- El 28 de octubre, una Declaración Conjunta reafirmó que los datos personales accesibles públicamente siguen estando protegidos por la ley.
- La Agencia Española de Protección de Datos (AEPD) y otras autoridades subrayan que el scraping no autorizado puede ser considerado una violación de la privacidad.
- Las empresas, incluidas las pymes, deben adoptar medidas de seguridad como el uso de CAPTCHAs y la detección de bots.
- Se enfatiza la necesidad de base legal y transparencia en el uso de datos personales, incluso en el entrenamiento de modelos de IA.
El pasado 28 de octubre, diversas autoridades de protección de datos a nivel mundial, entre ellas la Agencia Española de Protección de Datos (AEPD), emitieron una Declaración Conjunta para reafirmar su postura respecto al uso indebido del «data scraping». Este comunicado complementa las pautas iniciales de agosto de 2023, subrayando que, aunque cierta información sea accesible públicamente, sigue protegida bajo las leyes de protección de datos.
Protección de datos y responsabilidad de las plataformas
La declaración insta a las plataformas, especialmente las de redes sociales, a proteger los datos de los usuarios contra el scraping no autorizado, que puede implicar una violación de la privacidad y considerarse como una brecha de seguridad. Esto no solo afecta a las grandes tecnológicas, sino también a pequeñas y medianas empresas (pymes) que deben implementar medidas de protección como la detección de bots, restricciones de acceso y sistemas de verificación como CAPTCHAs.
Las autoridades destacan que los responsables del tratamiento de datos deben actualizar sus medidas de seguridad en función del avance tecnológico. A pesar de que la inteligencia artificial (IA) puede ser utilizada para eludir controles, también puede servir como herramienta para fortalecer la protección contra el scraping.
Scraping permitido por contrato y sus limitaciones
En relación con el scraping que se realiza bajo un acuerdo contractual, la declaración enfatiza que los contratos no pueden por sí solos legalizar esta práctica. Las organizaciones deben asegurarse de que el acceso a los datos personales tenga una base jurídica válida y deben ser transparentes en cuanto a los permisos concedidos para el scraping, obteniendo el consentimiento cuando sea necesario.
Además, se requiere que los contratos establezcan límites claros y las consecuencias ante el uso indebido de los datos. Las plataformas deben vigilar activamente el cumplimiento de estos acuerdos y tomar medidas correctivas si se detectan infracciones.
Uso de datos personales en el entrenamiento de modelos de IA
Otro aspecto crucial que aborda la declaración es el uso de datos personales para entrenar modelos de inteligencia artificial. Se insta a las organizaciones que desarrollan IA generativa a cumplir estrictamente con las leyes de protección de datos y seguir las directrices establecidas por organismos internacionales. Las autoridades recuerdan que el uso indebido de datos personales en IA puede conllevar serios riesgos para la privacidad, y que las organizaciones deben cumplir con las normativas locales en cada jurisdicción para evitar sanciones.
