El ‘web scraping’ y la protección de datos
No se debe confundir la publicidad del dato, con la habilitación para su tratamiento
El uso de herramientas informáticas para rastrear Internet en busca de información de todo tipo para copiarla e incorporarla a una nueva base de datos (web scraping) plantea desafíos jurídicos de muy diferente índole. Dejando a un lado usos menos ortodoxos, por ejemplo, el rastreo de información en la deep web con el fin de detectar actividades fraudulentas (una derivada del llamado hacking ético) sobre los que podría plantearse cierto debate, cuando el objetivo sea captar datos no personales (por ejemplo, a fin de generar una base de datos que nos permita comparar precios), la privacidad quedará en un segundo plano.
Por el contrario, cuando de lo que se trate sea de recabar datos de carácter personal, por ejemplo, en el marco de proyectos de big data que incluyan técnicas de sentiment analytics que afecten a individuos concretos (a efectos de risk scoring o para otros fines), se convertirá en el elemento clave a tener en cuenta a la hora de emprender el proyecto.
La cuestión central es si el tratamiento de datos personales recabados de este modo es lícito, si cumpliría los principios y requisitos de, inter alia, legitimidad, información al interesado o consentimiento, en su caso, recogidos en el Reglamento General de Protección de Datos (RGPD) y/o en la normativa local de aplicación en España (principalmente, la Ley Orgánica 3/2018, de 5 de diciembre, de protección de Datos de Carácter Personal y Garantía de los Derechos Digitales).
El hecho de que un dato personal sea público (en el caso que nos ocupa, que sea accesible a través del internet conocido e indexable) tiene escasa (si no nula) relevancia, a efectos de determinar si su tratamiento es legítimo o no. Para llevar a cabo cualquier tratamiento de datos personales sin excepción será necesario incardinarlo en, al menos, una de las bases legitimadoras consagradas en el artículo 6 del RGPD. No se debe confundir "publicidad" del dato con "habilitación" para su tratamiento.
Así, a la hora de determinar la base o bases legitimadoras en las que pudiera ampararse el tratamiento de datos que se produce cuando se aplican técnicas de web scraping, nuestra capacidad de elección será limitada y se circunscribirá, a nuestro juicio, a:
a) Si estamos ante un tratamiento necesario para el cumplimiento de una misión de interés público.
b) Si cabe argumentar la existencia de un interés legítimo por parte del responsable del tratamiento o de un tercero.
El resto de bases legitimadoras del tratamiento no serán de aplicación o no serán opciones viables en la práctica (como sucedería si tratásemos de ampararnos en el consentimiento de los interesados). En esta línea, para que un tratamiento sea "necesario" para dar cumplimiento a una misión de interés público debe, en primer lugar, ser de interés público establecida por ley (considerando 45 del RGPD).
En el segundo supuesto será necesario que supere el test de necesidad y el ejercicio de ponderación de intereses del responsable del tratamiento frente a derechos y libertades de los interesados. Aunque se trata de un análisis que debe realizarse caso por caso parece claro que este tipo de tratamientos no va a encontrar fácil acomodo en ninguna base legitimadora incluida en el artículo 6 del RGPD.
Inclusive si estuviéramos en una situación excepcional, en la que prevaleciera el interés legítimo del responsable del tratamiento (o de un tercero), el cumplimiento del resto de obligaciones y principios en materia de protección de datos (por ejemplo, el deber de informar) podría llegar a suponer un obstáculo insalvable a estos efectos.
En definitiva, los supuestos en los que estaremos ante tratamientos de datos personales viables desde el punto de vista del cumplimiento de la normativa de protección de datos serán muy limitados, sin perjuicio de los retos que se plantean en otros ámbitos del derecho.
Bartolomé Martín es responsable de nuevas tecnologías e IP de KMPG Abogados.
¿Conoces la mejor herramienta para proteger la privacidad de tu empresa? Pincha aquí.