A riguardo, va dunque premesso che il web scraping è una tecnica informatica che consente di estrarre dati personali di vario genere dal web senza che i soggetti interessati ne siano a conoscenza. Ciò avviene tramite l’utilizzo di sofisticati software che simulano la navigazione umana e la memorizzazione in appositi archivi di immagini e altre informazioni pubblicati sui social network, video ecc.
Mediante tale tecnica, alcune aziende hanno creato dei veri e propri database con miliardi di profili (contenenti i dati biometrici delle persone rilevati dalle immagini sul web, accompagnati spesso da altre informazioni, come ad esempio i dati anagrafici o la geo-localizzazione) e sviluppato delle piattaforme di riconoscimento facciale che consentono la ricerca per comparazione di determinate immagini all’interno di questi archivi.
Siffatti servizi di ricerca, in particolare, non sono accessibili al pubblico ma sono stati sviluppati al fine di agevolare le indagini di polizia e di contrastare la delinquenza.
Tanto introduttivamente chiarito, deve evidenziarsi come il Garante della Privacy, con il provvedimento innanzi citato, abbia rilevato la non compatibilità di tale pratica con il GDPR.
L’attività, in particolare, risulta illegittima quando:
- il trattamento dei dati biometrici avviene senza un’adeguata base giuridica;
- il trattamento risulti violativo degli obblighi di trasparenza, che imporrebbero alla società di informare adeguatamente gli utenti;
- il trattamento risulti violativo del principio di finalità, che impedirebbe di utilizzare i dati degli utenti per fini differenti rispetto a quelli che ne avevano giustificato la pubblicazione online;
- il trattamento risulti violativo del principio della limitazione della conservazione, che impedirebbe di conservare i dati personali sine die.
Per tali ragioni, il Garante ha dunque affermato chiaramente che “la raccolta di dati personali liberamente disponibili in Internet mediante tecniche di web scraping costituisce un trattamento di dati personali che deve trovare legittimazione in una delle basi giuridiche previste dall’art. 6 del Regolamento”.
Nell’affermare tale principio, peraltro, il Garante ha ricordato altresì come:
- il Parlamento Europeo, in data 6 ottobre 2021, abbia approvato una risoluzione in tema di intelligenza artificiale e il suo utilizzo da parte delle autorità di polizia e giudiziarie in ambito penale, con la quale è stato proposto alla Commissione europea di introdurre un divieto permanente dell'utilizzo dei sistemi di analisi e/o riconoscimento automatici negli spazi pubblici del volto, delle impronte digitali, del DNA, della voce ecc.: l’utilizzo di tecnologie di riconoscimento facciale, infatti, deve essere conforme ai principi di minimizzazione, esattezza, limitazione della finalità e della conservazione, integrità e sicurezza;
- il Governo italiano abbia previsto, all’interno del c.d. decreto capienze (D.L. n. 139/2021, convertito nella L. n. 205/2021), una moratoria dei sistemi biometrici di riconoscimento facciale in luoghi pubblici o aperti al pubblico fino al 31 dicembre 2023, ad eccezione, tuttavia, dei trattamenti effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati.
