GDPR Artículo 14: Guía sobre Web Scraping y Compliance

El Artículo 14 del GDPR obliga a notificar a las personas dentro de 1 mes cuando recopilás sus datos de terceros (LinkedIn, web scraping, bases de datos). Ignorar esta regla expone a multas de hasta €20 millones o 4% de ingresos globales. Es crítica para operaciones B2B y lead generation.

En 30 segundos

El Artículo 14 se aplica cuando recopilas datos de terceros, no del usuario directamente (a diferencia del Artículo 13)
Requisito: notificar a la persona dentro de 1 mes con identidad del responsable, propósito, base legal, y derechos
El “Artículo 6(1)(f)” permite base legal en B2B si documentás un balancing test (interés legítimo)
Datos públicos en LinkedIn siguen siendo personal data bajo GDPR aunque sean accesibles públicamente
No cumplir = multas hasta €20M o 4% de ingresos globales + daño reputacional

Qué es el Artículo 14 del GDPR y cómo difiere del Artículo 13

El Artículo 14 del GDPR es la regla que obliga a informar a las personas cuando sus datos personales se recopilan desde una fuente que no es la persona misma. Aplica principalmente a web scraping, compra de bases de datos, y lead generation en LinkedIn.

Está en el mismo capítulo que el Artículo 13, pero son completamente distintos. El Artículo 13 se aplica cuando el usuario te da los datos directamente (ej: formulario de contacto, registro en tu sitio). Ahí vos sos quien les dice quién sos, qué vas a hacer con sus datos, todo transparente y en el momento.

Aspecto	Artículo 13	Artículo 14
Fuente de datos	El usuario te da los datos directamente	Recopilas de terceros (web, LinkedIn, bases de datos)
Cuándo notificar	En el momento de recolección	Dentro de 1 mes desde recolección o primer contacto
Contexto típico	Formularios, registros, suscripciones	Scraping, lead databases, compra de listas
Complejidad legal	Más sencilla de cumplir	Requiere documentación de base legal (LIA)

gdpr artículo 14 web scraping diagrama explicativo

El Artículo 14 es el otro lado de la moneda. Aplica cuando vos agarrás los datos de un tercero. Ponele que le pedís a LinkedIn que te deje descargar una lista de 500 CTOs, o que scrapeas sitios web públicos para armar una base de leads, o que comprás una lista a un data broker. En esos casos, esa gente no te dio sus datos: vos los obtuviste desde otro lado (y acá es donde la regla se complica mucho).

Cuándo aplica exactamente: web scraping, LinkedIn y bases de datos

Imaginate que agarrás un script que scrapea LinkedIn durante una semana y recopilas 500 perfiles de directores de marketing. Esos 500 no te dieron sus datos. La información sale de sus perfiles públicos. Acá es donde el Artículo 14 entra con toda su fuerza (spoiler: va a arruinar tu tarde).

Según el artículo de Dev.to publicado el 3 de abril de 2026, “si scrapeás LinkedIn para 500 prospectos, técnicamente necesitás notificar a los 500 dentro de 1 mes”. Casi ninguna operación de B2B outreach hace esto. ¿Por qué? Porque es un quilombo administrativo. Pero legalmente, así funciona.

El Artículo 14 te pega en escenarios como estos: scraping de sitios públicos para recopilar contactos (emails, teléfonos, nombres); compra de listas de datos a brokers terceros; descarga de bases de datos públicas con información de profesionales; integración de datos de redes sociales para enriquecer perfiles; recopilación de información de directorios empresariales online.

Lo interesante: el hecho de que los datos estén públicos NO te exime de cumplir. Vamos a hablar de eso en detalle más adelante. Sobre eso hablamos en aspectos clave de protección de datos.

Los 7 datos que debes comunicar obligatoriamente

El Artículo 14 te obliga a comunicar 7 informaciones específicas, según lo que dice gdpr-info.eu. Tenés que hacerlo dentro de 1 mes desde que recopilas los datos, o a más tardar cuando hacés el primer contacto.

