Carlos B Fernández. La agencia británica de protección de datos (ICO), junto con sus homólogas de Australia; Canadá; Hong Kong; Suiza; Noruega; Nueva Zelanda; Columbia; Jersey; Marruecos; Argentina y México, han suscrito una declaración conjunta por la que solicitan la protección de los datos personales de las personas contra la extracción ilegal de datos que se lleva a cabo en los sitios de redes sociales, conocido como web scraping.
Esta técnica es una forma automatizada de extraer grandes cantidades de información de la web, que genera riesgos para la privacidad y daños potenciales, como que la información que las personas publican en línea se utilice para fines no previstos o autorizados, se explote en ciberataques o se utilice para cometer fraudes de identidad.
La declaración se ha suscrito en el ámbito de la Global Privacy Assenbly, un foro global de autoridades de protección de datos y privacidad que integra a más de 130 autoridades de protección de datos y privacidad de todo el mundo. Tras su firma, se ha enviado directamente a Alphabet Inc. (YouTube), ByteDance Ltd (TikTok), Meta Platforms, Inc. (Instagram, Facebook y Threads), Microsoft Corporation (LinkedIn), Sina Corp (Weibo) y X Corp. (X, antes Twitter).
El objetivo de esta declaración conjunta es: a) Resumir los principales riesgos para la privacidad asociados al scraping de datos; b) Establecer cómo las empresas de medios sociales y otros sitios web deben proteger la información personal de los individuos de la sustracción ilegal de datos para cumplir las expectativas normativas; y c) Establecer las medidas que los particulares pueden tomar para minimizar los riesgos para la privacidad derivados del scraping.
Consideraciones generales
- La información personal de acceso público sigue estando sujeta a las leyes de protección de datos y privacidad en la mayoría de las jurisdicciones.
- Las empresas de redes sociales y los operadores de sitios web que alojan datos personales de acceso público tienen la obligación, en virtud de las leyes de protección de datos y privacidad, de proteger la información personal de sus plataformas contra el scraping ilegal de datos.
- Los incidentes de extracción masiva de datos que recopilan información personal pueden constituir violaciones de datos notificables en muchas jurisdicciones.
- Los particulares también pueden tomar medidas para proteger su información personal frente al "data scraping", y las empresas de redes sociales tienen un papel que desempeñar para que los usuarios puedan utilizar sus servicios de forma que se proteja su intimidad.
Los riesgos que plantea el web scraping
El informe destaca como principales riesgos para la privacidad, derivados de esta práctica:
- La posibilidad de realizar ciberataques selectivos, utilizando la información sobre la identidad de las personas y sus datos de contacto ilícitamente obtenida y publicada en foros de piratas informáticos, para realizar ataques selectivos de ingeniería social o phishing.
- El posible fraude de identidad mediante la utilización de los datos obtenidos para presentar solicitudes fraudulentas de préstamos o tarjetas de crédito, o para suplantar la identidad de otras personas creando cuentas falsas en redes sociales.
- El seguimiento, la elaboración de perfiles y la vigilancia de personas, ya que los datos así obtenidos pueden utilizarse para rellenar bases de datos de reconocimiento facial y proporcionar acceso no autorizado a las autoridades.
- Su utilización para fines políticos o de inteligencia no autorizados, por parte de gobiernos o agencias de inteligencia extranjeros.
- La realización de marketing directo no deseado o spam, utilizando los datos “raspados” para enviar mensajes masivos de marketing no solicitados.
Medidas que pueden adoptar las empresas para prevenirlo
El documento considera que ninguna salvaguarda que se adopte puede proteger adecuadamente contra todos los posibles daños a la privacidad asociados al uso de esta técnica para la captura de datos personales. Por ello propone a las PYMES y otros sitios web aplicar controles técnicos y de procedimientos para mitigar los riesgos, utilizando para ello una combinación de estos controles que puede incluir:
- Designar un equipo y/o funciones específicas dentro de la organización para identificar y aplicar controles de protección, vigilancia y respuesta a las actividades de scraping.
- "Limitar" el número de visitas por hora o día de una cuenta a otros perfiles de cuenta, y limitar el acceso si se detecta una actividad inusual.
- Supervisión de la rapidez y agresividad con que una nueva cuenta empieza a buscar a otros usuarios. Si se detecta una actividad anormalmente alta, podría ser indicativo de un uso inaceptable.
- Tomar medidas para detectar "scrapers" identificando patrones en la actividad de los bots. Por ejemplo, se puede detectar un grupo de direcciones IP sospechosas controlando desde dónde se accede a una plataforma utilizando las mismas credenciales desde varias ubicaciones. Esto sería sospechoso cuando estos accesos se producen en un corto periodo de tiempo.
- Tomar medidas para detectar bots, como el uso de CAPTCHAs, y bloquear la dirección IP donde se identifique actividad de data scraping.
- Cuando se sospeche y/o se confirme el scraping de datos, emprender las acciones legales oportunas, como el envío de cartas de "cese y desistimiento", exigir la eliminación de la información scrapeada, obtener confirmación de la eliminación y otras acciones legales para hacer cumplir los términos y condiciones que prohíben el scraping de datos.
- En las jurisdicciones en las que el scraping de datos pueda constituir una violación de datos, notificar a las personas afectadas y a los reguladores de privacidad según sea necesario.
Posibles medidas a adoptar por los particulares
Finalmente el documento indica que, aunque esta declaración conjunta se centra en las medidas que las PYME y otros sitios web pueden aplicar para mitigar el riesgo del "scraping" de datos, los particulares también pueden y proteger mejor su información personal:
- Leer la información proporcionada por la red social o el sitio web de que se trate sobre cómo comparten información personal, incluida la política de privacidad. Centrarse específicamente en las políticas de intercambio y divulgación de datos del sitio web ayudará a las personas a tomar una decisión informada sobre la información que deciden compartir y a comprender los riesgos que de ello podrían derivarse para su privacidad.
- Reflexionar sobre la cantidad y el tipo de información que se comparte. Las personas deben considerar la posibilidad de limitar la información que publican en línea. En particular, las personas deben ser cautelosas a la hora de limitar el intercambio de información sensible y considerar si compartir cierta información (como datos personales, números de cuenta o números de identificación) puede ponerles en riesgo de daños a su reputación, discriminación, acoso, fraude de identidad o robo.
- Comprender y gestionar la configuración de privacidad: aunque la configuración de privacidad de cada usuario sólo puede llegar hasta cierto punto en la protección de la privacidad, puede y debe ayudar a las personas a aumentar el control que tienen sobre cómo se comparte su información personal en línea. En consecuencia, los usuarios de sitios web deben considerar el uso de estas configuraciones para limitar la información que hacen públicamente accesible.
En última instancia, se anima a las personas a pensar a largo plazo, preguntándose ¿Cómo se sentirá viendo difundida dentro de unos años una información que comparte hoy?