Web scraping: Meta sospende i suoi progetti sull’IA in Europa dopo i reclami sulla privacy

META sospende il programma e il diritto di opposizione

Il 26 giugno 2024 scadeva il termine, per i cittadini dell’Unione Europea, per presentare opposizione all’utilizzo da parte di Meta dei dati personali dei propri utenti ai fini di web scraping, esercitando il proprio diritto ex art. 18 GDPR.

È recentissima la notizia che Meta abbia però sospeso questo progetto, almeno per quanto riguarda l’Unione Europea e lo Spazio economico europeo, a seguito di una richiesta in tal senso da parte dell’Autorità irlandese di autoregolamentazione della privacy.

Il colosso social aveva infatti poco tempo fa comunicato che i dati personali, contenuti nei post pubblicati dagli utenti su Facebook ed Instagram, sarebbero stati utilizzati da fine giugno in poi per attività di web scraping. Per quanto gli utenti europei di Meta più sensibili in tema di privacy possano per ora tirare un sospiro di sollievo, occorre sottolineare che non si tratta dell’unico operatore del web che ha intenzione di utilizzare dati, anche personali, per simili finalità.

Web scraping: cosa si intende?

Ma in cosa consiste l’attività di web scraping? E per quale motivo dev’essere data agli utenti la possibilità di opporvisi? Proveremo a spiegarlo brevemente con questo articolo.

Il web scraping è, sinteticamente, la raccolta massiva di dati, anche personali, pubblicati nei siti web e nelle piattaforme online, da parte di chi sviluppa sistemi di Intelligenza Artificiale Generativa, o IAG.

Più nello specifico, esso consiste nella combinazione di tecniche di web crawling, vale a dire scansione sistematica della rete da parte di bot al fine di raccogliere ed indicizzare i dati contenuti nelle pagine web per garantire il funzionamento dei motori di ricerca, con un’attività di conservazione e memorizzazione dei dati raccolti, per successive mirate analisi, elaborazioni ed utilizzi. Fra queste rientrano anche le finalità di addestramento di algoritmi di IAG.

Il Provvedimento dell’Autorità Garante

Di recente il Garante per la protezione dei dati personali ha denunciato, con la Nota Integrativa al Provvedimento n. 329 del 20 maggio 2024, che nella misura in cui il web scraping implica la raccolta di informazioni riconducibili a una persona fisica identificata o identificabile, si pone un problema di protezione dei dati personali.

Nella stessa Nota Integrativa il Garante suggerisce ai gestori di siti web e piattaforme online, operanti in Italia quali titolari del trattamento di dati personali resi disponibili al pubblico attraverso piattaforme online, alcune possibili cautele per mitigare gli effetti del web scraping di terze parti, finalizzato all’addestramento di sistemi di IAG, laddove tale attività sia considerata dal singolo titolare incompatibile con le finalità e le basi giuridiche della messa a disposizione del pubblico dei dati personali.

Queste possibili misure cautelative vanno dalla creazione di aree riservate, cui gli utenti possono accedere solo tramite registrazione, all’inserimento all’interno dei termini di servizio del sito web l’espresso divieto di utilizzare tecniche di web scraping. È evidente che tali misure hanno una efficacia limitata poiché facilmente aggirabili, ma pongono le basi per definire gli ambiti di responsabilità, e potenziale danno, cui si espongono gli operatori dell’IAG.

Dal punto di vista dell’utente, invece, nel caso in cui ad essere raccolti siano dati personali viene in soccorso l’art. 13 del GDPR, par.2 lett. b ai sensi del quale il titolare deve fornire all’interessato le informazioni sull’esistenza del diritto ad opporsi al trattamento.

Ed è proprio questo che Meta stava facendo, sebbene non in maniera particolarmente trasparente o agevole.  Infatti, per poter esercitare il diritto di opposizione alla specifica finalità del web scraping, gli utenti avrebbero dovuto ricercare, all’interno delle impostazioni del proprio profilo social, l’informativa sulla privacy, che a sua volta rimandava alla possibilità di esercitare il diritto ex art. 18 GDPR, e dopodiché, senza farsi scoraggiare dalla necessità di motivare la richiesta, dichiarare la propria opposizione.

