Noticias JurídicasOrigen http://noticias.juridicas.com

#nuevaLOPD
27/12/2018 10:29:31 | Privacidad

Criterio de la AEPD sobre cuestiones electorales en el proyecto de nueva LOPD

La reciente Ley Orgánica 3/2018, de Protección de Datos y Garantía de los Derechos Digitales, incorporó como uno de sus elementos más polémicos la introducción del nuevo artículo 58 bis en la Ley Orgánica 5/1985, del régimen electoral general (LOREG), relativo la “Utilización de medios tecnológicos y datos personales en las actividades electorales”. Este artículo ampara en el interés público, siempre y cuando “se ofrezcan garantías adecuadas”, la recopilación de datos personales “relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales”.

Para ello, y durante el período electoral, los partidos políticos, coaliciones y agrupaciones electorales “podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas”.

El riesgo de que esa información se utilizara para realizar un perfilado político de los ciudadanos, expresamente prohibido por el Reglamento General de Protección de datos (RGPD) y, sobre todo, las noticias que indicaban que la Agencia Española de Protección de Datos (AEPD), avalaba dicha interpretación, hicieron que la AEPD realizara una primera e inhabitual declaración en el sentido de que el texto legal no permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas, ni el envío de información personalizada basada en perfiles ideológicos o políticos.

Posteriormente, la directora de la Agencia, Mar España, insistió en que su organismo iba a ser extremadamente vigilante y riguroso con estas actividades.

A este respecto, la AEPD ha elaborado un informe en el que analiza el tratamiento de datos relativos a opiniones políticas por los partidos.

La Agencia no informó el nuevo art. 58 bis LOREG

Llama la atención, en primer lugar la afirmación de este organismo en el sentido de que el art. 58 bis de la LOREG “fue introducida durante la tramitación parlamentaria de la LOPD”, por lo que “al no encontrarse en el Proyecto de Ley remitido por el Gobierno, no fue objeto de informe preceptivo por parte de la Agencia”.

Necesidad de una interpretación restrictiva del posible tratamiento

A continuación la AEPD añade que la modificación de la LOREG que aborda el tratamiento de datos relativos a opiniones políticas por los partidos, debe ser objeto de una interpretación restrictiva.

En primer lugar, porque se trata de una excepción a la regla general recogida en el artículo 9 del Reglamento General de Protección de Datos (RGPD) y en el 9.1 de la LOPD, que prohíbe el tratamiento de categorías especiales de datos personales −entre las que se encuentran las opiniones políticas−.

Además, porque el artículo 58 bis debe ser interpretado conforme a lo establecido en la Constitución Española, de modo que no conculque derechos fundamentales como la protección de datos, el derecho a la libertad ideológica, la libertad de expresión e información o el derecho a la participación política.

No cabe el perfilado ideológico

El informe destaca además que los partidos políticos, federaciones, coaliciones y agrupaciones de electores sólo podrán tratar opiniones políticas cuando estas hayan sido libremente expresadas por las personas en el ejercicio de su derecho a la libertad de expresión y a su libertad ideológica.

Por tanto, el art. 58 bis de la LOREG “no ampara aplicar tecnologías de big data o inteligencia artificial para inferir la ideología política de una persona, ya que esto supondría una vulneración de su derecho fundamental a no declarar su ideología”.

Fuentes de acceso público

En cuanto a la ausencia de definición en la Ley Orgánica 3/2018 de “fuentes de acceso público”, la Agencia considera que puede seguir aplicándose como criterio interpretativo la derogada LOPD 15/1999 pero, en cualquier caso, debe tratarse de webs y fuentes en las que la consulta la pueda realizar cualquier persona, lo que excluiría aquellas en las que el acceso está restringido a un círculo determinado, ya sea como “amigo” u otro concepto similar.

Necesidad de un tratamiento proporcional al fin perseguido

En lo relativo a la finalidad del tratamiento, la AEPD recoge en su informe que el tratamiento que se realice deberá ser “proporcional al objetivo perseguido” (artículo 9.2 g RGPD), lo que “no ampara tratamientos no proporcionales como el microtargeting”, ni tener por finalidad forzar o desviar la voluntad de los electores.

“Si bien el funcionamiento de un sistema democrático puede requerir la elaboración de perfiles generales, de modo que los partidos políticos puedan conocer las inquietudes políticas de la ciudadanía, incluso por categorías genéricas como la edad, sexo, población, etc., lo que no puede en ningún caso pretenderse es la realización de perfiles individuales o realizados atendiendo a categorías muy específicas que conculcarían los derechos fundamentales anteriormente citados”, añade.

En todo caso, esos tratamientos deben, además, cumplir con todos los principios recogidos en el artículo 5 del RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación de plazo de conservación; integridad y confidencialidad y responsabilidad proactiva.

Datos para el envío de propaganda electoral

En cuanto al “envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes” (artículo 58 bis LOREG), los datos que vayan a ser utilizados para el envío de propaganda electoral (números de teléfono, correo electrónico, etc.) deben haberse obtenido lícitamente, amparados en alguna de las bases del artículo 6 del RGPD. En todo caso, en los envíos que se realicen deberá constar su carácter electoral y facilitar el derecho de oposición por los destinatarios.

