Web scraping: una raccolta di “volti” sul web

Web scraping: una raccolta di “volti” sul web

  • Autore dell'articolo:
  • Tempo di lettura:4 min di lettura

Tecnica compatibile con il GDPR?

Il 10 febbraio 2022 il Garante della Privacy ha emesso un provvedimento, il numero 50, in cui si è ritrovato a far fronte al tema della legittimità della creazione di database contenenti dati personali, quindi dati biometrici, dati anagrafici, geolocalizzazione, attraverso una tecnica informatica: la c.d. web scraping.

Attraverso questa tecnica è possibile estrarre dati personali di vario genere, come suddetto, senza che l’utente ne sia a conoscenza. Dietro questa tecnica, infatti, vi sono sofisticati software che simulano la navigazione umana e la memorizzazione in appositi archivi di immagini, video e altre informazioni pubblicate sui social network.

Questo sistema ha permesso di creare sia dei database, ma anche lo sviluppo di piattaforme di riconoscimento facciale, le quali consentono la ricerca per comparazione di determinate immagini all’interno di questi archivi. Sono servizi non accessibili al pubblico, ma utilizzati soprattutto durante le indagini di polizia e per contrastare la delinquenza.

Il problema però, che si è posto, è semplice: ma questa pratica è compatibile con il GDPR?

web scraping

Il Garante ha ritenuto che la pratica messa in atto è violativa del GDPR. In altri termini, non è compatibile con quanto disposto dal Regolamento 679/2016 quando:

  • Il trattamento dei dati biometrici avviene senza un’adeguata base giuridica;
  • Il trattamento risulti violativo degli obblighi di trasparenza, che imporrebbe alla società di informare adeguatamente gli utenti;
  • Il trattamento risulti violativo del principio di finalità, che impedirebbe di utilizzare i dati degli utenti per fini differenti rispetto a quelli che ne avevano giustificato la pubblicazione online;
  • Il trattamento risulti violativo del principio della limitazione della conservazione, che impedirebbe di conservare i dati personali sine die.

Il Garante, durante l’istruttoria di un caso specifico, ha chiarito anche che la natura pubblica delle immagini non è sufficiente a ritenere che queste siano utilizzate per finalità, ad esempio, di riconoscimento facciale. Aggiungendo anche che la tecnica di web scraping opera senza che gli interessati vi abbiano dato il consenso al trattamento dei propri dati personali.

Infatti, la raccolta di dati personali liberamente disponibili in internet mediante tecniche di web scraping costituisce un trattamento dei dati personali che deve trovare legittimazione in una delle basi giuridiche previste dall’art.6 del Regolamento 679/2016, ossia deve essere compatibile con il principio di liceità.

Quando il trattamento è lecito?

Analizzando l’art.6 GDPR si afferma che il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

  • l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  • il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  • il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Intelligenza Artificiale e provvedimenti legislativi

Il Parlamento Europeo, lo scorso ottobre, ha approvato una risoluzione in tema di intelligenza artificiale e il suo utilizzo da parte delle autorità di polizia e giudiziarie in ambito penale, proponendo alla Commissione europea di introdurre un divieto permanente dell’utilizzo di sistemi di analisi e/o riconoscimento automatici negli spazi pubblici di volto, impronte digitali, DNA, voce, ecc.

Nel nostro ordinamento, invece, il Governo con la promulgazione del c.d. Decreto capienze, ora legge 205/2021, ha previsto uno stop all’installazione di impianti di videosorveglianza con sistemi di riconoscimento facciale in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di privati, fino all’entrata in vigore di una disciplina legislativa della materia e comunque non oltre il 31 dicembre 2023. Ad eccezione, però, dei trattamenti effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati.

Al di là di limiti e sospensioni, quello che il Garante ha voluto ribadire è che l’utilizzo di tecnologie di riconoscimento facciale deve essere conforme ai principi di minimizzazione, esattezza, limitazione della finalità e della conservazione, integrità e sicurezza.

Tag: , , ,