Estos días se están comentando diversos aspectos del Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (de aquí en adelante LOPD), pendiente de publicación en el BOE tras su paso por el Senado.

Dejando de lado la inclusión de diversos aspectos sobre derechos digitales en una norma que (al menos en teoría) buscaba adaptarse al Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), la verdad es que existen aspectos incluidos en la norma que pueden ser cuestionables.

El mismo Reglamento en su Considerando 8 nos indica que:

En los casos en que el presente Reglamento establece que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros, estos, en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios, pueden incorporar a su Derecho nacional elementos del presente Reglamento.

La Exposición de motivos de la nueva LOPD hace referencia este considerando en lo relativo al Título III, dedicado a los derechos de las personas

Se hace uso en este título de la habilitación permitida por el considerando 8 del Reglamento (UE) 2016/679 para complementar su régimen, garantizando la adecuada estructura sistemática del texto. A continuación, la ley orgánica contempla los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad.

Además de lo anterior, debemos tener en cuenta asimismo la siguiente motivación

En este punto hay que subrayar que no se excluye toda intervención del Derecho interno en los ámbitos concernidos por los reglamentos europeos. Al contrario, tal intervención puede ser procedente, incluso necesaria, tanto para la depuración del ordenamiento nacional como para el desarrollo o complemento del reglamento de que se trate.

Ahora bien, más allá de un desarrollo y adaptación de determinados aspectos del Reglamento a la normativa nacional, encontramos una Disposición Final Tercera en la que se modifica la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, relativa a la utilización de medios tecnológicos y datos personales en las actividades electorales.

En las enmiendas a la nueva LOPD encontramos que el fundamento de la enmienda que incluyó la modificación de la Ley Orgánica del Régimen Electoral General fue

Adecuar el Reglamento a las especificidades nacionales y establecer salvaguardas para impedir casos como el que vincula a Cambridge Analytica con el uso ilícito de datos de 50 millones de usuarios de Facebook para mercadotecnia electoral.

A la vista de todo lo anterior, tendremos que ver hasta qué punto realmente se está adecuando el reglamento, qué permitirá el articulado de la norma, y si realmente existen suficientes salvaguardas en las enmiendas planteadas.

¿Realmente se está adecuando el Reglamento?

La fundamentación para una norma como es la nueva LOPD es la adaptación necesaria tras la aprobación del Reglamento, y así parece indicarse asimismo respecto a la modificación del Régimen Electoral General.

Asimismo, se introducen las modificaciones necesarias de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil y la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, la Ley Orgánica, 6/1985, de 1 de julio, del Poder Judicial, la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, la Ley 14/1986, de 25 de abril, General de Sanidad, la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica y la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

El problema es que a la vista del contenido del Reglamento, estas modificaciones no son necesarias, con lo cual la motivación para su inclusión dentro de la LOPD no resultaría válida. Esto es así a la vista del art. 2 del Reglamento, en que se nos indica que

2.   El presente Reglamento no se aplica al tratamiento de datos personales:

a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;

[…]

De hecho, el propio proyecto de la nueva LOPD lo deja claro en su Art. 2

3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica. Se encuentran en esta situación, entre otros, los tratamientos realizados al amparo de la legislación orgánica del régimen electoral general, los tratamientos realizados en el ámbito de instituciones penitenciarias y los tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mercantiles.

Con lo cual tendríamos un primer posible problema, importante y especialmente grave, que sería la falta de motivación real para llevar a cabo dicha modificación a través de su inclusión en la LOPD. Esto podría causar problemas para la Ley en el seno de los recursos que se están planteando ya contra la norma.

Y es que se trata de un tratamiento no comprendido en el ámbito de aplicación del Derecho de la Unión Europea, y así lo manifiesta tanto el Reglamento como la nueva LOPD, con lo cual (si se estima oportuno llevar a cabo dicha modificación) correspondería tramitarla independientemente, a través de una modificación de la Ley Orgánica del Régimen Electoral General realmente motivada, y ello entendiendo que no se solucionarían todos los problemas que lleva aparejada la redacción (bastante mejorable) que se propuso.

La importancia del tenor literal

Siguiendo con la justificación para la inclusión de dicha modificación, se ha indicado que se encuentra amparada por el considerando 56 del Reglamento. En primer lugar, el considerando 56 del Reglamento lo que indica literalmente es:

Si, en el marco de actividades electorales, el funcionamiento del sistema democrático EXIGE en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.

