El Dato Público no es Dato Libre: Multa al Scraping

La reciente sanción impuesta por una autoridad de protección de datos alemana a una empresa de análisis por el data scraping masivo de datos personales accesibles públicamente, establece un precedente significativo en la aplicación del Reglamento General de Protección de Datos (RGPD). Este caso refuerza la tesis de que la mera accesibilidad de un dato en fuentes abiertas (como redes sociales o websites) no constituye una base legal per se para su posterior recolección, tratamiento y uso comercial.

Según el Artículo 6 del RGPD, todo tratamiento debe fundamentarse en una de las bases legales taxativas, siendo el interés legítimo la opción frecuentemente invocada para el scraping. Sin embargo, la resolución subraya que el interés legítimo de la empresa (análisis comercial o profiling) debe sopesarse rigurosamente frente a los derechos y libertades de los interesados. El tratamiento masivo, no informado y con una finalidad distinta a la original para la que el dato fue hecho público, desequilibra esta ponderación.

La decisión de la autoridad alemana protege el principio de limitación de la finalidad (Art. 5.1.b RGPD). Un individuo que publica un dato con un propósito específico (ej. interacción social) no consiente implícitamente su uso para la construcción de bases de datos comerciales o de profiling. El fallo actúa como un claro recordatorio a las empresas de Big Data de que deben articular políticas de privacidad detalladas y obtener un consentimiento inequívoco o demostrar un interés legítimo que sea realmente proporcionado, transparente y evaluado mediante una EIPD (Evaluación de Impacto de Protección de Datos).

 En el contexto de la economía del dato, ¿cómo pueden las autoridades de control digital garantizar la trazabilidad y la rendición de cuentas (accountability) de aquellos modelos de negocio cuya viabilidad depende intrínsecamente de la recolección opaca de datos públicos?