Con la entrada en vigor de la último cambio de la Ley Electoral (LOREG) que habilita a los partidos políticos para que rastreen opiniones de los ciudadanos en la red y recaben datos de contacto para propaganda electoral.
El próximo 28 de abril se celebran las elecciones generales, mientras que el 26 de mayo tendrán lugar las europeas, las autonómicas (menos Andalucía, Cataluña, País Vasco, Comunidad Valenciana y Galicia) y municipales.
Esta habilitación legal para rastrear datos personales y opiniones políticas de los ciudadanos, que en otros lugares del mundo ha sido motivo de escándalo, está consagrada en el artículo 58 bis de la LOREG, introducido a través de la disposición final tercera de la nueva Ley Orgánica de Protección de Datos (LOPD), una normativa que obtuvo durante su tramitación un sorprendente consenso entre las fuerzas parlamentarias.
La Agencia Española de Protección de Datos (AEPD) delimitará qué es lo que pueden hacer —y lo que no pueden hacer— las formaciones políticas con los datos de los ciudadanos en materia de protección de datos.
El texto final, que se publica previsiblemente esta semana en el BOE, recoge aportaciones de los inspectores de la AEPD y de otras entidades y organismos, y mantiene las restricciones del borrador, que se remite al Reglamento General de Protección de Datos europeo, de aplicación directa.
Mientras tanto, el Defensor del Pueblo ha interpuesto recientemente un recurso de inconstitucionalidad contra ese precepto, dado que entiende que tal y como está redactado puede conculcar el principio de seguridad jurídica, el derecho a la libertad ideológica, el derecho a la protección de datos personales y el derecho a la participación política, entre otros derechos.
Os dejamos un resumen de las opciones que se plantean desde la AEPD.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que entró en vigor el pasado 7 de diciembre, ha modificado la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General en su disposición final tercera que se transcribe a continuación:
Disposición final tercera. Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.
Se modifica la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General que queda redactada como sigue:
Uno. El apartado 3 del artículo treinta y nueve queda redactado como sigue:
«3. Dentro del plazo anterior, cualquier persona podrá formular reclamación dirigida a la Delegación Provincial de la Oficina del Censo Electoral sobre sus datos censales, si bien solo podrán ser tenidas en cuenta las que se refieran a la rectificación de errores en los datos personales, a los cambios de domicilio dentro de una misma circunscripción o a la no inclusión del reclamante en ninguna Sección del Censo de la circunscripción pese a tener derecho a ello. También serán atendidas las solicitudes de los electores que se opongan a su inclusión en las copias del censo electoral que se faciliten a los representantes de las candidaturas para realizar envíos postales de propaganda electoral. No serán tenidas en cuenta para la elección convocada las que reflejen un cambio de residencia de una circunscripción a otra, realizado con posterioridad a la fecha de cierre del censo para cada elección, debiendo ejercer su derecho en la sección correspondiente a su domicilio anterior.»
Dos. Se añade un nuevo artículo cincuenta y ocho bis, con el contenido siguiente:
«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.
1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público
únicamente cuando se ofrezcan garantías adecuadas.
2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.».
Sin perjuicio de otras garantías que, de cara a garantizar la transparencia del proceso electoral, pueda exigir la Junta Electoral Central, atendiendo a la protección de datos personales y como recoge el Considerando 56 y el artículo 58 bis, el tratamiento sólo podrá realizarse, concurriendo los requisitos anteriores “siempre que se ofrezcan garantías
adecuadas”. Dichas garantías adecuadas y “específicas para proteger los intereses y derechos fundamentales del interesado” derivan de la propia aplicación de la normativa sobre protección de datos de carácter personal a la
que en todo caso quedan sujetos estos tratamientos, reforzadas por la importancia de los datos personales que son objeto del mismo.
Por ello, hubiera sido conveniente que las mismas se establecieran en el texto del propio artículo 58 bis, haciendo uso de la habilitación contenida en el artículo 6.2 y 3 del RGPD, entre las que se podrían haber incluido la relativas a:
“condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los
fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido”. Asimismo, dicha ley podría haber establecido la obligación de consultar a la autoridad de control y de recabar su autorización previa en relación con el tratamiento por un responsable en el ejercicio de una misión
realizada en interés público, conforme al artículo 36.5 del RGPD.
Al no haberse establecido por el legislador, las garantías adecuadas deben identificarse por esta Agencia Española de Protección de Datos, en cumplimiento de las funciones de interpretación y aplicación de la normativa de protección de datos que el atribuyen los artículos 57 y 58 del RGPD:
1º) Responsabilidad desde el diseño y por defecto (artículo 25 RGPD):
Deberán adoptarse, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, e incluso la agregación y anonimización, que adquieren gran importancia dada la naturaleza de los datos objeto del tratamiento y la finalidad del mismo. Además deberá garantizarse que, por defecto, solo sean objeto de tratamiento los datos personales que
sean necesarios para cada uno de los fines específicos del tratamiento y que no serán accesibles, sin intervención de la persona, a un número indeterminado de personas.
