Web scraping: quando è legale e quando è vietato
Quando la tecnica di raccogliere ed estrarre dati online è lecita e quando è vietata: analisi dei i limiti giuridici con riferimento ad alcuni casi emblematici recenti.
Molti lettori ci chiedono: quando è legale fare web scraping e quando invece è vietato? Soprattutto gli sviluppatori di software vogliono sapere se si possono legalmente raccogliere ed estrarre dati da siti online per rielaborarli e proporli al pubblico: ad esempio, creando app utili ai consumatori per confrontare i prezzi dei biglietti ferroviari o aerei, le tariffe assicurative, i mutui, o per realizzare utility di supporto alle aziende, come quelle per aggregare profili professionali disponibili online e dunque facilitare la ricerca di lavoro.
La domanda è pratica e tecnologica, ma ha molteplici implicazioni legali, perché il fenomeno del web scraping si muove in un terreno delicato, dove si incrociano due aree normative particolarmente sensibili: da un lato, il diritto d’autore e di proprietà sui database, che tutela i creatori ed i gestori delle banche dati digitali, spesso frutto di notevoli investimenti economici e aggiornamenti continui dei contenuti, e dall’altro lato, la normativa sulla privacy, che impone limiti precisi alla raccolta e al riutilizzo dei dati personali (come email, numeri di telefono, indirizzi o abitudini di consumo).
Si tratta di un ambito in continua evoluzione, dove la normativa di riferimento (nata in un’epoca in cui queste possibilità non esistevano) è ancora incerta e la giurisprudenza presenta orientamenti oscillanti e non sempre uniformi. Perciò la risposta non è semplice ma va articolata: il web scraping può violare i diritti d’autore sulle banche dati ed i loro contenuti ed anche la privacy, se non avviene nel rispetto di regole precise.
In questo articolo proviamo a fare chiarezza, delineando quando il web scraping è ammesso e quando invece è illecito. Lo facciamo con un taglio pratico e informativo, utile:
- a chi vuole iniziare un’attività basata sull’estrazione di dati online senza rischiare sanzioni;
- a chi gestisce piattaforme o contenuti digitali e desidera proteggere i propri dati dall’uso improprio da parte di terzi;
- a tutti gli utenti, che possono trarre vantaggio da questi servizi ma anche chiedersi fino a che punto sia giusto essere “profilati” o schedati senza saperlo.
Così potrai capire che la legalità o meno del web scraping dipende essenzialmente da come, dove e perché viene utilizzato. La nostra esposizione terrà conto anche di alcuni casi emblematici e recenti di web scraping, decisi dalla giurisprudenza: in particolare Trenìt e trovanumeri.com.
Indice
Cos’è il web scraping?
In parole semplici, il web scraping consiste nell’uso di software per estrarre automaticamente dati da siti web. È una pratica comune per:
- monitorare prezzi e offerte,
- analizzare dati di mercato,
- aggregare informazioni da diverse fonti,
- condurre ricerche automatizzate,
- addestrare algoritmi di intelligenza artificiale.
Tuttavia, la
Quando è legale?
In linea generale, e salvi gli approfondimenti che ti forniremo nel prosieguo, il web scraping può essere considerato lecito se:
- i dati sono pubblicamente accessibili,
- non sono protetti da diritti d’autore o da diritti sui database,
- il trattamento non coinvolge dati personali oppure tale trattamento avviene nel rispetto del GDPR,
- l’accesso ai dati non viola le condizioni e i termini d’uso del sito (TOS),
- non vengono aggirate misure tecniche di protezione (es. CAPTCHA, blocchi IP).
Cosa dice la legge sul web scraping?
