L'European Data Protection Board pubblica due nuove linee guida su anonimizzazione e web scraping per l'IA generativa
Durante la plenaria dell’8 luglio 2026, il Comitato europeo per la protezione dei dati (European Data Protection Board) ha adottato due nuove serie di linee guida destinate ad assumere un ruolo centrale nell'applicazione del GDPR ai sistemi di intelligenza artificiale: le Linee guida 02/2026 sull'anonimizzazione e le Linee guida 03/2026 sul web scraping nel contesto dell'intelligenza artificiale generativa. Entrambi i documenti sono stati posti in consultazione pubblica fino al 30 ottobre 2026.

Le nuove indicazioni rappresentano un ulteriore tassello del percorso avviato dall'EDPB per fornire alle organizzazioni criteri interpretativi uniformi sull'applicazione del GDPR alle tecnologie di intelligenza artificiale, affrontando due aspetti particolarmente delicati: la corretta anonimizzazione dei dati personali e la raccolta automatizzata di informazioni dal web per l'addestramento dei modelli di IA.
Anonimizzazione: quando i dati possono dirsi realmente anonimi? - Le linee guida sull'anonimizzazione chiariscono i criteri per stabilire quando un insieme di dati cessa di essere qualificabile come dato personale e, pertanto, esce dall'ambito di applicazione del GDPR.
Il documento recepisce anche i più recenti orientamenti della Corte di giustizia dell'Unione europea, evidenziando che la valutazione dell'anonimizzazione deve tenere conto del rischio concreto di reidentificazione e dei mezzi ragionevolmente utilizzabili dai soggetti che potrebbero avere accesso ai dati. In altre parole, la semplice rimozione dei dati identificativi diretti non è di per sé sufficiente a garantire l'anonimato, se permane la possibilità di ricondurre le informazioni a una persona fisica mediante altre informazioni disponibili.
Web scraping e IA generativa: chiariti gli obblighi previsti dal GDPR - Le nuove linee guida dedicate al web scraping affrontano invece uno dei temi più dibattuti nello sviluppo dell'intelligenza artificiale generativa: la raccolta automatizzata di dati disponibili online per alimentare i dataset di addestramento dei modelli.
L'EDPB ribadisce che il fatto che le informazioni siano pubblicamente accessibili non esclude l'applicazione del GDPR quando vengono trattati dati personali. Di conseguenza, le attività di raccolta, conservazione e utilizzo dei dati devono rispettare i principi del Regolamento, tra cui la limitazione delle finalità, la minimizzazione dei dati, l'esattezza delle informazioni, la trasparenza e l'individuazione di un'idonea base giuridica del trattamento.
Le linee guida forniscono inoltre indicazioni operative sull'utilizzo del legittimo interesse quale possibile base giuridica, richiamano particolare attenzione nel trattamento delle categorie particolari di dati e raccomandano l'adozione di adeguate misure tecniche e organizzative per ridurre i rischi per i diritti e le libertà degli interessati.
Fonte: European Data Protection Board