Garantías adecuadas para los tratamientos y necesidad de realizar evaluación de impacto

Finalmente, y dado que el artículo 58 bis no detalla las garantías aplicables a este tipo de tratamientos, la Agencia, en cumplimiento de las funciones de interpretación y aplicación de la normativa de protección de datos que le atribuyen los artículos 57 y 58 del RGPD, procede a identificar esas garantías, “sin perjuicio de otras que pueda exigir la Junta Electoral Central de cara a garantizar la transparencia del proceso electoral”.

  1. 1. Responsabilidad desde el diseño y por defecto. Los responsables deberán adoptar medidas técnicas y organizativas apropiadas, como la seudonimización e incluso la agregación y anonimización.
  2. 2. Designar un delegado de protección de datos.
  3. 3. Elaborar el registro de actividades de tratamiento, debiendo ser precisos y claros, conforme a los principios de lealtad y transparencia.
  4. 4. Realizar una evaluación de impacto relativa a la protección de datos, al realizar un tratamiento a gran escala de categorías especiales de datos.
  5. 5. Consultar a la AEPD antes de proceder al tratamiento cuando la evaluación de impacto muestre que el tratamiento entraña un alto riesgo. Si esa evaluación de impacto se realiza adecuadamente será obligatorio consultar a la AEPD, salvo que el responsable garantice que el riesgo puede mitigarse.
  6. 6. Adoptar medidas de seguridad, que deberán ser lo más rigurosas que permita el estado de la técnica, teniendo en cuenta que se trata de datos referentes a opiniones políticas cuyo tratamiento es excepcional y que suponen un importante riesgo para los derechos y libertades de las personas.
  7. 7. Cuando el tratamiento vaya a realizarlo un encargado del tratamiento, deberán seleccionar uno que ofrezca garantías suficientes y haber suscrito con él un contrato en el que deberá garantizarse que el encargado actuará sólo siguiendo instrucciones del responsable, debiendo contemplar dichas instrucciones las  garantías definidas por la Agencia.
  8. 8. Facilitar el ejercicio de los derechos de acceso, rectificación, supresión y oposición.
  9. 9. En el caso de que se pretenda obtener los datos de terceros (que no actúen como encargados del tratamiento) el responsable deberá comprobar que esos datos fueron obtenidos de manera lícita y cumpliendo con todos los requisitos del RGPD, especialmente que el tercero tenga una legitimación específica para obtener y tratar dichos datos y que haya informado expresamente a los afectados de la finalidad de cesión a los partidos políticos.
  10. 10. El responsable deberá cumplir con las garantías del artículo 22 del RGPD si se van a realizar decisiones automatizadas, incluida la elaboración de perfiles generales.

Obligación de informar de forma inteligible sobre los tratamientos

Además de estas garantías, la Agencia destaca que adquiere una especial relevancia la obligación de informar sobre dichos tratamientos “teniendo en cuenta que nos encontramos ante un supuesto excepcional de legitimación de los datos relativos a la ideología política de los ciudadanos”.

Ese deber de información deberá realizarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Del mismo modo, cuando el responsable pretenda obtener los datos de un tercero, deberá comprobar que este ha cumplido con su obligación de informar sobre los mismos extremos a los afectados.

Actividades de los partidos antes, durante y después del proceso electoral

El informe detalla que, con anterioridad al inicio del periodo electoral, los sujetos legitimados y que vayan a presentar candidatura podrán desarrollar las actuaciones necesarias para preparar los tratamientos que vayan a desarrollar en el periodo electoral, conforme a las obligaciones anteriormente señaladas, pero sin poder iniciarlos. En especial, las relativas al registro de actividades, evaluación de impacto, consulta previa, designación del delegado de protección de datos (si no lo hubiera designado con anterioridad) y la celebración, en su caso, del contrato de encargado del tratamiento.

En periodo electoral podrán iniciar el tratamiento, debiendo en primer lugar cumplir con su obligación de información y velar por el cumplimiento de la normativa de protección de datos.

Por último, finalizado el periodo electoral, deberán garantizar la supresión de los datos personales conforme a lo establecido en la ISO 27001:2013 y la Norma UNE- EN15713:2010, sin que en ningún caso puedan ser objeto de tratamiento ulterior por los partidos políticos ni por ninguna otra entidad.

Potestades de la Agencia

En cuanto a las potestades de la AEPD, para garantizar el cumplimiento de la normativa de protección de datos y sin perjuicio de las competencias que puedan corresponder a otros órganos −singularmente a la Junta Electoral Central, al Ministerio del Interior, al Tribunal de Cuentas y, en su caso, al Tribunal Constitucional−, esta podrá ejercer las funciones que le atribuye el artículo 57 del RGPD y los poderes de investigación, correctivos y de autorización y consultivos del artículo 58.

#NuevaLOPD 

Tras el RGPD la nueva LOPD. Libros, herramientas, formación o congresos… Wolters Kluwer pone a tu disposición todo lo que necesitas para cumplir con la nueva regulación de la protección de datos.

Llega a España el Primer Congreso de Delegados de Protección de Datos. Wolters Kluwer asume el reto de organizar el Primer Congreso Nacional de Delegados de Protección de Datos. Un congreso de DPO para DPOs. Accede en este enlace a toda la información


Te recomendamos


Actividad en Facebook