KNOW. Novedades Jurídicas y Fiscales nº79 - Junio 2019

© 2019 KPMG Abogados S.L.P. sociedad española de responsabilidad limitada profesional y firma miembro de la red KPMG de firmas independientes afiliadas a KPMG International Cooperative (“KPMG International”), sociedad suiza. Todos los derechos reservados. 6 KNOW Tax&Legal Enfoque legal El web scraping y la protección de datos El uso de herramientas informáticas (conocidas como “arañas web” o “ crawlers ”) para rastrear Internet de forma automática en busca de información de todo tipo con el propósito de copiarla e incorporarla a una nueva base de datos (“ web scraping ”) plantea desafíos jurídicos de muy diferente índole: en materia de propiedad intelectual, de competencia desleal o de protección de datos, entre otros. Dejando de lado usos menos ortodoxos (1) , cuando el objetivo sea captar datos no personales (por ejemplo, a fin de generar una base de datos que nos permita comparar precios), la privacidad quedará en un segundo plano, pero cuando suceda lo contrario y de lo que se trate sea de recabar datos personales (por ejemplo en el marco de proyectos de sentiment analytics (2) ), se convertirá en el elemento clave a tener en cuenta a la hora de emprender el proyecto. Desde el punto de vista de la protección de datos, la cuestión mollar es si el tratamiento de datos personales recabados de este modo es lícito; es decir, si cumpliría los principios y requisitos, inter alia, de legitimidad, información al interesado o consentimiento, en su caso, recogidos en el Reglamento General de Protección de Datos (3) (“ RGPD ”) y/o en la normativa local de aplicación en España (principalmente, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales). A este respecto, la primera consideración que merece la pena realizar es que el hecho de que un dato personal sea público (es decir, en el caso que nos ocupa, sea accesible a través del Internet conocido e indexable) tiene escasa (si no nula) relevancia, a los efectos de determinar si su tratamiento es legítimo o no. Para llevar a cabo cualquier tratamiento de datos personales sin excepción (incluso de datos obtenidos de fuentes accesibles al público (4) o fuentes públicas en general) será necesario incardinarlo en, al menos, una de las bases legitimadoras consagradas en el art. 6 RGPD (5) . Es decir, no se debe confundir “publicidad” del dato con “habilitación” para su tratamiento (6) . Bartolomé Martín Fernández Director Legal Mercantil KPMG Abogados, S.L.P. ------------------------------------------------------------------------------ (1) Por ejemplo, para rastrear información bajo el Internet indexable o conocido (i.e. en la parte de Internet formada por la Deep Web , la Dark Web o en Darknets ) con el fin de detectar actividades fraudulentas (una derivada del llamado “ hacking ético”, que tiene como propósito detectar vulnerabilidades de los sistemas de seguridad de la información de entidades financieras, compañías de telecomunicaciones, etc.). El acceso a información protegida y la transgresión de las medidas de seguridad establecidas para su protección (incluso en este supuesto del hacking ético) no tienen encaje en el concepto de tratamiento lícito, leal y transparente a que se refiere el art. 5.1 a) RGPD. Esto supone que el acceso y tratamiento de datos personales obtenidos de la Deep Web vulnerando esos controles será considerado radicalmente ilícito, salvo en supuestos extremos, bajo supervisión y a petición de una autoridad pública (autorizada por la ley para llevar a cabo este tipo de tratamiento) o judicial. Por este motivo, centramos el objeto del presente análisis en el acceso y tratamiento de información personal disponible en la Surface Web (el Internet indexable y conocido). (2) Sentiment Analytics es el proceso por el que es posible determinar un estado de opinión mediante el análisis de datos extraídos de diferentes fuentes. A menudo, se hace sobre datos que se recaban de Internet (e. g. de redes sociales) y, en ocasiones, sobre individuos concretos a efectos de risk scoring , entre otros fines. (3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. (4) Las fuentes accesibles al público estaban tasadas bajo la normativa de protección de datos anterior (desplazada por el RGPD) y se referían a: a) el censo promocional; b) las guías de servicios de comunicaciones electrónicas, c) las listas de personas pertenecientes a grupos de profesionales que contuvieren únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo, d) los diarios y boletines oficiales y e) los medios de comunicación social (art. 7 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal).