Anonimizzazione e web scraping per l’IA.

L’EDPB fissa le regole del gioco. Cosa devono fare enti e imprese

 

Quando un dato può dirsi davvero anonimo? È una delle domande più delicate per chi gestisce informazioni personali, perché dalla risposta dipende l’applicazione o meno dell’intero GDPR. Con le linee guida adottate nella plenaria di luglio (comunicato dell’8 luglio 2026), il Comitato europeo per la protezione dei dati (EDPB) fornisce finalmente una risposta strutturata, e la accompagna con un secondo documento destinato a pesare almeno altrettanto: le linee guida sul web scraping nel contesto dell’intelligenza artificiale generativa, cioè sulla raccolta massiva di dati dal web per addestrare i modelli. Completa il pacchetto la versione definitiva delle linee guida sul trattamento di dati personali mediante blockchain.

Un’avvertenza preliminare, doverosa per correttezza: le linee guida su anonimizzazione e web scraping sono adottate in versione 1.0 e sono in consultazione pubblica fino al 30 ottobre 2026. Non sono quindi testi definitivi e potranno subire modifiche; indicano però già oggi, con chiarezza, la direzione delle autorità di controllo, Garante italiano compreso. Le linee guida blockchain sono invece nella versione finale, dopo la consultazione svolta.

 

Documento EDPB Data adozione Stato Consultazione fino al
Linee guida 2/2026 sull’anonimizzazione 7 luglio 2026 Versione 1.0 in consultazione pubblica 30 ottobre 2026
Linee guida sul web scraping nel contesto dell’IA generativa luglio 2026 (plenaria) Versione 1.0 in consultazione pubblica 30 ottobre 2026
Linee guida sul trattamento di dati personali mediante blockchain luglio 2026 (plenaria) Versione definitiva dopo consultazione

Fonte: EDPB, comunicato dell’8 luglio 2026 e pagine di consultazione pubblica.

 

Il test dei tre criteri: quando i dati sono anonimi

Il cuore delle linee guida sull’anonimizzazione è un test pratico articolato su tre criteri, che riprende e aggiorna l’impostazione del vecchio parere del Gruppo Articolo 29 del 2014. Se tutti e tre sono soddisfatti, i dati possono considerarsi anonimi e escono dal perimetro del GDPR; se anche uno solo non lo è, serve un’analisi ulteriore.

Criterio Cosa significa in pratica
No isolamento (singling out) Non deve essere possibile isolare il record riferito a una singola persona all’interno del dataset.
No collegabilità (linkage) Non deve essere possibile collegare tra loro dati riferiti alla stessa persona, nello stesso dataset o in dataset diversi.
No inferenza (inference) Non deve essere possibile dedurre, con significativa probabilità, nuove informazioni riferite a una persona.

Fonte: EDPB, Linee guida 2/2026 sull’anonimizzazione (versione in consultazione).

Un aspetto di rilievo è il recepimento della sentenza della Corte di giustizia del 4 settembre 2025 nella causa C-413/23 P (EDPS c. SRB): la natura anonima o personale di un dato non è assoluta, ma va valutata dalla prospettiva concreta dell’entità che lo tratta e dei mezzi che essa può ragionevolmente utilizzare per identificare le persone. Lo stesso dataset, in altre parole, può essere anonimo nelle mani di un soggetto e personale nelle mani di un altro. L’EDPB propone due strade operative: un approccio contestuale, che riflette pienamente questo standard, e un approccio semplificato, più prudente, che ignora le differenze tra destinatari e offre maggiore certezza al prezzo di qualche rinuncia. Per Comuni ed enti che pubblicano open data, e per le strutture sanitarie che condividono dati per ricerca, la conseguenza è concreta: l’anonimizzazione va documentata, e la documentazione va conservata anche dopo che il processo si è concluso.

 

Web scraping e IA: il legittimo interesse non è un liberi tutti

Il secondo documento affronta la pratica su cui si regge buona parte dell’IA generativa: la raccolta automatizzata su larga scala di dati dal web. L’EDPB conferma che il GDPR si applica pienamente quando lo scraping coinvolge dati personali e che la base giuridica di riferimento è, di regola, il legittimo interesse, ma alle condizioni già delineate nel parere sui modelli IA del dicembre 2024: test di bilanciamento documentato, fonti affidabili, registrazione del momento della raccolta, validazione dei dati prima dell’uso in addestramento e misure effettive di minimizzazione. Sui dati particolari (salute, orientamento politico e sessuale, dati biometrici) il Comitato è netto: il trattamento resta in linea di principio vietato e serve, oltre alla base giuridica, un’eccezione ex art. 9, par. 2, GDPR; per la raccolta incidentale e residuale può soccorrere la giurisprudenza della Corte di giustizia (causa C-136/17), ma solo se il titolare adotta misure tecniche e organizzative idonee a prevenire raccolta e diffusione di tali dati, senza alcuna esenzione generale.

 

Cosa fare adesso

Il fatto che due dei tre documenti non siano definitivi non è un buon motivo per attendere: le consultazioni raramente stravolgono l’impianto, e le autorità nazionali iniziano a orientarsi da subito. Ecco le azioni che suggeriamo di avviare.

Chi Cosa fare adesso
Enti e imprese che anonimizzano dati (sanità, ricerca, statistica, open data) Censire i dataset trattati come “anonimi” e verificare se superano il test dei tre criteri; documentare la valutazione e conservarla anche dopo l’anonimizzazione.
Chi sviluppa o addestra modelli IA con dati raccolti dal web Verificare base giuridica (legittimo interesse con test documentato), fonti affidabili, registrazione del momento di raccolta, misure di minimizzazione e gestione dei dati particolari ex art. 9 GDPR.
Chi utilizza blockchain con dati personali Riesaminare l’architettura alla luce della versione definitiva delle linee guida (ruoli, dati on-chain/off-chain, esercizio dei diritti).
Tutti gli interessati al tema Valutare l’invio di osservazioni all’EDPB entro il 30 ottobre 2026: è l’occasione per incidere sul testo finale.

Fonte: elaborazione iSimply su documenti EDPB di luglio 2026.

 

Come sempre, il punto non è adempiere all’ultimo momento ma trasformare l’adeguamento in un vantaggio: chi saprà dimostrare un’anonimizzazione robusta e documentata potrà usare i propri dati con più libertà, non con meno.

 

Enrico Capirone – Presidente iSimply srl, DPO

Fonte ufficiale: EDPB, comunicato dell’8 luglio 2026