L’appello di NOYB a seguito del quale META sospende il progetto di IA in Europa

Pare però che, almeno per ora, non sarà più necessario (o possibile) intraprendere questo iter.  A seguito di una serie di denunce (di cui potete trovare qui il testo di quella presentata al Garante) ed un appello del gruppo NOYB (“None of Your Business”) alle autorità di svariati paesi dell’Unione Europea, che segnalavano l’illegalità delle finalità di addestramento di una forma indefinita di IAG, la Commissione irlandese per la protezione dei dati ha presentato ufficialmente richiesta affinché Meta sospenda questo progetto, richiesta che pare sia stata accolta dall’azienda.

dott.ssa Rebecca Busi

Avv. Valentina Apruzzi

Il diritto alla riparazione dei beni: approvata la direttiva UE

Approvata la direttiva UE che stabilisce il diritto alla riparazione dei beni.

Il Parlamento Europeo ha infatti approvato il testo definitivo della direttiva il 23 aprile 2024, poi approvato dal Consiglio il 30 maggio 2024.

Mancano solo gli ultimi step:

  • la pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea;
  • l’entrata in vigore della direttiva il ventesimo giorno successivo alla sua pubblicazione;
  • il recepimento da parte degli Stati Membri mediante la normativa interna di attuazione entro i 24 mesi successivi all’entrata in vigore.

Viene sancito un nuovo diritto per i consumatori: il diritto a fare riparare i beni in modo più semplice, a vantaggio di una maggiore sostenibilità ambientale.

Lo Studio Legale Princivalle Apruzzi Danielli, che già aveva affrontato il tema con un precedente articolo a seguito degli ultimi sviluppi, sta analizzando l’effetto pratico di tale normativa per gli operatori delle vendite di determinate categorie di beni di consumo.

  1. I principi fissati dal testo definitivo della direttiva

Fine principale della direttiva è la promozione e la facilitazione della riparazione dei beni di consumo, incentivando i consumatori a fare riparare il bene anche al di fuori della garanzia legale.

Il tutto parte dalla necessità di promuovere un consumo più sostenibile, agevolando la riparazione dei prodotti rispetto alla loro sostituzione, e quindi riducendo i rifiuti.

Non è infatti un caso che l’approvazione del testo definitivo della direttiva sia avvenuta quasi contestualmente all’adozione, da parte del Consiglio europeo, del Regolamento sulla Progettazione Ecocompatibile (Ecodesign for Sustainable Products Regulation), ad oggi in attesa di pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea.

Tale Regolamento definisce in maniera aggiornata e strutturata i requisiti  per la progettazione di beni nel rispetto dei tre principi fondamentali della durabilità, riparabilità e riutilizzabilità. Principi, questi ultimi, che costituivano gli obiettivi in parte già fissati nella Direttiva UE 2019/771 relativa a determinati aspetti dei contratti di vendita dei beni, al fine di favorire il mantenimento di un ciclo di vita dei prodotti che comprenda il riutilizzo, la riparazione e il ricondizionamento.

Ed è proprio il richiamo alla Direttiva UE 2019/771 a definire l’ambito di applicazione della direttiva in esame a favore dei consumatori. La direttiva sul “diritto alla riparazione” ha a oggetto qualsiasi bene mobile materiale autonomo nonché qualsiasi bene materiale che incorpora o è interconnesso con un contenuto digitale o un servizio digitale.

Dunque, interessati all’applicazione della direttiva sul “diritto alla riparazione” sono, per esempio, gli operatori esercenti nell’ambito della produzione e del commercio dei beni di elettronica di consumo, di elettrodomestici, di prodotti di telefonia e dell’erogazione di servizi di assistenza tecnica a questi accessori.

  1. Le principali novità introdotte

Quali le principali novità che verranno introdotte con l’entrata in vigore della direttiva del right to repair?

La direttiva impone l’obbligo in capo al fabbricante di riparare il bene, su richiesta del consumatore, agevolando allo stesso tempo il consumatore nella scelta dei servizi di riparazione da parte di altri riparatori.

Infatti, al fine di agevolare la scelta, è previsto un Modulo Europeo di informazioni sulla riparazione standard che verrà fornito gratuitamente da parte dei riparatori ai consumatori, recante le informazioni sul riparatore e sulle condizioni di riparazione, la natura del difetto e il tipo di riparazione proposta e relative tempistiche.

