La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), aprobada por el Congreso, ha supuesto uno de los momentos más oscuros en cuanto a privacidad de los españoles en Internet, porque permite que los partidos envíen SPAM electoral y lo que es peor, la realización por parte de ellos de bases de datos ideológicas, algo que expertos en Derecho Digital como Borja Adsuara califican como el 'Cambridge Analytica español', pero peor, porque sería completamente legal.
Desde entonces, diferentes organizaciones e instituciones han dado buenos pasos en su contra. La Agencia Española de Protección de Datos (AEPD) dio la razón a los críticos en un informe. También lo ha hecho recientemente el Defensor del Pueblo, al aceptar recurrir al Tribunal Constitucional sobre el SPAM electoral. Ahora, es la AEPD la que mediante una Circular publicada en el BOE hoy pone más presión sobre las prácticas negativas de los partidos.
La AEPD delimita las prácticas de los partidos respecto a los datos
Hemos hablado con Borja Adsuara, que afirma que con esta Circular, que ahora desarrollaremos, la AEPD "dice cómo va a interpretar y aplicar el nuevo art. 58 LOREG, "de una forma restrictiva (restringiendo las finalidades de uso de los datos) y garantista (exigiendo múltiples garantías para los derechos de los ciudadanos)."
Sobre si los partidos tienen que operar en función a ella, Adsuara señala que "sería muy temerario no lo tuvieran en cuenta, porque (aparte de al desprestigio social) se exponen a una multa cuantiosa y luego podrán recurrir, pero no tienen la seguridad de que les vayan a dar la razón los Tribunales, porque la AEPD tiene potestades interpretativas". En cualquier caso, de momento sólo "significa que la AEPD va a inspeccionar y sancionar de acuerdo con esta circular".
Un problema de la Circular, añade Adsuara, es que "incluso aunque se justificara la existencia de ese "interés público esencial" para el buen funcionamiento del sistema democrático, para cumplir con la CE, las garantías que recoge deberían tener rango de Ley Orgánica". Es decir, que con ella podemos saber por dónde podrían ir posibles multas y funciona como "un aviso a navegantes" hacia los partidos, pero de momento la existencia del artículo 58 bis sigue siendo una amenaza similar.
Según la AEPD "por la existencia de un alto riesgo para los derechos y libertades de las personas físicas dichas garantías, al no haberse establecido por el legislador, deben identificarse por esta Agencia Española de Protección de Datos, en cumplimiento de las funciones de interpretación y aplicación de la normativa de protección de datos que le atribuyen los artículos 57 y 58 del RGPD".
Se habilita el tratamiento solo durante el período electoal, y deberá establecerse la finalidad o finalidad que se persigue con el tratamiento, que la AEPD limita a la ciscunscripción. Es decir, que cada partido, federación, coalición o agrupación de electores que lo realice solo puede llevarlo a cabo en las provincias donde concurra, y no a nivel nacional, pese a que las elecciones del 28 de abril sean generales.
En el artículo 3 de la Circular se establece que el tratamiento de opiniones políticas solo podrá llevarse a cabo "cuando concurra un interés público esencial conforme al artículo 9.2.b) del RGPD". En ese sentido, Jorge García Herrero sostenía que en el RGPD ya no se recogían las fuentes de acceso público de las que se vale la ley española. El interés público, por otra parte, también chocaba con lo establecido en el RGPD, como contrastaba Borja Adsuara.
El artículo 5 establece que "solo podrán ser objeto de recopilación las opiniones políticas de las personas libremente expresadas por éstas en el ejercicio de sus derechos a la libertad ideológica y a la libertad de expresión reconocidos en los artículos 16 y 20 de la Constitución española", y restringe el tratamiento de datos personales utilizando tecnologías de tratamiento masivo de datos e inteligencia artificial, que llevarían a inferir la ideología política.
Además, la AEPD fija que las polémicas fuentes de acceso público son "aquellas cuya consulta puede ser realizada por cualquier persona, quedando excluidas otro tipo de fuentes en las que el acceso está restringido a un círculo determinado de personas". Con esto se refiere a que se podrían utilizar las opiniones públicas en Twitter o Facebook, pero no aquellas que sólo hayan sido publicadas de forma restringida a amigos o círculos concretos de forma privada.
En cualquier caso, para que el tratamiento pueda hacerse, el sujeto realizador deberá encontrarse "en alguna de las excepciones del artículo 9.2 RGPD si se trata de categorías especiales de datos", y "ampararse en alguna de las bases legitimadoras del artículo 6 del RGPD".
