web scraping

El Web Scraping o raspado web es una técnica empleada para la extracción automatizada de información de sitios webs mediante robots o bots conocidos como “arañas web”.

A través de las técnicas de scraping, es posible recabar información muy diversa de sitios web como, por ejemplo, datos sobre productos de tiendas online, datos públicos de webs gubernamentales, anuncios para realizar marketing, directorios, etc. 

El Scraping es completamente legal como técnica informática. No obstante, y como cualquier otra herramienta, puede colisionar con diferentes normativas dependiendo del uso que hagamos de ella.

Web Scraping y RGPD

La información recopilada a través de sitios web mediante esta técnica puede contener datos personales. En este sentido, si mediante la técnica de raspado web recopilamos información de identificación personal (datos personales), de personas dentro de la Unión Europea y el Espacio Económico Europeo (EEE) deberá tenerse en cuenta lo establecido por el Reglamento General de Protección de Datos (RGPD). 

En el presente artículo, analizaremos la legalidad de realizar técnicas de scraping con el objetivo de crear bases de datos con la información extraída y almacenada de los sitios web inspeccionados que reúnan la mayor información posible sobre potenciales clientes de un negocio para posteriormente impactarlos con comunicaciones comerciales. 

Para ello, es preciso resolver dos principales cuestiones: ¿es legal la utilización del web scraping como técnica de creación de bases legales? Y, de ser así, ¿qué implicaciones supone a nivel de protección de datos teniendo en cuenta que la base de datos incluye datos personales para su utilización con fines comerciales?

Legalidad de la utilización de web scraping para la creación de bases de datos

Desde un punto de vista normativo, ni el Comité Europeo de Protección de Datos ni la Agencia Española de Protección de Datos han abordado recientemente el estudio de esta cuestión. 

No obstante, encontramos dos importantes referencias a nivel europeo procedentes de las agencias de protección de datos nacionales de Polonia y Francia.

La Generalny Inspektor Ochrony Danych Osobowych (Agencia Polaca de Protección de Datos) impuso una multa de 220.000 euros a una organización que recopiló datos personales a través de web scraping de alrededor de 7 millones de personas consistentes en números de teléfono y direcciones postales sin haberles informado correctamente conforme al artículo 14 del RGPD.

Por su parte, la Commission nationale de l’informatique et des libertés (Agencia Francesa de Protección de Datos) ha publicado una guía relacionada con el web scraping comercial.

De ambas publicaciones se extrae que, la creación de bases de datos que contengan datos personales creada a través de técnicas de web scraping es legal siempre que, tanto la recopilación como posterior tratamiento de los datos obtenidos a través de esta herramienta, cumplan los requisitos contenidos en el Reglamento General de Protección de Datos. 

Requisitos para la legalidad de bases de datos creadas mediante web scraping

De la lectura de la mencionada Guía publicada por la Agencia Francesa de Protección de Datos relacionada con el web scraping comercial, pueden extraerse los requisitos necesarios para la creación de bases de datos mediante técnicas de web scraping, siendo estos:

  • Cumplimiento del principio de licitud: el Responsable del Tratamiento al emplear la técnica del Web Scraping debe asegurarse y garantizar (i) la naturaleza (categoría de datos) y (ii) origen lícito de los datos de conformidad al Principio de Licitud recogido por el artículo 5.1 a) del RGPD. 

Para asegurarse de la naturaleza de los datos extraídos de los sitios web mediante web scraping es recomendable que el Web Crawler esté programado para extraer categorías de datos específicos obviando el resto de información no necesaria para la finalidad.

Por otro lado, en cuanto al origen de los datos, los sitios web (en nuestro caso aquellos en donde se encuentre la información de los potenciales clientes a los que deseamos impactar con comunicaciones comerciales) pueden establecer en sus Políticas de Privacidad y sus Términos y Condiciones de Uso la limitación o prohibición a la extracción y utilización de la data con fines comerciales.

