Volver al blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

GDPR en el web scraping con proxies: cómo recopilar datos sin recibir una multa de €20 millones

Analizamos los requisitos del GDPR para el web scraping: qué datos se pueden extraer, cómo usar correctamente proxies y proteger el negocio de multas de hasta 20 millones de euros.

📅26 de febrero de 2026
```html

Si está extrayendo datos de marketplaces, monitoreando precios de competidores o recopilando datos para análisis, la cuestión del cumplimiento del GDPR (Reglamento General de Protección de Datos) afecta directamente a su negocio. Las multas pueden alcanzar los €20 millones o el 4% de la facturación anual de la empresa, y los reguladores europeos las están aplicando activamente. En esta guía, analizaremos qué datos se pueden recopilar legalmente, cómo utilizar proxies para el cumplimiento y qué medidas de protección implementar en el proceso de web scraping.

Es importante entender: el GDPR no regula el scraping en sí, sino el tratamiento de datos personales de ciudadanos de la UE. Incluso si su empresa se encuentra fuera de Europa, si recopila datos de usuarios europeos, el reglamento se aplica a usted.

Qué es el GDPR y cómo se aplica al web scraping

El GDPR (Reglamento General de Protección de Datos) es un reglamento europeo sobre la protección de datos personales que entró en vigor en mayo de 2018. Se aplica a cualquier empresa o persona que procese datos personales de ciudadanos de la Unión Europea, independientemente de la ubicación de la empresa.

Para el web scraping, esto significa lo siguiente: si está extrayendo datos de sitios públicos y recopilando información sobre usuarios europeos (nombres, correos electrónicos, teléfonos, direcciones, datos de comportamiento), automáticamente se convierte en un sujeto del reglamento del GDPR. Esto se aplica a todas las tareas populares:

  • Extracción de marketplaces (Wildberries, Ozon, Amazon EU) — si recopila datos de vendedores o compradores
  • Monitoreo de precios de competidores — si los datos incluyen información de contacto de las empresas
  • Recopilación de contactos para B2B — correos electrónicos, teléfonos, cargos de empleados de empresas
  • Análisis de redes sociales — perfiles de usuarios, comentarios, actividad
  • Agregación de anuncios (inmuebles, vacantes, servicios) con datos de contacto

Un punto clave: el GDPR no prohíbe el web scraping como tal. Establece reglas para el tratamiento de datos personales. Si solo recopila información pública no personal (precios de productos, características, descripciones sin vinculación a personas específicas), formalmente el GDPR no se aplica. Pero tan pronto como los datos incluyen nombres, contactos o identificadores de usuarios, entran en vigor los requisitos del reglamento.

Importante: Las multas por violaciones del GDPR pueden alcanzar hasta €20 millones o el 4% de la facturación anual de la empresa (se aplica la cantidad mayor). En 2023, los reguladores europeos impusieron multas por un total de más de €2,5 mil millones. Las más grandes fueron a Meta (€1,2 mil millones), Amazon (€746 millones), TikTok (€345 millones).

Qué datos se consideran personales según el GDPR

El GDPR define los datos personales de manera muy amplia: es cualquier información relacionada con una persona física identificada o identificable. En la práctica, en el web scraping, los datos personales incluyen:

Categoría de datos Ejemplos en el scraping Nivel de riesgo
Identificadores directos Nombre completo, correo electrónico, teléfono, dirección, foto de perfil, nombre de usuario en redes sociales Alto
Identificadores indirectos Dirección IP, ID de cookie, huella digital del dispositivo, geolocalización, historial de navegación Medio
Categorías especiales Origen racial, opiniones políticas, religión, salud, biometría Crítico
Información comercial Cargo, empresa, correo electrónico/teléfono laboral, perfil en LinkedIn Medio
Datos no personales Precios de productos, características, descripciones, estadísticas sin vinculación a personas Bajo

Un error común es pensar que los datos de acceso público se pueden recopilar y utilizar libremente. El GDPR no hace excepciones para la información pública. Si está extrayendo perfiles de LinkedIn, contactos de sitios corporativos o anuncios con teléfonos, estos son datos personales, y los requisitos del reglamento se aplican plenamente.

Preste especial atención a las direcciones IP. En 2016, el Tribunal Europeo dictó que las direcciones IP dinámicas son datos personales, ya que el proveedor puede identificar al usuario. Esto es importante al usar proxies: si registra las direcciones IP de los usuarios finales durante el scraping, esto constituye el tratamiento de datos personales.