Le norme di riferimento e da rispettare sono gli artt. 102-bis e 102-ter della Legge sulla protezione del diritto d’autore (LdA), in base alle quali, e per ciò che qui più rileva ai fini dell’argomento in trattazione:
- è considerato «costitutore di una banca di dati» chi ha effettuato «investimenti rilevanti» per la sua costituzione, verifica o presentazione, «impegnando, a tal fine, mezzi finanziari, tempo o lavoro»;
- si definisce «estrazione»: «il trasferimento permanente o temporaneo della totalità o di una parte sostanziale del contenuto di una banca di dati su un altro supporto con qualsiasi mezzo o in qualsivoglia forma»;
- il costitutore di una banca dati, se è cittadino di uno Stato membro UE o residente abituale, a prescindere dalla tutelabilità della stessa e dei suoi contenuti in base alla legge sulla protezione dei diritti d’autore, ha, per 15 anni, «il diritto di vietare le operazioni di estrazione ovvero reimpiego della totalità o di una parte sostanziale della stessa»;
- oltre a ciò, «non sono consentiti l’estrazione o il reimpiego ripetuti e sistematici di parti non sostanziali del contenuto della banca di dati, qualora presuppongano operazioni contrarie alla normale gestione della banca di dati o arrechino un pregiudizio ingiustificato al costitutore della banca di dati»;
- l’utente legittimo di una banca di dati messa a disposizione del pubblico «non può arrecare pregiudizio al titolare del diritto d’autore o di un altro diritto connesso relativo ad opere o prestazioni contenute in tale banca», né può eseguire operazioni che siano in contrasto con la normale gestione della banca di dati o che arrechino un ingiustificato pregiudizio al costitutore della banca di dati».
Quando diventa illegale?
Alla stregua della normativa che ti abbiamo indicato, il web scraping diventa illecito in diverse situazioni che ora ti illustriamo:
Violazione del diritto d’autore e dei diritti sui database
La Legge sul Diritto d’Autore (L. 633/1941) tutela le banche dati che comportano un investimento rilevante. L’estrazione di una parte sostanziale di tali dati, anche se accessibili online, può costituire violazione del diritto sui generis del costitutore della banca dati, e se ciò accade l’attività di web scraping diventa illecita.
Violazione dei termini d’uso del sito web
Molti siti web vietano espressamente lo scraping nei loro termini di servizio. In questi casi, ignorare tali condizioni può configurare una violazione contrattuale, o persino integrare il reato di accesso abusivo a sistema informatico (art. 615-ter c.p.), se vengono aggirate o comunque superate le misure tecniche di sicurezza volte ad impedire gli accessi, e gli usi, non autorizzati.
Concorrenza sleale
Se il web scraping è finalizzato a replicare un servizio concorrente sfruttando i dati altrui, può costituire concorrenza sleale per parassitismo economico (art. 2598 c.c.).
Trattamento illecito di dati personali: attenzione al GDPR
Oltre a quanto abbiamo detto sulla protezione dei diritti d’autore, uno degli aspetti più delicati è la raccolta di dati personali (es. nomi, numeri, email) tramite scraping. Anche se visibili online, questi dati non possono essere raccolti e riutilizzati senza base giuridica valida.
L’Autorità Garante per la protezione dei dati personali (comunemente detta Garante Privacy), con provvedimento del 25 settembre 2023, ha vietato la costituzione e la diffusione online di un
Il Garante ha ribadito che:
“Chi affida le proprie informazioni di contatto al web, ha finalità che non sono necessariamente quella di ricevere comunicazioni di marketing o vederle indicizzate e ulteriormente diffuse.”
Nell’ambito delle telecomunicazioni, solo il Data Base Unico (DBU) può essere utilizzato per costituire elenchi telefonici legittimi. Perciò tutti gli altri archivi realizzati con scraping e senza consenso sono illegittimi. In particolare, i principi del GDPR violati in tali casi sono:
- art. 6: assenza di base giuridica per il trattamento;
- art. 13: mancanza di informativa sulla privacy;
- art. 17: mancato rispetto del diritto alla cancellazione;
- art. 5: trattamento illecito e diffusione non autorizzata di informazioni personali.
Allo stesso modo il Garante Privacy si era espresso nel 2018, sanzionando il creatore di un software di scraping che estraeva dal web, e precisamente dagli
Quando lo scraping è ammesso
In base alla normativa sulla privacy, lo scraping è ammesso se:
- i dati sono pubblici, non protetti, e non personali;
- è rispettata la proporzione e selettività dell’uso (non si copia l’intera banca dati);
- vengono rispettati i termini d’uso del sito;
- i dati personali sono anonimizzati o trattati nel rispetto del GDPR;
- è offerta agli utenti la possibilità di cancellare i propri dati.
