El web scraping no es ilegal en sí mismo: en la UE (incluida España) y en EE. UU., recopilar datos públicos y no personales es, en general, lícito. El riesgo jurídico aparece con datos personales, contenido protegido, páginas tras un login o condiciones de uso vinculantes. Como ingeniero, lo reduzco a tres preguntas: qué recopilas, cómo accedes y dónde están los afectados.
Puntos clave
- Ninguna ley de EE. UU. ni de la UE prohíbe el web scraping como actividad; los tribunales lo evalúan bajo normas ya existentes como la CFAA, el derecho contractual, los derechos de autor y la protección de datos.
- El litigio hiQ v. LinkedIn estableció que extraer datos públicamente accesibles probablemente no infringe la CFAA, pero hiQ perdió igualmente por incumplimiento contractual y acabó pactando.
- Bajo el RGPD, los datos personales visibles públicamente siguen siendo datos personales: necesitas base jurídica, transparencia y minimización para extraerlos.
- La Directiva DSM (2019/790) creó excepciones de minería de textos y datos, pero su artículo 4 permite a los titulares excluirse en formato legible por máquina.
- En España, el Tribunal Supremo avaló el scraping en Ryanair contra Atrápalo (STS 572/2012), aunque el RGPD, la LOPDGDD y la propiedad intelectual siguen marcando los límites.
- Datos públicos, no personales y sin login, recopilados a un ritmo razonable y con fines legítimos: esa es la zona de bajo riesgo. Logins, muros de pago y datos personales son los cables trampa.
Antes de nada: esto no es asesoramiento jurídico
Este artículo es una visión general con fines educativos: lo escribo como ingeniero que diseña y opera sistemas web en producción, no como abogado, y no crea ninguna relación abogado-cliente. El derecho del web scraping es cambiante, depende de cada jurisdicción y de los hechos concretos de cada caso. Si tu negocio depende de datos extraídos de la web, contrata asesoramiento jurídico cualificado en cada jurisdicción donde operes y donde estén los sitios objetivo y las personas afectadas. Lo que sigue resume fuentes primarias y las principales resoluciones judiciales a julio de 2026.
También conviene dejar clara nuestra posición de cumplimiento desde el principio: ProxyFacts cubre el scraping únicamente con fines legítimos, como la monitorización de precios, el seguimiento SEO, la verificación de anuncios, la investigación de mercado y la recopilación de datos para entrenar IA. No publicamos guías para saltarse logins o muros de pago, hacer reventa automatizada, crear cuentas en masa ni recolectar datos personales.
La respuesta corta: el scraping es un método, no un delito
No existe ninguna norma en Estados Unidos, la Unión Europea ni el Reino Unido que diga que el web scraping es ilegal. El scraping es simplemente la recuperación automatizada de páginas web: las mismas peticiones HTTP que hace un navegador, emitidas por un programa en lugar de por una persona. Los buscadores, los comparadores de precios, los investigadores académicos y los proyectos de archivo dependen de él.
Lo que el derecho regula no es el método, sino las circunstancias que lo rodean:
- Acceso: ¿tomaste datos que el sitio hizo públicos o superaste una barrera técnica o de autenticación?
- Contenido: ¿el dato es fáctico y no personal, o es una obra protegida, una base de datos protegida o un dato personal?
- Contrato: ¿aceptaste expresamente unas condiciones que prohíben el scraping, por ejemplo al crear una cuenta?
- Conducta: ¿tu crawler se comportó de forma razonable o degradó el servicio objetivo?
Todas las grandes disputas sobre scraping de la última década giran en torno a una o varias de estas cuatro preguntas.
El derecho del web scraping en Estados Unidos
La CFAA: la cuestión del acceso «sin autorización»
La principal ley federal invocada contra los scrapers es la Computer Fraud and Abuse Act de 1986, codificada en 18 U.S.C. Sección 1030. Sanciona acceder a un ordenador «sin autorización» o «excediendo el acceso autorizado». Durante años, los demandantes sostuvieron que extraer datos de un sitio contra su voluntad, por ejemplo tras una carta de cese y desistimiento, era acceso no autorizado.
