23 Apr Data Scraping: il difficile bilanciamento fra diritti e interessi in gioco
Autori: Jacopo Dirutigliano, Andrea Strippoli, Miriam Andrea Fadda
Il Data Scraping, ossia l’estrazione automatica di informazioni dal codice HTML, è diventato uno strumento onnipresente nell’era digitale. Esso consente la raccolta e l’aggregazione di dati da varie fonti online, facilitando compiti come la comparazione dei prezzi. Una delle principali applicazioni del data scraping, per esempio, avviene attraverso gli aggregatori di ricerca. È il caso di Skyscanner e Booking.com, piattaforme che si affidano allo scraping per raccogliere e presentare i risultati di ricerca di più agenzie di viaggio online. Sebbene questi servizi siano utili agli utenti semplificando il processo di ricerca, spesso i data holder si oppongono a tale utilizzo, considerando lo scraping un’attività che viola i loro diritti.
Tale attività, infatti, interseca profili giuridici nel campo della proprietà intellettuale, della responsabilità contrattuale ed extracontrattuale, della data protection e della concorrenza sleale: conseguentemente, la valutazione della legittimità del data scraping – che in ultimo dipende dalla giurisdizione e dall’eventualità che le informazioni pubbliche siano protette o meno da normative locali – deve tenere in considerazione una molteplicità di profili giuridici. Per esempio, nel campo della proprietà intellettuale, mentre la Corte di Giustizia dell’Unione Europea, nel caso Innoweb[1], ha evidenziato la natura controversa del data scraping definendolo “quasi parassitario” e suggerendo una potenziale violazione dei diritti del database, sentenze successive, come Ryanair v. Viaggiare[2], hanno fornito prospettive più sfumate, riconoscendo che lo scraping da dataset non è di per sé illegale, salvo possibili violazioni dei diritti di proprietà intellettuale.
Profili giuridici
Come anticipato, diversi sono i profili giuridici interessati dal data scraping: vediamo quali.
Responsabilità contrattuale
Le richieste di risarcimento dei data holders nei confronti dei web scrapers spesso si fondano sulla violazione di obblighi contrattuali.
Una sfida nel valutare la legalità del data scraping risiede nell’interpretare i termini di servizio del sito (ToS) e, in particolare, se questi costituiscono contratti esecutivi. La maggior parte delle attività di scraping, che ricade in accordi browsewrap[3], solleva complesse questioni sulla loro applicabilità. I giudici sono spesso stati chiamati a valutare se gli scrapers possano essere ritenuti responsabili della violazione dei ToS che non hanno mai esplicitamente accettato: tale quesito evidenzia, in particolare, la complessità insita nella regolamentazione dei comportamenti online.
Proprietà intellettuale e diritto sui generis
La protezione del database complica ulteriormente il quadro giuridico, specialmente nell’UE. Il diritto dell’UE concede, infatti, una protezione sui generis ai creatori di database sulla base di un criterio di investimento volto all’ottenimento, alla verifica o alla presentazione dei contenuti del database.
La Direttiva 96/9/CE[4] concede diritti esclusivi ai produttori di banche dati, consentendo loro di far pagare l’uso delle banche dati e di selezionare i licenziatari. In tale scenario, lo scraping potrebbe essere considerato lecito sulla base di eccezioni quali le copie temporanee e le disposizioni relative all’estrazione di testi e dati. In tal riguardo, sorgono spesso controversie volte a stabilire se un sito scraped costituisca o meno una banca dati protetta, richiedendo ai giudici di valutare l’investimento e la sostanzialità dell’estrazione.
Data Protection
Le giurisdizioni europee adottano un approccio molto rigoroso per quanto riguarda la protezione dei dati, specialmente qualora si tratti di dati personali. Mentre in UE il diritto d’autore prevede alcune eccezioni per lo scraping (come nella Direttiva sul diritto d’autore nel mercato unico digitale[5] o nella Direttiva sugli open data e il riutilizzo dell’informazione del settore pubblico[6]), il Regolamento generale sulla protezione dei dati (GDPR)[7] impone stringenti vincoli sulle attività di scraping, atteso che i dati pubblici sono comunque soggetti alle disposizioni in materia di data protection. La violazione di tale normativa può comportare l’irrogazione di sanzioni pecuniare molte elevante, come dimostrato dal caso Clearview AI, dove la società in questione fu colta a raccogliere miliardi di immagini per lo sviluppo di un sistema di riconoscimento facciale.
