MacroambienteWeb scraping: un nuovo rischio per i dati personali?

Web scraping: un nuovo rischio per i dati personali?

La Corte di Giustizia e l'AGCOM cercano di porre un freno al web scraping, ossia al rastrellamento dei dati personali operato online.

Web scraping: un nuovo rischio per i dati personali?

Com’è noto, i supporti di memorizzazione digitale hanno del tutto rivoluzionato le modalità di raccolta, conservazione ed organizzazione di dati e informazioni, ma hanno anche esposto una mole incalcolabile di dati personali all’odiosa pratica del web scraping, ovverosia il rastrellamento del web mediante software programmati per individuare, memorizzare catalogare le informazioni in questione.

Per comprendere le problematiche che questo fenomeno genera, occorre anzitutto premettere che mentre nell’epoca pre-digitale l’attività di ricerca prima e archiviazione poi delle informazioni riversate su supporto cartaceo richiedeva lente e complesse attività di catalogazione manuale, oggi l’organizzazione dei dati è praticamente alla portata di chiunque abbia un pc, essendo agevole rinvenire in rete (anche gratuitamente) tool appositi, ovverosia software in grado di indicizzare rapidamente ed in maniera estremamente efficace ogni genere di file.

DATABASE, uno strumento ormai imprescindibile

Tutto ciò rappresenta sicuramente uno straordinario strumento non solo per l’archiviazioneprivata” (foto, video, musica, ecc.) ma soprattutto per quella professionale: si pensi, ad esempio, al software Italgiure sviluppato dal Ministero della Giustizia e che consente a magistrati e dipendenti degli uffici giudiziari di individuare con estrema rapidità gli orientamenti delle Supreme Corti relativi ad una specifica problematica giuridica, così da agevolare l’esatta osservanza e l’uniforme interpretazione del diritto.

Si pensi pure alle analisi statistiche che società specializzate realizzano dopo aver provveduto all’analisi dei dati in loro possesso al fine di evidenziare determinati trend di mercato: noto, in tal senso, è il report ISTAT sull’andamento dell’inflazione basato sulla rilevazione delle variazioni dei prezzi di un dato paniere di beni.

In assoluto, poi, è essenziale per le aziende nella predisposizione del proprio business plan condurre un’attenta attività di analisi, profilazione e classificazione della clientela esistente e potenziale nonché del mercato su cui si intende operare.

Nell’ambito di questo fenomeno centrale è il ruolo di Internet. La Rete, infatti, per un verso aumenta esponenzialmente le potenzialità applicative delle aggregazioni di dati già realizzate, ad esempio consentendo un accesso immediato ai database (come nell’esempio di Italgiure), ma per altro verso – e soprattutto – agevola la creazione stessa dei database, rendendo estremamente più agevole la ricerca e l’organizzazione delle informazioni già allocate in ordine sparso nel mare magnum del web.

Indicizzazione, web scraping e database

I profili di criticità, tuttavia, emergono allorché ci si sofferma a riflettere sulle modalità con cui avviene la raccolta di queste informazioni, giacché è possibile che ciò avvenga in maniera occulta, ovverosia senza che i titolari dei dati personali “rastrellati si accorgano di alcunché. Il fenomeno in questione è definito, non a caso, web scraping (dall’inglese to scrap, rastrellare) o, con un’espressione coniata dall’AGCOM, “pesca online a strascico“.

Si tratta, come si accennava, essenzialmente dell’utilizzo di script bot che scandagliano automaticamente un numero elevatissimo di siti “fecondi”, nei quali cioè è possibile rinvenire dati di interesse (principalmente dati personali).

Occorre però intendersi: quel che viene realizzato non ha nulla a che fare con i (frequenti) furti di informazioni realizzati con attacchi hacker, giacché i dati rastrellati sono già liberamente accessibili. L’elemento peculiare di questi software, infatti, è quello di provvedere ad una programmata e sistematica ispezione della Rete, al fine di raccogliere i dati in questione per poi organizzarli alla bisogna. Si può dire, con estrema semplificazione, che questi applicativi eseguano in maniera ciclica ed automatizzata operazioni di “copia&incolla” estese ad un numero elevatissimo di siti così da riuscire a realizzare veri e propri database. Peraltro si tratta di una tecnica che, considerata in sé, non ha nulla di illegale o fraudolento ma, anzi, rappresenta lo strumento attraverso il quale operano usualmente i motori di ricerca per poter garantire quella indicizzazione sfruttata quotidianamente da ogni utente della Rete allorché esegue una ricerca in rete.