2º) Es obligatorio designar a un delegado de protección de datos (artículo 37.1.c RGPD) al realizarse un tratamiento a gran escala de categorías especiales de datos personales.
3º) Llevanza de un registro de las actividades de tratamiento con el contenido señalado en el artículo 30 del RGPD, debiendo ser precisos y claros, conforme a los principios de lealtad y transparencia, en los fines del tratamiento
y las categorías de interesados y de datos personales objeto de tratamiento. La llevanza de dicho registro resultará en todo caso obligatoria al incluir categorías especiales de datos personales del artículo 9 (artículo 30.5).
4º) Deberán realizar una evaluación de impacto relativa a la protección de datos al realizarse un tratamiento a gran escala de las categorías especiales de datos (artículo 35.3 RGPD). Conforme a lo previsto en el apartado 4 del
artículo 35, la Agencia Española de Protección de Datos deberá incluir estos tratamientos en la lista de los tipos de operaciones de tratamiento que requieren dicha evaluación de impacto, sin perjuicio de que su obligatoriedad
derive directamente de lo previsto en el citado artículo 35.3.
5º) Deberá consultar a la AEPD antes de proceder al tratamiento cuando la evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo (artículo 36). Teniendo en
cuenta la naturaleza de los datos tratados y la finalidad de los mismos, si se realiza adecuadamente dicha evaluación de impacto será obligatorio consultar a la AEPD, salvo que el responsable sea capaz de garantizar que el riesgo
puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación (Considerando 94 del RGPD).
6º) Adopción de medidas de seguridad necesarias conforme a lo previsto en el artículo 32 del RGPD, que deberán ser lo más rigurosas que permita el estado de la técnica teniendo en cuenta que se están tratando datos referentes
a las opiniones políticas cuyo tratamiento es excepcional y que suponen un importante riesgo para los derechos y libertades de las personas físicas.
7º) Cuando el tratamiento se vaya a realizar por un encargado del tratamiento, deberá seleccionarse uno que ofrezca garantías suficientes y haberse suscrito un contrato con el contenido del artículo 28 RGPD, en el que deberá quedar plenamente garantizado que el encargado actuará solo siguiendo instrucciones del responsable, debiendo dichas instrucciones contemplar todas las garantías adecuadas a las que se hace referencia en el presente escrito.
8º) Facilitación del ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición. Respecto este último, conforme al apartado 5 del artículo 58 bis LOREG, deberá facilitarse de un modo sencillo y gratuito.
9º) En el caso de que se pretenda obtener los datos de terceros (que no actúen como encargados del tratamiento) el responsable deberá comprobar que dichos datos fueron obtenidos de manera lícita y cumpliendo con todos los
requisitos del RGPD, especialmente que el tercero tiene una legitimación específica para obtener y tratar dichos datos y que ha informado expresamente a los afectados de la finalidad de cesión a los partidos políticos, cumpliendo de
este modo con el principio general de responsabilidad proactiva consagrado en el artículo 5.2 del RGPD, y singularmente para actuar conforme a lo previsto en sus artículos 24 y 25. En otro caso nos encontraríamos ante un desvío ilícito de finalidad y cesión ilegal de datos.
10º) El responsable deberá cumplir con las garantías del artículo 22 del RGPD si van a ser objeto de decisiones automatizadas, incluida la elaboración de perfiles, siempre que el tipo de tratamiento que prevea, por sus características y teniendo en cuenta de nuevo la naturaleza de los datos tratados, pueda afectar significativamente a los ciudadanos.
En todo caso, además de las garantías anteriormente señaladas, teniendo en cuenta que nos encontramos ante un supuesto excepcional de legitimación de los datos relativos a la ideología política de los ciudadanos y que se justifica por razones de interés público, su incidencia en los derechos fundamentales y libertades públicas así como ese mismo interés público tendente a facilitar el funcionamiento de un sistema democrático en el que los gobernantes son libremente elegidos por sufragio universal, adquiere especial relevancia la obligación de informar a los ciudadanos sobre dichos tratamientos.
Dicho deber de información, que deberá realizarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo (artículo 12 del RGPD), deberá ajustarse a lo previsto en los artículos 13 y 14 del mismo, pudiendo realizarse “por capas” conforme al artículo 11 de la LOPD, adquiriendo especial relevancia la información sobre la finalidad del tratamiento así como las categorías de datos objeto de tratamiento y las fuentes de las que
procedieran los datos cuando no se hayan obtenido directamente del afectado, así como la posibilidad de ejercer sus derechos.
En este caso, cuando se considere que la comunicación de dicha información resulta imposible o suponga un esfuerzo desproporcionado, deberá facilitarse en forma electrónica en el sitio web del responsable (Considerando
58 del RGPD).
