WEBINAR / 17 settembre
La governance dell’Intelligenza Artificiale


Problematiche implementative e scelte strategiche, fra data governance, organizzazione interna e gestione dei rischi

ZOOM MEETING
Offerte per iscrizioni entro il 27/09


WEBINAR / 17 settembre
La governance dell’Intelligenza Artificiale
www.dirittobancario.it
Flash News

Consultazione EDPB sulle linee guida in materia di web scraping

9 Luglio 2026
Di cosa si parla in questo articolo

EDPB ha pubblicato una consultazione pubblica sulle linee guida da lei redatte in tema di web scraping nel contesto dell’addestramento dell’IA generativa.

Il web scraping consiste in una tecnica utilizzata per estrarre grandi quantità di dati da servizi web accessibili al pubblico. Si tratta di un’attività di elaborazione su larga scala che spesso avviene all’insaputa degli interessati: ciò comporta rischi per i diritti e le libertà delle persone, e in particolare per il loro diritto alla protezione dei dati personali.

Le linee guida in oggetto si concentrano sulle situazioni in cui i dati vengono estratti da fonti Internet, nel contesto dell’addestramento dell’IA generativa.

Il GDPR, si precisa, si applica al web scraping quando questo comporta operazioni di trattamento dei dati personali, quali la raccolta, la conservazione, l’organizzazione e il recupero.

Nel processo di raccolta dei dati per la creazione di un set di dati di addestramento per l’IA possono essere coinvolte diverse organizzazioni, con vari gradi di coinvolgimento. La qualificazione delle organizzazioni coinvolte in ciascun trattamento come titolari del trattamento, contitolari o responsabili del trattamento dovrebbe essere analizzata caso per caso.

La qualificazione dei soggetti coinvolti è fondamentale, poiché ne discendono differenti doveri. In particolare, il titolare del trattamento deve rispettare il principio di limitazione delle finalità, il principio di trasparenza e quello di minimizzazione dei dati.

Per quanto riguarda quest’ultimo principio si evidenzia che include l’obbligo di informare l’interessato in merito al trattamento dei propri dati personali. A seconda di come sia strutturato precisamente il trattamento dei dati, però, il titolare del trattamento potrebbe non essere tenuto a informare individualmente gli interessati in merito al web scraping qualora la fornitura delle informazioni risulti impossibile o richieda uno sforzo sproporzionato.

Per quanto attiene, invece, al rispetto del principio di minimizzazione dei dati, il titolare del trattamento dovrebbe attuare misure volte a garantire che vengano raccolte solo le informazioni necessarie per la finalità prevista.

Tali misure potrebbero essere:

  • prima della raccolta dei dati, valutare l’utilizzo di dati sintetici anziché dati personali
  • definire criteri di raccolta precisi
  • intraprendere un processo di mappatura e inventario dei dati
  • applicare filtri per escludere la raccolta di determinate categorie di dati
  • escludere dalla raccolta i siti web che contengono strutturalmente determinati tipi di dati e i siti web che si oppongono chiaramente allo scraping.

Dopo la raccolta dei dati, il titolare del trattamento potrebbe applicare meccanismi di filtraggio basati sulla sintassi e, ove fattibile, sostituire alcuni o tutti i dati reali con dati sintetici, oppure anonimizzare o pseudonimizzare i dati.

Per garantire l’accuratezza dei dati personali, si raccomanda al titolare del trattamento di effettuare lo scraping da fonti affidabili, di contrassegnare i dati con data e ora e di convalidarli prima di utilizzarli nell’addestramento dell’IA.

La base giuridica dell’interesse legittimo art. 6, par. 1, lett. f) del GDPR – viene spesso utilizzata da soggetti privati per lo scraping a fini di addestramento dell’IA generativa. Affinché, però, l’applicazione della citata base giuridica sia lecita, devono essere soddisfatte tre condizioni cumulative:

  • il perseguimento di un interesse legittimo da parte del titolare del trattamento o di un terzo
  • la necessità di trattare i dati personali ai fini degli interessi legittimi perseguiti
  • che gli interessi o i diritti fondamentali dei soggetti interessati non prevalgano sull’interesse legittimo del titolare del trattamento o di un terzo (c.d. test di bilanciamento).

Nell’effettuare tale test i titolari del trattamento possono attuare misure tecniche o organizzative per mitigare eventuali rischi individuati, tra le quali:

  • garantire che determinate categorie di dati non vengano raccolte o che alcune fonti siano escluse per impostazione predefinita dalla raccolta dei dati
  • limitare la raccolta ai dati liberamente accessibili
  • stabilire garanzie che contribuiscano a una maggiore trasparenza
  • facilitare l’esercizio dei diritti degli interessati
  • cancellare o anonimizzare i dati personali il prima possibile e pseudonimizzare i dati personali.

Il Comitato ricorda, poi, come il trattamento di categorie particolari di dati (ovvero i dati sensibili, come quelli sull’origine razziale, etnica o religiosa, o i dati medici o biometrici) è, in linea di principio, vietato: nell’ipotesi in cui il web scraping comporti il trattamento di tali dati, è richiesta una deroga ai sensi dell’art. 9, par. 2, del GDPR, oltre a una base giuridica ai sensi dell’art. 6 del GDPR.

In tale contesto, EDPB ritiene che i principi di cui alla sentenza della Corte nella causa C-136/17 possano applicarsi alla raccolta incidentale e residuale di categorie di dati personali sensibili nel contesto del web scraping, a condizione che vengano adottate misure tecniche e organizzative volte a impedire la raccolta e la diffusione dei dati.

EDPB sottolinea, però, che ogni caso deve essere valutato individualmente per determinare se la citata pronuncia sia concretamente applicabile.

La consultazione in oggetto sarà aperta fino al 30 ottobre 2026.

Di cosa si parla in questo articolo

WEBINAR / 17 settembre
La governance dell’Intelligenza Artificiale


Problematiche implementative e scelte strategiche, fra data governance, organizzazione interna e gestione dei rischi

ZOOM MEETING
Offerte per iscrizioni entro il 27/09


WEBINAR / 14 Luglio
Violazioni antiriciclaggio e responsabilità verso il cliente


Tra presidi di controllo e obblighi di correttezza e protezione

ZOOM MEETING
Offerte per iscrizioni entro il 23/06