L'EDPB fa luce sull'anonimizzazione e sullo scraping web per l'IA generativa e adotta la versione finale delle linee guida sulla blockchain

  • EDPB News

Bruxelles, 8 luglio – Nel corso della sua ultima sessione plenaria, l'EDPB ha adottato orientamenti sull'anonimizzazione e orientamenti sul web scraping nel contesto dell'IA generativa. Inoltre, il Consiglio ha adottato la versione finale delle sue linee guida sul trattamento dei dati personali attraverso le tecnologie blockchain.

Comprensione dei dati anonimi

I nuovi orientamenti dell'EDPB apportano chiarezza alla nozione di dati anonimi, tenendo conto anche della sentenza della Corte di giustizia dell'UE nella causa C-413/23 P, GEPD/SRB, del 4 settembre 2025, e di altre sentenze della CGUE.

Gli orientamenti segnano una tappa significativa nel chiarire la nozione di dati anonimi, stabilendo norme chiare che facilitano l'uso dei dati, tutelando nel contempo i diritti fondamentali delle persone.

Nell'elaborare tali orientamenti, abbiamo incorporato preziosi contributi provenienti dal nostro evento con le parti interessate, dimostrando, ancora una volta, il nostro forte impegno a favore del dialogo collaborativo, come indicato nella dichiarazione di Helsinki dell'EDPB.

Presidente dell'EDPB, Anu Talus

I dati sono anonimi se non si riferiscono a una persona fisica identificata o identificabile. Se questo sia il caso può variare da un'entità all'altra.

Le informazioni possono riguardare una persona a causa del loro contenuto, scopo o effetto. L’esistenza di un siffatto nesso potrebbe non essere immediatamente evidente e richiedere un’ulteriore analisi.

Un individuo è considerato "identificato o identificabile" se può essere distinto dagli altri in un contesto specifico utilizzando mezzi ragionevolmente suscettibili di essere utilizzati in un modo che consenta di trattarli in modo diverso. La ragionevole probabilità che i mezzi siano utilizzati dipenderà dal punto di vista dell'entità pertinente e dovrebbe essere valutata alla luce di tutti i fattori oggettivi.

Gli orientamenti forniscono inoltre alle organizzazioni un quadro pratico per determinare se l'anonimizzazione ha successo. Il quadro può essere applicato in due modi: valutando le differenze di capacità tra coloro che potrebbero identificare la persona ("approccio contestuale") o, per semplicità, non tenendo conto di tali differenze ("approccio semplificato"), se il titolare del trattamento sceglie di farlo. L'approccio contestuale riflette tutte le sfumature dello standard giuridico per l'anonimizzazione. L'approccio semplificato può andare oltre lo standard giuridico e può indurre un titolare del trattamento che effettua l'anonimizzazione a trattare i dati come se non fossero anonimi anche se lo sarebbero effettivamente per alcuni soggetti pertinenti, ma tale approccio può essere più conveniente e fornire maggiore fiducia nel fatto che i dati siano effettivamente anonimi.

Il framework utilizza 3 criteri per verificare se i dati sono anonimi: 1) nessun isolamento della registrazione, 2) nessun collegamento , e 3) nessuna deduzione. Se tutti e 3 i criteri sono soddisfatti, i dati possono essere considerati anonimi. Se uno di questi criteri non è soddisfatto, è necessario effettuare un'ulteriore analisi per determinare se i dati possono essere considerati anonimi.

Gli orientamenti saranno oggetto di consultazione pubblica fino al 30 ottobre 2026, offrendo ai portatori di interessi l'opportunità di formulare osservazioni e fornire riscontri.

Chiarire le implicazioni del web scraping in materia di protezione dei dati per lo sviluppo dell'IA

Il web scraping è un processo automatizzato di estrazione dei dati su larga scala che spesso opera senza che le persone ne siano consapevoli e che può comportare rischi significativi per la protezione dei loro dati personali. Nei suoi orientamenti sul web scraping nel contesto dell'IA generativa*, il comitato chiarisce vari aspetti della conformità al GDPR del web scraping, tra cui la base giuridica per tali attività e le condizioni alle quali categorie particolari di dati possono essere trattate in tale contesto.