Quale protezione per i titolari dei database?

Tutto in regola, quindi? Non proprio. È chiaro, infatti, come, anche a prescindere dalle ipotesi  (che qui non si rilevano) di divulgazione abusiva di contenuti riservati, il web scraping (a differenza della mera indicizzazione effettuata dai motori di ricerca) è idoneo a ledere gli interessi patrimoniali e non patrimoniali di alcuni soggetti.

Occorre precisare, infatti, che molto spesso l’interesse a contrastare i fenomeni di web scraping non è solamente del titolare dei dati, ma anche di quei soggetti che – investendo risorse economiche anche ingenti – effettuano un trattamento lecito dei dati in questione, avendo ottenuto il consenso dei titolari e rispettando i dettami del codice della privacy (D. Lgs. 196/2003). Costoro chiaramente ricevono un danno economico dal fatto che le informazioni che hanno “acquistato” siano comodamente trafugate da terzi per scopi di lucro.

Proprio in un caso simile, infatti, nel 2015 la Corte di Giustizia dell’Unione Europea (procedimento C- 30/14) ha confermato la compatibilità con il diritto dell’Unione di quelle clausole contrattuali con cui un soggetto (nel caso di specie si trattava di una compagnia aerea) vieta l’utilizzo da parte di terzi delle informazioni contenute nel proprio sito Internet per scopi commerciali, consentendone la consultazione e la fruizione al solo consumatore (nel caso di specie, ad esempio, per eseguire e modificare prenotazioni dei voli).

Dunque, una prima strategia di contrasto al web scraping può essere messa in campo attraverso una adeguata regolamentazione delle condizioni di utilizzo del sito: se all’interno di esse viene proibito l’utilizzo di software scraper crawler, il soggetto che li impieghi potrà essere citato in giudizio e costretto a risarcire il danno cagionato ed essere condannato ad astenersi per il futuro dalla condotta in questione, se del caso attraverso la predisposizione da parte del giudice di sanzioni automatiche per ogni giorno o per ogni ipotesi di violazione successiva (art. 614-bis c.p.c).

QUALE PROTEZIONE PER I TITOLARI DEI DATI?

Tale forma di tutela, tuttavia, mira a difendere principalmente (se non esclusivamente) gli interessi patrimoniali dei gestori dei database.

Come inquadrare invece il fenomeno dal punto di vista dei diritti dei titolari dei dati? Di norma, posto che nel nostro ordinamento il trattamento dei dati personali è soggetto al principio della imprescindibilità del consenso del relativo titolare, la presenza in Rete dei dati implica che se ne stia realizzando un trattamento. Ciò non significa, però, che ciascuno possa appropriarsene, giacché – salvo diversa pattuizione – la validità del consenso è ovviamente limitata al trattamento effettuato da un determinato soggetto e per determinati scopi.

Ecco, dunque, perché nel febbraio 2016 il Garante per la privacy (AGCOM) – riservandosi di applicare successivamente anche una sanzione amministrativa – è intervenuto a censurare una fattispecie di rastrellamento sistematico e indiscriminato di dati e informazioni relativi addirittura a 12 milioni di soggetti.

Nel caso di specie, infatti, si trattava di informazioni organizzate al fine di creare degli elenchi telefonici ed il Garante ha ribadito come le società, interessate a fornire tali servizi di indicizzazione, debbano utilizzare un’apposita fonte, ovverosia un archivio elettronico che raccoglie numeri di telefono e altri dati dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile che viene denominato data base unico (dbu).

Diversamente, se le società interessate ritengono di non avvalersi del dbu, occorrerà che esse procedano all’acquisizione individuale del consenso dei titolari dei dati personali, fornendo ovviamente agli interessati tutte le indicazioni (e le garanzie) prescritte della legge e recentemente rafforzate dal nuovo Regolamento UE in materia di protezione dei dati personali.


Marco Fiorillo
A cura di: Marco Fiorillo Autore Inside Marketing
© RIPRODUZIONE RISERVATA E' vietata la ripubblicazione integrale dei contenuti

Corsi Formazione

Tutti i corsi
Le vostre Opinioni