Lo importante no es el spam electoral, son los datos

Spam electoral y datos personales: el problema no es la propaganda, son tus datos

Cada vez que se acercan unas elecciones en España, millones de ciudadanos reciben propaganda electoral en sus buzones físicos, en sus correos electrónicos y, cada vez más, en sus teléfonos móviles y redes sociales. La mayoría lo percibe como una molestia menor, un ruido de fondo propio del periodo electoral. Sin embargo, lo verdaderamente preocupante no es el spam electoral en sí mismo, sino el tratamiento masivo de datos personales que hay detrás de cada envío, de cada segmentación y de cada mensaje personalizado que un partido político decide hacerte llegar.

Este artículo analiza en profundidad cómo la legislación española ha regulado (y desregulado) el uso de datos personales por los partidos políticos, qué dijo el Tribunal Constitucional en su histórica sentencia STC 76/2019, qué papel jugó el escándalo de Cambridge Analytica en el debate europeo, y qué derechos concretos tienes como ciudadano frente al uso de tus datos con fines electorales.

El contexto: Cambridge Analytica y el despertar europeo

Para entender la reforma legislativa española de 2018, es imprescindible situar el contexto internacional. En marzo de 2018, The New York Times y The Observer revelaron que la consultora Cambridge Analytica había accedido indebidamente a los datos de hasta 87 millones de usuarios de Facebook para construir perfiles psicológicos detallados y utilizarlos en campañas electorales, incluyendo la campaña presidencial de Donald Trump en 2016 y el referéndum del Brexit.

El escándalo puso de manifiesto que el microtargeting electoral —la capacidad de enviar mensajes políticos personalizados a votantes individuales basándose en sus perfiles psicológicos e ideológicos— no era ciencia ficción, sino una práctica real y sofisticada.

La respuesta europea fue contundente. El Reglamento General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2018, ya contemplaba restricciones significativas al tratamiento de datos con fines de perfilado, y las autoridades de protección de datos de varios países europeos iniciaron investigaciones sobre el uso de datos en campañas políticas.

En este contexto de alarma generalizada, España tomó una decisión legislativa que caminaba, paradójicamente, en la dirección contraria.

La LOPD de 2018 y el polémico artículo 58 bis LOREG

El 5 de diciembre de 2018, el Congreso de los Diputados aprobó la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD). Esta ley tenía como objetivo principal adaptar el ordenamiento jurídico español al RGPD europeo, que llevaba seis meses en vigor. Sin embargo, incluía una disposición que nada tenía que ver con la adaptación al reglamento europeo y que pasó relativamente desapercibida durante la tramitación parlamentaria.

La disposición final tercera de la LOPDGDD modificó la Ley Orgánica del Régimen Electoral General (LOREG) para introducir un nuevo artículo 58 bis, titulado «Utilización de medios tecnológicos y datos personales en las actividades electorales». Este artículo contenía tres apartados especialmente controvertidos:

Apartado 1: recopilación de datos de páginas web y redes sociales

El primer apartado del artículo 58 bis establecía que los partidos políticos podían «recopilar datos personales relativos a las opiniones políticas de las personas» en el marco de sus actividades electorales, invocando el «interés público» como base jurídica. El ámbito de recopilación incluía expresamente «páginas web y otras fuentes de acceso público», lo que autorizaba el rastreo sistemático de redes sociales, foros y blogs para almacenar opiniones políticas de los ciudadanos en bases de datos partidistas.

Apartado 2: propaganda electoral personalizada por medios tecnológicos

El segundo apartado autorizaba a los partidos a utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para enviar propaganda electoral por medios electrónicos o sistemas de mensajería, siempre que se incorporasen «garantías adecuadas». La ley no precisaba en qué consistían esas garantías, delegando su determinación en la Agencia Española de Protección de Datos (AEPD).

Apartado 3: perfil ideológico del votante

El tercer apartado era el más inquietante: permitía a los partidos políticos la elaboración de perfiles ideológicos de los votantes a partir de datos recopilados en páginas web y redes sociales. Abría la puerta al microtargeting electoral al estilo de Cambridge Analytica pero con respaldo legal: analizar publicaciones de ciudadanos en redes sociales, construir un perfil ideológico y enviar propaganda personalizada para influir en su voto.

