Il presente contributo si pone l’obiettivo di analizzare le potenziali criticità poste dal c.d. web-scraping sul diritto alla privacy, descrivendo in cosa consiste e in che modo può potenzialmente ledere i principi sanciti dal GDPR. Sono evidenziate, infine, due recenti orientamenti in merito.
Di Gian Marco Bovenzi
Che cos’è il web-scraping?
La tecnica del c.d. “web-scraping” (letteralmente “rastrellamento del web”) consiste in un particolare procedimento informatico attraverso il quale, per mezzo dell’utilizzo di bots, un internauta (spesso un’azienda) è in grado di estrapolare dati personali, pubblicamente disponibili, contenuti in rete. Tali dati vengono poi “duplicati” e immagazzinati in separati database, e successivamente utilizzati per diverse finalità, quali, a titolo esemplificativo, di comparazione di prezzi per determinati beni o servizi nei siti web aggregatori, ovvero di mera utilizzazione per analisi di mercato o finalità di marketing più in generale.
Pur non essendo illegittimo per se, il web-scraping può, potenzialmente, prestare il fianco a scopi illeciti: si pensi al furto di contenuto coperto da diritti d’autore o di informazioni riservate, al furto di prezzi, o ancora semplicemente per scopi di accesso abusivo a sistemi informatici o di computer misuse.
Web-scraping e diritto alla privacy
Al di là dei potenziali risvolti illeciti del web-scraping, è interessante analizzare quali sono le criticità del web-scraping quando questo non ha finalità illecite. In particolare, fungendo da meccanismo aggregatore di dati e contenuti estrapolati da siti internet per finalità principalmente di marketing, il principale tema di analisi è la potenziale violazione delle norme di privacy ex Reg. UE n. 679/2016 (GDPR). Se è vero, infatti, che da un lato i dati contenuti nei siti web sono stati, a monte, presumibilmente raccolti in maniera conforme al GDPR, con l’esplicita prestazione del consenso da parte dell’interessato al trattamento, dall’altro, pur se i dati in questione vengono lecitamente trattati su uno specifico sito internet, non per questo può darsi per assodata la liceità di un trattamento che miri ad estenderne la finalità: circostanza, questa, propria del web-scraping, nella misura in cui è in grado “espandere” la pubblicizzazione e la utilizzabilità di dati personali al di là delle finalità per le quali il trattamento era stato inizialmente consentito. Infatti, la duplicazione, da parte di scrapers o di aziende interessate per finalità commerciali, di dati personali già presenti su internet al fine di inserirli un separato database, rischia di violare le disposizioni del GDPR, in particolar modo i principi di limitazione della finalità, di minimizzazione, e di esattezza e conservazione di cui all’articolo 4, nonché le disposizioni dell’art. 14, laddove gli interessati al trattamento dovrebbero essere specificamente informati se i loro dati non sono stati ottenuti presso l’interessato e trattati di conseguenza.
In aggiunta, ulteriori criticità si pongono laddove l’aggregazione dei dati da siti web sia effettuata da uno Stato all’altro, e quindi con riguardo alle disposizioni degli artt. 44 e seguenti GDPR circa il trasferimento dati in paesi terzi o organizzazioni internazionali.
La posizione della giurisprudenza e del Garante
Sul punto è interessante analizzare le – poche, invero – pronunce in merito. Nel 2019, il Tribunale di Roma ha sancito come la liceità della tecnica del web-scraping sia subordinata al fatto che non venga “duplicato” l’intero database di informazioni, e al fatto che i dati duplicati possano essere consultati su richiesta specifica dell’utente. Al contrario, con provvedimento n. 52 del 2018, il Garante della Privacy ha bocciato l’utilizzo del web-scraping con fine di prelevare dati sensibili da siti internet (anche se disponibili su elenchi pubblici) per poi ri-pubblicarli, duplicati, in separati database.
Pur se lo scetticismo del Garante parrebbe, a prima occhiata, giustificato dal fatto che oggetto dello scraping fossero dati sensibili, in realtà non sussisterebbe una grande differenza rispetto alle altre tipologie di dati trattabili. La criticità, nella tecnica del web-scraping, non è infatti tanto la connotazione sensibile o meno del dato, bensì la concreta capacità di tale tecnica di estendere irragionevolmente il trattamento del dato personale, con potenziale lesioni dei principi di limitazione delle finalità e minimizzazione indipendentemente dalla sensibilità del dato.