L’EDPB fissa le regole del gioco. Cosa devono fare enti e imprese
Quando un dato può dirsi davvero anonimo? È una delle domande più delicate per chi gestisce informazioni personali, perché dalla risposta dipende l’applicazione o meno dell’intero GDPR. Con le linee guida adottate nella plenaria di luglio (comunicato dell’8 luglio 2026), il Comitato europeo per la protezione dei dati (EDPB) fornisce finalmente una risposta strutturata, e la accompagna con un secondo documento destinato a pesare almeno altrettanto: le linee guida sul web scraping nel contesto dell’intelligenza artificiale generativa, cioè sulla raccolta massiva di dati dal web per addestrare i modelli. Completa il pacchetto la versione definitiva delle linee guida sul trattamento di dati personali mediante blockchain.
Un’avvertenza preliminare, doverosa per correttezza: le linee guida su anonimizzazione e web scraping sono adottate in versione 1.0 e sono in consultazione pubblica fino al 30 ottobre 2026. Non sono quindi testi definitivi e potranno subire modifiche; indicano però già oggi, con chiarezza, la direzione delle autorità di controllo, Garante italiano compreso. Le linee guida blockchain sono invece nella versione finale, dopo la consultazione svolta.
| Documento EDPB | Data adozione | Stato | Consultazione fino al |
| Linee guida 2/2026 sull’anonimizzazione | 7 luglio 2026 | Versione 1.0 in consultazione pubblica | 30 ottobre 2026 |
| Linee guida sul web scraping nel contesto dell’IA generativa | luglio 2026 (plenaria) | Versione 1.0 in consultazione pubblica | 30 ottobre 2026 |
| Linee guida sul trattamento di dati personali mediante blockchain | luglio 2026 (plenaria) | Versione definitiva dopo consultazione | – |
Fonte: EDPB, comunicato dell’8 luglio 2026 e pagine di consultazione pubblica.
Il test dei tre criteri: quando i dati sono anonimi
Il cuore delle linee guida sull’anonimizzazione è un test pratico articolato su tre criteri, che riprende e aggiorna l’impostazione del vecchio parere del Gruppo Articolo 29 del 2014. Se tutti e tre sono soddisfatti, i dati possono considerarsi anonimi e escono dal perimetro del GDPR; se anche uno solo non lo è, serve un’analisi ulteriore.
| Criterio | Cosa significa in pratica |
| No isolamento (singling out) | Non deve essere possibile isolare il record riferito a una singola persona all’interno del dataset. |
| No collegabilità (linkage) | Non deve essere possibile collegare tra loro dati riferiti alla stessa persona, nello stesso dataset o in dataset diversi. |
| No inferenza (inference) | Non deve essere possibile dedurre, con significativa probabilità, nuove informazioni riferite a una persona. |
Fonte: EDPB, Linee guida 2/2026 sull’anonimizzazione (versione in consultazione).
Un aspetto di rilievo è il recepimento della sentenza della Corte di giustizia del 4 settembre 2025 nella causa C-413/23 P (EDPS c. SRB): la natura anonima o personale di un dato non è assoluta, ma va valutata dalla prospettiva concreta dell’entità che lo tratta e dei mezzi che essa può ragionevolmente utilizzare per identificare le persone. Lo stesso dataset, in altre parole, può essere anonimo nelle mani di un soggetto e personale nelle mani di un altro. L’EDPB propone due strade operative: un approccio contestuale, che riflette pienamente questo standard, e un approccio semplificato, più prudente, che ignora le differenze tra destinatari e offre maggiore certezza al prezzo di qualche rinuncia. Per Comuni ed enti che pubblicano open data, e per le strutture sanitarie che condividono dati per ricerca, la conseguenza è concreta: l’anonimizzazione va documentata, e la documentazione va conservata anche dopo che il processo si è concluso.
Web scraping e IA: il legittimo interesse non è un liberi tutti
Il secondo documento affronta la pratica su cui si regge buona parte dell’IA generativa: la raccolta automatizzata su larga scala di dati dal web. L’EDPB conferma che il GDPR si applica pienamente quando lo scraping coinvolge dati personali e che la base giuridica di riferimento è, di regola, il legittimo interesse, ma alle condizioni già delineate nel parere sui modelli IA del dicembre 2024: test di bilanciamento documentato, fonti affidabili, registrazione del momento della raccolta, validazione dei dati prima dell’uso in addestramento e misure effettive di minimizzazione. Sui dati particolari (salute, orientamento politico e sessuale, dati biometrici) il Comitato è netto: il trattamento resta in linea di principio vietato e serve, oltre alla base giuridica, un’eccezione ex art. 9, par. 2, GDPR; per la raccolta incidentale e residuale può soccorrere la giurisprudenza della Corte di giustizia (causa C-136/17), ma solo se il titolare adotta misure tecniche e organizzative idonee a prevenire raccolta e diffusione di tali dati, senza alcuna esenzione generale.
Cosa fare adesso
Il fatto che due dei tre documenti non siano definitivi non è un buon motivo per attendere: le consultazioni raramente stravolgono l’impianto, e le autorità nazionali iniziano a orientarsi da subito. Ecco le azioni che suggeriamo di avviare.
| Chi | Cosa fare adesso |
| Enti e imprese che anonimizzano dati (sanità, ricerca, statistica, open data) | Censire i dataset trattati come “anonimi” e verificare se superano il test dei tre criteri; documentare la valutazione e conservarla anche dopo l’anonimizzazione. |
| Chi sviluppa o addestra modelli IA con dati raccolti dal web | Verificare base giuridica (legittimo interesse con test documentato), fonti affidabili, registrazione del momento di raccolta, misure di minimizzazione e gestione dei dati particolari ex art. 9 GDPR. |
| Chi utilizza blockchain con dati personali | Riesaminare l’architettura alla luce della versione definitiva delle linee guida (ruoli, dati on-chain/off-chain, esercizio dei diritti). |
| Tutti gli interessati al tema | Valutare l’invio di osservazioni all’EDPB entro il 30 ottobre 2026: è l’occasione per incidere sul testo finale. |
Fonte: elaborazione iSimply su documenti EDPB di luglio 2026.
Come sempre, il punto non è adempiere all’ultimo momento ma trasformare l’adeguamento in un vantaggio: chi saprà dimostrare un’anonimizzazione robusta e documentata potrà usare i propri dati con più libertà, non con meno.
Enrico Capirone – Presidente iSimply srl, DPO
Fonte ufficiale: EDPB, comunicato dell’8 luglio 2026