Per evitare che lo scraping diventi illecito, bisogna, quindi, fare molta attenzione, perché gli elementi dimostrativi di un’attività vietata dal GDPR sono:
la raccolta dati di contatto (email, numeri di telefono, indirizzi) che vengono ripubblicati;
il trattamento compiuto senza consenso o altra base giuridica;
la formazione di elenchi o banche dati per finalità diverse (marketing, profilazione, rivendita) rispetto alla banca dati o sito che conteneva quei dati;
la mancanza dell’informativa sulla privacy o l’impossibilità di esercitare il diritto alla cancellazione.
Invece, se i dati trattati sono anonimi, non riconducibili a persone fisiche, oppure l’interessato è stato informato e ha prestato il consenso, lo scraping può rientrare nei limiti della liceità ai sensi del GDPR. Ma è necessaria molta cautela, perché la mera disponibilità online del dato
Insomma, anche se i dati sono visibili online, ciò non significa che siano liberamente utilizzabili, soprattutto se vengono raccolti in modo automatizzato, aggregati in altre banche dati e diffusi, mediante nuovi siti o altre app non appartenenti al creatore/costitutore, per scopi diversi da quelli per cui erano stati originariamente pubblicati.
Giurisprudenza in materia di scraping
Un precedente giurisprudenziale importante in materia di scraping è l’ordinanza del Tribunale di Roma, Sez. Imprese, 5 settembre 2019, nel procedimento avviato da Trenitalia
Trenitalia aveva chiesto di bloccare l’app sostenendo che violasse i propri diritti sul database di orari, costi e ritardi dei treni. Dopo una prima sospensione cautelare, il Tribunale ha autorizzato l’app, sulla base delle seguenti motivazioni:
- l’estrazione dei dati era parziale, e non sostanziale;
- il reimpiego delle informazioni era attivabile solo su richiesta dell’utente, per singole ricerche (non era, quindi, uno scraping massivo);
- non vi era alcun pregiudizio economico a carico di Trenitalia;
- l’app non trattava dati personali (i prezzi dei biglietti ferroviari sono informazioni pubbliche) e dunque non era ravvisabile alcun illecito sotto il profilo della privacy.
Il giudice ha applicato l’
Il principio affermato nell’occasione dai giudici capitolini è stato questo:
“Impedire la comparazione dei prezzi potrebbe nuocere alla legittima concorrenza, a scapito dei fruitori finali dei servizi” (Trib. Roma, 5.09.2019).
Perciò, per il Tribunale romano, l’app di scraping “incriminata” in realtà non violava né il diritto d’autore né il diritto del costitutore della banca dati (Trenitalia).
Questa pronuncia – pur non risolvendo ogni dubbio in tema di scraping, data la varietà delle possibili situazioni realizzabili –
Volendo tentare un confronto tra i casi Trenìt e trovanumeri.com che abbiamo esposto, nonostante la differenza di tipologia dello scraping, rileviamo che:
| Caso | Legalità dello scraping | Dati coinvolti | Base giuridica | Esito |
|---|---|---|---|---|
| Trenìt | Lecito | Orari e prezzi pubblici | Art. 102-ter LDA | App autorizzata |
| trovanumeri.com | Illecito | Dati personali (nomi, numeri) | Nessuna base | Sanzione e divieto |
Detto a parole, la prima app è stata ritenuta
Tirando le somme, la differenza fondamentale tra i due casi – e che spiega le decisioni opposte raggiunte – sta in:
- tipo di dati (pubblici vs personali),
- proporzione (consultazione puntuale vs raccolta massiva),
- trasparenza e rispetto del GDPR.
Conclusione
Il web scraping non è vietato a priori, ma deve avvenire nel rispetto della legge e dei diritti dei soggetti coinvolti. In particolare, l’uso di dati personali, anche se visibili online, richiede il rispetto del GDPR e una finalità lecita e proporzionata.
Nel dubbio, è consigliabile:
- usare API ufficiali o dati open source, mai quelli protetti;
- evitare la raccolta massiva e indiscriminata, che avverrebbe prelevando porzioni consistenti di banche dati online;
- non violare le condizioni d’uso del sito (da consultare sempre e attentamente prima di agire con lo scraping);
- garantire sempre la trasparenza sull’uso delle informazioni raccolte e i diritti degli interessati.
In definitiva: sì allo scraping, ma con criterio e sempre nel rispetto della legge sul diritto d’autore, della normativa sui dati digitali e del GDPR.