Dos resoluciones acotaron esa teoría. En Van Buren v. United States (2021), el Tribunal Supremo de EE. UU. adoptó una lectura de «puertas abiertas o cerradas»: la CFAA se dirige contra quienes cruzan puertas que no tienen derecho a cruzar, no contra quienes hacen mal uso de información a la que podían llegar. El caso trataba de un policía que abusó de su acceso a una base de datos, no de scraping, pero su lógica reconfiguró el análisis del scraping.
La saga hiQ v. LinkedIn
El caso definitorio del scraping es hiQ Labs v. LinkedIn. La cronología importa, porque a menudo se cita solo una de sus etapas:
| Etapa | Qué ocurrió |
|---|---|
| 2017 | El tribunal de distrito concedió a hiQ una medida cautelar y ordenó a LinkedIn dejar de bloquear el scraping de perfiles públicos por parte de hiQ |
| 2019 | El Noveno Circuito la confirmó: extraer datos públicamente accesibles probablemente no infringe la CFAA |
| 2021 | El Tribunal Supremo anuló y devolvió el caso para reconsiderarlo a la luz de Van Buren |
| 2022 | El Noveno Circuito reafirmó su criterio tras la devolución: el concepto de acceso «sin autorización» de la CFAA no se aplica a sitios web públicos sin puerta de autenticación |
| Finales de 2022 | Sobre el fondo, el tribunal de distrito concluyó que hiQ había incumplido el acuerdo de usuario de LinkedIn; las partes pactaron con una sentencia de conformidad contra hiQ |
La lección tiene doble filo. Extraer datos que cualquier navegador puede ver sin iniciar sesión queda, muy probablemente, fuera de la CFAA en el Noveno Circuito. Pero hiQ perdió la guerra: las reclamaciones contractuales sobrevivieron y hiQ aceptó dejar de hacer scraping en LinkedIn. «No es un delito informático federal» y «es jurídicamente seguro» son cosas distintas; cuando alguien cita hiQ como salvoconducto general, esa distinción es lo primero que yo señalaría.
El mismo patrón continuó en Meta Platforms v. Bright Data (No. 3:23-cv-00077, N.D. Cal.). En enero de 2024, el tribunal de distrito dictó sentencia sumaria a favor del proveedor de proxies Bright Data frente a las reclamaciones contractuales de Meta, razonando que extraer páginas públicas de Facebook e Instagram sin sesión iniciada no quedaba sujeto a unas condiciones que se aplican a titulares de cuenta con sesión iniciada. Meta retiró después la demanda. De nuevo, la línea divisoria fue la autenticación: el acceso sin login a páginas públicas queda del lado más seguro.
Contrato, derechos de autor y otras teorías en EE. UU.
Incluso cuando la CFAA no se aplica, los scrapers en EE. UU. se enfrentan a:
- Incumplimiento contractual. Las condiciones tipo browsewrap (un enlace en el pie de página) son débilmente exigibles; las condiciones tipo clickwrap (hiciste clic en «Acepto», normalmente al crear la cuenta) son fuertemente exigibles. Hacer scraping con la sesión iniciada en una cuenta que creaste es la configuración de mayor riesgo contractual.
- Derechos de autor. Los hechos y los datos en bruto no son protegibles en EE. UU. según Feist Publications v. Rural Telephone (1991), pero la expresión creativa sí: reseñas, artículos, fotografías y compilaciones curadas. Copiar precios es distinto de republicar descripciones de producto.
- Trespass to chattels y enriquecimiento injusto. Estas acciones de derecho estatal prosperan ocasionalmente cuando el scraping supone una carga medible para los servidores del objetivo, una razón más para limitar el ritmo de peticiones de forma agresiva.
El derecho del web scraping en la Unión Europea
RGPD: los datos personales son el mayor cable trampa
El Reglamento General de Protección de Datos (UE) 2016/679 se aplica siempre que los datos extraídos se refieran a una persona identificable: nombres, nombres de usuario, fotos, empleador, ubicación y, en muchos casos, combinaciones de campos aparentemente inocuos. Tres puntos sorprenden una y otra vez a los recién llegados:
- Público no significa libre de tratar. El RGPD no contiene ninguna exención para los datos públicamente disponibles. Extraer un perfil público sigue siendo un «tratamiento» que necesita una base jurídica del artículo 6, en la práctica normalmente una evaluación documentada de interés legítimo.