Il GDPR si applica al web scraping quando comprende operazioni di trattamento dei dati personali, quali la raccolta, la conservazione, l'organizzazione e il recupero.

Quando si fa affidamento sul web scraping, occorre prestare particolare attenzione al principio di limitazione delle finalità e al principio di trasparenza. Tuttavia, a seconda di come il trattamento dei dati è progettato con precisione, il responsabile del trattamento potrebbe non dover informare personalmente le persone se ciò si rivela impossibile o richiede uno sforzo eccessivo.

L'EDPB raccomanda di raschiare i dati solo da fonti affidabili, registrare la marcatura temporale e convalidare i dati prima di utilizzarli nell'addestramento sull'IA per garantire il rispetto del principio di accuratezza. Gli orientamenti forniscono inoltre consulenza sulle misure che il titolare del trattamento dovrebbe attuare per rispettare il principio della minimizzazione dei dati.

Sulla base del parere dell'EDPB sui modelli di IA, gli orientamenti forniscono ulteriori chiarimenti ed esempi sull'uso della base giuridica dell'interesse legittimo nel contesto specifico del web scraping per la formazione in materia di IA.

Infine, l'EDPB ricorda che il trattamento di categorie particolari di dati personali è in linea di principio vietato. Se il web scraping comporta tali dati, sono necessari sia una base legale ai sensi dell'articolo 6 del GDPR che un'eccezione ai sensi dell'articolo 9, paragrafo 2, del GDPR. L'EDPB suggerisce che la sentenza della Corte nella causa GC & a. (C-136/17) possa essere pertinente per la raccolta accidentale o residua di categorie particolari di dati personali, a condizione che il titolare del trattamento agisca nell'ambito delle sue "responsabilità, poteri e capacità" e attui misure tecniche e organizzative adeguate per impedire la raccolta e la diffusione di tali dati. Il comitato sottolinea che non vi è alcuna esenzione generale dai requisiti di cui all’articolo 9 del RGPD e che ogni caso deve essere valutato individualmente per determinare se si applichi il ragionamento della Corte.

Gli orientamenti saranno oggetto di consultazione pubblica fino al 30 ottobre 2026, offrendo ai portatori di interessi l'opportunità di formulare osservazioni e fornire riscontri.

Linee guida Blockchain finalizzate dopo consultazione pubblica

A seguito di una consultazione pubblica, l'EDPB ha adottato la versione finale delle sue linee guida sulle tecnologie blockchain. Le linee guida aiutano le organizzazioni che utilizzano tecnologie blockchain a rispettare il GDPR. L'EDPB spiega come funzionano le blockchain, valutando le diverse architetture possibili e le loro implicazioni per il trattamento dei dati personali.

In linea con l'obiettivo della dichiarazione di Helsinki di rafforzare il dialogo con i portatori di interessi, il comitato ha anche pubblicato una relazione sull'esito della consultazione pubblica dedicata, nonché una versione degli orientamenti che tiene conto delle modifiche apportate.

Nota per gli editori: 
L'IA generativa è una tecnologia che mira a creare nuovi contenuti imparando modelli dai dati esistenti. Utilizza modelli di machine learning specializzati progettati per produrre un'ampia e generale varietà di output come testo, immagine o audio.

Si tratta di una traduzione automatica che potrebbe contenere errori. Non sostituisce la versione ufficiale in inglese.

Relevant topics
Anonimizzazione/pseudonimizzazione
Intelligenza artificiale
Tecnologia
Responsabilizzazione
Principi di base

Latest news

  • EDPB News

EDPB and AMLA to develop Joint Guidelines on partnerships for information sharing

  • EDPB News

One-Stop-Shop case digest on right to object and right to erasure updated

  • EDPB News

Supporting GDPR consistency: EDPB launches dedicated form