06 febrero 2019

Recopilación de datos personales relativos a opiniones políticas de los ciudadanos por los partidos políticos en “fuentes de acceso público”

Por Borja Adsuara, abogado experto en Derecho Digital y miembro de ENATIC

@adsuara

Antes de nada, perdón por el título. Estuve pensando poner uno más sugerente, como “el Cambridge Analytica español”, pero he preferido ceñirme al tenor literal de la norma que quiero comentar, porque hay que adecuar el lenguaje al medio y no estamos en un medio generalista, en el que necesariamente hay que hacer un esfuerzo pedagógico, sino en un medio de profesionales del Derecho.

Y me quiero ceñir al ‘tenor literal’ de la norma, porque, como todo jurista sabe, el primer criterio interpretativo de éstas es (1) “el sentido propio de sus palabras”, poniéndolas “en relación con: (2) el contexto (3), los antecedentes históricos y legislativos, y (4) la realidad social del tiempo en que han de ser aplicadas, (5) atendiendo fundamentalmente al espíritu y finalidad de aquellas”. (art. 3.1. CC)

Pues bien, como a continuación se verá, detrás de este tema, que ha provocado una gran polémica, la gran cuestión -a mi juicio- es que algunos nos pretenden convencer de que la norma no dice lo que dice. Y que, más allá del sentido propio de las palabras (y de su contexto), hay que hacer una interpretación sistemática, para concluir que es ‘imposible’ hacer lo que la norma dice que se puede hacer.

LA NORMA DE LA DISCORDIA

La Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (de 5 de diciembre de 2018, publicada en el BOE el 6 de diciembre, Día de la Constitución), contiene una disposición final tercera, que viene a modificar la Ley Orgánica del Régimen Electoral General (de 19 de junio de 1985), y que, en su apartado 2, añade un nuevo artículo cincuenta y ocho bis, con este tenor:

Utilización de medios tecnológicos y datos personales en las actividades electorales.

  1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
  2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
  3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
  4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
  5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.

EL SENTIDO PROPIO DE LAS PALABRAS

Siempre digo que todo análisis jurídico debe empezar con un análisis sintáctico y, si se trocea y analiza el nuevo art. 58 bis de la LOREG, se pueden deducir las siguientes conclusiones y dudas, interpretando el sentido propio de sus palabras

a) Respecto a la recopilación y utilización de los datos personales, en general.

  1. Los partidos políticos podrán llevar a cabo la recopilación de datos personales relativos a las opiniones políticas de las personas. O sea, ‘perfiles ideológicos’ de personas identificadas o identificables. Si no, no serían datos personales.
  2. Esta recopilación de opiniones políticas vinculadas a datos personales sólo podrán hacerla en el marco de sus ‘actividades electorales’. Queda la duda de si sólo durante la campaña electoral oficial o el concepto es más amplio.
  3. Esta recopilación se encontrará amparada en el ‘interés público’ únicamente cuando se ofrezcan “garantías adecuadas”. Es decir, la norma establece que no se precisa consentimiento, pero no establece cuáles son esas garantías.
  4. Los partidos políticos, coaliciones y agrupaciones electorales podrán obtener esos datos personales (relativos a las opiniones políticas) en páginas web y otras “fuentes de acceso público”, como la parte pública de las redes sociales.
  5. Los partidos políticos (coaliciones y agrupaciones electorales) podrán utilizar esos datos personales (relativos a las opiniones políticas), para la realización de ‘actividades políticas’ durante el periodo electoral. O sea, no sólo correos.

b) Respecto a la propaganda electoral, en particular:

6. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería no tendrá la consideración de comunicación comercial. No es una novedad, ya lo dice la Ley de Servicios de la Sociedad de la Información.

7. La contratación de propaganda electoral (mensajes patrocinados) en redes sociales o medios equivalentes no tendrá la consideración de actividad comercial. Tampoco es una novedad. Lo dice la Ley General de la Publicidad.

