Il Garante Privacy vieta il web scraping. L’Autorità per la protezione dei dati ha infatti sanzionato il portale Trovanumeri.com per aver rastrellato utenze online, per creare elenchi. Le violazioni affliggono 26 milioni di utenti.
“Con il provvedimento dello scorso 17 maggio”, commenta Anna Cataleta, Senior Partner P4I – Partners4Innovation, “il Garante ha vietato al gestore del sito web a creazione e la diffusione su Internet di un elenco telefonico tramite web scraping, ossia, in poche parole, una tecnica che permette l’estrazione di dati da uno o più siti web attraverso programmi software dedicati“.
In ambito advertising via mail, il link per disiscriversi non è inoltre sufficiente per bypassare il mancato consenso degli utenti.
“Il provvedimento dell’Autorità Garante per la protezione dei dati personali sul web scraping”, aggiunge Sergio Aracu, avvocato, Founding Partner di Area Legale, “ribadisce alcuni concetti fondamentali”. Ecco quali.
Indice degli argomenti
Web scraping vietato, serve idonea base di legittimità
I concetti fondamentali che il Garante Privacy sottolinea “sono due”, secondo Sergio Aracu, “ecco quali:
- chi affida le proprie informazioni di contatto al web, lo fa per finalità che non sono necessariamente quella di ricevere comunicazioni di marketing o, anche peggio, vederli finire in un elenco, quindi indicizzati ed ulteriormente diffusi;
- raccogliere dati di contatto per formare elenchi, da utilizzare successivamente, con finalità di marketing, è illecito. Così come lo è diffondere tali dati sotto forma di elenco (ed è questo uno dei passaggi fondamentali del provvedimento)”.
Il motivo è che “per trattare dati personali c’è bisogno di una idonea base di legittimità”, spiega Sergio Aracu: “Questa base, se si vuole effettuare marketing mediante comunicazioni indesiderate, si rinviene solo tra quelle previste dalla Direttiva E-Privacy 2002/58/CE (quindi consenso o presenza di taluni dati di contatto su pubblici elenchi)”.
Inoltre, “è illecita”, mette in evidenzia Aracu, “poiché il codice della privacy espressamente prevede che per costituire degli elenchi telefonici generici si debba necessariamente passare per il Data Base Unico (Dbu)“.
Infatti, “attualmente”, ricorda Anna Cataleta, “la normativa in vigore non permette la creazione di elenchi telefonici generici non estratti dal DBU, il database unico contenente i numeri telefonici e i dati identificativi dei clienti di tutti gli operatori di telefonia fissa e mobile in Italia e che non siano conformi alle decisioni adottate dal Garante e da Agcom”.
Così è possibile “garantire, come correttamente rileva il Garante, tale fonte, essendo alimentata e aggiornata direttamente dagli operatori che offrono servizi di telefonia, è l’unica in grado di garantire la correttezza e l’aggiornamento dei dati oltre a documentare la volontà degli interessati di renderli pubblici”, avverte Aracu.
Le violazioni emerse
Nel caso in esame, è alto il numero di richieste di intervento rivolte al Garante sulla pubblicazione non autorizzata di nomi, indirizzi, numeri di telefono, anche di titolari di utenze riservate.
Gli accertamenti dell’Autorità hanno inoltre rilevato che il titolare del sito non aveva un’idonea base normativa per trattare i dati. Sul sito erano assenti le indicazioni per contattare il titolare del trattamento.
Mancava anche la possibilità di far cancellare i dati in caso di mancato funzionamento dell’apposito form. E, nella breve informativa privacy pubblicata, latitava il nominativo dell’intestatario del sito, la cui identificazione ha infatti costretto a svolgere indagini lunghe e complesse.
Dai controlli effettuati dall’Autorità sono infatti emerse una serie di violazioni “quali la mancanza di una base giuridica idonea per trattare i dati, la mancanza sul sito delle informazioni necessarie per contattare il responsabile del trattamento, così come l’impossibilità di richiedere la cancellazione dei dati in caso di malfunzionamento del modulo apposito”, spiega Anna Cataleta: “Anche l’informativa sulla privacy pubblicata sul sito era insufficiente poiché non riportava l’identità del titolare del sito, che è stata oggetto di indagini approfondite”.
La sanzione del Garante Privacy al sito per Web scraping
L’Authority ha comminato una multa pari a 60 mila euro alla ditta individuale, recidiva. Infatti aveva già ricevuto una multa nel 2022 per un’analoga violazione.
Infatti, “in questo caso la violazione risulta particolarmente grave in quanto, anzitutto, viola quanto previsto dalla legge e in primis dall’art. 129 del Codice”, conferma Anna Cataleta, “arrecando un considerevole pregiudizio agli interessati i cui dati personali sono stati diffusi online. In secondo luogo, a rilevare è senza dubbio l’elevato numero di soggetti coinvolti, circa 26 milioni di utenti, nonché il perdurare del trattamento illecito che si è protratto per diversi anni, dal 2012 per la precisione, senza interruzioni. La condotta, inoltre, risulta essere dolosa, poiché il titolare non solo ha ignorato intenzionalmente le norme in materia di protezione dei dati, ma ha completamente ignorato anche quanto gli aveva intimato l’Autorità con un precedente provvedimento del 2022 non adottando misure correttive prescritte“.
“È evidente”, conferma Sergio Aracu, “che la posizione dell’Autorità Garante debba trovare riverbero rispetto a tutta l’attività di web scraping, quindi anche rispetto ai dati di contatto diversi dai numeri di telefono e, quindi, gli indirizzi email”.
“Il provvedimento ribadisce infine l’importanza delle disposizioni di cui al titolo X del codice privacy
“, conclude Anna Cataleta, “nonché la necessità di estrarre i dati per formare gli elenchi telefonici esclusivamente dal DBU, essendo questa l’unica fonte in grado di garantire la correttezza dei dati e la documentazione del consenso espresso“.
