Web scraping y biometría: una de cal y otra de arena desde Holanda

 

La Autoridad de control holandesa decidió que era buena idea sacar una guidelines sobre web scraping para celebrar que Madrid estaba de vacaciones: de hecho, publicó dos documentos interesantes en dos días:

1.- Unas guidelines sobre web scraping. Digámoslo sin ambages: este documento es maaalo.

2.- El segundo son una “Preguntas frecuentes” sobre tratamientos biométricos, con algún punto de interés.

Recuerda que está abierta la preinscripción para nuestra formación en RGPD aplicado a IA e AI Act. Empieza a finales de mayo.

Al lio:

 

1.- Guidelines sobre data scraping

Enlace a traducción automática del documento aquí (gracias al compañero Joost Gerritsen).

La denominación del documento hace referencia a “scraping realizado por personas físicas o jurídicas privadas”: vamos que se va a centrar en la relación entre web scraping e interés legítimo.

Parece oportuno señalar que uno de los posts más leidos de este blog es un resumen de las hostiacas que se han llevado quienes gustan de hacer web scraping a calzón quitado.

Que fue seguido de otro post con pistas para hacer casi casi lo mismo, pero cumpliendo, este último está basado en nuestro trabajo con dos clientes distintos que hacen “social media listening”. Los dos del sector privado (como saben, no trabajamos con administraciones públicas).

Vamos, que algo sabemos del tema.

 

Los peores puntos:

1.1.1.- Aplicación extraterritorial del RGPD

Quiero pensar que la culpa es de la traducción automática al inglés que he manejado, pero no parece: la parte relacionada con la aplicación extraterritorial del Reglamento General de Protección de Datos es insuficiente y equívoca.

Mi consejo al lector es que, si necesita sumergirse en esta tema en concreto se vaya directamente a las fuentes: a las Guidelines 3/2018 del EDPB.

El tema es lo suficientemente farragoso como para leerse este doc y salir perfectamente orientado… en la dirección opuesta a la correcta. Probablemente la voluntad era simplificar esas guidelines, pero… en fin.

 

1.1.2.-Tratamientos secundarios

La afirmación de que la posibilidad de tratamientos secundarios compatibles están limitados a aquellos realizados por el mismo responsable de tratamiento que haya realizado el tratamiento primario es única en Europa. Enhorabuena.

1.1.3.-Ánimo de lucro: ese interés espúreo

La Autoridad de control holandesa insiste en una fatídica idea mantenida por esta autoridad cabalgando con (snif, snif) la AEPD: que el mero ánimo de lucro por sí solo no es susceptible de legitimar un tratamiento de datos personales.

Recordemos el post en el que repasábamos idas de olla en este sentido en resoluciones de la AEPD y en sentencias delirantes del Tribunal Supremo.

Pero volvamos a la Autoridad holandesa, que dice:

“Un interés legítimo para serlo, debe estar reconocido legalmente, debe estar incluido en algún sitio de la ley y debe estar reconocido y protegido: puede ser una norma o principio no escrito, pero uno en el que la sociedad crea que debe ser protegido por la ley”.

Sí, amigos, los holandeses hacen dos cosas en este párrafo:

• Inventarse requisitos inexistentes en el 6.1.f) RGPD. La AEPD hizo esto antes del Reglamento General de Protección de Datos y la cosa acabó mal.
• Descubrir los principios generales del derecho y la “opinio iuris seu necesitatis” (recuerden: el elemento jurídico que hace que una mera repetición de acciones, un uso, se convierta en norma jurídica porque desde un determinado momento, la gente hace tal cosa de determinada manera porque siente que si la hace de otro modo, incumple la norma social).

 

En fin.

Y ahora hablando en serio, amigos, no sé en qué parte de ese razonamiento no encaja el ánimo de lucro.

El ánimo de lucro es el motor del sector privado and that´s ok. La ponderación del interés legítimo tiene unas reglas especialmente útiles y eficaces para identificar y después limar y/o amputar excesos del tratamiento. Precisamente esos excesos que los agentes económicos -especialmente en contextos desrregulados- tienen todos los incentivos del mundo para abrazar.

Así que mejor trabajar juntos (empresas, autoridad de control) en identificar cuáles son esos excesos para gestionarlos y afrontarlos lo mejor posible, que acurrucarse a la sombra de vacías y pacatas declaraciones antieconómicas.

 

¿Soluciones contra la desinformación?

De hecho, si aunamos el punto 2 y el punto 3, sólo podrían hacer «social media listening» las (jaja) administraciones públicas o las ONGs.

Pues no, señores: como bien argumentaba Marta Peirano esta misma semana, la supervisión de viralización de desinformación en redes sociales, si es transparente y «bipartisana», puede ser una vía óptima para visibilizar desde fuera y bloquear y/o limpiar desde las propias plataformas la ubicua desinformación que asola nuestras psiques y democracias.