- Las obligaciones de transparencia alcanzan a los scrapers. El artículo 14 obliga a informar a las personas de que obtuviste sus datos de forma indirecta, en el plazo de un mes, salvo que aplique una excepción. La autoridad de protección de datos de Polonia impuso una de las primeras multas del RGPD a una empresa que extrajo datos de un registro mercantil público y no informó a los afectados.
- El alcance territorial es amplio. Según el artículo 3, el RGPD puede aplicarse a un scraper estadounidense o asiático sin oficina en la UE si monitoriza o se dirige a personas en la UE. Las multas pueden alcanzar los 20 millones de euros o el 4 por ciento de la facturación anual global según el artículo 83.
Las autoridades de protección de datos también han actuado de forma colectiva: desde 2023, declaraciones conjuntas de reguladores como la ICO británica y la OPC canadiense advierten de que la extracción masiva de datos personales de plataformas sociales puede constituir una brecha de datos notificable para la plataforma y un tratamiento ilícito por parte del scraper. Si tu proyecto toca datos personales en cualquier medida, trata el cumplimiento del RGPD como un requisito de diseño, no como una ocurrencia tardía.
La Directiva DSM: las excepciones europeas de minería de textos y datos
La Directiva sobre los derechos de autor en el mercado único digital (UE) 2019/790 creó dos excepciones de derechos de autor directamente relevantes para el scraping:
- El artículo 3 permite la minería de textos y datos (TDM) con fines de investigación científica a organismos de investigación e instituciones de patrimonio cultural, y los titulares no pueden excluirla por contrato.
- El artículo 4 permite la TDM a cualquiera, incluidos los actores comerciales, salvo que el titular se haya reservado expresamente esos derechos «de manera adecuada», lo que para el contenido en línea significa formato legible por máquina. Las directivas de robots.txt y los estándares emergentes de exclusión son las implementaciones habituales.
El artículo 4 se ha convertido en la columna vertebral jurídica de la recopilación comercial de datos para entrenar IA en Europa, y su mecanismo de exclusión es la razón por la que respetar las señales legibles por máquina es allí más que una cuestión de cortesía: extraer contenido protegido excluido de la TDM hace perder la excepción.
Derechos sobre bases de datos y condiciones de uso en la UE
La UE también protege las bases de datos de dos formas adicionales. La Directiva 96/9/CE sobre bases de datos otorga un derecho sui generis contra la extracción o reutilización de una parte sustancial de una base de datos cuya creación exigió una inversión sustancial, sin equivalente en EE. UU. Y en Ryanair v. PR Aviation (C-30/14), el Tribunal de Justicia de la UE sostuvo que, cuando una base de datos no está protegida por la directiva, el titular del sitio puede restringir el scraping contractualmente mediante sus condiciones de uso. Dicho de otro modo: en la UE puede morder tanto el derecho sobre la base de datos como el contrato, así que ni «son solo hechos» ni «la base de datos no está protegida» son defensas completas.
España y Latinoamérica: lo que debe saber el lector hispanohablante
España: RGPD, LOPDGDD y LSSI
En España el marco de protección de datos lo forman el RGPD y la Ley Orgánica 3/2018 (LOPDGDD), que lo desarrolla. La Agencia Española de Protección de Datos (AEPD) mantiene una posición estricta: nunca ha reconocido internet como una fuente de acceso público en sentido jurídico, y en sus criterios sobre herramientas de data scraping recuerda que extraer datos personales de la web es un tratamiento que exige base jurídica, información a los afectados y respeto a todos los principios del RGPD; que el dato esté publicado solo es un elemento más de la ponderación del interés legítimo. No es teoría: la AEPD sancionó con 1 millón de euros a Equifax Ibérica en 2021 por tratar datos procedentes de fuentes supuestamente públicas sin base jurídica válida, como recuerdan análisis de despachos especializados como Metricson, y España se sumó a la declaración conjunta internacional sobre data scraping que advierte a plataformas y scrapers.