Tale obbligo di informativa è previsto in capo anche allo stesso fabbricante, all’importatore o al distributore, i quali saranno tenuti a mettere a disposizione le condizioni sui loro servizi di riparazione, tenuto conto dell’obbligo di riparazione a richiesta del consumatore previsto a loro carico ad eccezione del caso in cui la riparazione sia impossibile.

Dunque, il fabbricante non potrà più rifiutare la riparazione per motivi esclusivamente economici, così come non potrà rifiutare la riparazione per il solo fatto che precedentemente sia stata eseguita una riparazione da parte di altri riparatori.

L’obbligo di riparazione, quindi, viene imposto ai fabbricanti – dietro pagamento di un prezzo da parte del consumatore o a titolo gratuito – anche in riferimento a difetti che non sono causati dalla non conformità dei beni al contratto di vendita. Il tutto secondo condizioni chiare e ragionevoli al fine di non disincentivare la scelta del consumatore alla riparazione del bene.

Infine, tra le novità di maggiore interesse, la direttiva propone la modifica alla Direttiva UE 2019/771 in merito alle tutele al consumatore in caso di vizi e difetti di conformità, stabilendo l’estensione della responsabilità del venditore per un periodo di dodici mesi successivi alla riparazione avvenuta per rendere conforme il bene.

  1. Considerazioni finali

La normativa comunitaria sul “diritto alla riparazione” avrà importanti ripercussioni pratiche per tutti gli operatori del settore della vendita dei beni di consumo e della fornitura di servizi di assistenza tecnica.

Molti gli adeguamenti previsti nei confronti dei consumatori, altrettante le opportunità di business che ne possono derivare per gli operatori.

Saranno necessarie ulteriori e approfondite analisi e  valutazioni a seguito della pubblicazione del testo sulla Gazzetta Ufficiale dell’Unione Europea e quando verrà trattato il recepimento nell’ambito della normativa nazionale.

Lo Studio Legale Princivalle Apruzzi Danielli assiste costantemente gli operatori del settore per lo sviluppo di ogni adeguamento del proprio business tenendo in considerazione i prossimi sviluppi normativi nell’ambito del mercato interno.

 

 

La responsabilità amministrativa degli enti

Con il d.lgs. 231 dell’8 giugno 2001 è stata introdotta nell’ordinamento italiano la responsabilità amministrativa degli enti collettivi per fatti di reato.

Tale istituto mira a colpire le condotte illecite, commesse all’interno di un’impresa, che non sono soltanto il frutto di un’iniziativa privata del singolo, bensì rientrano in una più ampia e diffusa politica aziendale, tanto che si parla di corporate crime.

Spinta decisiva per l’introduzione di tale forma di responsabilità è stata sicuramente una serie di fonti sovranazionali che si sono espresse in materia. Fra queste, basta pensare alle numerose direttive del Parlamento europeo e del Consiglio, e alle relative decisioni quadro al Protocollo n. 2 della Convenzione per la tutela degli interessi finanziari delle Comunità europee del 1997, e alla Convenzione Ocse dello stesso anno sulla lotta alla corruzione dei funzionari pubblici stranieri nelle operazioni economiche internazionali.

Il d.lgs. 231 del 2001 ha introdotto una particolare responsabilità per gli enti, definita solo lessicalmente “amministrativa”, derivante da reato e ricollegata al fatto della commissione di un illecito penale da parte di una persona fisica, nell’interesse o a vantaggio della società. Una responsabilità, peraltro, non sostitutiva di quella della persona fisica, bensì aggiuntiva, e collegata alla commissione di determinate fattispecie di reato espressamente previste dal decreto stesso, i cosiddetti “reati-presupposto”.

Destinatari della normativa, secondo la lettera della legge, sono tutti gli enti forniti di personalità giuridica, le società e le associazioni anche prive di personalità giuridica, vale a dire a titolo esemplificativo: le società di capitali, le cooperative, le associazioni, le fondazioni e ogni altra istituzione, non finalizzata allo svolgimento di attività economica, che acquista la personalità giuridica in base al d.p.r. 10 febbraio 2001, n. 236.