Las garantías que nunca llegaron: la Circular de la AEPD

La ley encomendaba a la Agencia Española de Protección de Datos la emisión de una circular con las «garantías adecuadas» para el tratamiento de datos electorales. La AEPD publicó la Circular 1/2019, de 7 de marzo, pero su contenido resultó insuficiente: se limitó a exigir obligaciones formales de transparencia, evaluaciones de impacto y designación de delegado de protección de datos, sin prohibir el perfilado ideológico ni establecer límites materiales a la recopilación de datos en redes sociales.

En la práctica, las «garantías adecuadas» se redujeron a trámites burocráticos que no impedían el rastreo masivo de opiniones políticas en internet, la creación de perfiles ideológicos ni el envío de propaganda personalizada.

El recurso de inconstitucionalidad: el Defensor del Pueblo actúa

El artículo 58 bis generó una oleada de críticas desde organizaciones de derechos digitales, académicos de derecho constitucional y el propio Comité Europeo de Protección de Datos (CEPD).

El Defensor del Pueblo, Francisco Fernández Marugán, presentó un recurso de inconstitucionalidad ante el Tribunal Constitucional, argumentando que el artículo vulneraba el derecho a la protección de datos (artículo 18.4 CE), la libertad ideológica (artículo 16 CE) y el principio de reserva de ley orgánica, al permitir el tratamiento de datos especialmente sensibles sin consentimiento y con garantías delegadas en un acto administrativo.

La sentencia STC 76/2019 del Tribunal Constitucional: un fallo histórico

El 22 de mayo de 2019, el Tribunal Constitucional dictó la sentencia 76/2019, estimando parcialmente el recurso de inconstitucionalidad. Esta sentencia constituye uno de los pronunciamientos más relevantes del TC en materia de protección de datos personales en la era digital, y sus fundamentos jurídicos contienen un análisis profundo de la relación entre datos personales, democracia y derechos fundamentales.

Declaración de inconstitucionalidad del apartado 1

El Tribunal Constitucional declaró inconstitucional y nulo el apartado 1 del artículo 58 bis LOREG en su totalidad. Los fundamentos principales fueron los siguientes:

Los fundamentos principales de la declaración de inconstitucionalidad fueron tres. Primero, el artículo permitía el tratamiento de datos especialmente protegidos —las opiniones políticas— sin las garantías exigidas por el artículo 18.4 CE. Segundo, la remisión a la AEPD para establecer las «garantías adecuadas» vulneraba el principio de reserva de ley orgánica: las garantías de los derechos fundamentales deben definirse en la propia ley orgánica, no delegarse en un órgano administrativo. Tercero, el concepto de «páginas web y otras fuentes de acceso público» era excesivamente amplio e indeterminado, generando una inseguridad jurídica incompatible con la limitación de derechos fundamentales.

Lo que dijo el TC sobre el perfilado ideológico y el microtargeting

Uno de los aspectos más relevantes de la STC 76/2019 fue el análisis que el Tribunal Constitucional realizó sobre el perfilado ideológico y el microtargeting electoral. El TC advirtió expresamente de los riesgos que estas prácticas suponen para la democracia y los derechos fundamentales.

El Tribunal señaló que la elaboración de perfiles ideológicos implica un tratamiento especialmente invasivo porque permite inferir convicciones políticas a partir de datos aparentemente inocuos (los «me gusta», las páginas seguidas, los comentarios publicados). Este tratamiento supone la creación de conocimiento nuevo sobre la ideología del ciudadano que este no ha revelado de forma consciente ni voluntaria.

El TC alertó además sobre el riesgo de que el microtargeting electoral manipule el debate democrático: cuando un partido puede enviar mensajes diferentes a cada votante según su perfil, se fragmenta el espacio público de deliberación y el votante deja de ser un ciudadano informado para convertirse en objetivo de una estrategia de persuasión personalizada. Esta reflexión anticipó el debate europeo que cristalizaría en el DSA y el Reglamento de Publicidad Política.