Dos normas españolas más completan el cuadro. La Ley 34/2002 (LSSI) prohíbe las comunicaciones comerciales no consentidas: extraer correos electrónicos de la web para enviar emails de marketing infringe su artículo 21 además del RGPD, un uso que este sitio no cubre. Y el Real Decreto-ley 24/2021 transpuso al derecho español la Directiva DSM, incluidas las excepciones de minería de textos y datos de los artículos 3 y 4 con su mecanismo de exclusión legible por máquina, de modo que lo dicho arriba sobre la TDM europea se aplica directamente en España. El derecho sui generis sobre bases de datos está recogido en la Ley de Propiedad Intelectual.
El precedente español: Ryanair contra Atrápalo
España tiene su propio caso de referencia. En la sentencia del Tribunal Supremo 572/2012, de 9 de octubre, Ryanair demandó a la agencia online Atrápalo por hacer screen scraping de sus vuelos y precios, invocando sus condiciones de uso, el derecho sui generis sobre bases de datos, la propiedad intelectual y la competencia desleal. El Supremo desestimó el recurso: no existía una base de datos protegida, porque la inversión de Ryanair se destinó a generar la información y no a recopilarla, y en esas circunstancias el scraping fue una técnica lícita, como resumen análisis como el de Lexology. La lectura correcta es la misma que en hiQ: un resultado favorable en unos hechos concretos, no una licencia general. Con una base de datos realmente protegida, condiciones aceptadas mediante clic o datos personales de por medio, el resultado puede ser el contrario.
Nota sobre Latinoamérica: México y Argentina
Si operas desde o hacia Latinoamérica, la lógica es la misma con normas propias. En México, la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), en vigor desde el 21 de marzo de 2025, exige base de legitimación y aviso de privacidad para tratar datos personales, también los extraídos de la web, y tras la desaparición del INAI la supervisión pasó al ámbito del Ejecutivo federal, como resume la guía de protección de datos en Latinoamérica de EY (2025). En Argentina, la Ley 25.326 de Protección de los Datos Personales parte del consentimiento del titular; su excepción para fuentes de acceso público irrestricto es estrecha y no cubre cualquier cosa visible en internet, y la autoridad de control, la AAIP, suscribió la declaración conjunta internacional sobre data scraping que advierte contra la extracción masiva de datos personales de plataformas. En ambos países, monitorizar precios públicos en marketplaces como Amazon.com.mx o MercadoLibre es un caso de uso de bajo riesgo; recolectar perfiles de personas no lo es.
Principios universales que se aplican casi en todas partes
Las jurisdicciones difieren, pero cuatro preguntas predicen el riesgo del scraping en casi todas.
| Factor | Riesgo menor | Riesgo mayor |
|---|---|---|
| Acceso | Páginas públicas, sin login, sin muro de pago | Tras autenticación, muros de pago o bloqueos técnicos dirigidos específicamente contra ti |
| Tipo de dato | Precios, disponibilidad, especificaciones, rankings, estadísticas agregadas | Datos personales, obras creativas completas, bases de datos protegidas enteras |
| Acuerdo | Sin cuenta, solo browsewrap, acceso sin sesión | Condiciones clickwrap que aceptaste, scraping con la sesión iniciada |
| Conducta | Ritmo limitado, con caché, en horas valle, crawler identificado | Volúmenes de peticiones que degradan el servicio objetivo |
Perspectiva del ingeniero (Hinata): Si yo montara un pipeline de monitorización de precios, el primer control jurídico lo pondría en el parser, no en un documento: un campo que nunca se extrae nunca necesita base jurídica. Empezaría con una lista blanca de campos (precio, disponibilidad, URL) y descartaría el resto antes de persistir nada, en lugar de guardar el HTML completo «por si acaso». Añadiría desde el primer día un registro de qué se recopila, de dónde y a qué ritmo: cuesta una tarde de trabajo y es exactamente la evidencia que te pedirán si algo se disputa. Y si el dato exige un login, para mí no es un reto técnico sino una señal de parada; rediseñar la fuente sale siempre más barato que un litigio.
Tres corolarios prácticos:
- Público frente a restringido es la línea más nítida. Los desenlaces de hiQ y de Bright Data giraron sobre ella, y el análisis de la CFAA empieza ahí en la práctica. Todo lo que está detrás de un login es otro universo jurídico; este sitio no publica técnicas para ello.
- Los datos personales lo cambian todo. En cuanto los registros extraídos identifican a personas, el RGPD (y las leyes tipo CCPA en EE. UU.) imponen obligaciones con independencia de lo público que fuera el origen.
