«Utilización de datos personales en la campaña electoral: ¿hasta dónde pueden llegar los partidos políticos?», tribuna de Elena Peña, abogada de ECIJA, para The Law Clinic.
En los próximos meses los españoles nos daremos cita en las urnas para ejercer nuestro derecho fundamental de sufragio activo hasta en tres ocasiones. Estos comicios traen consigo una importante novedad: serán los primeros desde que entró en vigor la nueva LOPD, la cual permite expresamente la utilización de datos personales de los ciudadanos por parte de los partidos políticos en el marco de sus campañas electorales.
El impacto de los avances tecnológicos como el Big Data o la inteligencia artificial llega al panorama político, donde cada vez más técnicas de análisis tradicionalmente utilizadas en el ámbito comercial son adoptadas por los partidos para dirigirse al electorado. De la mano de esta innovación surgen riesgos cada vez más patentes, prueba de ello es el aun reciente escándalo de Cambridge Analytica, que supuso el uso ilícito de datos de 50 millones de usuarios de Facebook para mercadotecnia electoral y su posible impacto en la victoria de Donald Trump en las elecciones en EEUU. Es en este entorno en el que cobra relevancia la protección de datos personales, y en especial, la nueva regulación recogida en la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y su controvertido artículo 58 bis.
Este artículo, desarrollado con base en el considerando 56 del Reglamento General de Protección de Datos (RGPD), fue incorporado a la Ley mediante enmienda al final del trámite parlamentario, y regula la utilización de medios tecnológicos y datos personales en las actividades electorales. En el mismo se prevé la posibilidad de que los partidos políticos recaben y traten datos sobre las opiniones políticas de las personas en el marco de sus actividades electorales, entendiendo que dicho tratamiento se hallaría amparado en el interés público.
La aplicación de este polémico precepto suscita numerosas dudas, en respuesta a algunas de las cuales se pronunció la Agencia Española de Protección de Datos (AEPD) en su informe del Gabinete Jurídico del pasado 19 de diciembre, en el que destaca que el artículo debe ser objeto de interpretación restrictiva. Será con base en este informe, así como en el proyecto de Circular sobre el tratamiento de datos relativos a opiniones políticas por los partidos políticos de la AEPD, que arrojaremos algo de luz sobre los límites de esta habilitación.
¿Qué datos personales pueden tratar? El artículo 58 bis LOPDGDD permite a los partidos políticos recopilar información sobre las opiniones políticas de los ciudadanos. Estamos por tanto ante un dato de categoría especial de acuerdo con el artículo 9.1 RGPD, cuyo tratamiento de manera general se halla sometido a un régimen especial de protección. Es importante recalcar que el dato debe haber sido libremente expresado por el titular en el ejercicio de sus derechos fundamentales a la libertad ideológica (art. 16 CE) y a la libertad de expresión (art. 20 CE). Esto implica que no será posible el tratamiento de otros datos personales a partir de los cuales, mediante el uso de Big Data o inteligencia artificial, pueda inferirse la ideología política de una persona, ya que supondría una vulneración del mencionado derecho a la libertad ideológica.
¿De dónde pueden obtener mis datos personales? Se limitan las fuentes de obtención del dato de opiniones políticas a páginas web y “otras fuentes de acceso público”. Con la derogación de la antigua LOPD, desaparece el régimen de tratamiento de datos obtenidos de “fuentes de acceso público”. Sin embargo, la AEPD se sirve de la anterior definición para interpretar que, a efectos de la ley actual, se entenderá que podrá recabarse la información sobre opiniones políticas de páginas web y otras fuentes en las que la consulta la pueda realizar cualquier persona, quedando excluidas otro tipo de fuentes en las que el acceso esté restringido a un círculo determinado de personas, como puede ser una cuenta privada de Instagram o Facebook. Cuando el dato se obtenga de otras fuentes, deberá legitimarse en alguna de las otras bases previstas en el artículo 6 RGPD.
¿Para qué pueden tratar mis datos? La finalidad del tratamiento de datos de opiniones políticas basado en el interés público queda limitada a la actividad electoral, entendiéndose en la Ley Orgánica 5/1985 del régimen electoral general (LOREG) que dichas actividades se limitan a la propaganda electoral y a los actos de campaña.