Otro aspecto muy relevante es la proporcionalidad que pide la AEPD, según la cual no son admisibles prácticas como el microtargeting ni forzar o desviar la voluntad del electorado. De justo todo esto se encargaba Cambridge Analytica. Los perfiles podrán realizarse deduciendo patrones de conducta generales agregados, pero no de personas concretas.
Las garantías para el tratamiento de datos
La AEPD establece una lista de 10 garantías adecuadas en su artículo 7, entre las que destaca la necesidad de llevar a cabo una "omo la seudonimización, e incluso la agregación y anonimización. Además, deberá garantizarse que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento".
El sujeto que ejecute el tratamiento deberá consultar a la AEPD antes de proceder a él, "al tratarse de tratamientos que entrañan un alto riesgo, a no ser que el responsable justifique la adopción de medidas para mitigarlo". Tendrá que hacerse "al menos 14 semanas antes del inicio del periodo electoral", aunque de forma extraordinaria "en los procesos electorales previstos para el 28 de abril y el 26 de mayo de 2019 [...] con una antelación mínima de tres semanas". La consulta deberá contener una "descripción de los fines del tratamiento, y de las categorías de interesados y de datos personales objeto de tratamiento."
Las medidas de seguridad para llevar a cabo el tratamiento, "deberán ser lo más rigurosas que permita el estado de la técnica teniendo en cuenta que se están tratando datos referentes a las opiniones políticas cuyo tratamiento es excepcional y que suponen un alto riesgo para los derechos y libertades de las personas físicas".
De cara a los ciudadanos "deberá facilitarse, de un modo sencillo y gratuito, el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición", previstos por el RGPD y el apartado 5 del artículo 58 bis de la LOREG.
De todo ello, los sujetos que traten los datos, deberán informar según lo previsto en los artículos 13 y 14 del RGPD, "de forma concisa, transparente, inteligible y de fácil acceso". Cuando sea imposible informar a los afectados (electores y ciudadanos) o suponga un esfuerzo desproporcionado "deberá facilitarse en forma electrónica en el sitio web del responsable, así como en las cuentas que tenga en redes sociales y servicios equivalentes".
Por último, el tratamiento se podrá preparar antes del período electoral realizando las actuaciones necesarias, pero sin iniciarse. La fecha en que podrá dar comienzo será cuando se inicie el periodo electoral, como decíamos anteriormente. Si los partidos que han presentado candidaturas y han tratado información no consiguen representación, deberán eliminar los datos. Y terminado el período electoral, deberá "garantizarse la supresión de los datos personales", en manos de cualquier partido.
Sobre si lo que recoge la Circular sirve para cumplir con la Constitución Española, Adsuara señala que "no es suficiente, porque, para empezar, no se cumple el requisito de un "interés público esencial" que exija que los partidos puedan recopilar nuestros datos personales y opiniones políticas". Recalca, eso sí, que "la AEPD no puede hacer nada contra eso", mientras que la "Unión Europea sí puede abrir un expediente a España por una mala aplicación del RGPD".
Un SPAM electoral más concreto y evitable
Sobre el SPAM electoral, el artículo 58.1 bis, recogía en su punto 3 lo siguiente:
El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
Como sostenía sostenía Jorge García Herrero, "por hacer esto (en referencia al SPAM), por ejemplo, a una empresa como Media Market le puede caer una sanción", para los partidos políticos es legal obtener nuestros datos haciendo barridos en páginas web.
Esta diferencia con empresas se mantiene con la Circular, que en el punto primero de su artículo 11 señala que "conforme al apartado 3 del artículo 58 bis el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial".
Sin embargo, se añaden limitaciones, como la siguiente: "Los datos personales […] tales como números de teléfono, correo electrónico u otros similares deberán haber sido obtenidos lícitamente, amparados en alguna de las bases jurídicas del artículo 6 del RGPD y deberán corresponder a personas que puedan ejercer su derecho al voto en el ámbito de la circunscripción". Así, no se podrá enviar SPAM electoral desde por ejemplo, la sede de un partido en Madrid, a electores de provincias del País Vasco.
En el punto tercero se recoge que "en los envíos que se realicen deberá constar su carácter electoral y la identidad del remitente. Asimismo, deberá facilitarse de un modo sencillo y gratuito el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición". Todo esto viene a desarrollar el débil punto quinto del artículo 58 bis, que débilmente regulaba con "se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición".
Ver 1 comentarios