La Agencia Española de Protección de Datos (AEPD) ha elaborado un informe que analiza el tratamiento de datos por parte de los partidos, tras los cambios realizados en las regulaciones en materia de protección de datos y del régimen electoral general (LOREG).
La llegada de las nuevas tecnologías y técnicas como el Big Data han supuesto cambios en muchos ámbitos. Alguno de ellos afecta al tratamiento de datos referentes a las opiniones públicas de las personas sobre sus opiniones e ideologías políticas. ¿Qué es legítimo? ¿Dónde están los límites?
Para dar respuesta a algunos de estos interrogantes y sobre todo para velar por los derechos en materia de protección de datos, la AEPD elabora este informe, disponible en este enlace: Informe tratamiento datos opiniones políticas por partidos políticos.
En el citado informe, la Agencia señala que solo podrán tratar opiniones políticas cuando estas hayan sido libremente expresadas por las personas en el ejercicio de su derecho a la libertad de expresión y a su libertad ideológica, y se hayan expresado de manera pública.
Establece que en ningún caso se podrán aplicar o usar tecnologías como el big data, la inteligencia artificial, el micro-targeting en los procesos electorales, que pueden llevar a la manipulación de las personas mediante la realización de perfilados exhaustivos y el fenómeno de las “fake-news” o “desinformación online”. Como ya ha ocurrido en el escándalo de Cambridge Analytica.
Artículo 58 bis de la LOREG
Para evitar que estos hechos ocurran y la información se utilice para fines ilegítimos. El legislador español ha modificado el artículo 58 bis de la LOREG con el fin de regular específicamente la recopilación y tratamiento de opiniones políticas por los partidos políticos así como el envío de propaganda electoral.
Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.
1. Conforme a lo establecido en el Considerando 56 del Reglamento (UE) 2016/679, se considera de interés público la recopilación y tratamiento de datos personales sobre las opiniones políticas de las personas que realicen los partidos políticos en el marco de sus actividades electorales únicamente cuando se ofrezcan garantías adecuadas.
2. Cuando la difusión de propaganda electoral en redes sociales o medios equivalentes se base en la elaboración sistemática y exhaustiva de perfiles electorales de personas físicas, deberá realizarse una previa evaluación de impacto relativa a la protección de datos personales en los términos previstos en el artículo 35 del Reglamento (UE) 2016/679. Dicha difusión no podrá realizarse cuando se identifique un alto riesgo para los derechos y libertades de las personas y no se adopten las medidas necesarias para impedirlo. Quedan prohibidas las actividades de propaganda electoral basadas en la elaboración de perfiles electorales en redes sociales o equivalentes cuando no se informe a sus destinatarios sobre su finalidad, la identidad del responsable o la entidad contratada para su realización y los criterios de selección.
3. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
4. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
5. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
6. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.
Garantías para el tratamiento de datos
Como leemos en el apartado 1 de este artículo 58 bis señala que se podrán tratar cuando cuando se ofrezcan garantías adecuadas. La Agencia en su informe establece en qué consisten estas garantías.
1. Responsabilidad desde el diseño y por defecto. Los responsables deberán adoptar medidas técnicas y organizativas apropiadas, como la seudonimización e incluso la agregación y anonimización.
2. Designar un delegado de protección de datos.
3. Elaborar el registro de actividades de tratamiento, debiendo ser precisos y claros, conforme a los principios de lealtad y transparencia.
4. Realizar una evaluación de impacto relativa a la protección de datos, al realizar un tratamiento a gran escala de categorías especiales de datos.
5. Consultar a la AEPD antes de proceder al tratamiento cuando la evaluación de impacto muestre que el tratamiento entraña un alto riesgo. Si esa evaluación de impacto se realiza adecuadamente será obligatorio consultar a la AEPD, salvo que el responsable garantice que el riesgo puede mitigarse.
6. Adoptar medidas de seguridad, que deberán ser lo más rigurosas que permita el estado de la técnica, teniendo en cuenta que se trata de datos referentes a opiniones políticas cuyo tratamiento es excepcional y que suponen un importante riesgo para los derechos y libertades de las personas.
7. Cuando el tratamiento vaya a realizarlo un encargado del tratamiento, deberán seleccionar uno que ofrezca garantías suficientes y haber suscrito con él un contrato en el que deberá garantizarse que el encargado actuará sólo siguiendo instrucciones del responsable, debiendo contemplar dichas instrucciones las garantías definidas por la Agencia.
8. Facilitar el ejercicio de los derechos de acceso, rectificación, supresión y oposición.
9. En el caso de que se pretenda obtener los datos de terceros (que no actúen como encargados del tratamiento) el responsable deberá comprobar que esos datos fueron obtenidos de manera lícita y cumpliendo con todos los requisitos del RGPD, especialmente que el tercero tenga una legitimación específica para obtener y tratar dichos datos y que haya informado expresamente a los afectados de la finalidad de cesión a los partidos políticos.
10. El responsable deberá cumplir con las garantías del artículo 22 del RGPD si se van a realizar decisiones automatizadas, incluida la elaboración de perfiles generales.
En su informe la AEPD establece que los partidos deben informar sobre el tratamiento de estos datos. Esta información debe ser concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Del mismo modo, cuando el responsable pretenda obtener los datos de un tercero, deberá comprobar que este ha cumplido con su obligación de informar sobre los mismos extremos a los afectados.
El documento también establece una serie de parámetros que deben cumplirse en los periodos previos a las elecciones, en el periodo electoral y una vez terminadas las elecciones.