Data Scraping: declaración conjunta de las autoridades competentes en materia de protección de datos

El 28 de octubre el Office of the Privacy Commissioner of Canada publicó una Declaración Conjunta sobre el "data scraping" y la protección de datos, en la que participaron autoridades de protección de datos de distintos países, entre ellas la Agencia Española de Protección de Datos (AEPD). Este pronunciamiento advierte que la práctica de extracción masiva de datos sin consentimiento, común en redes sociales y plataformas públicas, representa un riesgo creciente para la privacidad de las personas.

Introducción y antecedentes

¿Quieres contactar con nosotros?

La recolección masiva de datos, conocida como data scraping, plantea desafíos cada vez más complejos en materia de privacidad. En respuesta a esta disyuntiva, varias autoridades de protección de datos, como la autoridad española, inglesa, china, noruega o la australiana (entre otras), han emitido recientemente una Declaración Conjunta para abordar el impacto de esta práctica en la protección de datos personales.

Además, este comunicado refuerza las directrices iniciales publicadas en agosto de 2023, que destacaban que la información personal accesible al público sigue estando protegida por la normativa de protección de datos. En consecuencia, se espera que las empresas de redes sociales y otras plataformas protejan esta información contra el scraping no autorizado, ya que dicha práctica podría constituir una infracción de la privacidad e incluso ser considerada una brecha de seguridad.

¿Qué es el Data Scraping?

El data scraping, o recolección automatizada de datos, consiste en extraer información de páginas web mediante programas específicos que recopilan datos disponibles en plataformas en línea. Aunque esta técnica tiene aplicaciones legítimas, también se ha vuelto una herramienta común para recopilar datos personales sin el consentimiento de los usuarios.

En este sentido, información como nombres, ubicaciones, fotos y conexiones sociales puede ser recolectada y utilizada sin que los titulares estén al tanto, lo que puede derivar en vulneraciones significativas de la privacidad. El data scraping representa un riesgo directo para la privacidad de los individuos. Los datos extraídos pueden usarse para prácticas comerciales no éticas, publicidad dirigida sin el consentimiento del usuario o incluso suplantación de identidad. Los consumidores pueden ser objeto de campañas de manipulación de información o sufrir perjuicios a su seguridad personal y financiera.

La Declaración conjunta

El pronunciamiento reciente, encabezado por la autoridad canadiense junto a distintas autoridades cofirmantes, alerta sobre los peligros de esta práctica en un contexto de creciente digitalización. Las principales recomendaciones incluyen:

Se insta a todas las empresas a adoptar medidas proactivas para proteger los datos de sus usuarios mediante la implementación de barreras técnicas que limiten o impidan el acceso automatizado no autorizado. Esta obligación de proteger la información afecta tanto a grandes compañías como a pequeñas y medianas empresas ("PYMEs"). En cuanto las PYMEs, se aclara que, incluso cuando las PYMEs recurran a servicios externos para salvaguardar los datos, siguen siendo responsables legalmente de proteger la privacidad de los usuarios.

La naturaleza transfronteriza del data scraping complica los esfuerzos de control y cumplimiento de las normativa, pues las empresas y personas responsables de estos actos suelen operar en múltiples jurisdicciones. Por tanto, las autoridades señalan que es esencial colaborar a nivel global para definir y promover buenas prácticas en la gestión de datos personales. Esta realidad subraya la necesidad de marcos regulatorios adaptables que permitan a las autoridades locales e internacionales trabajar de manera coordinada para sancionar las infracciones y proteger los datos personales de posibles intromisiones ilegítimas.

Las entidades que permitan la extracción de información deben tener una base legal informada para ello, acorde con la normativa aplicable.

Algunas plataformas permiten el scraping o la recolección masiva de datos en ciertas circunstancias, como parte de sus intereses comerciales o los de terceros. Así pues, cuando el scraping esté basado en una la firma de determinados términos contractuales, estas disposiciones contractuales no pueden, por sí solas legitimar dicho scraping, puesto que es necesario tener una base jurídica válida y ser transparentes acerca de dicho tratamiento, además de obtener consentimiento cuando sea necesario. Asimismo, los acuerdos contractuales deben establecer límites específicos y consecuencias en caso de uso indebido de los datos. Las plataformas también deben supervisar el cumplimiento de estos términos y tomar medidas de seguridad adecuadas en caso de detectar infracciones.