Apartados que se mantuvieron vigentes

El TC no declaró inconstitucional la totalidad del artículo 58 bis. El apartado 2, relativo al envío de propaganda electoral por medios electrónicos, fue declarado conforme a la Constitución, pero con una interpretación restrictiva: los partidos políticos pueden utilizar medios electrónicos para enviar propaganda, pero únicamente cuando dispongan de los datos de contacto obtenidos legítimamente y con las garantías del RGPD, no a partir de datos recopilados mediante rastreo de redes sociales.

¿Pueden los partidos políticos enviarte propaganda electoral?

Tras la sentencia del Tribunal Constitucional, el marco legal del envío de propaganda electoral por parte de los partidos políticos en España queda configurado de la siguiente manera. Esta es una guía práctica para que puedas conocer tus derechos.

Propaganda electoral por correo postal

Sí. El artículo 39 de la LOREG permite a las candidaturas enviar propaganda electoral por correo postal utilizando los datos del censo electoral. Este uso está estrictamente regulado: los datos solo pueden utilizarse durante la campaña, deben destruirse después de las elecciones y no pueden incorporarse a bases de datos propias del partido.

Propaganda por correo electrónico, SMS o mensajería

Tras la STC 76/2019, los partidos no pueden enviarte propaganda por correo electrónico, SMS, WhatsApp u otros sistemas de mensajería sin tu consentimiento explícito o sin una relación previa legítima (afiliación, simpatizante registrado o cesión voluntaria de datos de contacto). La AEPD ha confirmado que este envío está sujeto a la LSSI (Ley 34/2002), con las mismas reglas que las comunicaciones comerciales electrónicas.

Propaganda en redes sociales

Los partidos pueden realizar campañas publicitarias en redes sociales usando las herramientas de las plataformas, pero no pueden recopilar opiniones políticas de redes sociales para crear bases de datos propias ni elaborar perfiles ideológicos. La segmentación debe limitarse a criterios no sensibles (edad, ubicación geográfica, intereses generales).

Qué hacer si recibes propaganda electoral no solicitada

Si recibes propaganda electoral por medios electrónicos (correo electrónico, SMS, WhatsApp, mensajes directos en redes sociales) y no has dado tu consentimiento previo ni mantienes una relación previa con el partido, tienes derecho a:

• Ejercer tu derecho de oposición comunicándolo directamente al partido político, que está obligado a atender tu solicitud sin dilación.
• Presentar una reclamación ante la AEPD si el partido no atiende tu solicitud o si consideras que el envío vulnera la normativa de protección de datos.
• Solicitar información sobre el origen de tus datos personales y la base jurídica utilizada para el envío, ejerciendo tu derecho de acceso conforme al artículo 15 del RGPD.

Si la propaganda llega por correo postal a través del censo electoral, no es posible evitarla individualmente, ya que forma parte del proceso electoral regulado por la LOREG. Sin embargo, puedes contactar con la Oficina del Censo Electoral para verificar que tus datos son correctos.

Cómo recopilan y utilizan los partidos políticos los datos de los votantes

Más allá del marco legal, es importante comprender las fuentes de datos que los partidos políticos utilizan en la práctica para diseñar sus campañas electorales. Aunque la sentencia del TC eliminó la cobertura legal para el rastreo de opiniones políticas en internet, los partidos disponen de múltiples vías legítimas para obtener y procesar información sobre los votantes.

El censo electoral

La fuente principal es el censo electoral, que contiene nombre, apellidos, dirección, fecha de nacimiento y mesa electoral asignada. Los partidos reciben una copia durante el periodo electoral para el envío de propaganda postal. Permite segmentación geográfica básica pero no contiene información ideológica ni de contacto electrónico.

Bases de datos propias: afiliados, simpatizantes y donantes

Todos los partidos mantienen bases de datos internas con información de afiliados, simpatizantes, donantes y voluntarios, incluyendo correo electrónico, teléfono y preferencias temáticas. Su tratamiento está amparado por la relación contractual o el consentimiento del interesado.

Encuestas y estudios demoscópicos

Los partidos encargan regularmente encuestas y estudios de opinión que proporcionan información estadística sobre las preferencias del electorado por segmentos demográficos, geográficos y socioeconómicos. Aunque estos datos son agregados y no identifican a personas concretas, sirven para diseñar estrategias de comunicación diferenciadas por perfiles de votante.