Tu identidad: nombre, razón social, teléfono, email del responsable del tratamiento (vos).
Propósito del tratamiento: para qué exactamente vas a usar esos datos (ej: “prospecting B2B”, “oferta de servicios”)
Base legal: cuál es tu base legal para procesar esos datos (ej: Artículo 6(1)(f) – interés legítimo)
Categorías de datos: qué tipo de información recopilas (email, nombre, cargo, empresa)
Plazo de retención: cuánto tiempo vas a guardar esos datos
Derechos del interesado: tienen derecho a acceso, rectificación, eliminación, oposición, portabilidad
Fuente de datos: de dónde sacaste la información (ej: “LinkedIn públicamente disponible”, “directorio online X”)

Acá viene el punto crítico: la mayoría de las empresas que hacen B2B outreach ignora esto olímpicamente. Envían un email de ventas sin avisar nada de esto. Desde el punto de vista del GDPR, es como si hubieran cometido una violación antes de que la persona ni siquiera sepa que vos tenés sus datos.

Cómo usar el Artículo 6(1)(f) para base legal en B2B

Acá está la pieza clave que hace que B2B outreach sea legal bajo GDPR. El Artículo 6(1)(f) te permite procesar datos personales cuando tenés un “interés legítimo” en hacerlo. En contexto B2B, eso significa business development.

Pero no es tan simple como decir “me interesa vender”. Necesitás tres cosas concretas: un balancing test documentado (pesás tu interés de conseguir leads contra el interés de la persona de no recibir contacto no solicitado), un contexto profesional (la persona contactada es profesional en contexto laboral, no consumidor), y relevancia real (tu outreach tiene que ser relevante para su rol, no podes scrapear marketing managers y después enviarles emails sobre sistemas de alcantarillado).

Además, el Artículo 6(1)(f) requiere que ofrezcas un opt-out legítimo en cada mensaje de contacto. No “hacé click acá si no querés”, sino un verdadero opt-out unsubscribe. Y cuando alguien se da de baja, tenés 30 días para honrar esa solicitud.

¿El truco? Documentalo. Un PDF de una página que diga: “Interés legítimo: business development / Interés de la persona: no recibir spam / Balancing test: outreach profesional y relevante a su rol / Medidas: opt-out en cada mensaje, cumplimiento en 30 días.” Eso te protege mucho más que nada (que no es poco).

El error monumental: “datos públicos = sin GDPR”

Este es el malentendido más peligroso del GDPR. Prácticamente todos lo cometen. La lógica parece obvia: si algo está en público, no hay privacidad que proteger, ¿no?

Nope. Completamente al revés.

Miralo de esta forma: tu nombre, cargo y email en un perfil de LinkedIn están públicamente disponibles. Eso no significa que GDPR no aplique. Significa que fácilmente accesible no es lo mismo que sin protección legal. El hecho de que algo sea público afecta cómo recopilas los datos, no si GDPR te aplica (que sí, siempre). Para más detalles técnicos, mirá herramientas que recopilan datos automáticamente.

Subís el perfil a LinkedIn, completás tu información profesional, la dejás pública, esperás que así te encuentren colegas, pero no esperás que alguien descargue 50 mil perfiles, los mete en un CRM, y después te manda emails de “oportunidades de negocio” sin avisar. Eso es exactamente lo que el Artículo 14 intenta prevenir.

Según la fuente de Dev.to, “una perfil de LinkedIn con nombre + email es personal data bajo GDPR sin importar cuán accesible sea públicamente.” Punto. La accesibilidad pública afecta otras cosas (como si hay expectativa de privacidad), pero no te exime del GDPR. Las autoridades de datos europeas ya han dejado esto claro en múltiples enforcement actions (sí, en serio). No es una zona gris.