Per l’ente “virtuoso” che voglia provare ad evitare di incorrere in tale responsabilità, il legislatore ha previsto un utile strumento: l’adozione dei modelli organizzativi e di gestione, che fungono sia da criterio di esclusione della punibilità, che da criterio di attenuazione delle loro eventuali conseguenze sanzionatorie. La loro predisposizione ed efficace implementazione non è per le imprese un obbligo, ma è certamente indispensabile laddove gli enti vogliano essere tutelati sotto il profilo della responsabilità ex d.lgs.. 231 nella deprecata ipotesi della commissione di un reato-presupposto al loro interno.

A vigilare sulla corretta implementazione e sull’efficacia del modello organizzativo, il d.lgs. 231 prevede l’istituzione all’interno dell’ente di un organo ad hoc. Si tratta dell’organismo di vigilanza, che deve essere dotato di tutti i poteri necessari per assicurare una efficiente vigilanza sul funzionamento ed il rispetto del modello organizzativo adottato dall’ente: esso deve verificare l’efficacia del modello ed il rispetto delle modalità e procedure previste in esso, nonché formulare proposte all’organo dirigente per eventuali aggiornamenti e adeguamenti del modello stesso.

Adottare un modello di organizzazione e gestione può a prima vista significare per l’impresa ingenti costi e lunghi e laboriosi processi di mappatura dei rischi e predisposizione di adeguate cautele, il tutto in un panorama giurisprudenziale dove i criteri di valutazione dei giudici circa l’adeguatezza di questi modelli non sono sempre chiari e ben definiti in partenza. Inoltre, dotarsi di un modello di organizzazione e gestione implica istituire un organismo di vigilanza, il che a sua volta comporta ulteriori costi, dato che tale organo deve disporre delle risorse finanziarie necessarie a svolgere i suoi compiti.

Lo Studio Legale Princivalle Apruzzi Danielli è in grado di seguire i propri clienti in tutto l’iter necessario alla adozione – o eventuale implementazione – del modello ex d.lgs.. 231 del 2001, nonché nell’assistenza alla istituzione dell’organismo di vigilanza o nella formazione obbligatoria in tale ambito. Infatti gli Avvocati dello Studio Legale Princivalle Apruzzi Danielli fanno parte degli organismi di vigilanza di varie società, forniscono consulenza relativamente a tale normativa, e svolgono corsi periodici di formazione su tale tematica.

Occorre infatti tenere a mente che il catalogo dei reati-presupposto, in un primo momento limitato ad illeciti tipici dell’attività economica, va via via sempre più espandendosi, ricomprendendo reati sempre diversi, la prevenzione dei quali richiede conoscenze tecniche specifiche dei più disparati campi.

Per questi motivi, lo Studio Legale Princivalle Apruzzi Danielli ha deciso di fare chiarezza sull’argomento, con una serie periodica di articoli (consultabili anche sul sito internet dello Studio), che esamineranno il d.lgs. 231 del 2001 nei suoi vari elementi e le problematiche che possono presentarsi nella sua applicazione pratica. Non mancheranno anche aggiornamenti sulle più recenti novità in materia di responsabilità amministrativa degli enti dipendente da reato, il tutto per fornire un pratico ed agevole strumento a chi dovesse avere necessità o dubbi su una materia così fondamentale per chiunque si muova nel mondo dell’impresa.

L’adeguamento di Google al DMA e le modifiche alla Google Consent Mode

Con un recente articolo lo studio Princivalle Apruzzi Danielli ha analizzato il Digital Markets Act (DMA), anticipando alcuni temi che verranno trattati in questa sede. In particolare, focus di questo intervento sarà l’adeguamento di Google al DMA e le modifiche apportate al Google Consent Mode al fine di rispettare le prescrizioni imposte dalla nuova normativa.

Il gatekeeper Google

Tra i vari operatori coinvolti nell’adeguamento imposto dal DMA rientra evidentemente Google, uno dei sei gatekeepers identificati dalla Commissione europea, il quale si è impegnato negli ultimi mesi ad implementare un sistema atto a garantire che i dati personali degli utenti che non avessero espresso il consenso al loro trattamento per finalità di marketing non venissero utilizzati.

Ma non solo.