8. Las actividades ‘divulgativas’ anteriormente referidas identificarán de modo destacado su naturaleza electoral. Igual que debe hacerse, según la LSSI, en las ‘comunicaciones comerciales por vía electrónico’ (correo o mensajería).

9. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición. Queda la duda de si se refiere al derecho de oposición al envío de propaganda electoral y/o, también, al tratamiento de los datos personales.

10. No hay un mecanismo similar a la “Lista Robinson” para las comunicaciones comerciales por vía electrónica. En la modificación del 39.3 LOREG sólo se contempla algo parecido para envíos ‘postales’ de propaganda electoral.

LOS ANTECEDENTE LEGISLATIVOS

Este precepto, que no estaba incluido en el Proyecto de Ley (y que, por tanto, no fue informado por la Agencia Española de Protección de Datos ni contaba con su visto bueno), trae causa de una enmienda (331) presentada por el Grupo Parlamentario Socialista en el Congreso de los Diputados, aunque el apartado 1 era un poco distinto y tenía un apartado 2 que luego se suprimió:

  1. Conforme a lo establecido en el Considerando 56 del Reglamento (UE) 2016/679, se considera de interés público la recopilación y tratamiento de datos personales sobre las opiniones políticas de las personas que realicen los partidos políticos en el marco de sus actividades electorales únicamente cuando se ofrezcan garantías adecuadas.
  2. Cuando la difusión de propaganda electoral en redes sociales o medios equivalentes se base en la elaboración sistemática y exhaustiva de perfiles electorales de personas físicas, deberá realizarse una previa evaluación de impacto relativa a la protección de datos personales en los términos previstos en el artículo 35 del Reglamento (UE) 2016/679.

Dicha difusión no podrá realizarse cuando se identifique un alto riesgo para los derechos y libertades de las personas y no se adopten las medidas necesarias para impedirlo.

Quedan prohibidas las actividades de propaganda electoral basadas en la elaboración de perfiles electorales en redes sociales o equivalentes cuando no se informe a sus destinatarios sobre su finalidad, la identidad del responsable o la entidad contratada para su realización y los criterios de selección.

EL CONSIDERANDO 56 DEL RGPD

Aunque la redacción inicial del apartado 1 del nuevo art. 58 bis de la LOREG decía que lo previsto en él era “conforme a lo establecido en el Considerando 56 del RGPD” y aunque el autor de la enmienda ha llegado a argumentar que dicho precepto venía obligado por aquel Considerando, los Considerandos no tienen valor normativo, sino interpretativo y, además, el Considerando 56 no dice eso.

Dice: “Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas”.

No parece que el funcionamiento del sistema democrático español ‘exija’ que, en el marco de las actividades electorales, los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas. Y, por lo tanto, no se da la condición para que pueda autorizarse el tratamiento de estos datos, por razones de interés público, ni siquiera ofreciendo las ‘garantías adecuadas’.

EL SUPRIMIDO APARTADO 2

Del sentido propio de las palabras del apartado 2 de la enmienda 331 del Grupo Parlamentario Socialista del Congreso, que fue suprimido, por una transacción, en la Ponencia del Proyecto de Ley, se deducían las siguientes conclusiones:

  1. Permitía a los partidos políticos la “elaboración sistemática y exhaustiva de perfiles electorales de personas físicas” (a partir de los datos personales -de personas identificadas o identificables- vinculados a las opiniones políticas).
  2. Permitía asimismo la difusión de propaganda electoral en redes sociales o medios equivalentes basada en los perfiles electorales de personas físicas elaborados de manera sistemática y exhaustiva (‘profiling’ o perfilado).
  3. Sólo exigía que, cuando se hiciera dicha propaganda (no decía el perfilado), debería realizarse una previa ‘evaluación de impacto’ relativa a la protección de datos personales (en los términos previstos en el artículo 35 del RGPD).
  4. Preveía que dicha difusión no podría realizarse cuando se identificara (por la propaganda, no por el perfilado) un alto riesgo para los derechos y libertades de las personas y no se adoptaran las medidas necesarias para impedirlo.
  5. Exigía que, para poder realizar dicha propaganda electoral, se debía informar a sus destinatarios sobre (1) su finalidad, (2) la identidad del responsable o la entidad contratada para su realización y (3) los criterios de selección.