El GDPR exige una base legal para el tratamiento de datos personales. Para el web scraping, se aplican las siguientes bases (artículo 6 del GDPR):

1. Consentimiento del sujeto de datos (Consent)

La más obvia, pero la menos aplicable al scraping. El consentimiento debe ser:

  • Voluntario y consciente
  • Específico (para un propósito determinado)
  • Informado (el usuario entiende qué se hace con los datos)
  • Revocable (se puede retirar fácilmente)

En el scraping, obtener tal consentimiento es prácticamente imposible: usted recopila datos automáticamente, sin interacción con los usuarios. Por lo tanto, esta base rara vez se aplica.

2. Intereses legítimos (Legitimate Interests)

La base más utilizada para el web scraping. Puede tratar datos si es necesario para sus intereses legítimos, siempre que los intereses del sujeto de datos no superen los suyos. Ejemplos de intereses legítimos:

  • Monitoreo de precios de competidores — para formar su propia estrategia de precios
  • Análisis de mercado — para análisis de negocios e investigaciones
  • Detección de fraudes — recopilación de datos para protegerse contra el fraude
  • Mejora del servicio — agregación de datos públicos para crear un producto útil

Es importante realizar una prueba de balance de intereses (Legitimate Interest Assessment, LIA): documentar por qué su interés supera los intereses de los usuarios. Por ejemplo, si está extrayendo precios de productos en un marketplace, este es un interés justificado. Pero si recopila correos electrónicos para spam, esto es una violación.

3. Ejecución de un contrato o tarea pública

Estas bases se aplican raramente en el scraping. La ejecución de un contrato es relevante si recopila datos para proporcionar un servicio bajo un contrato con el usuario (por ejemplo, un agregador de vacantes que recopila datos para mostrar a los usuarios). La tarea pública es para organismos gubernamentales.

Consejo práctico:

Documente la base legal para cada tipo de datos recopilados. Cree un documento interno (Data Processing Record) donde describa: qué datos recopila, para qué fines, sobre qué base, cómo los almacena y protege. Este es el primer documento que solicitarán los reguladores durante una auditoría.

El papel de los proxies en el cumplimiento del GDPR: protección y anonimización

Los servidores proxy desempeñan un doble papel en el contexto del cumplimiento del GDPR en el web scraping. Por un lado, ayudan a minimizar la recopilación de datos personales y proteger la privacidad. Por otro lado, pueden crear riesgos si se utilizan incorrectamente.

Cómo los proxies ayudan a cumplir el GDPR

1. Anonimización de solicitudes. Cuando utiliza proxies residenciales para el scraping, el sitio objetivo ve la dirección IP del servidor proxy, no su IP real. Esto significa que el sitio no puede identificar directamente a su empresa como fuente de solicitudes. Para el GDPR, esto es importante si desea minimizar la divulgación de sus propios datos.

2. Distribución geográfica. Los proxies residenciales y móviles permiten realizar solicitudes desde direcciones IP de diferentes países. Esto es útil para recopilar datos específicos de la región (por ejemplo, precios en diferentes países de la UE), sin necesidad de presencia física. Al mismo tiempo, cumple con el principio de minimización: recopila solo datos disponibles en una región específica.

3. Rotación de IP para minimizar huellas. La rotación automática de direcciones IP a través de proxies ayuda a evitar la creación de un perfil de su actividad de scraping en el sitio objetivo. Esto reduce el riesgo de que el sitio recopile y almacene sus metadatos (tiempo de solicitudes, patrones de comportamiento), que pueden ser datos personales.

Riesgos del uso de proxies en el contexto del GDPR

1. Registro de datos por parte del proveedor de proxies. Si su proveedor de proxies registra sus solicitudes y las direcciones IP de los usuarios finales, se convierte en un procesador de datos personales (Data Processor) según el GDPR. Debe firmar un Acuerdo de Procesamiento de Datos (Data Processing Agreement, DPA) con él, donde se establezcan las obligaciones de protección de datos. Elija proveedores que ofrezcan una política de no registro (no-log) o que estén dispuestos a firmar un DPA.

2. Uso de proxies para eludir la protección. Algunos sitios bloquean el scraping a través de medidas técnicas (limitación de tasa, CAPTCHA, bloqueos de IP). Usar proxies para eludir estas medidas puede violar no solo el GDPR, sino otras leyes (por ejemplo, la Ley de Fraude y Abuso Informático en EE. UU. o la Directiva sobre Comercio Electrónico en la UE). El GDPR no está involucrado aquí, pero existen riesgos legales.

3. Proxies de proveedores poco confiables. Si utiliza proxies públicos baratos o proxies con fuentes de direcciones IP desconocidas, existe el riesgo de que estas IP estén comprometidas o se utilicen para actividades ilegales. Esto puede llevar a que los datos recopilados se consideren obtenidos de manera ilegal.

