Estas elecciones serán las segundas en las que los partidos podrán tratar datos personales relativos a opiniones políticas y enviarnos propaganda por medios electrónicos. ¿Cuáles son los límites? ¿Qué datos se pueden recopilar?
26 de mayo, 10 de noviembre… Dos domingos en apenas seis meses en los que acudiremos a las urnas para ejercer nuestro derecho al sufragio activo. Como tantas otras veces hemos hecho, elegiremos representantes al Congreso y al Senado… Sin embargo, es la primera vez que se permite, de manera expresa, a las organizaciones políticas el tratamiento de los datos personales relativos a opiniones políticas, así como el envío de propaganda electoral por medios electrónicos o sistemas de mensajería. Esto es posible tras la entrada en vigor de Ley Orgánica de Protección de Datos Personales, que adapta el ordenamiento jurídico español al Reglamento Europeo de Protección de Datos (RGPD). Este introduce un nuevo artículo a la Ley de Régimen Electoral General, el 58 bis, denominado Utilización de medios tecnológicos y datos personales en actividades electorales.
Esta nueva situación está generando un amplio debate y preocupación sobre los límites que deben aplicarse en relación a los datos personales de los interesados. En los últimos meses, el Defensor del Pueblo en funciones ha presentado ante el Tribunal Constitucional un recurso de inconstitucionalidad, al considerar que el citado artículo 58 bis adolece de “garantías normativas y limitaciones contundentes, precisas y efectivas”. Es fuente de gran preocupación que pudiese darse una situación similar a lo que ocurrió en las elecciones estadounidenses, en la que la consultora Cambridge Analytica, que trabajó para el Partido Republicano, recopiló de manera ilícita datos personales de usuarios de Facebook con finalidades de marketing electoral.
En este contexto, la Agencia Española de Protección de Datos (AEPD) ha publicado recientemente la Circular 1/2019, en la que concreta cuáles son los límites de la habilitación otorgada a los partidos políticos, y manifiesta su preocupación por fenómenos como “el uso del big data, la inteligencia artificial y la aplicación del microtargeting en los procesos electorales, por su capacidad para llevar a la manipulación de las personas mediante la realización de perfilados exhaustivos y el fenómeno de las fake news o desinformación online”.
Antes de comenzar a desgranar la circular, debemos aclarar que el RGPD, en su considerando 56, permite estos tratamientos por razones de interés público y siempre y cuando se ofrezcan las garantías adecuadas. La cuestión es el alcance que damos al concepto jurídico indeterminado de interés público, que es el fundamento y también el límite al tratamiento de estos datos.
- ¿Qué tipo de datos se pueden recopilar?
De acuerdo con la Circular 1/2019 de la AEPD, pueden ser recogidas opiniones políticas libremente expresadas en páginas web y en fuentes de acceso público, entendiéndose como tal aquellas cuya consulta puede ser realizada por cualquier persona. Quedan excluidas aquellas en las que el acceso está restringido a un círculo determinado de personas. Por ello, en principio, una cuenta en un perfil de Facebook no podría ser utilizada para recopilar estos datos.
- ¿Qué no se puede hacer?
No pueden realizarse perfiles individuales, atendiendo a características muy específicas con el objetivo de inferir la ideología de una persona concreta, y dirigir mensajes que pudiesen forzar o desviar su voluntad. En cambio, sería posible la elaboración de perfiles generales, de modo que los partidos políticos puedan conocer las inquietudes políticas de la ciudadanía, incluso por categorías genéricas como la edad, sexo, población, etc.
- ¿Cuándo puede hacerse?
Únicamente durante el periodo electoral y respecto a las actividades de propaganda y actos de campaña electoral.
- ¿Es posible el spam electoral?
El nuevo artículo 58 bis citado permite enviar propaganda electoral por medios electrónicos y sistemas de mensajería, y a su vez, que los partidos políticos contraten propaganda electoral en redes sociales o medios equivalentes. De acuerdo con el precepto, no serían considerados como comunicación comercial, al no haber una finalidad lucrativa, y, por tanto, no estarían sujetas al régimen de la Ley de Servicios de Sociedad de la Información y Comercio Electrónico, que exige el consentimiento expreso en la mayoría de las ocasiones. Pero siempre deberán estar amparadas en alguna de las bases jurídicas establecidas en el RGPD, entre las que estaría el consentimiento. Es decir, no cabría el spam electoral, ya que no es posible recabar los datos de cualquier lugar de cualquier forma.
- ¿Qué garantías adecuadas han de cumplir los partidos políticos?El artículo 9 de la Circular 1/2019 regula cuáles son las garantías que deben cumplir los partidos políticos en el tratamiento de los datos personales relativos a opiniones políticas. Nos vamos a detener en aquellas relativas a preservar la seguridad de la información, de vital importancia en un tratamiento como el que nos ocupa, basado en tecnologías de la información.
El tratamiento deberá realizarse bajo los principios de:
- privacidad desde el diseño y por defecto, es decir, en el momento en que se determine cómo se van a tratar los datos será necesario configurar desde el inicio las medidas técnicas y organizativas apropiadas que preserven la privacidad y que permitan tratar los datos mínimamente necesarios para el fin del tratamiento.
- En segundo lugar, los partidos políticos deberán realizar una evaluación de impacto para la protección de datos, de acuerdo con el artículo 35 del RGPD. Deben consultar previamente con la AEPD sobre el tratamiento de estos datos personales. Es posible también que los partidos políticos no hagan esta consulta previa, sino que directamente remitan su análisis de riesgos y evaluación de impacto, y la justificación de las medidas adoptadas. Pero en ambos casos sería necesaria una intervención activa de la AEPD. Para el proceso electoral previstos para el 10 de noviembre, los partidos políticos deberían haber remitido esta documentación con una antelación mínima de tres semanas al inicio de la campaña electoral.
- Otro aspecto a destacar es que independientemente de la base jurídica del tratamiento, siempre habrá que informar al interesado de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo sobre el tratamiento de los datos personales. Asimismo, los titulares de los datos siempre podrían ejercitar sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y oposición.
En los próximos días podremos comprobar la manera en que las organizaciones políticas aplican lo dispuesto en el nuevo artículo 58 bis de la Ley Electoral General. Esperemos que respeten los principios de transparencia y libre participación propios de todo sistema democrático.
En definitiva, para terminar, traigo a colación una Sentencia el Tribunal Constitucional del 22 de mayo de 2019 que sienta una interpretación protectora de los datos de carácter personal de contenido ideológico. El funcionamiento adecuado de un sistema democrático, el derecho a la libertad ideológica y el derecho a la participación política, pueden requerir la elaboración de perfiles generales de los votantes, de modo que los partidos políticos puedan conocer las preferencias del electorado para, así, planificar su estrategia electoral y definir su agenda. Pero esto no puede suponer la realización de perfiles individuales, tratamientos de datos abusivos o no proporcionales, que pudieran conducir a forzar o desviar la voluntad de los electores. Y, con una regulación tan abierta y ambigua como la que se establecía en el reformado art. 58.bis.1 LOREG, estos riesgos eran realmente ciertos.