PrivacidadProtección de Datos insiste: la ley no ampara el uso de 'big data' por los partidos para inferir la ideología política de los ciudadanos

La ley dice una cosa, pero el organismo encargado de aplicarla la interpreta de forma mucho más restrictiva. La Agencia Española de Protección de Datos (AEPD) vuelve a la carga contra la posibilidad de que los partidos políticos puedan rastrear opiniones en la red, como parece establecer un nuevo artículo de la Ley Electoral —el 58 bis— introducido "de rebote" en la reciente Ley Orgánica de Protección de Datos (LOPD).

Ya justo durante su aprobación, la directora de la AEPD, Mar España, fue vehemente en una entrevista concedida a Público —en la que se quejaba veladamente de la redacción de la norma— y sostenía que la recopilación de datos ideológicos de los usuarios de la red podía no tener encaje en la Constitución. También lamentaba que el precepto había sido introducido durante la tramitación parlamentaria, por lo que "no fue objeto de informe preceptivo por parte de la AEPD".

Ahora, en un amplio informe, la Agencia sostiene —por tercera vez— que los partidos políticos, federaciones, coaliciones y agrupaciones de electores sólo podrán tratar opiniones políticas cuando estas hayan sido libremente expresadas por las personas en el ejercicio de su derecho a la libertad de expresión y a su libertad ideológica.

No obstante, este precepto "no ampara aplicar tecnologías de big data o inteligencia artificial para inferir la ideología política de una persona", ya que esto supondría una vulneración de su derecho fundamental a no declarar su ideología (consagrado en el artículo 16.2 de la Constitución).

A continuación, la AEPD aclara algunos aspectos más polémicos de la redacción del nuevo artículo 58 bis de la Ley Orgánica del Régimen Electoral General (LOREG):

Fuentes de acceso público: Uno de los problemas que suscita el texto de ese artículo es la indefinición de las fuentes. ¿Puede un partido político recopilar datos de cualquier sitio porque está en internet?. La Agencia sostiene que, "en cualquier caso, debe tratarse de webs y fuentes en las que la consulta la pueda realizar cualquier persona, lo que excluiría aquellas en las que el acceso está restringido a un círculo determinado, ya sea como 'amigo' u otro concepto similar".

Finalidad del tratamiento: La AEPD se remite al Reglamento General de Protección de Datos (RGPD) europeo, de aplicación directa, para afirmar que el tratamiento que se realice deberá ser “proporcional al objetivo perseguido”. Por tanto, afirma que "no ampara tratamientos no proporcionales como el microtargeting" ni puede tener como "finalidad forzar o desviar la voluntad de los electores". Sí admite que puedan realizarse perfiles genéricos ("incluso por categorías genéricas como la edad, sexo, población, etc."), pero "en ningún caso puede pretenderse la realización de perfiles individuales".

Principios aplicables: Nuevamente se refiere la agencia al RGPD para recordar que esos tratamientos deben cumplir con todos los principios recogidos en el artículo 5 de dicho reglamento: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación de plazo de conservación; integridad y confidencialidad y responsabilidad proactiva.

Spam electoral por medios electrónicos: Los datos tales como números de teléfono, perfiles de redes sociales o correo electrónico "deben haberse obtenido lícitamente". Además, en los envíos que se realicen deberá constar su carácter electoral y, por supuesto, facilitar el derecho de oposición por los destinatarios. Algunas asociaciones de defensa de los derechos civiles en la red ya se han adelantado al publicar un formulario, por si a los partidos se les 'olvida'. 

¿Cómo se controla esto?

El polémico artículo 58 bis de la LOREG no detalla ninguna garantía concreta para controlar la aplicación del tratamiento de los datos digitales de los electores, así que la AEPD anuncia las siguientes, a la espera de las que les corresponda imponer a la Junta Electoral Central (JEC)

1. Responsabilidad desde el diseño y por defecto. Los responsables deberán adoptar medidas técnicas y organizativas apropiadas, como la pseudonimización e incluso la agregación y anonimización.

2. Designar un delegado de protección de datos.

3. Elaborar el registro de actividades de tratamiento, debiendo ser precisos y claros, conforme a los principios de lealtad y transparencia.

4. Realizar una evaluación de impacto relativa a la protección de datos, al realizar un tratamiento a gran escala de categorías especiales de datos.

5. Consultar a la AEPD antes de proceder al tratamiento cuando la evaluación de impacto muestre que el tratamiento entraña un alto riesgo. Si esa evaluación de impacto se realiza adecuadamente será obligatorio consultar a la AEPD, salvo que el responsable garantice que el riesgo puede mitigarse.

6. Adoptar medidas de seguridad, que deberán ser lo más rigurosas que permita el estado de la técnica, teniendo en cuenta que se trata de datos referentes a opiniones políticas cuyo tratamiento es excepcional y que suponen un importante riesgo para los derechos y libertades de las personas.

7. Cuando el tratamiento vaya a realizarlo un encargado del tratamiento, deberán seleccionar uno que ofrezca garantías suficientes y haber suscrito con él un contrato en el que deberá garantizarse que el encargado actuará sólo siguiendo instrucciones del responsable, debiendo contemplar dichas instrucciones las garantías definidas por la Agencia.

8. Facilitar el ejercicio de los derechos de acceso, rectificación, supresión y oposición.

9. En el caso de que se pretenda obtener los datos de terceros (que no actúen como encargados del tratamiento) el responsable deberá comprobar que esos datos fueron obtenidos de manera lícita y cumpliendo con todos los requisitos del RGPD, especialmente que el tercero tenga una legitimación específica para obtener y tratar dichos datos y que haya informado expresamente a los afectados de la finalidad de cesión a los partidos políticos.

10. El responsable deberá cumplir con las garantías del artículo 22 del RGPD si se van a realizar decisiones automatizadas, incluida la elaboración de perfiles generales.