Del mismo modo, cuando el responsable pretenda obtener los datos de un tercero, deberá comprobar que dicho tercero ha cumplido con su obligación de informar sobre los mismos extremos a los afectados, al menos de forma
electrónica según lo indicado.
En relación con dichas garantías y su aplicación al momento temporal concreto en el que está autorizado el tratamiento, se puede destacar lo siguiente:
a) Antes del comienzo del periodo electoral: En esta fase los sujetos legitimados (especialmente los partidos políticos que están dotados de una estructura permanente, a diferencia de las agrupaciones de electores que se constituyen ad hoc) y que vayan a presentar las correspondientes candidaturas podrán desarrollar las actuaciones necesarias para preparar los tratamientos que vayan a desarrollar en el periodo electoral, conforme a las obligaciones anteriormente señaladas, pero sin poder iniciar los tratamientos. En especial, las relativas al registro de actividades, evaluación de impacto, consulta previa, designación del delegado de protección de datos (si no lo hubiera designado
con anterioridad) y la celebración, en su caso, del contrato de encargado del tratamiento.
b) Durante el periodo electoral: Podrá iniciar el tratamiento, debiendo en primer lugar cumplir con su obligación de información y velar por el cumplimiento de la normativa de protección de datos.
c) Terminado el periodo electoral. Deberá garantizarse la supresión de los datos personales conforme a lo establecido en la ISO 27001:2013 “Seguridad de la información” y la Norma UNE- EN15713:2010 “Destrucción del Material Confidencial. Código de Buenas Prácticas”, procediéndose mientras tanto al bloqueo de los mismos cuando proceda de conformidad con el artículo 32 de la LOPD.
En cuanto al envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes.
El apartado 3 del artículo 58 bis se refiere al envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes, para destacar que no tendrán la consideración de actividad o comunicación comercial.
De este modo se recoge el criterio que ha venido manteniendo la AEPD respecto a la naturaleza no comercial, lo que excluye la aplicación del artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, que supedita su envío a la previa solicitud o expresa autorización del destinatario de las mismas.
No obstante, el citado precepto no exime de que los datos que vayan a ser utilizados el envío de propaganda electoral (números de teléfono, correo electrónico, etc.) hayan sido obtenidos lícitamente, amparados en alguna de las bases jurídicas del artículo 6 del RGPD.
En todo caso, en los envíos que se realicen deberá constar su carácter electoral y facilitar el derecho de oposición por los destinatarios.
Por otro lado, en cuanto a la contratación de propaganda electoral, el precepto se refiere a las redes sociales y medios equivalentes, de manera similar al artículo 94 de la Ley Orgánica 3/2018, que se refiere a redes sociales y servicios de la sociedad de la información equivalentes.
Sin embargo, el citado precepto no define esos “medios equivalentes”, si bien interpretando sistemáticamente dicho precepto junto con el artículo 94 citado puede acudirse a la definición de servicios de la sociedad de la información que se contiene en el Anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico y que se ajusta a los criterios recogidos en las Directivas 98/34/CE, 98/48/CE, 2002/58/CE y más recientemente en la Directiva (UE) 2015/1535: «Servicios de la sociedad de la información» o «servicios»: todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.
El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.”
No obstante, y dada la importancia que tiene la correcta identificación de dichos medios a efectos de la aplicación de la normativa sobre propaganda electoral contenida en la LOREG, especialmente en relación con los gastos electorales, deberían concretarse los mismos por las autoridades competentes.
Por último, en cuanto a las potestades de la Agencia Española de Protección de Datos, sin perjuicio de las competencias que puedan corresponder a otros órganos, singularmente a la Junta Electoral Central, al Tribunal de Cuentas, al Ministerio del Interior y, en su caso, al Tribunal Constitucional, y con el fin de garantizar el cumplimiento de la normativa de protección de datos de carácter personal, la AEPD podrá ejercer las funciones que le atribuye el artículo 57 del RGPD y los poderes de investigación, correctivos y de autorización y consultivos del artículo 58.
Singularmente, la AEPD podrá adoptar, entre otras medidas las siguientes:
a) Aprobar una instrucción con eficacia “ad extra”, conforme a lo dispuesto por el Tribunal Supremo en su sentencia de 16 de febrero de 2007 o, en su caso, una circular al amparo de lo previsto en el artículo 55 de la LOPDGDD, en la que se recojan las garantías adecuadas a las que deben sujetarse los tratamientos previstos en el artículo 58.bis LOREG.
b) Ejercer sus poderes de investigación y correctivos, que podrán incluir todo tipo de medidas sancionadoras y correctivas del artículo 58 del RGPD al no ser de aplicación a los partidos políticos el régimen contemplado en el artículo 77 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales. Asimismo,
podrá ejercer dichos poderes frente a los encargados del tratamiento.
