della base giuridica. Riprendendo le indicazioni già contenute nel parere dell’EDPB sui modelli di IA, il Comitato fornisce chiarimenti sull’utilizzo del legittimo interesse ai sensi dell’articolo 6, paragrafo 1, lettera f), GDPR. Il titolare deve individuare un interesse legittimo concreto, dimostrare che il trattamento è necessario per perseguirlo e svolgere un effettivo bilanciamento con i diritti e le libertà degli interessati. La mera utilità economica o tecnica del web scraping non è sufficiente a giustificare automaticamente il trattamento.
Particolarmente delicato è il trattamento delle categorie particolari di dati personali. L’EDPB ricorda che il loro trattamento è, in linea di principio, vietato. Quando il web scraping intercetta dati relativi, ad esempio, alla salute, alle opinioni politiche, alla religione, all’origine etnica o all’orientamento sessuale, il titolare deve disporre sia di una base giuridica ai sensi dell’articolo 6 GDPR sia di una specifica condizione di liceità prevista dall’articolo 9, paragrafo 2.
Il Comitato richiama la sentenza della Corte di giustizia nella causa GC e altri, C-136/17, che potrebbe assumere rilievo nei casi in cui la raccolta di dati particolari sia soltanto incidentale o residuale. Tale impostazione può essere presa in considerazione solo se il titolare opera entro il perimetro delle proprie responsabilità, competenze e capacità e adotta adeguate misure tecniche e organizzative per impedire o limitare la raccolta e la diffusione di tali dati.
L’EDPB precisa però che non esiste alcuna esenzione generale dall’articolo 9 GDPR. Ogni trattamento deve essere valutato singolarmente, considerando la natura dei dati raccolti, la probabilità che emergano categorie particolari, le misure adottate per evitarne l’acquisizione e l’effettiva possibilità di eliminarle o separarle dal dataset.
Le nuove indicazioni sono destinate ad avere un impatto rilevante per sviluppatori di modelli di IA, fornitori di dataset, piattaforme digitali e imprese che utilizzano dati raccolti online: il web scraping non è vietato in quanto tale, ma deve essere progettato in modo selettivo, trasparente e proporzionato, con una preventiva valutazione della base giuridica, della necessità dei dati e dei rischi per gli interessati.
Le Linee guida saranno sottoposte a consultazione pubblica fino al 30 ottobre 2026, consentendo agli operatori del settore di formulare osservazioni e proposte prima dell’adozione definitiva.