Cómo documentar tu cumplimiento: guía paso a paso

Si vas a hacer B2B outreach de forma legal, acá está lo mínimo que necesitás documentar:

Paso 1: Auditoría de tu flujo de datos

¿De dónde salen los datos? ¿Quién los recopila? ¿Cuánto tiempo los guardás? Documentalo. Si usás un CSV descargado de LinkedIn, anotá la fecha, el origen, cuánta gente hay. Suena burocrático, pero es tu defensa si alguna vez te auditan.

Paso 2: Legitimate Interests Assessment (LIA)

Creá un documento de una página que responda estas preguntas: ¿Cuál es tu interés legítimo? (ej: “business development”), ¿Cuál es el interés de la persona? (ej: “no recibir contacto no solicitado”), ¿Gana tu lado del balance? ¿Por qué?, ¿Qué medidas de protección implementás? (ej: opt-out, límite de frecuencia, segmentación).

Paso 3: Comunicación clara al momento de contacto

Cuando mandás ese primer email o mensaje, incluí la información del Artículo 14. No tiene que estar en el mismo email (podés linkar a una política), pero tiene que estar accesible. Subrayá especialmente: identidad del responsable, derecho a opción (opt-out), fuente de donde sacaste sus datos.

Paso 4: Sistema de opt-out y cumplimiento en 30 días

Cada mensaje debe tener un unsubscribe. Cuando alguien se da de baja, tirá sus datos en 30 días máximo. No “lo voy a revisar cuando tenga tiempo”. Hacé una tarea programada que limpie la base cada mes.

Multas, enforcement y casos reales de violaciones

Ahora el tema que asusta. Las autoridades de datos europeas (DPAs) tomaron mucho en serio el Artículo 14 en los últimos años. Los casos de enforcement relacionados con B2B outreach sin consentimiento o notificación explícita se multiplican. Tema relacionado: diferencias entre plataformas en la nube.

Los rangos de multa bajo GDPR son bastante claros: hasta €10 millones o 2% de ingresos globales anuales (violaciones administrativas), y hasta €20 millones o 4% de ingresos globales anuales (violaciones graves, como procesamiento sin base legal). Para una empresa de 10 millones de ingresos anuales, el 4% son 400k. Para una de 500 millones, estamos hablando de 20 millones. No es broma.

¿Casos reales? La CNIL francesa (autoridad de datos de Francia) ha puesto multas a agencias de marketing por scraping de LinkedIn sin notificación. La ICO del Reino Unido (ahora bajo su propio régimen post-Brexit) también. Italia, España, Alemania: lo mismo. Las DPAs están de acuerdo en esto.

Además de la multa económica, está el daño reputacional. Si se filtra que tu empresa violó GDPR, tus clientes lo notan. Ya hay casos donde empresas fueron públicamente identificadas por no cumplir Artículo 14, y el backlash fue brutal.

Errores comunes y cómo evitarlos

Error 1: Pensar que “datos públicos” te exime de notificar

Ya hablamos de esto. Datos públicos igual GDPR es falso. Siguen siendo personal data. Si recopilas 500 emails de LinkedIn públicamente disponibles, igual necesitás notificar a esos 500 dentro de 1 mes. No “a algunos de ellos”. A todos.

Error 2: Enviar el primer email sin incluir la información del Artículo 14

Muchas empresas mandan un email de ventas limpio sin mencionar GDPR, derechos, nada. Eso es una violación directa. El primer contacto tiene que incluir (al mínimo) información de quién sos, qué vas a hacer con sus datos, y cómo pueden optar por no participar. Si no, los datos se procesan sin base legal legítima.

Error 3: No honrar opt-outs en 30 días

Alguien te pide que lo borres. Vos anotás el pedido pero no lo procesas hasta tres meses después. Eso es una violación del Artículo 17 (derecho al olvido). Necesitás un sistema automatizado que respete opt-outs en máximo 30 días. Sin excepciones.

