Web scraping para entrenar IA: la EDPB pone los puntos sobre las íes (y el GDPR)

Índice de Contenidos
Imagina que alguien entra en tu casa, hojea tus libros, tus fotos y tus diarios, y luego se va a montar un negocio con todo lo que ha aprendido. Sin pedirte permiso, sin avisarte. Eso es, más o menos, lo que ha estado pasando con el web scraping para entrenar inteligencia artificial. Pero la fiesta se ha acabado: la EDPB (el superorganismo europeo de protección de datos) acaba de publicar sus directrices 03/2026, y dejan claro que el GDPR no es un adorno.
¿Qué dice exactamente la EDPB?
Las nuevas reglas ponen límites muy concretos al scraping masivo de datos para entrenar modelos de IA generativa. Ya no vale eso de 'lo encontré en internet, es mío'. La EDPB recuerda que, aunque el interés legítimo puede ser una base legal, no es un comodín. Tienes que demostrar que realmente necesitas esos datos, que no hay una forma menos invasiva de conseguirlos, y que respetas los derechos de los usuarios.
El interés legítimo bajo lupa
Usar el interés legítimo como excusa para scrapear todo lo que se mueva requerirá un test de necesidad y proporcionalidad muy riguroso. La EDPB dice: 'Si puedes entrenar tu modelo con datos sintéticos o con datasets ya autorizados, hazlo'. O sea, no raspes por raspar.
Datos sensibles: ni tocarlos
Los datos sensibles (opiniones políticas, salud, orientación sexual, etc.) están prácticamente prohibidos a menos que tengas un consentimiento explícito. Y ojo, porque scrapear comentarios en redes sociales puede meterte en un lío si no filtras bien.
Transparencia y derechos: el talón de Aquiles
Las empresas de IA tendrán que informar claramente de qué datos han recogido, para qué y durante cuánto tiempo. Además, los usuarios podrán ejercer sus derechos de acceso, rectificación y supresión. ¿Te imaginas tener que borrar de tu modelo todo lo que aprendió de un usuario concreto? La EDPB lo exige.
Leer las directrices completas es tan emocionante como leer los términos y condiciones de una app de fotos (es decir, como limpiar las juntas de los azulejos con un cepillo de dientes), pero es necesario. Puedes consultarlas en la página oficial de la EDPB.
¿Qué deben hacer las empresas?
- Revisar sus bases de datos y eliminar lo recogido sin una base legal sólida.
- Implementar mecanismos para que los usuarios puedan oponerse al scraping (robots.txt, formularios, etc.).
- Documentar todo el proceso de evaluación de impacto y necesidad.
- Prepararse para auditorías: la EDPB promete mano dura.
En resumen (vale, no es un resumen, es un consejo): si tu empresa usa web scraping para entrenar IA, deja de hacerlo a lo loco. O mejor dicho, hazlo con cabeza, porque las multas del GDPR no son broma. Y si no estás seguro, contrata a un abogado de privacidad antes de que te visite la AEPD.

Comité Editorial de NakedPact
Artículo creado por la redacción de NakedPact. Nuestra misión es analizar, simplificar y exponer las cláusulas abusivas y los riesgos ocultos en los contratos cotidianos para proteger a los ciudadanos y consumidores.
Fuentes y Referencias Normativas

¿Eres propietario de un sitio web?
¿Quieres comunicar a tus usuarios tu transparencia en el tratamiento de datos? Utiliza dinámicamente nuestra insignia y muestra la conformidad de tu plataforma.
Lecturas Recomendadas
🛡️ Protege tus derechos con un clic
No te arriesgues a firmar cláusulas abusivas. Instala la extensión gratuita de NakedPact para Chrome o Firefox y analiza al instante cualquier contrato en la web.
No confíes, verifica.
Ahora que conoces los riesgos, no firmes a ciegas. Sube tu contrato a NakedPact y deja que la IA encuentre las cláusulas ocultas. Es 100% gratis.
Analiza tu Contrato Ahora
