Data Scraping: declaración conjunta de las autoridades competentes en materia de protección de datos

Se insta a todas las empresas a adoptar medidas proactivas para proteger los datos de sus usuarios mediante la implementación de barreras técnicas que limiten o impidan el acceso automatizado no autorizado. Esta obligación de proteger la información afecta tanto a grandes compañías como a pequeñas y medianas empresas ("PYMEs"). En cuanto las PYMEs, se aclara que, incluso cuando las PYMEs recurran a servicios externos para salvaguardar los datos, siguen siendo responsables legalmente de proteger la privacidad de los usuarios.

La naturaleza transfronteriza del data scraping complica los esfuerzos de control y cumplimiento de las normativa, pues las empresas y personas responsables de estos actos suelen operar en múltiples jurisdicciones. Por tanto, las autoridades señalan que es esencial colaborar a nivel global para definir y promover buenas prácticas en la gestión de datos personales. Esta realidad subraya la necesidad de marcos regulatorios adaptables que permitan a las autoridades locales e internacionales trabajar de manera coordinada para sancionar las infracciones y proteger los datos personales de posibles intromisiones ilegítimas.

Las entidades que permitan la extracción de información deben tener una base legal informada para ello, acorde con la normativa aplicable.

• Algunas plataformas permiten el scraping o la recolección masiva de datos en ciertas circunstancias, como parte de sus intereses comerciales o los de terceros. Así pues, cuando el scraping esté basado en una la firma de determinados términos contractuales, estas disposiciones contractuales no pueden, por sí solas legitimar dicho scraping, puesto que es necesario tener una base jurídica válida y ser transparentes acerca de dicho tratamiento, además de obtener consentimiento cuando sea necesario. Asimismo, los acuerdos contractuales deben establecer límites específicos y consecuencias en caso de uso indebido de los datos. Las plataformas también deben supervisar el cumplimiento de estos términos y tomar medidas de seguridad adecuadas en caso de detectar infracciones.

En relación con el uso de datos para entrenar modelos de IA, la Declaración exhorta a los principales actores a respetar las leyes de protección de datos y las directrices sobre IA generativa de organismos internacionales. Se destaca que el uso de datos personales en IA implica riesgos para la privacidad, y que las organizaciones deben garantizar el cumplimiento de los requisitos legales en cada jurisdicción.

En algunos casos, las plataformas pueden estar obligadas por Ley a proporcionar a terceros, como investigadores, acceso masivo a datos públicos en sus plataformas, como lo estipula el Artículo 40 del Reglamento de Servicios Digitales de la UE. En otros casos, las plataformas eligen voluntariamente ofrecer acceso a datos, especialmente para apoyar investigaciones de interés social. Aunque reconocen la importancia de esta investigación, los cofirmantes de la Declaración recuerdan que, al otorgar dicho acceso, las organizaciones deben cumplir con las leyes de protección de datos, asegurándose de que exista una base jurídica válida para la recopilación o acceso. Además, señalan que el uso de APIs puede mejorar la seguridad al permitir un mayor control sobre los datos y ayudar a detectar y prevenir accesos no autorizados.