15 de mayo de 2015

Implicaciones legales del uso del web scraping (o screen scraping)

Hoy analizaremos las repercusiones legales vinculadas a la utilización de técnicas de web scraping (o screen scraping) en España. Como sabréis, el web scraping consiste en una técnica de extracción de contenidos de un sitio web basada en software, usualmente simulando la actividad de un usuario humano.

En España, dichas cuestiones han sido analizadas por nuestros tribunales a raíz de los procedimientos civiles interpuestos por la línea aérea Ryanair frente a tres agencias de viaje en línea que utilizaban dichas técnicas para ofrecer comparativas de precios (y la posibilidad de adquirir directamente los billetes) a los usuarios de sus sitios web a cambio de una comisión. Ryanain basaba sus acciones principalmente en tres fundamentos, que sin embargo fueron sucesivamente rechazados por el Tribunal Supremo (SSTS 9 de octubre de 2012 — Ryanair c. Atrápalo—, 30 de octubre de 2012 —Ryanair c. eDreams— y 7 de mayo de 2014 —Ryanair c. LastMinute—:

1. Vulneración de los términos y condiciones de uso del sitio web: Ryanair alegaba que los términos y condiciones de su web que eran automática e implícitamente aceptados por cualquier usuario que navegue por la misma eran vulnerados por las agencias de viajes, puesto que dichos términos prohibían expresamente el uso de técnicas de web scraping. Sin embargo, el Tribunal Supremo rechazó este argumento al considerar que las agencias de viaje no habían aceptado los términos y condiciones de forma expresa, y por tanto no estaban sometidas a aquella prohibición por el mero hecho de navegar en el sitio web de Ryanair.   


2. Vulneración de los derechos sobre base de datosRyanair alegaba que su sitio web contiene una base de datos (conforme a la definición de la Ley de Propiedad Intelectual y de la Directiva 96/9) protegida por derechos de autor y por el derecho sui generis de las bases de datos, en la medida en que era notorio que había realizado una inversión sustancial en la obtención, la verificación y la presentación de sus contenidos. Así, como productor de la base de datos, podía prohibir la extracción y/o reutilización de una parte sustancial de la base de datos, ya sea cualitativa o cuantitativamente, por parte de las agencias de viajes. Sin embargo, el Tribunal Supremo también desestimó este argumento, ya que 1) no existe base de datos en el sentido de la Ley de Propiedad Intelectual y de la Directiva, 2) en cualquier caso, la base de datos no estaría protegida por derechos de autor ya que no se cumple el requisito de la originalidad; y 3) la base de datos tampoco estaría protegida por derecho sui generis puesto que Ryanair no había probado dicha inversión sustancial en la obtención, la verificación y la presentación de los contenidos de la base de datos, sino sólo en la mera creación de la información, que no está protegida por este derecho (en los términos del Alto Tribunal, "la inversión se refiere a la generación de la información, pero no a su recopilación y presentación, pues en realidad el dato que se solicita [por el web scraper] y se suministra [por la web de Ryanair] no preexiste como tal en la supuesta base de datos"). 

3. Competencia desleal basada en la extracción ilícita de información de la base de datos de Ryanair: Finalmente, Ryanair alegaba que las agencias de viaje cometían actos de competencia desleal por aprovechamiento ilícito de los esfuerzos competitivos de Ryanair (encaminados a ofrecer los mejores precios sin intermediarios) debido a la extracción de información de su sitio web por las agencias de viaje. El Tribunal Supremo también desestimó este motivo, insistiendo en la ausencia de base de datos y que, por tanto, la "extracción" no puede producirse. En todo caso, el Supremo recuerda que la extracción requiere, según la jurisprudencia del TJUE (Sentencia de 5 de marzo de 2009, asunto C-505/07), la transferencia permanente o temporal de toda o de una parte sustancial de la base de datos a otro soporte distinto de la base de datos original, lo cual en cualquier caso podría hacer el usuario final, pero nunca las agencias de viaje.  

