(Madrid, 19 de diciembre de 2018). La Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que analiza el tratamiento de datos personales en relación con la Disposición final tercera de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, que modifica la Ley Orgánica 5/1985 del Régimen Electoral General (LOREG) añadiendo el artículo 58 bis. Esta modificación fue introducida durante la tramitación parlamentaria de la LOPD y, al no encontrarse en el Proyecto de Ley remitido por el Gobierno, no fue objeto de informe preceptivo por parte de la Agencia.

Ver informe

La AEPD considera que la modificación de la LOREG, que aborda el tratamiento de datos relativos a opiniones políticas por los partidos, debe ser objeto de una interpretación restrictiva, en primer lugar, porque se trata de una excepción a la regla general recogida en el artículo 9 del Reglamento General de Protección de Datos (RGPD) y en el 9.1 de la LOPD, que prohíbe el tratamiento de categorías especiales de datos personales −entre las que se encuentran las opiniones políticas−. Además, porque el artículo 58 bis debe ser interpretado conforme a lo establecido en la Constitución Española, de modo que no conculque derechos fundamentales como la protección de datos, el derecho a la libertad ideológica, la libertad de expresión e información o el derecho a la participación política.

El informe recoge que los partidos políticos, federaciones, coaliciones y agrupaciones de electores sólo podrán tratar opiniones políticas cuando estas hayan sido libremente expresadas por las personas en el ejercicio de su derecho a la libertad de expresión y a su libertad ideológica. Este precepto no ampara aplicar tecnologías de big data o inteligencia artificial para inferir la ideología política de una persona, ya que esto supondría una vulneración de su derecho fundamental a no declarar su ideología.

En cuanto a la ausencia de definición en la Ley Orgánica 3/2018 de “fuentes de acceso público”, la Agencia considera que puede seguir aplicándose como criterio interpretativo la derogada LOPD 15/1999 pero, en cualquier caso, debe tratarse de webs y fuentes en las que la consulta la pueda realizar cualquier persona, lo que excluiría aquellas en las que el acceso está restringido a un círculo determinado, ya sea como “amigo” u otro concepto similar.

En lo relativo a la finalidad del tratamiento, la AEPD recoge en su informe que el tratamiento que se realice deberá ser “proporcional al objetivo perseguido” (artículo 9.2 g RGPD), lo que no ampara tratamientos no proporcionales como el microtargeting, ni tener por finalidad forzar o desviar la voluntad de los electores. “Si bien el funcionamiento de un sistema democrático puede requerir la elaboración de perfiles generales, de modo que los partidos políticos puedan conocer las inquietudes políticas de la ciudadanía, incluso por categorías genéricas como la edad, sexo, población, etc., lo que no puede en ningún caso pretenderse es la realización de perfiles individuales o realizados atendiendo a categorías muy específicas que conculcarían los derechos fundamentales anteriormente citados”, añade. En todo caso, esos tratamientos deben, además, cumplir con todos los principios recogidos en el artículo 5 del RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación de plazo de conservación; integridad y confidencialidad y responsabilidad proactiva.

En cuanto al “envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes” (artículo 58 bis LOREG), los datos que vayan a ser utilizados para el envío de propaganda electoral (números de teléfono, correo electrónico, etc.) deben haberse obtenido lícitamente, amparados en alguna de las bases del artículo 6 del RGPD. En todo caso, en los envíos que se realicen deberá constar su carácter electoral y facilitar el derecho de oposición por los destinatarios.

Garantías adecuadas

El texto del artículo 58 bis no detalla las garantías aplicables a este tipo de tratamientos. Por ello, la Agencia, en cumplimiento de las funciones de interpretación y aplicación de la normativa de protección de datos que le atribuyen los artículos 57 y 58 del RGPD, debe identificar esas garantías, sin perjuicio de otras que pueda exigir la Junta Electoral Central de cara a garantizar la transparencia del proceso electoral.