Redes sociales y análisis de audiencias

Los partidos utilizan herramientas de análisis de plataformas (Meta Business Suite, X Analytics, Instagram Insights) para comprender el perfil demográfico de sus seguidores y optimizar sus mensajes. Estas herramientas proporcionan datos agregados, no datos personales identificables. También emplean herramientas de social listening para monitorizar tendencias, aunque la línea entre monitorización legítima y recopilación de opiniones individuales puede ser difusa.

Canvassing y contacto directo

En campaña, los partidos realizan canvassing (contacto puerta a puerta o telefónico) para conocer las preocupaciones de los ciudadanos. La información recogida se incorpora a las bases de datos del partido, lo que exige informar adecuadamente al ciudadano y obtener su consentimiento.

El Reglamento de Servicios Digitales y la transparencia en publicidad política

El Reglamento de Servicios Digitales (Digital Services Act, DSA), plenamente aplicable desde febrero de 2024, ha introducido obligaciones significativas en materia de transparencia de la publicidad política en línea que afectan directamente a la forma en que los partidos políticos realizan sus campañas digitales.

Obligaciones del DSA para la publicidad política

El DSA establece que las plataformas en línea de gran tamaño (las denominadas Very Large Online Platforms o VLOP, que incluyen a Facebook, Instagram, X, YouTube, TikTok y otras con más de 45 millones de usuarios activos en la UE) deben cumplir las siguientes obligaciones en relación con la publicidad:

• Transparencia del anunciante: todo anuncio publicado en la plataforma debe identificar claramente a la persona física o jurídica en cuyo nombre se muestra el anuncio.
• Repositorio de anuncios: las plataformas deben mantener un repositorio público de todos los anuncios mostrados, accesible a investigadores y ciudadanos, que incluya el contenido del anuncio, el periodo de publicación, el número de destinatarios alcanzados y los criterios de segmentación utilizados.
• Información sobre la segmentación: los usuarios deben poder saber por qué les llega un anuncio concreto y cuáles son los parámetros utilizados para seleccionarlos como destinatarios.
• Prohibición de segmentación por datos sensibles: el DSA prohíbe la utilización de datos de categorías especiales (incluidas las opiniones políticas) como criterio de segmentación publicitaria.

El Reglamento de Transparencia y Segmentación de la Publicidad Política

Además del DSA, la Unión Europea aprobó en 2024 el Reglamento (UE) 2024/900 sobre transparencia y segmentación de la publicidad política, que complementa las disposiciones del DSA con reglas específicas para la publicidad de naturaleza política. Este reglamento, cuya aplicación plena está prevista para octubre de 2025, establece:

• La obligación de etiquetar claramente toda publicidad política como tal, con identificación del patrocinador y del importe pagado.
• La prohibición expresa del microtargeting basado en datos personales de categorías especiales (opiniones políticas, creencias religiosas, origen étnico, orientación sexual) para la publicidad política.
• La obligación de que las técnicas de segmentación utilizadas sean transparentes y auditables.
• Un régimen sancionador que puede incluir multas de hasta el 5 % del volumen de negocio global del infractor.

Este reglamento cierra, a nivel europeo, la brecha que el artículo 58 bis LOREG pretendió abrir en España. Incluso si el Tribunal Constitucional no hubiera declarado inconstitucional dicho artículo, las nuevas normas europeas habrían impedido las prácticas de perfilado ideológico y microtargeting que autorizaba.

El estado actual del uso de datos electorales en España

Tras la STC 76/2019 y la entrada en vigor del DSA y el Reglamento de Publicidad Política, el marco legal del uso de datos personales con fines electorales en España se ha clarificado significativamente, aunque persisten zonas grises y desafíos prácticos.

Lo que está claramente prohibido

• Rastrear redes sociales y páginas web para recopilar opiniones políticas de ciudadanos identificados o identificables.
• Elaborar perfiles ideológicos de votantes a partir de datos obtenidos en internet.
• Utilizar datos de categorías especiales (opiniones políticas, ideología, afiliación sindical, creencias) como criterio de segmentación en publicidad electoral en línea.
• Enviar propaganda electoral por correo electrónico, SMS o mensajería instantánea sin consentimiento previo del destinatario o relación previa legítima.
• Utilizar los datos del censo electoral para fines distintos del envío de propaganda postal durante la campaña.

