VEDI ANCHE:

- Provvedimento del 20 maggio 2024

Web scraping ed intelligenza artificiale generativa - Nota informativa

- Avviso di indagine conoscitiva in materia di webscraping (18 gennaio 2024)

- English version

Intelligenza artificiale: dal Garante privacy le indicazioni per difendere i dati personali dal web scraping

Il Garante privacy ha pubblicato le indicazioni per difendere i dati personali pubblicati online da soggetti pubblici e privati in qualità di titolari del trattamento dal web scraping, la raccolta indiscriminata di dati personali su internet, effettuata, da terzi, con lo scopo di addestrare i modelli di Intelligenza artificiale generativa (IAG). Il documento tiene conto dei contributi ricevuti dall’Autorità nell’ambito dell’indagine conoscitiva, deliberata lo scorso dicembre.

In attesa di pronunciarsi, all’esito di alcune istruttorie già avviate tra le quali quella nei confronti di OpenAI, sulla liceità del web scraping di dati personali effettuato sulla base del legittimo interesse, l’Autorità ha ritenuto necessario fornire a quanti pubblicano online dati personali in qualità di titolari del trattamento talune prime indicazioni sull’esigenza di compiere alcune valutazioni in ordine all’esigenza di adottare accorgimenti idonei a impedire o, almeno, ostacolare il web scraping.

Nel documento l’Autorità suggerisce alcune tra le misure concrete da adottare: la creazione di aree riservate, accessibili solo previa registrazione, in modo da sottrarre i dati dalla pubblica disponibilità; l’inserimento di clausole anti-scraping nei termini di servizio dei siti; il monitoraggio del traffico verso le pagine web per individuare eventuali flussi anomali di dati in entrata e in uscita; interventi specifici sui bot utilizzando, tra le altre, le soluzioni tecnologiche rese disponibili dalle stesse società responsabili del web scraping (es: l’intervento sul file robots.txt.).

Si tratta di misure non obbligatorie che i titolari del trattamento dovranno valutare, sulla base del principio di accountability, se mettere in atto per prevenire o mitigare, in maniera selettiva, gli effetti del web scraping, in considerazione di una serie di elementi: lo stato dell’arte tecnologico; i costi di attuazione, in particolare per le PMI.

Il provvedimento, consultabile sul sito www.gpdp.it, è in corso di pubblicazione nella Gazzetta Ufficiale.

Roma, 30 maggio 2024

___________

Artificial Intelligence: the Italian Data Protection Authority Issues Guidance to Protect Personal Data from Web Scraping

The Italian Data Protection Authority (Garante per la protezione dei dati personali, GPDP) has issued guidance on how to protect personal data published online by public and private entities in their capacity as data controllers from web scraping, i.e. the indiscriminate collection of personal data on the internet, carried out by third parties for the purpose of training generative artificial intelligence (GAI) models. The guidance reflects the contributions obtained by the Garante as part of its fact-finding investigation, approved last December.

While waiting to decide – following the outcome of a number of investigations already under way, including the one against OpenAI - on the lawfulness of web scraping of personal data performed on the basis of legitimate interest, the Garante deemed it necessary to provide data controllers who publish personal data online with initial guidance on the need to adopt appropriate security measures to prevent or, at least, hinder web scraping.

In the guidance document, the Garante suggests a number of concrete measures to be adopted: the creation of reserved areas, accessible only upon registration, so as to remove data from public availability; the inclusion of anti-scraping clauses in the terms of service of websites; the monitoring of traffic to web pages, so as to identify any abnormal flows of incoming and outgoing data; the implementation of specific measures against bots using, among others, the technological solutions made available by the same companies responsible for web scraping (e.g.: intervening on the robots.txt file).

These measures are not mandatory and data controllers shall assess, based on the principle of accountability, whether to implement them to prevent or mitigate, in a selective manner, the effects of web scraping, taking into account a number of elements such as the latest technology developments and the costs of implementation, in particular for SMEs.

The document, available at www.gpdp.it, is currently being published in the Official Gazette of the Italian Republic.

Rome, 30 May 2024