1. Responsabilidad desde el diseño y por defecto. Los responsables deberán adoptar medidas técnicas y organizativas apropiadas, como la seudonimización e incluso la agregación y anonimización.

2. Designar un delegado de protección de datos.

3. Elaborar el registro de actividades de tratamiento, debiendo ser precisos y claros, conforme a los principios de lealtad y transparencia.

4. Realizar una evaluación de impacto relativa a la protección de datos, al realizar un tratamiento a gran escala de categorías especiales de datos.

5. Consultar a la AEPD antes de proceder al tratamiento cuando la evaluación de impacto muestre que el tratamiento entraña un alto riesgo. Si esa evaluación de impacto se realiza adecuadamente será obligatorio consultar a la AEPD, salvo que el responsable garantice que el riesgo puede mitigarse.

6. Adoptar medidas de seguridad, que deberán ser lo más rigurosas que permita el estado de la técnica, teniendo en cuenta que se trata de datos referentes a opiniones políticas cuyo tratamiento es excepcional y que suponen un importante riesgo para los derechos y libertades de las personas.

7. Cuando el tratamiento vaya a realizarlo un encargado del tratamiento, deberán seleccionar uno que ofrezca garantías suficientes y haber suscrito con él un contrato en el que deberá garantizarse que el encargado actuará sólo siguiendo instrucciones del responsable, debiendo contemplar dichas instrucciones las garantías definidas por la Agencia.

8. Facilitar el ejercicio de los derechos de acceso, rectificación, supresión y oposición.

9. En el caso de que se pretenda obtener los datos de terceros (que no actúen como encargados del tratamiento) el responsable deberá comprobar que esos datos fueron obtenidos de manera lícita y cumpliendo con todos los requisitos del RGPD, especialmente que el tercero tenga una legitimación específica para obtener y tratar dichos datos y que haya informado expresamente a los afectados de la finalidad de cesión a los partidos políticos.

10. El responsable deberá cumplir con las garantías del artículo 22 del RGPD si se van a realizar decisiones automatizadas, incluida la elaboración de perfiles generales.

Además de estas garantías, adquiere una especial relevancia la obligación de informar sobre dichos tratamientos “teniendo en cuenta que nos encontramos ante un supuesto excepcional de legitimación de los datos relativos a la ideología política de los ciudadanos”. Ese deber de información deberá realizarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Del mismo modo, cuando el responsable pretenda obtener los datos de un tercero, deberá comprobar que este ha cumplido con su obligación de informar sobre los mismos extremos a los afectados.

El informe detalla que, con anterioridad al inicio del periodo electoral, los sujetos legitimados y que vayan a presentar candidatura podrán desarrollar las actuaciones necesarias para preparar los tratamientos que vayan a desarrollar en el periodo electoral, conforme a las obligaciones anteriormente señaladas, pero sin poder iniciarlos. En especial, las relativas al registro de actividades, evaluación de impacto, consulta previa, designación del delegado de protección de datos (si no lo hubiera designado con anterioridad) y la celebración, en su caso, del contrato de encargado del tratamiento. En periodo electoral podrán iniciar el tratamiento, debiendo en primer lugar cumplir con su obligación de información y velar por el cumplimiento de la normativa de protección de datos. Por último, finalizado el periodo electoral, deberán garantizar la supresión de los datos personales conforme a lo establecido en la ISO 27001:2013 y la Norma UNE- EN15713:2010, sin que en ningún caso puedan ser objeto de tratamiento ulterior por los partidos políticos ni por ninguna otra entidad.

En cuanto a las potestades de la AEPD, para garantizar el cumplimiento de la normativa de protección de datos y sin perjuicio de las competencias que puedan corresponder a otros órganos −singularmente a la Junta Electoral Central, al Ministerio del Interior, al Tribunal de Cuentas y, en su caso, al Tribunal Constitucional−, esta podrá ejercer las funciones que le atribuye el artículo 57 del RGPD y los poderes de investigación, correctivos y de autorización y consultivos del artículo 58.