Com’è noto, nel mese di dicembre 2023, il Garante per la Protezione dei Dati Personali ha avviato un’indagine esplorativa sul fenomeno del web scraping. Sulla base dei risultati emersi da queste indagini, quest’oggi ha pubblicato delle linee guida utili per i privati al fine di difendere i propri dati personali.
Secondo quanto dichiarato dal Garante, «in attesa di pronunciarsi, al termine delle istruttorie in corso tra cui quella riguardante OpenAI, sulla legittimità del web scraping di dati personali basato sul legittimo interesse, l’Autorità ha ritenuto necessario fornire ai soggetti che pubblicano dati personali online in qualità di titolari del trattamento alcune prime indicazioni sull’opportunità di effettuare valutazioni per adottare misure idonee a prevenire o almeno ostacolare il web scraping».
Tra le misure suggerite dal Garante ci sono:
– la creazione di aree riservate accessibili solo previa registrazione, per rimuovere i dati dalla pubblica disponibilità;
– l’inserimento di clausole anti-scraping nei termini di servizio dei siti web;
– il monitoraggio del traffico verso le pagine web per individuare flussi anomali di dati in entrata e uscita;
– l’adozione di interventi specifici sui bot utilizzando soluzioni tecnologiche messe a disposizione dalle stesse società responsabili del web scraping (ad esempio, modifiche al file robots.txt).
Il Garante specifica che queste misure non sono obbligatorie e che i titolari del trattamento devono valutare, in base al principio di accountability, se implementarle per prevenire o mitigare selettivamente gli effetti del web scraping. Questa valutazione deve tener conto dello stato dell’arte tecnologico e dei costi di attuazione, soprattutto per le PMI.
Il Garante, con la nota in oggetto, intende fornire delle prime indicazioni sul fenomeno della raccolta massiva di dati personali dal web per finalità di addestramento dei modelli di intelligenza artificiale generativa (c.d. IAG). Il documento pubblicato concerne esclusivamente dati personali oggetto di diffusione in quanto pubblicati su siti web e piattaforme online e tiene conto dei contributi ricevuti dall’Autorità nell’ambito dell’indagine conoscitiva in materia di web scraping, deliberata con provvedimento del 21 dicembre 2023 (pubblicato nella Gazzetta Ufficiale n. 14 del 18 gennaio 2024).
Il Garante ricorda che i titolari del trattamento dei dati personali resi disponibili online devono effettuare valutazioni caso per caso, considerando la natura, l’ambito di applicazione, il contesto e le finalità dei dati personali trattati, nonché le specifiche normative di tutela applicabili (come la normativa sul diritto d’autore), lo stato dell’arte tecnologico e i costi di attuazione, specialmente per le PMI.
Il documento pubblicato propone cautele per prevenire o mitigare selettivamente l’attività di web scraping per finalità di addestramento di modelli di intelligenza artificiale generativa. Le possibili misure suggerite includono la creazione di aree riservate, l’inserimento di clausole contrattuali anti-scraping, il monitoraggio del traffico di rete e l’implementazione di verifiche CAPTCHA per contrastare l’operatività dei bot.
Il Garante sottolinea l’importanza di adottare misure adeguate per proteggere i dati personali dall’uso illegittimo, in conformità con le disposizioni del GDPR, inclusi gli obblighi di sicurezza previsti dall’art. 32 del Regolamento.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Sul margine di discrezionalità delle autorità garanti nell’infliggere sanzioni - Settembre 27, 2024
- Il parere del Garante sul decreto di recepimento della direttiva CER - Settembre 13, 2024
- Firmata la Convenzione quadro del Consiglio d’Europa sull’intelligenza artificiale - Settembre 5, 2024
- Il Parlamento UE emana un documento informativo di sintesi dell’AI Act - Settembre 2, 2024
- Il parere del Garante Privacy sullo schema di disegno di legge in materia di intelligenza artificiale - Agosto 9, 2024