Web Scraping y normativa en materia de protección de datos

Pese a que, como ya sabemos, esto podría ir en contra de algunos de los principios configuradores del RGPD o la LOPDGDD, como el de información y transparencia, dichos modelos de negocio han encontrado vías que permiten adaptar su actividad a la "nueva" normativa.

A continuación, nos centraremos en el web scraping y, aunque dicha práctica ha tenido implicaciones en otras áreas del derecho como la propiedad intelectual o competencia desleal como puede observarse en la Sentencia  del Tribunal Supremo de 9 de octubre de 2012 número 572/2012 (Ryanair/Atrápalo), nos centraremos únicamente en las implicaciones materia de protección de datos.

Por definir el web scraping de una forma breve, podríamos decir que es un software que permite extraer determinados datos de una página web (por ejemplo: Facebook) y estructurarlos de forma ordenada en cualquier formato (por ejemplo: hoja de cálculo u otra página web).

Por lo tanto, supongamos que una empresa desarrolla su propio software para extraer datos de perfiles públicos de Facebook, almacenarlos en una base de datos y posteriormente comerciar con dicha base de datos:

¿Tendría alguna implicación legal conforme a lo dispuesto en RGPD y la LOPDGG?

• Fuente de acceso público: en primer lugar, cabría preguntarse si los sitios webs se consideran fuentes de acceso público, ya que, en ese caso, se podría obtener una base de legitimación para tratar los datos recabados mediante scraping (aunque no olvidemos que seguiría siendo indispensable informar al interesado).

  Pese a que ni el RGPD ni la LOPDGG hacen una delimitación del concepto de fuentes de acceso público, debemos recordar que la AEPD ya ha indicado en repetidas ocasiones que queda derogada cualquier disposición que "contradiga, se oponga o resulte incompatible con lo dispuesto en el RGPD y en la LOPDGDD."

  Esto supone que el artículo 7 del reglamento de desarrollo de la anterior LOPD que establece una lista cerrada de las consideradas como fuentes de acceso público podría continuar siendo de aplicación, puesto que no contradice a las nuevas disposiciones, pero, pese a ello, los sitios web no están incluidos por lo que, de momento, a falta de una delimitación por parte de AEPD o jurisprudencia, no podemos considerar los sitios webs como fuentes de acceso público.

  Aprovechando que todavía no hay un pronunciamiento, mi opinión a título personal es que, quizás, si los sitios webs pudieran considerarse como fuentes de acceso público (a efectos prácticos lo son) y el público en general conociera lo que ello supone, existiría una mayor reticencia a publicar según qué información.

• Consentimiento + información: analizando las bases de legitimación que aporta el RGPD es fácil concluir que en el caso del ejemplo puesto anteriormente (Facebook y comercialización de bases de datos) únicamente podría sustentarse bajo el consentimiento del interesado.

  Dicho consentimiento podría estructurarse de dos formas:

  a. El responsable del web scraping recaba el consentimiento directamente del interesado.

  b. El responsable de la página web recaba el consentimiento del interesado para que sus datos sean tratados por terceras entidades.

  Ambos casos supondrían una barrera considerable para las empresas que realizan estas actividades puesto que en la mayoría de los casos el usuario no tendría ninguna motivación que le condujera a prestar su consentimiento.

  Asimismo, en el caso en el que se optará por la opción b. habría que seguir lo dispuesto en el artículo 14 del RGPD e informar al interesado.

  En definitiva, se podría concluir que la actividad de web scrapping cuando hay datos de carácter personal puede ser perfectamente legal, ahora bien, no podría procederse como se ha hecho hasta ahora y se requerirá del consentimiento, hecho que supondrá que este tipo de prácticas dejen de ser eficientes.