Al suprimirse este apartado en el texto definitivo, no queda claro si la “elaboración sistemática y exhaustiva de perfiles electorales de personas físicas” y la difusión de propaganda electoral basada en ella está permitida. Tampoco está prohibida.

LA MOTIVACIÓN

Además, la enmienda tenía una motivación peculiar: “Adecuar el Reglamento a las especificidades nacionales y establecer salvaguardas para impedir casos como el que vincula a ‘Cambridge Analytica’ con el uso ilícito de datos de 50 millones de usuarios de Facebook para mercadotecnia electoral”. Motivación que recuerda el aforismo: “excusa no pedida, acusación manifiesta”.

Es decir, para impedir en España casos como ‘Cambridge Analytica’ vinculados al uso ilícito de datos de usuarios de redes sociales para propaganda electoral, lo mejor -según el autor de la enmienda- es legalizar esta práctica y así ya no es un “uso ilícito”, sino lícito. Eso sí, “estableciendo salvaguardas”, que, por cierto, sólo se especificaban -algunas- en el suprimido apartado 2 de esta enmienda.

El argumento, en mi opinión, no se sostiene. La mejor estrategia y garantía para impedir en España casos como el de Cambridge Analytica no parece ser permitir a los partidos políticos la recopilación de datos personales relativos a opiniones políticas de las personas, con algunas salvaguardas, sino prohibirlo, como hace el RGPD y sancionar -como infracción muy grave- a los partidos que lo hagan.

LA NOTA DE PRENSA DE LA AEPD

Horas antes de la votación del texto del Proyecto de Ley en el Pleno del Senado la Agencia Española de Protección de Datos publicó una Nota de Prensa, muy confusa y poco oportuna, en la que pretendía distanciarse de la Disposición Final tercera, desmintiendo que contara con su visto bueno, como afirmó el Portavoz del Grupo Parlamentario Socialista en el Senado y los promotores del Congreso.

Criterio de la Agencia Española de Protección de Datos sobre cuestiones electorales en el proyecto de nueva LOPD

(Madrid, 21 de noviembre de 2018). Ante las noticias aparecidas en medios de comunicación sobre la modificación de la LOREG en el Proyecto de LOPD y garantía de los derechos digitales que se vota hoy en el Pleno del Senado, la Agencia Española de Protección de Datos quiere manifestar lo siguiente:

  • El texto del Proyecto no permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas.
  • Tampoco permite el envío de información personalizada basada en perfiles ideológicos o políticos.
  • El Proyecto sólo permite, conforme al Considerando 56 del Reglamento General de Protección de Datos, la recopilación por parte de los partidos políticos de datos personales relativos a opiniones políticas para obtener información que les permita pulsar las inquietudes de los ciudadanos con el fin de poder darles respuesta en sus propuestas electorales.
  • Esta interpretación se fundamenta en la supresión del término “tratamiento” recogido en la enmienda 331 inicialmente presentada en el Congreso.
  • Este criterio se basa, asimismo, en la supresión del apartado 2 de dicha enmienda, que permitía la difusión de propaganda electoral basada en perfiles ideológicos con determinadas garantías.
  • El texto permite el envío de propaganda electoral sin que su contenido pueda basarse en los perfiles antes citados, identificando en cualquier caso su naturaleza electoral y garantizando el ejercicio sencillo y gratuito del derecho de oposición.
  • En todo caso, las previsiones del artículo recogido en el Proyecto de ley deben cumplir todas las garantías establecidas en el Reglamento General de Protección de Datos.  

