HomeIco

Home

 InternalIco

Internal

 GlobalIco

Global

 ContattoIco

Contatto
de|en|it

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.
Temi Indagini patrimoniali e web scraping: lezioni dal caso CEREBRO per le imprese

Indagini patrimoniali e web scraping: lezioni dal caso CEREBRO per le imprese

PrintMailRate-it

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​Ultimo aggiornamento del 22.09.2025 | Tempo di lettura ca. 5 minuti


Nella decisione del 4 agosto 2025, il Garante per la Protezione dei Dati Personali ha espresso parere favorevole sulla valutazione d’impatto (DPIA) relativa a CEREBRO, il «Sistema di analisi ed elaborazione dati a supporto delle indagini patrimoniali» predisposta dal Ministero dell'Interno – Dipartimento della Pubblica Sicurezza. 

Tale procedimento ha avuto origine dall'istanza di consultazione preventiva presentata dal Ministero dell’Interno in merito a una Valutazione d'Impatto (DPIA) relativa al sistema CEREBRO.

La piattaforma CEREBRO, in particolare, consiste in uno strumento investigativo centralizzato, utilizzato per individuare e sottrarre alla criminalità risorse illecitamente ottenute. La piattaforma principalmente opera attraverso due modalità: l'acquisizione di dati da fonti istituzionali «esterne» e l'elaborazione di tali dati, insieme a quelli immessi manualmente, per identificare disponibilità finanziarie e patrimoniali «sproporzionate» e potenzialmente riconducibili ad attività illecite.

In particolare, a seguito della presentazione della già citata istanza, il Garante, pur riconoscendo la finalità di prevenzione e perseguimento di reati, aveva chiesto dei chiarimenti su alcuni aspetti critici al fine di perfezionare la Valutazione d’Impatto.  

Tali criticità riguardavano principalmente:
  • l’ambiguità del termine «web scraping», utilizzato nella DPIA per descrivere le modalità di acquisizione dei dati. Tale espressione, infatti, poteva essere intesa come riferimento a pratiche di raccolta massiva e indiscriminata di dati personali dalla rete, le cosiddette raccolte «a strascico», normalmente illecite ai sensi della normativa privacy in quanto condotte senza verifiche sull’esattezza delle informazioni acquisite;
  • la carenza di misure idonee a garantire l'esercizio dei diritti degli interessati, non potendosi peraltro escludere l’eventualità che il sistema in questione potesse basarsi su un «processo decisionale automatizzato», aspetto che solleva rischi specifici e richiede l’implementazione di precise misure lato privacy.​

Il Dipartimento della Pubblica Sicurezza ha pertanto fornito una versione aggiornata della DPIA, rispondendo ai rilievi del Garante e chiarendo che li termine «web scraping» non si riferisce a raccolte massive e indiscriminate di dati personali dalla rete, bensì a un’estrapolazione mirata di informazioni da specifiche banche dati istituzionali autorizzate, alle quali accedono esclusivamente operatori di polizia abilitati. L’esattezza dei dati è garantita da un controllo umano sulle informazioni estratte, e si è precisato che, non appena disponibili, saranno adottate modalità alternative basate su cooperazione applicativa a garanzia degli interessati. Invero il ricorso alla tecnica di estrazione mirata, «web scraping», è stato infatti descritto come l'unica modalità attualmente disponibile per l'acquisizione automatica delle informazioni necessarie all'indagine patrimoniale da alcune specifiche banche dati istituzionali. 

Inoltre, l’individuazione delle persone sottoposte ad indagini avviene unicamente a seguito di una fase preliminare d’indagine, condotta sotto la direzione dell’Autorità proponente o dell’Autorità giudiziaria, dalla quale emergano elementi indicativi di disponibilità economiche e finanziarie «sproporzionate». È stata poi prevista la pubblicazione di un'informativa sul trattamento dei dati personali sul sito istituzionale della Polizia di Stato, contenente tutti gli elementi ai sensi degli artt. 13 e 14 del GDPR e con indicazione di un punto di contatto per l'esercizio dei diritti degli interessati.  Infine, è stato ribadito che i report generati da CEREBRO hanno un valore di mero supporto investigativo e non producono effetti negativi diretti nella sfera giuridica dell'interessato, poiché i provvedimenti giudiziari sono adottati solo all'esito di un procedimento in contraddittorio con la difesa del soggetto, garantendo così la preminenza dell'intervento umano.

