La Agencia Española de Protección de Datos (AEPD) publicó ayer en su página web un informe de su Gabinete jurídico en el que analiza el tratamiento de datos personales y de opiniones políticas que pueden hacer los partidos, en relación con las previsiones de la nueva Ley Orgánica de Protección de Datos (LOPD), que se publicó en el BOE el 6 de diciembre y que entró en vigor al día siguiente.
Recordemos que la Disposición Final Tercera de dicha Ley Orgánica añade un nuevo artículo (58 bis) en la Ley Orgánica Régimen Electoral General (LOREG) que autoriza a los partidos políticos a recopilar datos personales relativos a las opiniones políticas de los ciudadanos, a partir de páginas webs y otras “fuentes de acceso público”, para utilizarlos en el marco de sus actividades electorales.
La nota de prensa de la AEPD explica: “Esta modificación fue introducida durante la tramitación parlamentaria de la LOPD y, al no encontrarse en el Proyecto de Ley remitido por el Gobierno, no fue objeto de informe preceptivo por parte de la Agencia”. Por ello, la Directora de la Agencia, Mar España, solicitó un informe al Gabinete jurídico, para aclarar la interpretación y el alcance de dicho precepto.
Prohibiciones expresas
La AEPD considera que el nuevo art. 58 bis de la LOREG, debe ser interpretado “de forma restrictiva y conforme a lo establecido en la Constitución Española, de modo que no conculque derechos fundamentales”. Lo que viene a dar la razón a los que habíamos dicho que los partidos políticos no podían hacer lo que decía su tenor literal, porque iba contra el RGPD y contra la Constitución. En especial:
1. Los partidos políticos sólo podrán tratar opiniones políticas de los ciudadanos cuando hayan sido expresadas públicamente. No pueden aplicar tecnologías de big data o inteligencia artificial para inferir la ideología política de alguien.
2. Sólo pueden obtenerse de webs y otras fuentes de acceso público, en las que las consultas las pueda realizar cualquier persona. No se puede hacer, cuando el acceso está restringido a los ‘amigos’ u otros conceptos similares.
3. El tratamiento que se realice deberá ser “proporcional al objetivo perseguido”. Se permite hacer perfiles generales o segmentados por categorías, pero no perfiles individuales (microtargeting) para manipular el voto de los electores.
Garantías adecuadas
La AEPD también da la razón a los que criticamos que el art. 58 bis no detallase las garantías aplicables a este tipo de tratamientos. Por ello y en cumplimiento de las funciones de interpretación y aplicación de la normativa de protección de datos que tiene, impone diez garantías (sin perjuicio de otras que pueda exigir la Junta Electoral Central para garantizar la transparencia del proceso electoral):
1. Los partidos deberán adoptar medidas -técnicas y organizativas- apropiadas (como la seudonimización e, incluso, la agregación y anonimización de los datos personales de los ciudadanos), antes de realizar ningún tratamiento.
2. Los partidos deberán designar un delegado de protección de datos, que les asesore en el tratamiento de estos datos especialmente protegidos y sirva de interlocutor con la AEPD y con los ciudadanos en lo que respecta a sus datos.
3. Los partidos deberán elaborar un registro detallado de todas las actividades de tratamiento de datos personales que realicen, con precisión y claridad y conforme a los principios de lealtad y transparencia.
4. Antes de un tratamiento ‘a gran escala’ de las categorías especiales de datos (como las opiniones políticas). deberán realizar una ‘evaluación del impacto’ que puede tener en la protección de datos y los derechos de los ciudadanos.
5. Los partidos deberán consultar a la AEPD antes de hacer un tratamiento, cuando la ‘evaluación de impacto’ muestre que entraña un alto riesgo para la protección de datos y los derechos fundamentales de los ciudadanos.
6. Los partidos deberán adoptar medidas de seguridad, que deberán ser lo más rigurosas que permita el estado de la técnica, teniendo en cuenta que se trata de datos referentes a opiniones políticas, cuyo tratamiento es excepcional.
7. Cuando el tratamiento no lo vayan a realizar los partidos (responsables), sino empresa de marketing y comunicación que trabajen para ellos (encargados), éstas deberán ofrecer las mismas garantías que se exigen a los partidos.
8. Los partidos deberán facilitar a los ciudadanos el ejercicio de los derechos de acceso (conocer qué datos tienen sobre ellos y de dónde los han obtenido), rectificación, supresión y también la oposición al tratamiento de los mismos.
9. En caso de que los partidos pretendan obtener los datos de terceros, deberán comprobar que se obtuvieron lícitamente y cumpliendo todos los requisitos, especialmente el de haberles informado de que serían cedidos a los partidos.
10. En caso de que los partidos políticos quieran tomar decisiones automatizadas y elaborar perfiles (generales) deberán adoptar las medidas adecuadas para proteger los derechos, libertades e intereses legítimos de los ciudadanos.
Además de ofrecer estas garantías, los partidos tienen la obligación de informar a los ciudadanos de una forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, sobre el tratamiento de sus opiniones políticas, teniendo en cuenta que nos encontramos ante una autorización excepcional de tratamiento de una categoría de datos personales especialmente protegidos.
Conclusión
En resumen, la AEPD ha venido con este informe a poner las cosas en su sitio, a enmendar la plana -y de plano- al legislador. Pero estaremos más tranquilos el día que el Tribunal Constitucional declare inconstitucional este precepto, porque no es nada bueno para la “imagen de país”, que nuestros legisladores aprueben normas que van en contra del Reglamento europeo y de nuestra Constitución.