Lo que está permitido

• Enviar propaganda postal utilizando los datos del censo electoral durante el periodo de campaña.
• Comunicarse por medios electrónicos con afiliados, simpatizantes y personas que hayan prestado su consentimiento.
• Realizar publicidad política en redes sociales utilizando criterios de segmentación no basados en datos sensibles (por ejemplo, segmentación geográfica o por franja de edad).
• Realizar encuestas y estudios de opinión cumpliendo con las normas de protección de datos y la legislación sobre encuestas electorales.
• Monitorizar tendencias y temas de debate en redes sociales de forma agregada, sin recopilar datos personales identificables.

Las zonas grises que persisten

A pesar de la clarificación normativa, existen áreas donde la aplicación práctica sigue siendo incierta. La distinción entre monitorización legítima de tendencias y recopilación de opiniones políticas individuales no siempre es clara, especialmente cuando se utilizan herramientas automatizadas de análisis de redes sociales. Del mismo modo, el uso de inteligencia artificial generativa en la creación de contenido electoral personalizado plantea cuestiones nuevas que la normativa vigente no aborda directamente.

La AEPD ha adoptado un enfoque vigilante, publicando guías específicas sobre el tratamiento de datos en procesos electorales y sancionando a partidos que han incumplido la normativa. Sin embargo, la capacidad de supervisión efectiva sigue siendo limitada frente al volumen y la sofisticación de las campañas digitales.

Lecciones del caso español: datos, democracia y derechos fundamentales

La historia del artículo 58 bis LOREG ofrece varias lecciones relevantes que trascienden el ámbito jurídico español.

La primera es que la protección de datos personales no es un obstáculo burocrático: es un presupuesto esencial de la democracia. La democracia requiere que el ciudadano forme su opinión de manera autónoma, sin ser objeto de estrategias de persuasión diseñadas a partir de un conocimiento íntimo de sus creencias y vulnerabilidades.

La segunda es que el control judicial es imprescindible. El artículo 58 bis fue aprobado por una amplia mayoría parlamentaria. Fue el Tribunal Constitucional quien corrigió una decisión que el legislador no quiso evitar, demostrando la importancia del Defensor del Pueblo como legitimado para interponer recursos de inconstitucionalidad.

La tercera es que la regulación tecnológica requiere un enfoque multinivel. La combinación del TC español, el RGPD, el DSA y el Reglamento de Publicidad Política ha creado un marco más robusto que cualquiera de estos instrumentos por separado.

Preguntas frecuentes sobre spam electoral y datos personales

¿Es legal que un partido político me envíe propaganda electoral por correo postal?

Sí. La LOREG (artículo 39) permite a los partidos políticos enviar propaganda electoral por correo postal durante el periodo de campaña, utilizando los datos del censo electoral que les facilita la Oficina del Censo Electoral. Este envío está sujeto a regulaciones estrictas: los datos solo pueden usarse para este fin específico y deben destruirse después de las elecciones. No es posible rechazar individualmente estos envíos, ya que forman parte del proceso electoral legalmente previsto.

¿Puede un partido político enviarme propaganda por WhatsApp o correo electrónico?

Solo si has dado tu consentimiento previo o si mantienes una relación previa con el partido (por ejemplo, como afiliado o simpatizante registrado). Tras la sentencia STC 76/2019 del Tribunal Constitucional y la aplicación del RGPD y la LSSI, el envío de propaganda electoral por medios electrónicos sin consentimiento previo es ilegal. Si recibes este tipo de comunicaciones sin haberlas solicitado, puedes ejercer tu derecho de oposición y presentar una reclamación ante la AEPD.

¿Qué fue el artículo 58 bis LOREG y por qué se declaró inconstitucional?