Tipo de proxy Ventajas para el GDPR Riesgos
Proxies residenciales IP reales de usuarios domésticos, alta anonimidad, bajo riesgo de bloqueo Necesita asegurarse de que los propietarios de IP hayan dado su consentimiento al proveedor
Proxies móviles IP de operadores móviles, ideales para redes sociales, rara vez son bloqueados Alto costo, menos control sobre la geolocalización
Proxies de centros de datos Alta velocidad, bajo precio, control total del proveedor Fácilmente detectables, más frecuentemente bloqueados, no adecuados para tareas sensibles

Principio de minimización de datos: recopile solo lo necesario

Uno de los principios clave del GDPR es la minimización de datos (artículo 5). Debe recopilar solo los datos personales que realmente son necesarios para alcanzar el objetivo declarado. Esto afecta directamente la configuración del scraping.

Pasos prácticos para la minimización

1. Filtre los datos en la etapa de recopilación. No guarde toda la página completa; extraiga solo los campos necesarios. Por ejemplo, si está extrayendo datos de un marketplace para monitorear precios, no guarde los nombres de los vendedores, sus calificaciones o contactos. Recopile solo el nombre del producto, el precio y el SKU. 

# Mal — guardamos todo
product_data = {
    'title': title,
    'price': price,
    'seller_name': seller_name,  # Datos personales!
    'seller_email': seller_email,  # Datos personales!
    'seller_rating': seller_rating,
    'reviews': reviews  # Pueden contener nombres de compradores!
}

# Bien — solo lo necesario
product_data = {
    'title': title,
    'price': price,
    'sku': sku,
    'availability': availability
}

2. Anonimice o seudonimice los datos. Si necesita rastrear la dinámica (por ejemplo, el cambio de precios de un vendedor específico), no almacene el nombre del vendedor; cree un hash de su ID. Esto es seudonimización: los datos no se pueden leer directamente, pero se pueden correlacionar. 

import hashlib

# Seudonimización del ID del vendedor
seller_id_hash = hashlib.sha256(seller_id.encode()).hexdigest()

product_data = {
    'title': title,
    'price': price,
    'seller_hash': seller_id_hash  # Imposible recuperar el ID original
}

3. Elimine los datos después de usarlos. El GDPR exige que los datos no se almacenen más tiempo del necesario (limitación de almacenamiento). Si recopila precios para un informe diario, elimine los datos que tengan más de 30-60 días. Configure la limpieza automática de la base de datos.

4. No recopile categorías especiales de datos. Evite recopilar datos sobre raza, salud, opiniones políticas, religión (artículo 9 del GDPR). Para ellos se requiere consentimiento explícito o razones muy sólidas. En el scraping, esto es casi imposible de justificar.

Ejemplo práctico: Una empresa extrajo datos de LinkedIn para recopilar contactos de especialistas en recursos humanos. Recopilaban nombres completos, correos electrónicos, fotos de perfil, cargo actual, lugares de trabajo anteriores. Según el GDPR, esto es excesivo: para el envío de correos electrónicos, basta con el correo y el cargo. Las fotos, el historial laboral y los nombres completos son datos personales innecesarios que aumentan los riesgos.

Almacenamiento seguro de los datos recopilados

El GDPR exige garantizar la seguridad de los datos personales (artículo 32). Si recopila datos a través del scraping, debe protegerlos contra filtraciones, accesos no autorizados y pérdidas. Aquí hay un conjunto mínimo de medidas:

Medidas técnicas de protección

  • Cifrado de datos en reposo (at rest). Almacene la base de datos con los datos recopilados en forma cifrada. Utilice AES-256 o estándares similares. Los proveedores de nube (AWS, Google Cloud, Azure) ofrecen cifrado automático de discos.
  • Cifrado de datos en tránsito (in transit). Todas las solicitudes a API, bases de datos y proxies deben realizarse a través de HTTPS/TLS. Nunca transmita datos personales a través de canales no cifrados.
  • Control de acceso. Limite el acceso a la base de datos: solo los empleados autorizados deben ver los datos recopilados. Utilice control de acceso basado en roles (RBAC) y registre todas las solicitudes de datos.
  • Copias de seguridad regulares. Realice copias de seguridad, pero almacénelas de manera tan segura como los datos principales. Copias de seguridad cifradas, acceso mediante autenticación de dos factores.
  • Monitoreo y auditoría. Configure un sistema de monitoreo para detectar actividades sospechosas (por ejemplo, descarga masiva de datos). Realice auditorías de seguridad regularmente.