L'«indagine» condotta dal Garante si è focalizzata sull’analisi della base giuridica prescelta per le attività di trattamento, in ottemperanza a quanto obbligatoriamente richiesto dall’art. 6 del GDPR, così ritenendo che le fonti normative indicate dal Ministero fossero idonee a legittimare il trattamento dei dati. 
Il Garante ha inoltre precisato che l'impiego di nuove tecnologie e la natura del trattamento presentavano comunque un rischio elevato per i diritti e le libertà degli interessati, sicché la Consultazione preventiva del Garante era necessaria.

Anche gli imprescindibili principi di trasparenza e di garanzia dei diritti e libertà fondamentali degli interessati sono stati al centro dell'analisi: infatti, da una parte, a carico del Ministero vi è l'impegno a pubblicare un'informativa dettagliata sul trattamento dei dati degli interessati, dall’altra parte, la rassicurazione che il sistema CEREBRO producesse solo report di supporto investigativo e che ogni decisione con impatto giuridico richiedesse un'ulteriore fase processuale con intervento umano in contraddittorio, ha dissipato i timori concernenti il rischio di causare conseguenze rilevanti sugli interessati derivanti da decisioni basate unicamente su trattamenti automatizzati. 

Il Garante ha infine ritenuto che anche il principio di limitazione della conservazione fosse stato rispettato mediante l'individuazione di un termine massimo per la conservazione dei dati; difatti la «chiusura del fascicolo digitale» coincide con la «cessazione dell’esigenza» specifica e concreta che giustifica la raccolta e l'analisi dei dati, e decorso il periodo massimo di 10 anni, il sistema li cancella automaticamente, assicurando che le informazioni non vengano mantenute più a lungo del necessario.  

Pertanto, la decisione finale del Garante, espressa con provvedimento del 4 agosto 2025, è stata di parere favorevole sulla Valutazione d'Impatto relativa sistema CEREBRO. 

In conclusione, sebbene tale vicenda mostri come le autorità pubbliche possano avvalersi di strumenti come CEREBRO ai fini investigativi e di repressione dei reati, il provvedimento del Garante offre degli spunti interessanti per le imprese che intendano adottare strumenti simili per finalità di indagine patrimoniale. In particolare:
  1. Base giuridica chiara e documentata: le aziende, non potendo invocare le basi giuridiche proprie delle autorità di polizia, devono individuare una corretta base giuridica tra quelle elencate all’art. 6 del GDPR, supportata da un’analisi del rischio adeguatamente documentata e da una DPIA nei casi a rischio elevato.
  2. No a scraping massivo e indiscriminato: le raccolte «a strascico»​ da siti web o social network rischiano di essere illecite. È necessario limitarsi a fonti istituzionali realmente accessibili e pertinenti (es. sistemi di informazione commerciale e banche dati autorizzate).
  3. Accuratezza e aggiornamento dei dati: le risultanze acquisite vanno verificate con fonti ufficiali o con controlli umani, per evitare che informazioni obsolete o scorrette producano effetti pregiudizievoli.
  4. Trasparenza e informative: è consigliabile predisporre informative generali chiare e accessibili sulle attività di investigazione patrimoniale svolte.
  5. Limitazione della conservazione: ​i dati non possono essere trattenuti sine die: occorre fissare termini precisi e documentati di conservazione, legati alla finalità concreta (es. fino alla chiusura di una procedura di recupero crediti, cessazione di un eventuale rapporto contrattuale, tenendo conto naturalmente degli applicabili termini di prescrizione).
  6. Evitare decisioni automatizzate: gli strumenti di analisi devono avere funzione di supporto e non sostituire del tutto la valutazione umana. Ogni scelta automatizzata con effetti sulla controparte (es. avviare un’azione giudiziaria, bloccare rapporti commerciali) deve passare attraverso un intervento umano consapevole.
  7. Coinvolgere il DPO e consulenti legali: data la complessità normativa, è buona prassi coinvolgere il Data Protection Officer e legali specializzati per garantire i diritti degli interessati, strutturare processi, redigere chiare informative e implementare misure di sicurezza conformi.

Autori: 
Martina Ortillo - Associate Partner
Vanessa Cunico - Intern

dalla newsletter
Legal Newsletter​​​​​​​

contatti

Contact Person Picture

Martina Ortillo

Avvocato

Associate Partner

+39 02 6328 841

Invia richiesta

Profilo

i nostri servizi

​DATA PROTECTION, CYBER SECURITY & INNOVATION
Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu