A instancias de la Autoridad Danesa de Protección de Datos Personales, un grupo de autoridades de protección de datos de distintos países han emitido dos declaraciones enfocadas en el impacto del data scraping en la protección de datos personales. Dentro de este grupo se encuentra la Agencia de Acceso a la Información Pública de Argentina, así como las autoridades de España, Reino Unido, Canadá, Israel, México y Hong Kong. Estas declaraciones están dirigidas principalmente a plataformas de redes sociales y sitios que alojan contenido de acceso público que pueden incluir datos personales.
La primera declaración, publicada en agosto de 2023, subraya que los datos personales de acceso público, que frecuentemente son objeto de scraping, están sujetos a las leyes de protección de datos y privacidad en la mayoría de las jurisdicciones. En este sentido, es importante tener en cuenta que esto genera implicancias para las plataformas de redes sociales y los operadores de sitios web, quienes tienen la obligación de proteger los datos personales de sus usuarios frente a actividades de scraping realizadas por terceros que violen las leyes de protección de datos.
Las autoridades que firmaron esta declaración reconocieron que ninguna medida de seguridad aislada puede garantizar la protección contra el scraping. Por ello, recomendaron a las plataformas de redes sociales y operadores de sitios web combinar diferentes controles técnicos y procedimientos acordes a la sensibilidad de la información que alojan. Entre estas medidas, destacaron el monitoreo de la actividad de los usuarios, especialmente de los nuevos, para identificar patrones y comportamientos anormales que podrían indicar la existencia de scraping por parte de éstos hacia otros usuarios. También hicieron énfasis en la importancia de proporcionar a los usuarios herramientas útiles que les permitan tomar decisiones conscientes e informadas respecto a sus datos personales.
La primera declaración fue enviada a actores clave de la industria, incluyendo YouTube, TikTok, X y Meta, para que comenten sobre cómo cumplen con los lineamientos establecidos en el documento. Las plataformas confirmaron haber implementado varias de las medidas recomendadas, y acercaron a las autoridades otras no contempladas originalmente, como la implementación de elementos de diseño que dificultan la extracción automatizada de datos. Además, las autoridades fueron contactadas por una empresa dedicada a la extracción de datos comerciales, la cual compartió sus esfuerzos para cumplir con la normativa de protección de datos cuando interactúa con este tipo de información.
A partir de esta primera declaración y de los comentarios de la industria, las autoridades elaboraron una nueva declaración en octubre de 2024, haciendo foco en diferenciar el data scraping legal del ilegal. Si bien se requiere la autorización del propietario del sitio, o plataforma scrapeada o la existencia de un fin socialmente beneficioso para que una extracción de datos sea legal, estas condiciones no son suficientes por sí solas. Cuando el scraping implica la recopilación de datos personales, también debe existir una base legal adecuada, como el consentimiento del titular de esos datos, el interés legítimo o el interés público, dependiendo de la legislación aplicable y las circunstancias específicas de cada caso.
La segunda declaración también subrayó que, incluso existiendo una autorización del propietario de la plataforma o sitio web y una base legal, es esencial que se encuentre definido qué datos personales pueden ser objeto de scraping y con qué propósito. En ese sentido, las autoridades reconocieron la utilidad de las APIs, que permiten un mayor control sobre los datos y facilitan la detección de scraping no autorizado; y de la inteligencia artificial, que puede ser utilizada para detectar patrones de comportamiento sospechosos.
En conclusión, las autoridades señalaron que no existen medidas infalibles contra el scraping ilegal. Sin embargo, recomendaron la implementación de salvaguardas dinámicas y de múltiples capas para mitigar los riesgos y daños asociados. Se destacó la importancia de considerar las categorías de datos y los titulares afectados, ya que el estándar mínimo de protección puede variar en función de ello. Por ejemplo, no es equivalente la protección necesaria para reseñas de productos en plataformas de comercio electrónico que para fotografías de menores de edad en redes sociales.