Medidas organizativas

  • Política de privacidad. Cree un documento interno que describa cómo recopila, almacena y utiliza los datos. Esta es la base para el cumplimiento.
  • Capacitación del personal. Todos los empleados que tengan acceso a los datos deben comprender los requisitos del GDPR y las consecuencias de las violaciones.
  • Nombramiento de un DPO (Data Protection Officer). Si su actividad principal es el monitoreo regular y sistemático de los sujetos de datos a gran escala, el GDPR requiere nombrar a una persona responsable de la protección de datos.
  • Plan de respuesta a filtraciones. Prepare un procedimiento en caso de una violación de datos. El GDPR exige notificar al regulador dentro de las 72 horas posteriores a la detección de la filtración.

Lista de verificación de seguridad para el almacenamiento de datos:

  • ✅ La base de datos está cifrada (AES-256 o superior)
  • ✅ Acceso por contraseña + 2FA para todos los usuarios
  • ✅ Registro de todas las solicitudes de datos
  • ✅ Copias de seguridad regulares (cifradas, en almacenamiento separado)
  • ✅ Eliminación automática de datos que superen N días
  • ✅ Firewall y protección contra inyecciones SQL
  • ✅ Actualizaciones regulares de software y parches de seguridad

Cómo manejar las solicitudes de eliminación de datos

El GDPR otorga a los sujetos de datos (las personas cuyos datos ha recopilado) una serie de derechos. Para el web scraping, los más relevantes son:

  • Derecho de acceso (Right to Access). El usuario puede solicitar una copia de todos los datos que usted tiene sobre él. Debe proporcionarlos dentro de los 30 días.
  • Derecho de eliminación (Right to Erasure / "Right to be Forgotten"). El usuario puede exigir que se eliminen todos sus datos. Debe cumplir con la solicitud si no hay bases legales para el almacenamiento.
  • Derecho de rectificación (Right to Rectification). Si los datos son inexactos, el usuario puede exigir que se corrijan.
  • Derecho a restringir el tratamiento (Right to Restriction). Congelación temporal del tratamiento de datos hasta que se resuelva una disputa.

Un problema en el scraping es que a menudo no sabe de quién son los datos que ha recopilado. Los usuarios no se registraron con usted, no proporcionaron un correo electrónico para contacto. ¿Cómo pueden enviar una solicitud? ¿Cómo los identifica?

Soluciones prácticas

1. Cree un formulario público para solicitudes. Coloque en su sitio una página "Solicitudes de Sujetos de Datos del GDPR" con un formulario donde el usuario pueda indicar su correo electrónico y describir qué datos desea eliminar/recibir. Indique que responderá dentro de los 30 días.

2. Verifique las solicitudes. Asegúrese de que la solicitud provenga del verdadero propietario de los datos. Pida confirmación (por ejemplo, envíe un código al correo electrónico que el usuario indicó como suyo). Esto protegerá contra solicitudes falsas.

3. Automatice la eliminación. Cree un script que elimine todos los datos relacionados de la base de datos según el correo electrónico u otro identificador. Importante: la eliminación debe ser completa — de la base de datos principal, copias de seguridad, registros. 

# Ejemplo de script para eliminar datos por correo electrónico
def delete_user_data(email):
    # Eliminación de la base de datos principal
    db.execute("DELETE FROM scraped_contacts WHERE email = ?", (email,))
    
    # Eliminación de registros (si los almacena)
    db.execute("DELETE FROM activity_logs WHERE user_email = ?", (email,))
    
    # Marcado en copias de seguridad (si no se puede eliminar de inmediato)
    db.execute("INSERT INTO deletion_queue (email, requested_at) VALUES (?, NOW())", (email,))
    
    # Registro de la solicitud de eliminación (para cumplimiento)
    log_gdpr_request('deletion', email)
    
    return "Datos eliminados con éxito"

4. Documente todas las solicitudes. Mantenga un registro de todas las solicitudes del GDPR: quién solicitó, cuándo, qué se hizo. Esto será necesario durante la auditoría por parte del regulador.

5. Responda a tiempo. Tiene 30 días para responder (puede extenderse a 60 en casos complejos, pero debe notificar al solicitante). Perder la fecha límite es una violación del GDPR.

Importante: Si no puede identificar al usuario en su base de datos (por ejemplo, si solo recopiló datos agregados sin correo electrónico), tiene derecho a rechazar la solicitud. Pero debe justificarlo: "No almacenamos datos personales que permitan identificarlo". Este es otro argumento a favor de la minimización de datos.