    • Cumplimiento del principio de minimización de los datos: de conformidad con el Principio de Minimización del Art. 5.1 c) RGPD, la recopilación de los datos debe limitarse a la estrictamente necesaria en relación con la finalidad perseguida, es decir, con el impacto comercial, evitando extraer información irrelevante o excesiva.
  • Deber de información: es necesario cumplir con el deber de información recogido en el artículo 14 del RGPD para el caso en el que la finalidad de la captación de datos por medio del web scraping sea la de impactar a los titulares de esos datos con comunicaciones comerciales.

 

  • Base de legitimación: para que la recopilación de datos personales a través de web scraping sea acorde a la normativa de protección de datos, dicha recopilación deberá ampararse en alguna de las seis bases legales se establecen en el artículo 6 del RGPD

Bases de datos creadas mediante web scraping para comunicaciones comerciales

Una vez conocidos los requisitos legales para la creación de bases de datos que contengan datos personales mediante la utilización de web scraping resulta necesario analizar el correcto modo de cumplimiento de los citados requisitos cuando la finalidad de la creación de la base de datos sea la de impactar a los titulares de los mismos con comunicaciones comerciales. 

Para dar cumplimiento al requisito de licitud y minimización de los datos es importante, por una parte, extraer únicamente las categorías de datos imprescindibles para la finalidad del tratamiento, este caso para hacer posible las comunicaciones comerciales, y, por otra, revisar las Políticas de Privacidad y los Términos y Condiciones de Uso de los sitios web objeto de raspado para comprobar la existencia de limitaciones o prohibiciones a la extracción y utilización de la data con fines comerciales.

En cuanto al cumplimiento del deber de informar, tanto el criterio establecido en la Guía de la Agencia Francesa de protección de datos como en la resolución de la Agencia Polaca de Protección de Datos coinciden en la necesidad de informar de manera clara y fehaciente a cada usuario sobre: (i) la identidad de la empresa titular de la Base de Datos que contiene sus datos; (ii) las categorías de datos obtenidos; (iii) la finalidad del tratamiento de los datos; (iv) la base de legitimación para su tratamiento y (v) la posibilidad y mecanismos para ejercitar sus derechos de protección de datos.  

A este respecto, señala la resolución de la Agencia Polaca que “La mera inclusión de información requerida en el artículo 14 del RGPD en el sitio web de la compañía no puede considerarse como un cumplimiento suficiente por parte de la empresa de la obligación mencionada en el artículo 14.”

De este modo, y de acuerdo con otra de las exigencias del artículo 14 del RGPD el responsable del tratamiento debe actuar de forma proactiva a la hora de facilitar al interesado la información requerida.  

En cuanto a la base legal que legitima el tratamiento de los datos personales contenidos en una base de datos creada a través de web scraping , y en línea con la opinión del CNIL en sus Criterios Generales sólo será posible si el responsable del tratamiento obtiene el consentimiento del interesado. 

Por último, es necesario tener en cuenta que, aunque los datos se encuentren publicados en internet de tal forma que cualquiera pueda acceder a los mismos, esto no significa que puedan ser utilizados de forma indiscriminada para cualquier finalidad, pudiendo ir en contra los intereses del afectado en este caso.  

Quien trate los datos personales accesibles en internet a través de la creación de bases de datos obtenidas mediante web scraping se convertirá automáticamente en Responsable del Tratamiento y, por tanto, tendrá que cumplir con lo dispuesto en el RGPD

En definitiva, con carácter previo al uso de técnicas de web scraping para la creación de bases de datos con fines comerciales es necesario tener en cuenta que, tanto la recopilación de los datos como las posteriores comunicaciones comerciales, se deberán llevar a cabo de conformidad con el RGPD.

En Type of Legal somos abogados expertos en protección de datos y nuevas tecnologías. Si precisas asesoramiento en esta materia no dudes en contactarnos.

Leave A Comment