El artículo 58 bis fue introducido por la LOPDGDD en 2018 y autorizaba a los partidos políticos a recopilar opiniones políticas de ciudadanos en internet y a elaborar perfiles ideológicos de los votantes. El Tribunal Constitucional, en su sentencia STC 76/2019, declaró inconstitucional el apartado 1 de este artículo por vulnerar el derecho fundamental a la protección de datos (artículo 18.4 CE) y el principio de reserva de ley orgánica, al delegar en la AEPD la definición de garantías que debían estar establecidas en la propia ley.

¿Pueden los partidos políticos crear un perfil ideológico con mis datos de redes sociales?

No. Tras la sentencia del TC, los partidos políticos no pueden recopilar opiniones políticas de redes sociales ni elaborar perfiles ideológicos de los votantes a partir de datos obtenidos en internet. Además, el Reglamento europeo de Publicidad Política prohíbe expresamente el microtargeting basado en datos de categorías especiales, incluyendo las opiniones políticas. Si tienes conocimiento de que algún partido está llevando a cabo estas prácticas, puedes denunciarlo ante la AEPD.

¿Qué es el microtargeting electoral y por qué es peligroso?

El microtargeting electoral es la práctica de enviar mensajes políticos personalizados a votantes individuales basándose en perfiles detallados construidos a partir de sus datos personales (comportamiento en redes sociales, historial de navegación, ubicación, datos demográficos y psicográficos). El caso más conocido fue el de Cambridge Analytica, que utilizó datos de 87 millones de usuarios de Facebook para influir en procesos electorales. Es peligroso porque fragmenta el debate público, dificulta la rendición de cuentas de los partidos y puede manipular el comportamiento electoral de los ciudadanos explotando sus sesgos y vulnerabilidades.

¿Qué obligaciones impone el DSA a la publicidad política en redes sociales?

El Reglamento de Servicios Digitales (DSA) obliga a las grandes plataformas a identificar claramente al anunciante de cada publicación patrocinada, mantener un repositorio público de anuncios, informar a los usuarios sobre los criterios de segmentación utilizados y prohibir la segmentación basada en datos de categorías especiales. Estas obligaciones se complementan con el Reglamento de Publicidad Política, que añade reglas específicas sobre etiquetado y transparencia de la publicidad de naturaleza política.

¿Dónde puedo reclamar si un partido político utiliza mis datos sin mi consentimiento?

Puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) a través de su sede electrónica. También puedes ejercer directamente tus derechos de acceso, rectificación, supresión y oposición ante el partido político en cuestión, que está obligado a tener un delegado de protección de datos y a responder a tu solicitud en el plazo de un mes. Si necesitas asesoramiento sobre cómo proceder, puedes contactar con nuestro equipo.

Conclusión: la vigilancia permanente como garantía democrática

El episodio del artículo 58 bis LOREG es un recordatorio de que los derechos fundamentales requieren una vigilancia constante, incluso —y especialmente— frente a las decisiones del propio legislador democrático. Los partidos políticos, como actores centrales del sistema democrático, tienen un interés directo en acceder a la mayor cantidad posible de información sobre los votantes. Es natural que así sea: las campañas electorales son, en última instancia, ejercicios de comunicación persuasiva, y la información es la materia prima de la persuasión.

Pero ese interés legítimo no puede prevalecer sobre el derecho fundamental a la protección de datos personales, que es también un derecho instrumental al servicio de otros derechos: la libertad ideológica, la libertad de expresión, el derecho a la participación política en condiciones de igualdad. Cuando un partido conoce las creencias íntimas de un votante mejor que el propio votante, la relación democrática se pervierte.

La sentencia STC 76/2019, la regulación europea del DSA y el Reglamento de Publicidad Política configuran hoy un marco de protección razonablemente sólido. Pero la tecnología evoluciona más rápido que el derecho, y las próximas fronteras —la inteligencia artificial generativa aplicada a la propaganda electoral, los deepfakes políticos, la manipulación algorítmica del debate público— ya están aquí. Lo importante sigue sin ser el spam electoral. Lo importante siguen siendo los datos.

Si deseas profundizar en cuestiones de protección de datos y derechos digitales, te invitamos a explorar nuestra sección de artículos. Y si necesitas asesoramiento profesional sobre el tratamiento de datos personales en el ámbito electoral o en cualquier otro contexto, no dudes en contactar con nosotros.