Una de las grandes polémicas del final de año en lo que se refiere a lo que tiene que ver con los derechos de los ciudadanos en Internet fue protagonizada por la nueva Ley Orgánica de Protección de Datos, que en el artículo 58 bis de su Disposición Final Tercera recogía la "recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales" y que "partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral".
A ello, que generó una gran revuelo mediático, se sumaba el hecho de que con los datos recogidos, se autorizara el envío de propaganda electoral por medios electrónicos, lo que daba pie al SPAM electoral personalizado como alternativa al clásico buzoneo, pero de una forma más dirigida y precisa según lo expresado en redes. Desde el primer momento, abogados especializados como Jorge García Herrero o Borja Adsuara sostuvieron que la nueva ley no era compatible con el RGPD europeo: ni se establecían las garantías adecuadas ni según la normativa europea existían ya las fuentes de acceso público.
Por todo ello, lo que argumentaban los expertos es que ejecutar de esa forma la ley en vigor desde el BOE del 6 de diciembre no era aplicable tal y como estaba redactada, y la Agencia Española de Protección de Datos (AEPD), encargada de supervisar estos asuntos, les ha dado la razón en un informe publicado en su web y que recoge Borja Adsuara en La Información. Aún queda, eso sí, que sea el Tribunal Constitucional el que declare la inconstitucionalidad de la norma.
Ha sido tarde, pero a tiempo. La tardanza se explica en el texto: al tratarse de una modificación del Proyecto de Ley remitido por el Gobierno "no fue objeto de informe preceptivo por parte de la Agencia", por lo que ha tenido que hacerse a través de la solicitud al Gabinete jurídico de la AEPD.
Qué podrán hacer los partidos políticos
La AEPD no niega en el documento la posibilidad de que se elaboren perfiles, pero sí ve necesario delimitar mucho más de lo que la ley establece sobre cómo proceder:
Si se pretende la elaboración de perfiles se deberá ser excesivamente riguroso con el nivel de detalle y la exhaustividad del mismo, ya que si bien el funcionamiento de un sistema democrático puede requerir la elaboración de perfiles generales, de modo que los partidos políticos puedan conocer las inquietudes políticas de la ciudadanía, incluso por categorías genéricas como la edad, sexo, población, etc., lo que no puede en ningún caso pretenderse es la realización de perfiles individuales o realizados atendiendo a categorías muy específicas que conculcarían los derechos fundamentales anteriormente citados.
Así, los partidos políticos no podrán emplear técnicas modernas de big data o inteligencia artificial para averiguar la ideología de una persona determinada, y "las únicas fuentes de las que se pueden obtener los datos personales sobre opiniones políticas son aquellas que sean de acceso público". Al no existir esa figura en el RGPD, como decíamos, "puede seguir aplicándose como criterio interpretativo, adaptándola al contexto actual". LA AEPD concluye que los datos pueden recabarse de webs cuya búsqueda pueda hacer cualquier persona, lo que excluye la categoría de "amigos" restringidos de redes sociales y conceptos similares.
En cuanto al tratamiento, "por consiguiente lo que no podrán amparar tratamientos no proporcionales como el ya citado microtargeting ni tener por finalidad forzar o desviar la voluntad de los electores".
Con qué garantías deben tratar datos
Otro aspecto relevante para la AEPD son las garantías adecuadas que no se establecieron en el artículo 58 bis. Impone diez garantías a los partidos.
Los partidos tendrán que tratar los datos con medidas apropiadas, como seudonimización, anonimización, etc, antes de proceder. Asimismo, los partidos tendrán que practicar la "llevanza de un registro de las actividades de tratamiento con el contenido señalado en el artículo 30 del RGPD, debiendo ser precisos y claros, conforme a los principios de lealtad y transparencia". Cuando realizacen tratamiento a gran escala, deberán hacer una evaluación de impacto relativa a la protección de datos, y si dicho tratamiento entraña riesgo, deberá consultar a la AEPD previamente.
Será también necesario cumplir con las medidas de seguridad necesarias expuestas en el artículo 32 del RGPD, "que deberán ser lo más rigurosas que permita el estado de la técnica teniendo en cuenta que se están tratando datos referentes a las opiniones políticas cuyo tratamiento es excepcional". Además, los partidos deberán facilitar a los ciudadanos el ejercicio de los derechos de acceso (datos que tienen sobre ellos y su fuente), rectificación, supresión, limitación del tratamiento y oposición.
Ver 4 comentarios