l'analisi

Web scraping: le nuove linee guida EDPB per l’era dell’AI generativa



Indirizzo copiato

L’European Data Protection Board ha adottato le nuove linee guide per il web scraping nel contesto dell’AI generativa, aperte alla consultazione pubblica fino a fine ottobre di quest’anno. L’obiettivo è quello di fornire indicazioni più che operative con lo stile sempre chiaro ed esemplificativo tipico delle linee guida del Board. Vediamo meglio

Pubblicato il 9 lug 2026

Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista



web scraping linee guida EDPB
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti


L’European Data Protection Board ha reso noto lo scorso 7 luglio 2026 di aver pubblicato le Linee guida 03/2026 sul web scraping nel contesto dell’AI generativa, ponendole in consultazione pubblica fino al 30 ottobre 2026.

Il tema è caldo e non di meno controverso, dal momento che è sempre più frequente, per lo sviluppo dei modelli di AI, la raccolta massiva di dati disponibili online per attività di training e fine-tuning.

La lente dell’EDPB si preoccupa delle implicazioni in termini di protezione dati. Spieghiamo meglio.

EDPB e web scraping di modelli di AI generativa: le principali novità

Dalla lettura delle Linee guida in disamina, le principali novità che emergono riguardano anzitutto una definizione puntuale e precisa del web scraping quale “tecnica automatizzata utilizzata per estrarre e conservare informazioni da servizi web pubblicamente disponibili, come registri pubblici, testate giornalistiche e social media”.

Si tratta di una tecnica finalizzata a estrarre grandi quantità di dati da servizi web accessibili al pubblico, e in quanto tale impattante in termini di protezione dati.

Con la lente privacy, infatti, è un’attività di trattamento su larga scala spesso all’insaputa degli utenti/interessati, con evidenti rischi privacy.

Così nasce l’esigenza di queste Linee guida dal cui contenuto in estrema sintesi emergono più tipologie di scraping, mirato e non mirato; contenuti oggetto di scraping, statici e dinamici; fasi del processo di scraping.

Lato organizzazione, le linee guida in parola contemplano due scenari in particolare, e quando l’Organizzazione effettua direttamente attività di scraping/incarica un terzo di farla al fine di sviluppare un modello di IA generativa; ovvero quando acquisisce e riutilizza un dataset già oggetto di scraping da parte di un terzo.

Le conseguenze sono distinte, nell’un caso l’attenzione – in termini di protezione dati – sarà capire come viene svolta l’attività di scraping e se incarica un terzo dovrà essere scelto (quale responsabili) con determinate caratteristiche (ex art. 28 GDPR).

Nell’altro caso, le problematiche in termini di privacy discendenti dall’acquisizione di un data set già soggetto a scraping da parte di un terzo, richiederà attente valutazioni sugli output prodotti se conformi alla normativa di settore.

EDPB e web scraping sui modelli di AI, lato GDPR

Il GDPR certamente si applica al web scraping ogniqualvolta lo stesso fenomeno comporti operazioni di trattamento dei dati personali (come la raccolta, la conservazione, l’organizzazione e il recupero, ecc.) né più né meno come qualsiasi altra attività implicante un trattamento di dati personali.

Troveranno applicazione tutte le dinamiche privacy e quindi i ruoli privacy (titolare o responsabile del trattamento) sul cui punto, si legge nel documento, “nel processo di raccolta dei dati finalizzato alla creazione di un set di dati per l’addestramento dell’AI possono essere coinvolte diverse Organizzazioni, con vari gradi di coinvolgimento”; la ricerca di una valida base giuridica, e ancor prima il rispetto dei principi (art. 5).

Non di meno, come vedremo, la messa a terra di adeguate misure di sicurezza e conseguenti adempimenti. Il tutto naturalmente andrà valutato caso per caso, e in base al contesto di riferimento. La regola d’ora, consueta e arcinota.

Principali criticità del web scraping sui modelli di AI

Una prima ma certa criticità attenzionata dall’EDPB con riferimento al fenomeno in questione, è dettata dall’informativa agli interessati.

Infatti, a seconda di come sia strutturato il trattamento dei dati, il titolare “non sempre potrebbe essere tenuto a informare individualmente gli interessati in merito al web scraping qualora la fornitura delle informazioni risulti impossibile o richieda uno sforzo sproporzionato”.

Altra criticità risiede nella difficoltà di minimizzare i dati. Sappiamo al riguardo che il titolare del trattamento è chiamato ad attuare “misure volte a garantire che vengano raccolti solo i dati necessari per la finalità prevista”.

