¿Es legal el raspado de datos? Te explicamos lo que necesitas saber

El raspado de datos (web scraping) es uno de los métodos más comunes de recogida de datos, pero su legalidad sigue siendo un tema muy debatido. Entonces, ¿es legal el raspado de datos? Aunque la respuesta no es tan sencilla, en esta publicación explicamos qué es el raspado de datos, cuáles son sus implicaciones legales y las mejores prácticas. 👀 ¡Empezamos!

¿Qué es el raspado de datos?

Raspado de datos: qué es y cómo funciona

El raspado de datos consiste en la extracción de datos de un sitio web. A continuación, la información recopilada se exporta en un formato más útil para el usuario.

En términos más técnicos, el raspado de datos utiliza el HTML, CSS o el código/elementos de JavaScript de una página web y extrae todos los datos presentes o selecciona alguna información específica de valor. De hecho, el raspado de datos permite dirigirse a información específica (por ejemplo, una página de Amazon para buscar precios, pero omitiendo las reseñas de productos).

🔍 Por lo general, el raspado de datos se realiza mediante herramientas específicas y automatizadas que funcionan más rápido que cuando se buscan datos de manera manual.

Ejemplos de rapado de datos

Aunque del raspado de datos se suelen encargar los desarrolladores, ya que puede llegar a ser bastante técnico, es una herramienta de gran valor para investigadores, periodistas, profesores universitarios, etc.

El raspado de datos puede utilizarse para:

• Estudios de mercado: análisis de la competencia a partir de datos de productos de sitios de comercio electrónico, como Amazon o eBay.
• Control de precios: como el precio de las acciones.
• Seguimiento de noticias.
• Recopilar localizadores de tiendas, estadísticas deportivas, etc.

¿Es legal el raspado de datos?

La legalidad del raspado de datos

Al igual que la mayoría de las personas que investigan sobre este tema, seguro que te estás preguntando si el raspado de datos es legal. Por desgracia, todavía no está muy claro.

El raspado de datos suele estar permitido cuando:

• los datos extraídos están disponibles públicamente; y
• la información recopilada no está protegida por un inicio de sesión.

En términos generales, para efectuar el raspado de datos de manera responsable, es preciso prestar atención a los términos y condiciones del servicio aplicables, a los datos protegidos por derechos de autor y a los datos personales (pues los datos personales suelen estar protegidos por las leyes de privacidad).

🔍 Echa un vistazo a nuestra guía detallada sobre lo que se considera información personal en las principales leyes de privacidad.

Raspado de datos conforme a la legislación sobre privacidad

Las principales leyes sobre privacidad promulgadas hasta la fecha en la Unión Europea (el RGPD) o en Estados Unidos (la CPRA) tienen como objetivo proteger los datos personales de los usuarios y establecer un marco sobre cómo pueden utilizarse estos datos.

No hacen referencia al raspado de datos ni declaran su ilegalidad. Sin embargo, regulan la recogida de datos personales por parte de las empresas y lo que pueden hacer con ellos. En resumen (hay que tener en cuenta que la ley es muy compleja) en esta legislación se suele recoger:

• la recepción del consentimiento explícito de los interesados;
• la recopilación de datos personales solo con finalidades específicas;
• la necesidad de informar a los usuarios de qué datos se recogen, cómo se recogen y cuáles son sus derechos.

🔍 Es decir, si tus actividades de raspado de datos implican la obtención de datos personales, debes garantizar que cumples las leyes de protección de datos.