- Los derechos de autor siguen a la expresión, no al esfuerzo. Extraer datos fácticos es en general más seguro que reproducir el texto, las imágenes o la estructura curada que los rodea, y en la UE el derecho sobre bases de datos añade una capa aparte.
Cómo es el scraping conforme en la práctica
Los equipos que hacen scraping a escala con fines legítimos, como la monitorización de precios o el seguimiento de posiciones SEO, tienden a converger en las mismas reglas operativas:
- Extrae solo páginas públicamente accesibles; nunca te autentiques ni sortees muros de pago o controles técnicos de acceso.
- Prefiere las API oficiales o los feeds de datos con licencia cuando existan y cubran tu necesidad.
- Respeta robots.txt y las exclusiones de TDM legibles por máquina, sobre todo para contenido relevante en la UE.
- Minimiza: recopila los campos que necesitas, no páginas enteras, y excluye los datos personales salvo que hayas completado un análisis RGPD documentado.
- Limita el ritmo y programa los rastreos para que tu tráfico sea insignificante frente a la carga normal del objetivo.
- Deja constancia: qué recopilas, de dónde, bajo qué análisis jurídico y quién lo aprobó.
- Tómate en serio las cartas de cese y desistimiento; continuar tras una revocación explícita convierte una zona gris en un conflicto documentado.
Para la parte técnica de operar crawlers educados y fiables, consulta nuestra guía sobre cómo hacer scraping sin que te bloqueen; para la visión completa de cómo montar un pipeline de recopilación, empieza por la guía completa de web scraping.
Por qué los proveedores de proxies ahora verifican a sus clientes
La capa de infraestructura ha interiorizado este panorama legal. Los grandes proveedores de proxies residenciales ya no venden de forma anónima a cualquiera con una tarjeta de crédito, y sus programas de cumplimiento publicados son una señal útil, la primera que yo revisaría al elegir proveedor:
- Bright Data limita el acceso a su red residencial a empresas verificadas que superan un proceso KYC con revisión humana, que incluye verificación de correo corporativo, descripción del caso de uso y, potencialmente, una llamada de presentación y un documento de identidad oficial, según su política KYC publicada.
- Oxylabs exige a cada cliente completar un formulario KYC al registrarse, aplica escalados según riesgo como verificación de identidad y llamadas de cumplimiento, y es miembro de la Ethical Web Data Collection Initiative, según su política de KYC y seguridad.
- Decodo (antes Smartproxy) ejecuta comprobaciones antifraude automatizadas y KYC en cada registro, y bloquea activamente objetivos de alto riesgo como banca, portales gubernamentales y sitios de venta de entradas, según su documentación de seguridad y cumplimiento.
- IPRoyal gestiona el KYC a través del verificador externo iDenfy; es obligatorio para los proxies residenciales estáticos y las cuentas sin verificar permanecen parcialmente restringidas, según su política KYC.
La consecuencia práctica: si tu caso de uso no sobreviviría al cuestionario KYC de un proveedor, es una señal fuerte de que tampoco sobreviviría al escrutinio de un tribunal. Entender qué es un proxy residencial y cómo obtienen sus IP estas redes forma parte de la misma diligencia.
Conclusión
El web scraping es legal por defecto e ilícito según las circunstancias. En EE. UU., la saga hiQ v. LinkedIn y Van Buren alejaron la CFAA del scraping de datos públicos, mientras que las reclamaciones por contrato y derechos de autor siguen plenamente vivas. En la UE, el RGPD gobierna cualquier dato personal que toques, y la excepción de TDM del artículo 4 de la Directiva DSM, con su exclusión legible por máquina, enmarca la minería comercial de contenido protegido. En España se suman la LOPDGDD, la LSSI, el criterio estricto de la AEPD y el precedente Ryanair contra Atrápalo; en México y Argentina, la LFPDPPP y la Ley 25.326 aplican la misma lógica. Operes donde operes, la fórmula de bajo riesgo es estable: páginas públicas, sin logins, sin datos personales, respeto a las exclusiones, ritmos de petición suaves y documentación de por qué tu finalidad es legítima. Ante la duda, pregunta a un abogado antes que a un crawler.