En relación con el uso de datos para entrenar modelos de IA, la Declaración exhorta a los principales actores a respetar las leyes de protección de datos y las directrices sobre IA generativa de organismos internacionales. Se destaca que el uso de datos personales en IA implica riesgos para la privacidad, y que las organizaciones deben garantizar el cumplimiento de los requisitos legales en cada jurisdicción.

En algunos casos, las plataformas pueden estar obligadas por Ley a proporcionar a terceros, como investigadores, acceso masivo a datos públicos en sus plataformas, como lo estipula el Artículo 40 del Reglamento de Servicios Digitales de la UE. En otros casos, las plataformas eligen voluntariamente ofrecer acceso a datos, especialmente para apoyar investigaciones de interés social. Aunque reconocen la importancia de esta investigación, los cofirmantes de la Declaración recuerdan que, al otorgar dicho acceso, las organizaciones deben cumplir con las leyes de protección de datos, asegurándose de que exista una base jurídica válida para la recopilación o acceso. Además, señalan que el uso de APIs puede mejorar la seguridad al permitir un mayor control sobre los datos y ayudar a detectar y prevenir accesos no autorizados.

Próximos pasos

Las plataformas y redes sociales tienen un papel fundamental en la protección de los datos personales, por lo que el principio general que debe regir dentro de las compañías es la responsabilidad corporativa en materia de protección de datos. Es decir, las plataformas que administran grandes volúmenes de datos públicos deben asumir la responsabilidad de proteger la información que recopilan, imponiendo restricciones al acceso masivo no autorizado.

Entre las recomendaciones destacadas para estas empresas se incluyen:

Implementación de sistemas de detección: Herramientas que identifiquen y bloqueen el acceso no autorizado a la información de los usuarios. Aunque la inteligencia artificial ("IA") podría usarse para eludir controles, también se plantea como una herramienta útil para reforzar la seguridad frente al scraping.
Medidas técnicas de seguridad: Como el uso de CAPTCHAs para las PYMEs, restricciones de acceso y controles de autenticación para evitar el uso de bots y programas automatizados.
Educación de los usuarios: Informar a los usuarios sobre los riesgos de compartir información públicamente y cómo proteger sus datos.

Conclusiones

El pronunciamiento internacional conjunto marca un paso importante hacia una regulación más estricta y coordinada del data scraping. Las autoridades reconocen que la lucha contra la recolección no autorizada de datos personales solo será efectiva si se promueve la responsabilidad tanto de las empresas como de los usuarios. La protección de la privacidad debe convertirse en un esfuerzo conjunto que combine regulación, tecnología y conciencia social.

Este pronunciamiento insta a los responsables de plataformas digitales a mejorar sus prácticas de protección de datos y fomenta la cooperación entre autoridades internacionales para garantizar que los derechos de privacidad de las personas estén adecuadamente resguardados.

Artículo elaborado por Samanta Murillo Geiser, manager especialista de Regulación Digital de PwC Tax & Legal, y Lucía Etxe Rivas, associate especialista de Regulación Digital de PwC Tax & Legal.

Contacta con nosotros

Fernando Fernández-Miranda

Socio de Regulación Digital, PwC Tax & Legal

© 2016 - 2025 PwC. Todos los derechos reservados. No se permite la distribución adicional sin autorización de PwC. “PwC” hace referencia a la red de firmas miembros de PricewaterhouseCoopers International Limited (PwCIL) o, según cada caso concreto, a firmas miembros individuales de la red PwC. Cada firma miembro es una entidad jurídica independiente y no actúa como agente de PwCIL ni de ninguna otra firma miembro. PwCIL no presta servicios a clientes. PwCIL no se responsabiliza ni responde de los actos u omisiones de ninguna de sus firmas miembros, ni del contenido profesional de sus trabajos ni puede vincularlas u obligarlas en forma alguna. De igual manera, ninguna de las firmas miembro son responsables por los actos u omisiones del resto de las firmas miembros ni del contenido profesional de sus trabajos, ni pueden vincular u obligar ni a dichas firmas miembros ni a PwCIL en forma alguna.