Orientación del Garante

En mayo de 2024, el Garante publicó un documento orientativo que contiene instrucciones para defender los datos personales publicados en línea por entidades públicas y privadas en calidad de responsables del tratamiento frente al web scraping en el contexto del entrenamiento generativo de IA. El Garante sugiere una serie de medidas concretas a adoptar, entre ellas

• la creación de áreas reservadas, accesibles sólo previa inscripción, para sustraer los datos a la disponibilidad pública; 
• la inclusión de cláusulas anti-scraping en las condiciones de servicio de sitios web o plataformas en línea; 
• la supervisión del tráfico a las páginas web, para identificar cualquier flujo anormal de datos entrantes y salientes (un ejemplo de medida adecuada a adoptar es limitar el tráfico de la red y el número de solicitudes de acceso seleccionando sólo las procedentes de determinadas direcciones IP); y
• la aplicación de medidas específicas contra los robots mediante algunas soluciones tecnológicas (por ejemplo: interviniendo en el archivo robots.txt; incluyendo comprobaciones CAPTCHA; realizando modificaciones periódicas del marcado HTML; incorporando contenidos o datos destinados a evitar actividades de scraping dentro de elementos multimedia como imágenes).

Mediante la adopción de estas acciones, aunque no son exhaustivas ni en el método ni en el resultado, los operadores de sitios web y plataformas en línea pueden contener los efectos del scraping destinado a entrenar algoritmos de inteligencia artificial generativa.

Sentencias anteriores y casos comunes

Algunos casos destacables en los que el raspado de datos es ilegal y que debes conocer son los de personas o empresas que abusan de esta técnica e infringen los términos y condiciones del servicio o las normas sobre derechos de autor.

📌 Sentencia del US Ninth Circuit of Appeals Court – LinkedIn contra HiQ

LinkedIn inició una batalla para impedir que un competidor, HiQ, extrajera información personal de los perfiles públicos de LinkedIn de los usuarios.
En 2020, la sentencia estableció que no se había infringido la CFAA, ya que los datos extraídos de LinkedIn eran públicos (no era preciso introducir una contraseña para verlos).

📌 Multa a Clearview AI

La empresa de reconocimiento facial recibió una cuantiosa multa por extraer millones de fotos de rostros de personas de las redes sociales.
Se declaró que Clearview AI estaba tratando datos sensibles sin una base jurídica válida. Lee la historia completa en nuestro blog.

Qué debes saber

Si utilizas la técnica de raspado de datos

✅ Ten cuidado si descargas datos de un sitio web en el que se requiere que inicies sesión, ya que esto podría significar que has aceptado unos términos y condiciones del servicio que pueden prohibir las actividades de raspado de datos.

✅ Comprueba los términos y condiciones del sitio web para garantizar que no incumples el contrato.

✅ Aunque sean datos de acceso público, comprueba que los datos no estén protegidos por derechos de autor, como puede ser el caso de artículos, vídeos o diseños.

✅ Por último, y lo más importante, piensa en las cuestiones éticas. Aunque una actividad no sea ilegal, puede perjudicarte o dañar tu reputación o la de otros.

Si eres el titular del sitio web

Para evitar que tu sitio web sea objeto de raspado de datos:

🔒 Establece los derechos de autor de tu sitio web y redacta una cláusula de derechos de autor.

🔒 Restringe la actividad de raspado de datos en el documento de términos y condiciones de tu sitio web. Cuando lo hagas, asegúrate de utilizar un lenguaje concreto y prohíbe a terceros que extraigan datos y los utilicen con fines comerciales, por ejemplo.

👋 Te explicamos cómo hacerlo fácilmente con las soluciones de software iubenda:

🚀 Utiliza el Generador de Términos y Condiciones de iubenda.
🚀 Crea tu documento de condiciones generales personalizado;

🚀creauna cláusula personalizada o selecciona nuestras cláusulas prediseñadas, incluidas las cláusulas sobre derechos de contenido;

🚀 Añade fácilmente una cláusula antirrobo: Uso aceptable → Cláusula de uso aceptable personalizada (lista con declaraciones específicas para usos aceptables/prohibidos, profundizando con ejemplos y declaraciones) → Añade una lista con restricciones de raspado

🚀 Sigue nuestras instrucciones para instalar rápidamente el documento en tu sitio web.