 

 

1.2       Las buenas ideas:

1.2.1.- Excepción doméstica

El recordatorio: la excepción doméstica prevista en el reglamento no es aplicable cuando la finalidad del responsable del tratamiento es comercial.

 

1.2.2.- “Es mejor querer y después perder que nunca haber querido” pero es tratamiento.

Se insiste reiteradamente en que el web scraping implica tratamiento de datos personales aunque el responsable, inmediatamente después de la descarga del data set, proceda a eliminar los datos personales.

La minimización de tratamiento está bien, pero eso es un triple de espaldas en el último segundo.

Señal inequívoca de que muchos jetas han tirado de tan “imbatible” argumento.

 

1.2.3.- El interesado siempre tiene una finalidad al hacer públicos sus datos

Y hay que tenerla en cuenta, en tu test de compatibilidad o en tu evaluación interna de interés legítimo.

El hecho de que los interesados hayan publicado en Internet sus datos personales de forma visible para cualquiera, puede ser interpretada como autorización para que cualquiera vea dichos datos. Algo que es notoriamente distinto de haber otorgado permiso o consentimiento para la descarga de dichos datos para su tratamiento para finalidades distintas de la mencionada.

Más concretamente el hecho de que los interesados hayan hecho públicas fotografías suyas creencias que hayan hecho públicos las plantillas biométricas de las mismas, de modo que puedan ser objeto de tratamiento por terceros para reidentificarles en cualquier otra imagen suya (¡hola, ClearView!).

 

1.2.4.-Factores en la evaluación de las legítimas expectativas de los interesados

Cuando se consideran las legítimas expectativas de los interesados los siguientes elementos son relevantes:

• Normalmente no existe una relación entre la entidad que realiza el web scraping y el interesado.
• Normalmente los interesados no conocen exactamente qué datos suyos están en Internet.
• Cuando los interesados publicaron sus datos, no existía o al menos ellos no conocían la posibilidad del scraping a la escala actual.

 

1.2.5.- “Tratamientos estadísticos”

Es preciso distinguir entre tratamientos que consisten básicamente en análisis estadístico, que no afectan a personas individualizadas de los tratamientos más intrusivos como los análisis de sentimiento o la realización de perfiles de personas identificadas.

 

1.2.6.- Medidas de mitigación del impacto

La autoridad propone, como salvaguardias adicionales para reducir el impacto sobre los interesados, las siguientes:

• Medidas de transparencia adicional.
• Borrar, anonimizar, o pseudonimizar los datos personales tan pronto como sea posible.
• Reconocer y satisfacer un derecho de supresión (más bien de oposición, que llevan al mismo resultado, diría yo) en términos más amplios que los reconocidos por el Reglamento.
• Implementar (esta es más bien para editores) las herramientas estandarizadas en Internet para evitar el scraping de terceros (archivo robots.txt).

 

 

2        FAQs sobre tratamientos biométricos.

 

Adjunto traducción automática al inglés.

 

Dos cosas me llaman la atención:

 

2.1       Consentimiento explícito:

Lo que todos esperábamos, compañero del metal: en relación con el uso del consentimiento explícito, acepta con toda normalidad su aplicación siempre que se ofrezca una alternativa operativa no biométrica. Afirmación 100% exenta de pajas mentales sobre cómo eso compromete la propia necesidad del tratamiento, y no miro a nadie eh, AEPD ? EH? NO MIRO A NADIE…

A renglón seguido, dice que el consentimiento laboral probablemente no sea válido por razones de desequilibrio de fuerzas, pero esta cautela -exactamente en la misma formulación repetida hasta la saciedad por el EDPB- ya la conocíamos.

Y es compatible con la anterior. Sí, amigos.

Sí.

 

2.2      Excepción doméstica

La Autoridad propone un set de requisitos para entenderla aplicable:

1.- El uso del dispositivo o servicio por parte del usuario de dispositivos electrónicos móviles para acceder a aplicaciones descargadas en el mismo se califica como uso privado a estos efectos;

2.- El empleo de los datos biométricos del usuario no es impuesto por un empleador o por cualquier otra tercera parte. En consecuencia, el usuario ha optado voluntariamente por la opción de acceso mediante el procesamiento de datos biométricos. El usuario también puede elegir una alternativa no biométrica, como el acceso mediante contraseña;

3.- Los datos biométricos almacenados del usuario no son accesibles a terceras partes. Dichos datos no pueden ser enviados a una base de datos externa, por ejemplo, y terceras partes no pueden acceder a estos datos. Además, la seguridad del almacenamiento de datos es de alto nivel;

4.- Los datos biométricos se almacenan en el dispositivo utilizando cifrado de última generación;

5.- En el control de acceso, la tecnología simplemente comunica si el reconocimiento fue exitoso o no.

 

Muuy buena semana.

 

P.D. Recuerda que está abierta la preinscripción para nuestra formación en RGPD aplicado a IA e AI Act. Empieza a finales de mayo.

 

Jorge García Herrero

Abogado y Delegado de protección de datos