A la vista de estas tres sentencias, el uso de técnicas de web scraping está sometido al cumplimiento de tres requisitos: 
  1. Ausencia de aceptación expresa de los términos y condiciones que prohiban el web scraping;
  2. Ausencia de una base de datos en el sentido de la Ley de Propiedad Intelectual y la Directiva 96/9;
  3. Evitar la extracción, definida como a transferencia permanente o temporal de toda o de una parte sustancial de la base de datos a otro soporte distinto de la base de datos original.

¿Debe articularse siempre la casilla para aceptar las comunicaciones comerciales por medios electrónicos?

A menudo surgen dudas sobre la necesidad de articular una casilla (distinta de la prevista para la aceptación de términos y condiciones y política de privacidad) para obtener el consentimiento para la recepción de comunicaciones comerciales. Sin embargo, esta necesidad depende, como veremos, del tipo de destinatario potencial al que se dirija la comunicación. En este sentido, se ha de analizar el asunto desde el punto de vista de dos legislaciones diferentes y complementarias:

  • Requisitos de la Ley 34/2002, de Servicios de la Sociedad de la Información - LSSI

El art. 21 LSSI establece la prohibición general de remitir por medios electrónicos comunicaciones comerciales “que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”, independientemente de que tales destinatarios sean personas físicas o jurídicas. Por tanto, la regla general es que debe obtenerse el consentimiento expreso del destinatario para la remisión de comunicaciones comerciales.

Ahora bien, el segundo párrafo de dicho art. 21 establece una excepción para dicha necesidad de consentimiento, en aquellos casos en que exista i) una relación contractual previa, ii) los datos hayan sido obtenidos lícitamente, y iii) las comunicaciones comerciales remitidas sean referentes a productos o servicios del propio remitente y similares a los que inicialmente fueron objeto de contratación por el destinatario.

Es decir, siempre que las comunicaciones comerciales sólo se vayan a dirigir a aquellos usuarios que estén contratando el servicio y que vayan a ser relativas a los mismos servicios o similares, se cumpliría el supuesto de la excepción y en consecuencia, no será necesario articular la casilla sino que bastará con informarles de ello en los términos y condiciones de la página. Además, siempre debe darse la posibilidad de dejar de recibir dichas comunicaciones comerciales ofreciéndoles una dirección de correo electrónico válida donde ejercer ese derecho, tanto en los términos y condiciones como en cada comunicación. 

  • Requisitos de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal - LOPD 

Por otra parte debe tenerse en cuenta la legislación de protección de datos, que puede imponer un consentimiento adicional. En este sentido, se diferencian dos situaciones:

1. El formulario lo rellena una empresa o sociedad, o personas físicas en su nombre (empresarios individuales o trabajadores) proporcionando datos de mero contacto (aquellos que suelen mostrarse en las tarjetas de visita): en tal caso, la legislación de protección de datos no resulta aplicable.

2. El formulario lo rellena una persona física (empresario individual o trabajador) proporcionando otros datos personales adicionales (por ejemplo el DNI): en tal caso, se aplica la legislación de protección de datos. En este contexto, el artículo 15 del Reglamento (RD 1720/2007) prevé el siguiente requisito:

Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.

En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

Este requisito puede cumplirse estableciendo la habitual casilla “Acepto recibir comunicaciones comerciales”, obteniendo así el consentimiento expreso. Sin embargo, también puede cumplirse sin  articular ninguna casilla, permitiendo que el usuario manifieste su negativa al tratamiento, mostrando para ello el siguiente texto en el formulario de registro:

Al completar este formulario y hacer clic en el botón, aceptas plenamente los términos y condiciones del sitio web y prestas tu consentimiento para que te enviemos comunicaciones comerciales. Si no quieres recibirlas, escríbenos a [MAIL DE CONTACTO]