Te contamos cómo afecta la protección de datos al scraping, una técnica que consiste en extraer información de tu web sin autorización. Hoy en día la creación de bases de datos es la base del modelo de negocio de muchas grandes empresas que emplean todos sus esfuerzos en vitaminar el contenido de las mismas.

Mediante este artículo te ayudamos a analizar los requisitos legales para poder crear bases de datos a través de la técnica scraping, la cual está cada vez más presente.

¿Qué es el scraping?

El scraping consiste en la extracción de información de sitios web de interés de cara a aumentar una base de datos para enriquecer un modelo de negocio.

Dado que las bases de datos pueden consistir en el almacenamiento de datos personales para su posterior tratamiento, es necesario un análisis legal para conocer las limitaciones a estos efectos.

¿Está permitido utilizar esta técnica?

Hasta la fecha ha habido pronunciamientos de los tribunales con respecto a la Protección de Datos por el potencial incumplimiento de la normativa y la vulneración de los derechos de los titulares de los datos personales objeto de scraping.

En este sentido, ya se estableció por los tribunales que la normativa exige que se cuente con el consentimiento del titular de los datos a la hora de proceder al almacenamiento y tratamiento de los mismos, debiendo, por otra parte, estar este informado de las finalidades del mencionado tratamiento.

Tampoco debemos olvidar que la Agencia Española de Protección de Datos (AEPD), en sucesivos informes, señaló que las páginas web no podrán ser consideradas en ningún caso fuentes accesibles al público, al no figurar en el listado exhaustivo y limitativo del artículo 7 del Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos, el cual sigue vigente en todo aquello que no entre en contraposición con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD).

Es decir, aunque los datos se encuentren publicados en la red de tal forma que cualquiera pueda acceder a los mismos, esto no significa que puedan ser utilizados de forma indiscriminada para cualquier finalidad, pudiendo ir en contra los intereses de los titulares de los datos personales.

Por lo tanto, tal y como se desprende de los pronunciamientos nacionales acerca del scraping, debemos entender que si se pretende tratar un dato personal “accesible” en internet, se deberá asumir que el responsable de la base de datos se convierte automáticamente en responsable del tratamiento y, por tanto, tendrá que cumplir con lo dispuesto en el RGPD.

Aspectos y consideraciones legales a tener en cuenta

Con la aplicación hace más un año del Reglamento General de Protección de Datos, todavía hace falta asentar criterios interpretativos por parte de las autoridades de control (como la Agencia Española de Protección de Datos) y por los organismos interpretativos (como el Comité Europeo de Protección de Datos).

Así que, las decisiones que se apoyen en la jurisprudencia son muy necesarias para definir y establecer las líneas rojas sobre cómo los datos de las personas pueden tratarse dentro de la legalidad.

Para el caso del uso de la técnica del scraping para la generación de bases de datos, los puntos clave a tener en cuenta desde la perspectiva de la protección de datos personales son:

  • Cualquiera que sea el objetivo de la base de datos, no exime al responsable que hace uso del scraping del cumplimiento del contenido del artículo 14 RGPD, en el que se exige a los responsables del tratamiento informar a los interesados en aquellos casos que los datos personales no se hayan obtenido del directamente interesado para la creación de bases de datos a través del scraping.
  • Para que se informe correctamente a los usuarios sin llegar a crear dudas sobre si ha sido debidamente informado y conforme a la normativa, es necesario que dicha información se le preste de forma proactiva por parte de la empresa y que se haga llegar a través de un mensaje conciso. Un ejemplo sería a través de un correo electrónico, mensaje privado de una red social, SMS, etc.
  • En dicho mensaje informativo se deberán incluir todas las especificaciones que se enumeran en el artículo 14 RGPD, dando siempre al interesado la posibilidad de ejercer cualquiera de los derechos reconocidos por la LOPD-GDD entre los que se encuentra la oposición al tratamiento pretendido o la supresión de sus datos personales.

Letslaw

Desde Letslaw contamos en nuestro equipo con profesionales expertos en Derecho digital que ayudan a nuestros clientes a adaptarse y resolver sus dudas relacionadas cualquier materia relacionada con el mundo digital y las nuevas tecnologías, así como a implementar procedimientos que día a día han pasado de necesarios a imprescindibles.