In questo caso, l’autorità per la protezione dei dati personali francese (CNIL)[8] – così come altre autorità[9] – ordinò a Clearview AI di smettere di raccogliere online e utilizzare i dati delle persone per lo sviluppo del suo software di riconoscimento facciale, atteso che la società né aveva ottenuto il consenso per la raccolta, né aveva un interesse legittimo nel condurre tale attività, specialmente considerando la natura particolarmente invasiva del processo. La violazione da parte di Clearview della normativa privacy è stata considerata particolarmente grave, essendo stato stabilito che gli interessati del trattamento non avrebbero potuto neanche aspettarsi che le immagini dei loro volti venissero raccolte online.
In un altro caso, l’Autorità italiana per la protezione dei dati ha sanzionato La Prima SRL[10], un’agenzia immobiliare, dopo che uno dei suoi dipendenti ha acceduto a un registro immobiliare pubblico per contattare su LinkedIn i proprietari di immobili, al fine di confermare la proprietà degli immobili e favorire connessioni tra individui che condividono professioni simili. Nonostante l’azienda si difendesse argomentando che il profilo LinkedIn dei proprietari degli immobili fosse pubblico, l’Autorità ha riscontrato che l’azione del dipendente fu condotta con l’obiettivo di facilitare le vendite immobiliari, contraddicendo gli scopi previsti sia dal registro sia da LinkedIn, e violando così l’articolo 5(1)(b) GDPR.
Nel Regno Unito, l’ICO ha sanzionato la Digital Growth Experts Limited[11] per l’invio di messaggi non richiesti che promuovevano un prodotto igienizzante per le mani senza un valido consenso. L’azienda aveva utilizzato dati raccolti online grazie all’account del suo direttore, senza ottenere però il consenso da parte dei soggetti interessati.
Conclusioni
In conclusione, il data scraping presenta sfide legali ed etiche complesse e multidisciplinari. Sebbene lo scraping offra significativi vantaggi in termini di aggregazione e analisi dei dati, solleva diversi interrogativi riguardanti la proprietà intellettuale, la privacy e la concorrenza sleale. Trovare un equilibrio tra innovazione e salvaguardia dei diritti individuali rimane una sfida fondamentale per i legislatori e i professionisti nell’era digitale.
[1] Sentenza della Corte di Giustizia dell’UE del 19 Dicembre 2013, Caso C‑202/12, Innoweb BV v Wegener ICT Media BV and Wegener Mediaventions BV, ECLI:EU:C:2013:850
[2] Cassazione Civile, Sentenza n. 2289/2290 del 18 dicembre 2018.
[3] Un contratto che si perfeziona attraverso la navigazione (“browsing”) dell’utente sul sito web.
[4] Direttiva 96/9/CE del Parlamento europeo e del Consiglio, dell’11 marzo 1996, relativa alla tutela giuridica delle banche di dati
[5] Direttiva (UE) 2019/790 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sul diritto d’autore e sui diritti connessi nel mercato unico digitale e che modifica le direttive 96/9/CE e 2001/29/CE.
[6] Direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio, del 20 giugno 2019, relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico
[7] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
[8] Commission Nationale de l’Informatique et des Libertés (CNIL), Deliberazione del Comitato ristretto n. SAN-2022-019 del 17 ottobre 2022, disponibile al link: https://www.cnil.fr/en/facial-recognition-20-million-euros-penalty-against-clearview-ai
[9] Garante per la Protezione dei dati personali, ordinanza ingiunzione nei confronti di Clearview AI, Provv. n. 50 del 10 febbraio 2022, doc. web n. 9751362, disponibile al link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9751362
[10] Autorità Garante per la protezione dei dati personali, ordinanza ingiunzione nei confronti di La Prima S.r.l. del 16 settembre 2021, Provvedimento n. 316, doc. web n. 9705632, disponibile al link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9705632
[11] Information Commissioner’s Office (ICO), Provvedimento del 24 settembre 2020, disponibile al link: https://ico.org.uk/media/action-weve-taken/mpns/2618330/dgel-mpn-20200922.pdf