Preguntas Frecuentes

¿Qué exige el Artículo 14 del GDPR cuando recopilo datos de terceros?

Notificar a la persona dentro de 1 mes con 7 datos concretos: identidad del responsable, propósito, base legal, categorías de datos, plazo de retención, derechos, y fuente de datos. Si no notificas, violás el artículo. Lo explicamos a fondo en técnicas seguras de scraping en Python.

¿Puedo hacer web scraping en LinkedIn sin violar el Artículo 14 del GDPR?

Técnicamente, sí. Pero solo si documentás una base legal legítima (Artículo 6(1)(f)), hacés un balancing test, y notificas a cada persona dentro de 1 mes. Además, LinkedIn tiene sus propios términos de servicio que probablemente prohiben scraping directamente. El GDPR es un problema; los ToS de LinkedIn son otro.

¿Cuáles son las consecuencias de no cumplir el Artículo 14 del GDPR?

Multas hasta €20 millones o 4% de ingresos globales. Auditorías de autoridades de datos. Obligación de borrar datos. Daño reputacional. Además, si alguien te demanda por procesamiento ilegítimo, tenés costos legales.

¿Necesito consentimiento explícito para crear listas de leads bajo el Artículo 6(1)(f)?

No. El Artículo 6(1)(f) no requiere consentimiento explícito. Requiere un “interés legítimo” documentado. Pero necesitás un balancing test que demuestre que tu interés pesa más que el del usuario. Para B2B, esto es más fácil que para B2C.

¿Los datos públicos en sitios web están fuera del alcance del GDPR?

No. Accesibilidad pública no significa exención de GDPR. Un nombre más email públicamente disponible sigue siendo personal data. GDPR te aplica igual. Lo único que cambia es cómo documentás y justificás tu recopilación, no si GDPR se aplica.

Qué significa para empresas y equipos en Latinoamérica

Si tu empresa en Latinoamérica contacta a personas en Europa, el GDPR aplica sin discusión. Muchas startups argentinas, chilenas, mexicanas cometen el error de pensar que el GDPR es cosa de Europa. Nope. Si recopilas datos de europeos, GDPR te alcanza. Si mandás emails de prospecting sin cumplir Artículo 14, te pueden multar sin importar dónde estés.

Además, GDPR se convirtió en estándar de facto. Argentina está pensando regulaciones similares. Uruguay, Brasil, también. Cumplir GDPR ahora es una ventaja competitiva a futuro. ¿Solución? Documentar desde el vamos. Si hacés B2B outreach a cualquier europeo, tratá todos los datos como si estuvieran bajo GDPR (que lo están). Notificá, documentá tu LIA, respetá opt-outs. No es tan difícil si lo planificás desde el principio.

Conclusión

El Artículo 14 del GDPR no es una regla oscura de reguladores enojados sin nada que hacer. Es una protección legítima para gente que vió sus datos recopilados sin que se enterara. Vos recopilas datos de terceros, tenés la obligación de notificar. Punto.

Si hacés B2B outreach (y la mayoría de las startups y agencias lo hacen), necesitás cumplir. La buena noticia es que no es complicado. Documentá tu Legitimate Interests Assessment, notificá dentro de 1 mes, respetá opt-outs. Listo.

Lo que no podés hacer es ignorarlo y esperar que nadie se entere. Las DPAs están activas, las multas son reales, y tu reputación vale mucho más que el esfuerzo de cumplir. Invertí una o dos tardes documentando esto correctamente. Vale la pena.

Little Snitch Linux: controla tu conexión de red

¿Tu distro Linux verifica la edad? Este tracker lo sabe

Ferret: Detecta Secretos en tus APIs Ahora

Lanzamiento a dinero: timeline herramienta web

Core Web Vitals 2026: Ahora es Factor de Ranking

Impacto Real: IA Revoluciona la Ciberseguridad