Tali misure potrebbero ad esempio consistere nel:

  • valutare, prima della raccolta dei dati, l’utilizzo di dati sintetici anziché di dati personali;
  • definire criteri di raccolta precisi;
  • effettuare un processo di mappatura e inventario dei dati;
  • applicare filtri per escludere la raccolta di determinate categorie di dati;
  • escludere dalla raccolta i siti web contenenti strutturalmente determinati tipi di dati.

Le raccomandazioni per le organizzazioni

L’EDPB dedica poi una sezione in cui suggerisce come gestire in maniera conforme in termini di protezione dati, la raccolta dei dati, applicando ad esempio “meccanismi di filtraggio basati sulla sintassi e, ove fattibile, sostituire alcuni o tutti i dati reali con dati sintetici, oppure rendere i dati anonimi o pseudonimizzati”.

Circa l’accuratezza dei dati, l’EDPB raccomanda poi di“effettuare lo scraping da fonti affidabili, di contrassegnare i dati con data e ora e di convalidarli prima di utilizzarli nell’addestramento dell’IA”.

La scelta della base giuridica

Dal punto di vista del presupposto di liceità, oltre al consenso è l’interesse legittimo (art. 6, par. 1, lett. f) GDPR, la base giuridica che spesso viene utilizzata dai soggetti privati per lo scraping finalizzato all’addestramento dell’AI generativa, purché siano soddisfatte tre condizioni cumulative:

  • il perseguimento di un interesse legittimo da parte del titolare del trattamento o di un terzo;
  • la necessità di trattare i dati personali ai fini degli interessi legittimi perseguiti;
  • e il fatto che gli interessi o i diritti fondamentali della persona interessata dalla protezione dei dati non prevalgano sull’interesse legittimo del titolare del trattamento o di un terzo (il cd “test di bilanciamento”).

Nell’ambito dell’ultimo punto, l’EDPB ricorda ancora che i titolari possono attuare misure tecniche o organizzative volte a mitigare eventuali rischi individuati nel contesto del web scraping per l’AI generativa.

Le misure di sicurezza

Tra le misure di mitigazione l’EDPB si sofferma su quelle volte a garantire che determinate categorie di dati non vengano raccolte o che determinate fonti siano escluse per impostazione predefinita dalla raccolta dei dati; nonché a limitare la raccolta ai soli dati liberamente accessibili.

Non solo, l’EDPB raccomanda anche al titolare la messa in atto di garanzie che contribuiscano a una maggiore trasparenza, che agevolino l’esercizio dei diritti degli interessati; la cancellazione o l’anonimizzazione dei dati personali il prima possibile e la pseudonimizzazione dei dati personali.

Non meno rilevanti sono anche altre misure relative alle fasi successive dello sviluppo dell’AI, come l’adozione di misure che limitino i rischi di memorizzazione, riproduzione o attacco dei modelli o dei sistemi di AI.

Le pratiche vietate

Dalla lettura delle linee guida in disamina capiamo ancora che in linea di principio il trattamento di categorie particolari di dati è vietato.

Al riguardo, l’EDPB richiama la sentenza della Corte nella causa GC e altri (C-136/17) è rilevante nella misura in cui “la raccolta incidentale e residuale, da parte di un titolare del trattamento, di categorie particolari di dati personali nel contesto del web scraping finalizzato all’addestramento di un modello di IA, nell’ambito delle sue responsabilità, dei suoi poteri e delle sue capacità, qualora il titolare del trattamento attui misure tecniche e organizzative volte a impedire la raccolta e la diffusione dei dati”.

È evidente che perché tale impostazione in materia di raccolta incidentale e residuale di dati sensibili, possa valere dopo un’attenta valutazione caso per caso.

Conclusioni

In conclusione, nel solco dell’innovazione in atto, il web scraping nell’addestramento di modelli di AI non è un fenomeno certamente trascurabile, e nell’attuale contesto e ancora di più lato protezione dati.

Le organizzazioni dovranno attrezzarsi con un impianto non solo documentale ma sistemico ricordando che, in caso di set di dati «misti» (che includono sia dati personali che non personali), le attività di web scraping potranno essere avviate ma in modo tale da garantire il rispetto dei principi/requisiti del GDPR, prevedendo adeguate misure di sicurezza nonché di salvaguardia a tutela dei dati personali per facilitarne la conformità al GDPR, sì evitando di violare i diritti delle persone. Una partita non banale.

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Articoli correlati

0
Lascia un commento, la tua opinione conta.x