¿Pueden utilizar mis datos para la elaboración de perfiles? La AEPD entiende que cabría la realización de un “soft profiling”, esto es, un perfilado basado en categorías genéricas como pueden ser la edad, el sexo o la población, amparándose en el interés público. Sin embargo, un perfilado más intenso o “hard profiling”, que supusiera la realización de perfiles individuales (microtargeting), requerirá el consentimiento del interesado titular de los datos.
¿Cuándo pueden tratar mis datos y durante cuánto tiempo? Los datos personales únicamente podrán ser tratados con base en el artículo 58 bis LOPDGDD durante el periodo electoral, el cual empieza 16 días antes de las elecciones y dura 15 días (artículo 51 LOREG). Teniendo esto en cuenta, el plazo y la campaña de las elecciones generales arranca el 12 de abril y el de las europeas, autonómicas y locales, el 10 de mayo. Al terminar el periodo electoral, esto es, con el inicio de la jornada de reflexión, la AEPD establece que deberán suprimirse o bloquear los datos, sin que quepa tratamiento ulterior para otras campañas.
¿Pueden enviarme propaganda por redes sociales? En este punto, es interesante la línea seguida tanto por la AEPD como por el legislador, que entienden que la propaganda electoral no tiene naturaleza comercial. Esta opinión difiere de la defendida por la autoridad inglesa (ICO) así como por sus tribunales[1], que consideran una definición más amplia que incluye la promoción de los fines e ideales de cualquier organización, quedando englobada por tanto la propaganda política en el concepto de comunicaciones comerciales. Esta consideración por parte de la ley española supone que no será de aplicación el artículo 21 de la LSSI, pero no exime del resto de obligaciones del RGPD, entre las que se incluye el deber de licitud, debiendo por tanto existir alguna base que legitime el tratamiento de acuerdo con el artículo 6 RGPD (por ejemplo, el consentimiento).
¿Qué medidas de seguridad están obligados a adoptar los partidos políticos para poder llevar a cabo estos tratamientos? Además de las medidas genéricas descritas en el RGPD para todo responsable del tratamiento, como puede ser la necesidad de mantener un registro de actividades de tratamiento o informar al interesado del tratamiento, la AEPD entiende que, como garantía adecuada, el partido político deberá designar a un delegado de protección de datos. Además, dada la tipología de los datos que se tratarían y que existe un alto riesgo para los derechos y libertades de las personas, el partido deberá consultar a la AEPD antes de proceder al tratamiento de datos, a no ser que justifique que ha adoptado medidas para mitigar los riesgos.
A pesar del intento de la AEPD de aclarar las cuestiones más controvertidas, este artículo y sus implicaciones no están exentos de polémica, y su constitucionalidad es puesta en duda por diversos juristas del sector. Concretamente, la Asociación de Internautas presentaron una solicitud a fecha de 25 de febrero al Defensor del Pueblo para que interponga un recurso de inconstitucionalidad, teniendo este órgano hasta el 6 de marzo para tomar una decisión al respecto.
Los efectos y ramificaciones del nuevo precepto tienen implicaciones que van más allá del respeto por parte de los partidos políticos a la privacidad de aquellos ciudadanos a los que buscan representar, se trata de la integridad del proceso democrático. En un mundo de tecnologías innovadoras, el uso de los datos personales puede suponer una diferencia en el resultado de las elecciones, y parece evidente que los partidos políticos, tanto a nivel nacional, de cara al 28 de abril, como en ámbito autonómico, municipal y europeo de cara al 26 de mayo, van a servirse de todos los medios a su alcance para lograr una mayor representatividad.
Sin embargo, de cara a mantener la confianza del electorado y la integridad de las propias elecciones, las organizaciones involucradas en la campaña electoral deberán usar la información personal de manera transparente, legal y entendible para los ciudadanos.
[1] Information Tribunal en Scottish National Party v Information Commissioner (EA/2005/0021, 15 de mayo de 2006)