Régimen electoral y protección de datos
¿Cuál es finalmente el tratamiento que la nueva Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (LOPD) da a nuestros datos y las opiniones que dejamos en las redes sociales y cómo nos va a afectar en el futuro?
Debemos empezar por decir que la Disposición Final Tercera de la nueva LOPD, mediante la que se modifica la Ley Orgánica 5/1985 de 19 de junio del Régimen Electoral, no es un cambio de última hora, sino que ya se arrastra su proposición como enmienda nº 331 a iniciativa del PSOE desde el 18 de abril de 2018 fecha en que se publicó en el Boletín Oficial de las Cortes Generales.
El PSOE, propuso la modificación de dos artículos de la Ley de Régimen Electoral: el 39 apartado 3 y añadir un nuevo artículo 58.bis y motivó su enmienda en
“Adecuar el reglamento a las especificidades nacionales y establecer salvaguardas para impedir casos como el que vincula a Cambridge Analytica con el uso ilícito de datos de 50 millones de usuarios de Facebook para mercadotecnia electoral.”
Ley Orgánica de Protección de Datos
Ley Orgánica del Régimen electoral general
La nueva LOPD -ya desde el Proyecto de Ley que se publicó el 24 de noviembre de 2017- excluye de su ámbito de aplicación los tratamientos realizados al amparo de la legislación orgánica del régimen electoral general, por entender que afectan a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea.
Dicho esto, no parece que el Considerando 56 del RGPD europeo excluya de su ámbito de aplicación las actividades electorales de los partidos políticos cuando dice:
(56) Si en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un estado miembro que los partidos políticos recopilen datos personales sobre opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.
Sacando del ámbito de aplicación de la LOPD los tratamientos realizados en virtud de la legislación orgánica de régimen electoral, los mismos quedan sometidos a su propia regulación, si la hubiere y, supletoriamente, por lo establecido en la LOPD.
Postura de la Agencia Española de Protección de Datos
A raíz de las informaciones aparecidas en los medios de comunicación en relación con este asunto, la Agencia Española de Protección de Datos ha emitido en fecha 21 de noviembre de 2018 una “nota de prensa” -lo que no es una Circular- donde pone de manifiesto que la Enmienda nº 331 ha sido modificada respecto a la propuesta inicial, y parece que debe entenderse -según indica- que para mejorar las salvaguardas e impedir casos como el de Cambridge Analytica y el uso ilícito de datos de usuarios de Facebook.
Dice la Agencia Española de Protección de Datos que
- El texto del Proyecto no permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas pues se ha suprimido la palabra tratamiento de la enmienda nº 331 propuesta por el PSOE.
Debemos recordar que la propuesta del PSOE decía:
«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.
- Conforme a lo establecido en el Considerando 56 del Reglamento (UE) 2016/679, se considera de interés público la recopilación y tratamiento de datos personales sobre las opiniones políticas de las personas que realicen los partidos políticos en el marco de sus actividades electorales únicamente cuando se ofrezcan garantías adecuadas.
El texto ha quedado finalmente como sigue:
«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.
1.La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
Sin referencia al Considerando 56 del Reglamento (UE) 2016/679
Se ha eliminado no sólo la palabra TRATAMIENTO, sino, lo que es más grave, toda referencia al Considerando 56 del Reglamento (UE) 2016/679 y creo que es importante la matización, pues el considerando 56 preveía que el tratamiento se pudiera o no autorizar, dependiendo de las garantías adecuadas que se tomaran.
Desde aquí nos preguntamos ¿acaso no es tratamiento de datos la recopilación de estos?
Eliminar la palabra tratamiento no supone eliminar el tratamiento, si no… ¿para qué se hace recopilación?
Señala el artículo 2 del RGPD cuando define “tratamiento” que éste es:
(…) cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
Quizás nos tendrá que ilustrar la Agencia Española si los términos “recogida” y “recopilación” son, a estos efectos, sinónimos.
El peligro para la ciudadanía
Desde mi punto de vista este es el gran peligro al que la ciudadanía se enfrenta: que los partidos políticos actúen fuera del RGPD sin la tutela de los interesados, de la AEPD y de la Autoridad de Control Europea pues, al menos en teoría, los partidos no estarían tratando datos, según la L.O. de Régimen Electoral.
Continúa diciendo la Agencia Española:
- No se permite el envío de información personalizada basada en perfiles ideológicos pues se ha suprimido el apartado 2 de dicha enmienda, que permitía la difusión de propaganda electoral basada en perfiles ideológicos con determinadas garantías.
- El texto permite el envío de propaganda electoral sin que pueda basarse en los perfiles antes citados (perfiles basados en opiniones políticas).
El apartado 2 suprimido de la enmienda 331 del PSOE decía:
“Cuando la difusión de propaganda electoral en redes sociales o medios equivalentes se base en la elaboración sistemática y exhaustiva de perfiles electorales de personas físicas, deberá realizarse una previa evaluación de impacto relativa a la protección de datos personales en los términos previstos en el artículo 35 del Reglamento (UE) 2016/679. Dicha difusión no podrá realizarse cuando se identifique un alto riesgo para los derechos y libertades de las personas y no se adopten las medidas necesarias para impedirlo. Quedan prohibidas las actividades de propaganda electoral basadas en la elaboración de perfiles electorales en redes sociales o equivalentes cuando no se informe a sus destinatarios sobre su finalidad, la identidad del responsable o la entidad contratada para su realización y los criterios de selección»
Sin garantías de información a los interesados
Quedando el resto del articulo 58.bis, después de la supresión, con la siguiente redacción:
- Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
- El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
- Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
- Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.
Suprimiendo el apartado dos pudiera entenderse que se suprime la posibilidad de envío de información personalizada basada en perfiles ideológicos, pero realmente también se suprime la obligación de realizar una evaluación de impacto, y las garantías de información a los interesados en el envío de propaganda electoral.
El nuevo apartado 2 (antes 3), permite a los partidos políticos, coaliciones y agrupaciones electorales utilizar datos personales relativos a opiniones políticas obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
Si la norma específica (Ley Orgánica del Régimen Electoral) prevalece sobre la general (LOPD y GDD), cabe preguntarse ¿dónde queda la obligatoriedad de realizar una EVALUACION DE IMPACTO y la autorización de la AEPD, en caso de alto riego para los derechos y libertades de los interesados?
El derecho de oposición
En nuestra opinión, la nueva LOPD no debería haber excluido esta materia de su ámbito de aplicación pues precisamente es desde el Reglamento europeo de protección de datos desde donde mejor se puede garantizar que se van a establecer las salvaguardas necesarias para impedir casos como el que vincula Cambridge Analytica con el uso ilícito de datos de 50 millones de usuarios de Facebook para mercadotecnia electoral.
Finalmente nos preguntamos: ¿Será la AEPD competente para valorar si las garantías son adecuadas, si no hay tratamiento de datos, según se afirma?
Siempre nos quedará el derecho de oposición… pero hay un mes para su resolución.
Olga Guidotti
Consultar perfil