Creemos que fue inoportuna, porque nunca antes la AEPD se había pronunciado sobre el texto de una norma que aún no había sido aprobada. Pero, sobre todo, era tan confusa que parecía que venía a defender el nuevo art. 58 bis LOREG, y así utilizaron la Nota esa misma tarde los promotores de este precepto, cuando, como aclaró su directora al día siguiente, la intención era justamente la contraria.

La clave de la Nota de Prensa estaba en que se refería al Proyecto de LOPD en su conjunto -e, indirectamente, al RGPD- que “no permite el tratamiento de datos personales para la elaboración de ‘perfiles’ basados en opiniones políticas, ni el envío de información ‘personalizada’ basada en perfiles ideológicos o políticos”. Pero éste era el criterio de la AEPD, no lo que decía la Disposición Final Tercera.

EL INFORME DEL GABINETE JURÍDICO DE LA AEPD

El 19 de diciembre de 2018, la Agencia Española de Protección de Datos publicó en su web un informe de su Gabinete jurídico (21 páginas) y una nota de prensa con un resumen del mismo, en el que venía a confirmar el criterio, ya adelantado en la Nota de Prensa del 21 de noviembre, de que la Disposición Final Tercera LOPD y el art. 58 bis LOREG “deben ser objeto de una interpretación restrictiva”.

“En primer lugar, porque se trata de una excepción a la regla general recogida en el artículo 9 del RGPD y en el 9.1 de la LOPD, que prohíbe el tratamiento de categorías especiales de datos personales, entre las que se encuentran las opiniones políticas”.

“Además, porque el (nuevo) artículo 58 bis debe ser interpretado conforme a lo establecido en la Constitución Española, de modo que no conculque derechos fundamentales como la protección de datos, el derecho a la libertad ideológica, la libertad de expresión e información o el derecho a la participación política”.

Las principales conclusiones del informe:

  1. Los partidos políticos sólo podrán tratar opiniones políticas de los ciudadanos cuando hayan sido expresadas públicamente. No pueden aplicar tecnologías de big data o inteligencia artificial para inferir la ideología política de alguien.
  2. Sólo pueden obtenerse de webs y otras fuentes de acceso público, en las que las consultas las pueda realizar cualquier persona. No se puede hacer, cuando el acceso está restringido a los ‘amigos’ u otros conceptos similares.
  3. El tratamiento que se realice deberá ser “proporcional al objetivo perseguido”. Se permite hacer perfiles generales o segmentados por categorías, pero no perfiles individuales (‘microtargeting’) para manipular el voto de los electores.

Además, detalla las “garantías adecuadas” (hasta diez) que los partidos políticos deben ofrecer para realizar este tratamiento de datos, que no vamos a reproducir aquí para no hacer más largo este artículo (aunque sí diremos que el informe no respalda la extraña interpretación que había hecho la AEPD, en su anterior Nota de Prensa, de que la ‘recopilación’ de datos personales no era un ‘tratamiento’).

Al final del informe y de la nota de prensa, la AEPD recuerda las funciones que le atribuye el artículo 57 del RGPD y los poderes (de investigación, correctivos y de autorización y consultivos) del artículo 58, sin perjuicio de las competencias de otros órganos, singularmente de la Junta Electoral Central, del Ministerio del Interior, del Tribunal de Cuentas y, en su caso, dice, del Tribunal Constitucional.

Esta última alusión al Tribunal Constitucional no es gratuita, sino una insinuación sobre la posible inconstitucionalidad del precepto y una invitación a presentar el oportuno recurso. No parece que vayan a hacerlo ni el Presidente del Gobierno, ni cincuenta Diputados y cincuenta Senadores, así que la única posibilidad sería que lo hiciera el Defensor del Pueblo, antes del 6 de marzo de 2019. ¿Lo hará?.

Comparte: