jueves, 20 de diciembre de 2018

Análisis y concreción artículo 58 BIS de la LOREG

En el texto Goebbels 2.0 expresaba mi disconformidad con el artículo 58 BIS de la  Ley Orgánica 5/1985 del Régimen Electoral General (LOREG) de mi país, añadido a través de la Disposición Final tercera de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (publicación que ya te avancé en Ley Orgánica 3/2018), que modifica la LOREG. Pues bien, la Agencia Española de Protección de Datos (AEPD) publicó ayer un informe (que ya te adelanté en el sitio Protección de Datos), emitido por su Gabinete Jurídico (GJ), en el que analiza el tratamiento de datos personales en relación con la Disposición final tercera referenciada. El informe recoge que el art. 58.BIS no ampara aplicar tecnologías de big data o inteligencia artificial para inferir la ideología política de una persona, ya que esto supondría una vulneración de su derecho fundamental a no declarar su ideología.

El GJ de la AEPD considera que la modificación de la LOREG, que aborda el tratamiento de datos relativos a opiniones políticas por los partidos, debe ser objeto de una interpretación restrictiva, en primer lugar, porque se trata de una excepción a la regla general recogida en el artículo 9 del RGPD y en el 9.1 de la LOPD, que prohíbe el tratamiento de categorías especiales de datos personales −entre las que se encuentran las opiniones políticas−. Además, porque el artículo 58 bis debe ser interpretado conforme a lo establecido en la Constitución Española (CE), de modo que no conculque derechos fundamentales como la protección de datos, el derecho a la libertad ideológica, la libertad de expresión e información o el derecho a la participación política. En cuanto a la ausencia de definición en la LO 3/2018 de “fuentes de acceso público”, la AEPD considera que puede seguir aplicándose como criterio interpretativo la derogada LOPD pero debe tratarse de webs y fuentes en las que la consulta la pueda realizar cualquier persona, lo que excluiría aquellas en las que el acceso está restringido a un círculo determinado, ya sea como “amigo” u otro concepto similar. 

En lo relativo a la finalidad del tratamiento, el GJ recoge en su informe que el tratamiento que se realice deberá ser “proporcional al objetivo perseguido” (artículo 9.2 g RGPD), lo que no ampara tratamientos no proporcionales como el microtargeting, ni tener por finalidad forzar o desviar la voluntad de los electores. “Si bien el funcionamiento de un sistema democrático puede requerir la elaboración de perfiles generales, de modo que los partidos políticos puedan conocer las inquietudes políticas de la ciudadanía, incluso por categorías genéricas como la edad, sexo, población, etc., lo que no puede en ningún caso pretenderse es la realización de perfiles individuales o realizados atendiendo a categorías muy específicas que conculcarían los derechos fundamentales anteriormente citados”, añade. En todo caso, esos tratamientos deben, además, cumplir con todos los principios recogidos en el artículo 5 del RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación de plazo de conservación; integridad y confidencialidad y responsabilidad proactiva.

En cuanto al “envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes” (artículo 58 bis LOREG), el GJ entiende que los datos que vayan a ser utilizados para el envío de propaganda electoral (números de teléfono, correo electrónico, etc.) deben haberse obtenido lícitamente, amparados en alguna de las bases del artículo 6 del RGPD. En todo caso, en los envíos que se realicen deberá constar su carácter electoral y facilitar el derecho de oposición por los destinatarios. Por otra parte, el texto del artículo 58 bis no detalla las garantías aplicables a este tipo de tratamientos. Por ello, la Agencia, en cumplimiento de las funciones de interpretación y aplicación de la normativa de protección de datos que le atribuyen los artículos 57 y 58 del RGPD, debe identificar esas garantías, sin perjuicio de otras que pueda exigir la Junta Electoral Central de cara a garantizar la transparencia del proceso electoral[1].

Además de esas garantías, para el GJ adquiere una especial relevancia la obligación de informar sobre dichos tratamientos “teniendo en cuenta que nos encontramos ante un supuesto excepcional de legitimación de los datos relativos a la ideología política de los ciudadanos”. Ese deber de información deberá realizarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Del mismo modo, cuando el responsable pretenda obtener los datos de un tercero, deberá comprobar que este ha cumplido con su obligación de informar sobre los mismos extremos a los afectados. El informe detalla que, con anterioridad al inicio del periodo electoral, los sujetos legitimados y que vayan a presentar candidatura podrán desarrollar las actuaciones necesarias para preparar los tratamientos que vayan a desarrollar en el periodo electoral, conforme a las obligaciones anteriormente señaladas, pero sin poder iniciarlos. En especial, las relativas al registro de actividades, evaluación de impacto, consulta previa, designación del delegado de protección de datos (si no lo hubiera designado con anterioridad) y la celebración, en su caso, del contrato de encargado del tratamiento.

Finalmente, entiende el GJ que en periodo electoral podrán iniciar el tratamiento, debiendo cumplir con su obligación de información y velar por el cumplimiento de la normativa de protección de datos. Finalizado el periodo electoral, deberán garantizar la supresión de los datos personales conforme a lo establecido en la ISO 27001:2013 y la Norma UNE- EN15713:2010, sin que en ningún caso puedan ser objeto de tratamiento ulterior por los partidos políticos ni por ninguna otra entidad. En cuanto a las potestades de la AEPD, para garantizar el cumplimiento de la normativa de protección de datos y sin perjuicio de las competencias que puedan corresponder a otros órganos −singularmente a la Junta Electoral Central, al Ministerio del Interior, al Tribunal de Cuentas y, en su caso, al Tribunal Constitucional−, esta podrá ejercer las funciones que le atribuye el artículo 57 del RGPD y los poderes de investigación, correctivos y de autorización y consultivos del artículo 58.  Fuente de la información: AEPD. Fuente de la imagen: pixabay.
___________________________________
[1] Garantías adecuadas. 1. Responsabilidad desde el diseño y por defecto. Los responsables deberán adoptar medidas técnicas y organizativas apropiadas, como la seudonimización e incluso la agregación y anonimización. 2. Designar un delegado de protección de datos. 3. Elaborar el registro de actividades de tratamiento, debiendo ser precisos y claros, conforme a los principios de lealtad y transparencia. 4. Realizar una evaluación de impacto relativa a la protección de datos, al realizar un tratamiento a gran escala de categorías especiales de datos. 5. Consultar a la AEPD antes de proceder al tratamiento cuando la evaluación de impacto muestre que el tratamiento entraña un alto riesgo. Si esa evaluación de impacto se realiza adecuadamente será obligatorio consultar a la AEPD, salvo que el responsable garantice que el riesgo puede mitigarse. 6. Adoptar medidas de seguridad, que deberán ser lo más rigurosas que permita el estado de la técnica, teniendo en cuenta que se trata de datos referentes a opiniones políticas cuyo tratamiento es excepcional y que suponen un importante riesgo para los derechos y libertades de las personas. 7. Cuando el tratamiento vaya a realizarlo un encargado del tratamiento, deberán seleccionar uno que ofrezca garantías suficientes y haber suscrito con él un contrato en el que deberá garantizarse que el encargado actuará sólo siguiendo instrucciones del responsable, debiendo contemplar dichas instrucciones las garantías definidas por la Agencia. 8. Facilitar el ejercicio de los derechos de acceso, rectificación, supresión y oposición. 9. En el caso de que se pretenda obtener los datos de terceros (que no actúen como encargados del tratamiento) el responsable deberá comprobar que esos datos fueron obtenidos de manera lícita y cumpliendo con todos los requisitos del RGPD, especialmente que el tercero tenga una legitimación específica para obtener y tratar dichos datos y que haya informado expresamente a los afectados de la finalidad de cesión a los partidos políticos. 10. El responsable deberá cumplir con las garantías del artículo 22 del RGPD si se van a realizar decisiones automatizadas, incluida la elaboración de perfiles generales.