Lista de verificación práctica de cumplimiento del GDPR para el scraping

Utilice esta lista de verificación antes de iniciar cualquier proyecto de web scraping relacionado con datos personales de ciudadanos de la UE:

Etapa 1: Planificación

  • ☐ Determine si los datos recopilados contienen información personal (nombre completo, correo electrónico, IP, teléfonos, etc.)
  • ☐ Si es así, determine la base legal para la recopilación (más común: intereses legítimos)
  • ☐ Realice una prueba de balance de intereses (LIA) y documente el resultado
  • ☐ Determine el conjunto mínimo de datos necesarios para su objetivo
  • ☐ Establezca un plazo de almacenamiento de datos (por ejemplo, 30 días)

Etapa 2: Configuración de la infraestructura

  • ☐ Elija un proveedor de proxies con política de no registro (no-log) o disposición a firmar un DPA
  • ☐ Configure el cifrado de la base de datos (AES-256)
  • ☐ Configure el control de acceso (RBAC) a los datos recopilados
  • ☐ Active el registro de todas las solicitudes de datos
  • ☐ Configure la eliminación automática de datos que superen el plazo establecido
  • ☐ Configure copias de seguridad cifradas

Etapa 3: Desarrollo del scraper

  • ☐ Implemente la filtración de datos en la etapa de recopilación (no guarde campos innecesarios)
  • ☐ Utilice seudonimización o anonimización donde sea posible
  • ☐ No recopile categorías especiales de datos (raza, salud, religión, etc.)
  • ☐ Utilice HTTPS para todas las solicitudes
  • ☐ Configure la rotación de IP a través de proxies para minimizar huellas

Etapa 4: Documentación

  • ☐ Cree un Registro de Procesamiento de Datos: qué datos, para qué, sobre qué base, cuánto tiempo los almacena
  • ☐ Prepare una Política de Privacidad para su sitio web
  • ☐ Si utiliza contratistas (proveedor de proxies, almacenamiento en la nube) — firme un DPA
  • ☐ Cree un plan de respuesta a filtraciones de datos

Etapa 5: Manejo de solicitudes de sujetos de datos

  • ☐ Cree un formulario público para solicitudes del GDPR en su sitio web
  • ☐ Configure un proceso de verificación de solicitudes
  • ☐ Automatice la eliminación de datos a solicitud
  • ☐ Mantenga un registro de todas las solicitudes del GDPR
  • ☐ Responda a las solicitudes dentro de los 30 días

Etapa 6: Monitoreo y auditoría

  • ☐ Revise regularmente qué datos se están recopilando realmente (pueden aparecer nuevos campos)
  • ☐ Realice auditorías de seguridad del almacenamiento de datos (una vez cada trimestre/semestralmente)
  • ☐ Capacite a los empleados sobre los requisitos del GDPR
  • ☐ Manténgase al tanto de las actualizaciones de la legislación y la jurisprudencia

Recomendación sobre el tipo de proxy:

Para tareas que requieren un alto nivel de cumplimiento y minimización de riesgos, recomendamos utilizar proxies residenciales o móviles de proveedores confiables. Proporcionan mejor anonimidad y menor probabilidad de que sus solicitudes se asocien con scraping masivo. Evite proxies públicos baratos, ya que pueden estar comprometidos y crear riesgos legales adicionales.

Conclusión

El cumplimiento del GDPR en el web scraping no es un obstáculo para el negocio, sino un conjunto de reglas que protegen tanto a usted como a los usuarios. Los principios clave son: recopile solo los datos necesarios, justifique la base legal, proteja la información recopilada y esté preparado para eliminar datos a solicitud. Las multas por violaciones pueden alcanzar los €20 millones, pero se pueden evitar por completo siguiendo las prácticas descritas en este artículo.

Utilizar las herramientas adecuadas — proxies, cifrado, automatización de eliminación — reduce los riesgos y facilita el cumplimiento de los requisitos. Documente cada paso: qué datos recopila, por qué, cómo los almacena. Esto no solo protegerá contra multas, sino que también aumentará la confianza de clientes y socios.

Si planea un scraping web a gran escala que implique el tratamiento de datos personales de ciudadanos de la UE, le recomendamos consultar a un abogado especializado en GDPR. Las inversiones en cumplimiento al inicio del proyecto son mucho más económicas que las multas y las pérdidas de reputación por violaciones.

Para un web scraping seguro y anónimo, recomendamos utilizar proxies residenciales — ofrecen un alto nivel de anonimidad, minimizan el riesgo de bloqueos y ayudan a cumplir con los principios de minimización de datos. Elija proveedores con políticas de privacidad transparentes y dispuestos a firmar un Acuerdo de Procesamiento de Datos.

```