L’obbiettivo primario di Google è stato quello di garantire agli inserzionisti, editori e proprietari di siti web di comunicare e onorare le scelte di consenso degli utenti, rispettando il DMA e la normativa in materia di privacy, ma soprattutto di migliorare i dati sulle conversioni.

Gli operatori del web interessati a tali modifiche sono quelli che hanno una presenza in Europa o in un’area geografica con regole di consenso basate sul principio dell’opt-in* e che usano Google Ads o Google Analytics per raccogliere dati di misurazione degli utenti o per pubblicare annunci personalizzati.

[*l’opt-in è il regime utilizzato dalle norme europee sulla protezione dei dati. In base alla legislazione dell’UE, anche quando i soggetti interessati manifestano il loro consenso, hanno il diritto di rinunciarvi e devono sempre essere informati su come farlo.]

Google Consent Mode versione 2

Il sistema introdotto da Google (Consent Mode versione 1 e le modifiche apportate con la versione 2), permette di ottenere l’indicazione sul consenso dell’utente e garantire la privacy durante le attività di conversione e di remarketing.

Oltre a questo, offre anche strumenti per recuperare informazioni sulle conversioni perse a causa di mancati consensi, migliorando la comprensione delle performance e l’ottimizzazione delle campagne pubblicitarie avviate dagli inserzionisti.

Con la nuova versione del Consent Mode (CMv2) non è più sufficiente offrire agli utenti finali che approdano su un determinato sito internet la possibilità di gestire il loro consenso tramite Consent Mode, ma è necessario assicurarsi attivamente che le preferenze espresse siano rispettate.

Il CMv2 viene abilitata tramite una Consent Management Platform (CMP) che si occupa di raccogliere, conservare e consentire la modifica agli utenti web (i) dei dati che desiderano condividere con il sito e (ii) delle finalità di utilizzo di quei dati per le quali forniscono il consenso.

A tal proposito CMv2 ha aggiunto due nuovi parametri – rispetto a quelli già esistenti di Analytics Storage (che abilita l’archiviazione dei cookie relativi all’analisi quali ad esempio la durata della visita) e Ad Storage (che consente l’archiviazione di informazioni quali i cookie relativi alla pubblicità, tramite GA4) – per tracciare i consensi dei web users:

  • Ad user data che gestisce il consenso relativo alla raccolta e all’uso dei dati degli utenti per scopi pubblicitari;
  • Ad personalization che riguarda il consenso alla personalizzazione degli annunci (ad esempio per il remarketing di Google Ads).

Grazie alle nuove funzionalità sarà possibile disabilitare specifici tag di tracciamento se l’utente non ha espresso il consenso per determinate categorie di cookie, migliorare la conformità alle normative sulla privacy senza sacrificare l’efficacia delle campagne pubblicitarie e non perdere conversioni generate dalle campagne promosse tramite Google Ads.

Le possibili configurazioni della CMv2

Le due modalità di configurazione previste con la CMv2 sono:

  • la configurazione base, in base alla quale se gli utenti negano il consenso ai cookie, Google non riceve alcun dato, né in forma aggregata né in forma anonima. Si tratta di una gestione del consenso particolarmente restrittiva, che può essere prediletta da chi non fa compagne di marketing sul web o attività di advertising su Meta o Google Ads.
  • la configurazione avanzata mantiene le stesse funzionalità e caratteristiche della versione 1 della Consent Mode (ovvero l’invio di dati in forma aggregata e non identificativa anche se l’utente non accetta i cookie). In questo caso, anche senza il consenso esplicito dell’utente, Google riceve i ping cookieless (ping di conversione, ping di Google Analytics, ping di Google Ads), ciò permettendo la trasmissione di alcune informazioni di base alle relative piattaforme online.

Considerazioni finali

L’adeguamento imposto a Google (e agli altri gatekeepers) da parte del DMA è stato un importante input per le Big Tech del web al fine di riconsiderare le politiche interne adottate in materia di trattamento dei dati personali. Ciò ha reso il flusso di scambio dei dati più trasparente, anche e soprattutto per gli utenti finali che ora possono scegliere se e quando essere tracciati attraverso il loro consenso.

Gli operatori del web avranno, a loro volta, la possibilità di scegliere se utilizzare la versione base o avanzata del Consent Mode per utilizzare comunque i dati in forma anonima/aggregata e migliorare le proprie campagne di marketing.