Web scraping legale negli USA…e in Italia?
Circola ormai da giorni la notizia che, in una recente pronuncia della Corte d’Appello del Nono circuito degli U.S.A., è stata riconosciuta la legittimità del web scraping, ossia quella tecnica che – attraverso l’utilizzo di un software detto “crawler” – consente di raccogliere tutte le informazioni necessarie per indicizzare in modo automatico le pagine di un sito, analizzare i collegamenti ipertestuali e trovare associazioni tra termini di ricerca e classificarli.
Secondo i giudici statunitensi lo scraping su dati pubblicamente accessibili su Internet non costituisce una violazione del Computer Fraud Abuse Act, la legge federale che disciplina cosa costituisce computer hacking ai sensi della normativa applicabile.
La pronuncia interviene a seguito della diffida di LinkedIn Corporation ad hiQ Labs, società che raccoglie le informazioni pubblicamente accessibili sul noto network (tra cui nome, storia lavorativa, titoli di lavoro e competenze) al fine di produrre un’analisi degli utenti da “rivendere” ai propri clienti.
La vicenda si inserisce nell’ambito della battaglia per la tutela degli utenti portata avanti da LinkedIn, che, al pari di ulteriori tech giant (si pensi a Youtube), vieta il web scraping sulla propria piattaforma, anche in Italia.
Viene allora da chiedersi se in Italia l’utilizzo della tecnica in commento sia legittimo e la risposta, come spesso accade quando ci si pone quesiti giuridici, è “dipende”.
Si possono infatti ipotizzare tanto scenari leciti quanto scenari che collidono, a seconda dei casi, con le diverse normative nazionali ed europee.
Nello specifico, il web scraping non è illegale, per esempio, in alcuni casi in cui lo stesso sia teso a confrontare dati aventi carattere non personale, liberamente accessibili online.
Questo è il caso della vicenda di Trenit, l’app (di proprietà di Gobright Media Ltd) che consente agli utenti di confrontare le tariffe dei treni ad alta velocità. A tale proposito, nota è l’ordinanza del 2019 con cui il Tribunale di Roma ha statuito che la tecnica in commento non viola le legge sul diritto d’autore (L. 633/1941), posto che una volta che una banca dati sia stata resa pubblica nel suo complesso, sono consentite “tutte le attività di estrazione, riproduzione e rielaborazione dei dati contenuti nella banca da parte di tutti gli utenti legittimi […] a condizione che la riutilizzazione e reimpiego dei dati non avvenga in maniera massiccia o riguardi la totalità della banca dati, una parte sostanziale della stessa” (art. 102 bis) ovvero “il reimpiego di parti sostanziali valutati in termini qualitativi e quantitativi (art. 102 ter LDA)”.
Diversamente, si possono immaginare scenari illegittimi (o quantomeno borderline, per dir così) con riferimento, per esempio, a quei casi in cui le informazioni raccolte siano dati personali ai sensi del Regolamento UE 679/2016 (“GDPR”) e siano utilizzati senza una idonea base giuridica.
A tale proposito, nell’ambito del noto caso che visto coinvolta la società statunitense Clearview AI Inc., l’Autorità garante per la protezione dei dati personali ha avuto modo di ribadire che la pubblica disponibilità di dati in Internet non implica, per ciò solo, la legittimità della raccolta, che deve comunque essere sorretta dall’adozione di adeguate garanzie1.
Nel caso esaminato dall’Autorità, invece, Clearview avrebbe raccolto immagini pubblicamente accessibili ed elaborato le stesse con tecniche biometriche per indicizzarle e rendere ricercabili all’interno del proprio database, fruibile tramite una apposita app. Il tutto senza l’individuazione di una idonea base giuridica ai sensi del GDPR.
Anche solo da questa breve disamina, risulta evidente che quello del web scraping è un tema che tocca numerosi interessi, tra cui sicuramente quello delle imprese alla tutela della concorrenza di mercato, da un lato, e quello dei singoli alla tutela dei dati personali, dall’altro.
E se oltreoceano la scelta è stata quella di ritenere prevalente l’interesse pubblico concorrenziale rispetto a quello dei singoli, in Italia (e in Europa in generale) la questione, si è visto, rimane un tema aperto che dovrà (auspicabilmente) formare oggetto di un compiuto vaglio del legislatore.
Ariella Fonsi
1 Sul punto, si leggano Parere 6/2014 del Working Party 29 e le Linee guida 3/2019 sul trattamento di dati personali attraverso dispositivi video dell’European Data Protection Board.