Podemos acudir asimismo a la versión en inglés

Where in the course of electoral activities, the operation of the democratic system in a Member State REQUIRES that political parties compile personal data on people’s political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established.

Este Considerando no abre las puertas a una recopilación sin más en virtud del ordenamiento interno, sino que fija una importante limitación, la necesidad de que dicha recopilación de datos personales sea necesaria para el funcionamiento del sistema democrático. En tanto no es una exigencia para el funcionamiento de nuestro sistema democrático, y éste puede funcionar perfectamente sin dicha recopilación, difícilmente puede verse como una base real.

A mi parecer, esta referencia parece tener en mente un supuesto concreto en que la aplicación directa del Reglamento podría colisionar con determinadas previsiones de la normativa nacional de algún país, y no la inclusión de un mecanismo como el realizado en la normativa española.

¿Qué dirá ahora la Ley Orgánica del Régimen Electoral General?

Tras el paso por el Senado, la redacción del artículo 58 bis quedaría de la siguiente manera:

1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.

2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.

4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.

5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.

En base a dicho artículo tenemos:

  • Una limitación temporal al uso de los datos personales, al hablar de actividades realizadas durante el periodo electoral.
  • El límite objetivo para dicho uso de datos personales se refiere a “actividades políticas“. El problema surge cuando el concepto utilizado es tan excesivamente amplio como sucede en este caso.

¿Y qué pasa con la Agencia Española de Protección de Datos?

Un hecho que ha sorprendido es que la Agencia Española de Protección de Datos ha hecho pública una nota aclarando el criterio de la Agencia Española de Protección de Datos sobre cuestiones electorales en el proyecto de nueva LOPD.

Soy de la opinión de que dicha nota no va venido provocada por presiones desde los partidos políticos, sino que es prácticamente seguro que muchos medios se han puesto en contacto con la misma Agencia para conocer su posición respecto a esta circunstancia tras conocer la posición de diversos juristas. De hecho, en la entrevista a Mar España en Público se indica que:

Tuvimos conocimiento de determinadas declaraciones públicas al menos una persona con responsabilidad política en las que afirmaba que la Agencia avalaba en concreto la redacción actual del texto de la enmienda de modificación de la Ley Electoral. Pero la Agencia no avala. Lo que hizo en su momento fue elaborar un informe jurídico sobre el anteproyecto de Ley elaborado por el Gobierno. En el caso de las enmiendas la AEPD, lo que hace es acatar lo que los partidos políticos, en el legítimo ejercicio de la soberanía popular, aprueben en el Congreso y en el Senado

Aún así, en una materia tan compleja creo que la intención de aclarar los criterios interpretativos que puedan llegar a aplicarse no ha quedado correctamente plasmada, posiblemente a causa del poco tiempo con el que se ha contado para llevarlo a cabo.

El contenido de dicha nota es el siguiente:

  • El texto del Proyecto no permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas.
  • Tampoco permite el envío de información personalizada basada en perfiles ideológicos o políticos.
    El Proyecto sólo permite, conforme al Considerando 56 del Reglamento General de Protección de Datos, la recopilación por parte de los partidos políticos de datos personales relativos a opiniones políticas para obtener información que les permita pulsar las inquietudes de los ciudadanos con el fin de poder darles respuesta en sus propuestas electorales. Esta interpretación se fundamenta en la supresión del término “tratamiento” recogido en la enmienda 331 inicialmente presentada en el Congreso.
  • Este criterio se basa, asimismo, en la supresión del apartado 2 de dicha enmienda, que permitía la difusión de propaganda electoral basada en perfiles ideológicos con determinadas garantías. El texto permite el envío de propaganda electoral sin que su contenido pueda basarse en los perfiles antes citados, identificando en cualquier caso su naturaleza electoral y garantizando el ejercicio sencillo y gratuito del derecho de oposición.
  • En todo caso, las previsiones del artículo recogido en el Proyecto de ley deben cumplir todas las garantías establecidas en el Reglamento General de Protección de Datos.

En primer lugar, y como ya he indicado con anterioridad, y pese a que ha sido el argumento reiterado por diversas partes que han participado en la aprobación de la norma, a mí parecer el Considerando 56 no es una base adecuada para la recopilación por parte de los partidos políticos de datos personales en base a una normativa nacional.

La redacción del artículo es la que es, y el concepto de actividades políticas es excesivamente amplio y (a mi juicio) sí que podría resultar amparado en este artículo la realización de determinadas actividades de propaganda utilizando los datos obtenidos en webs, sin perjuicio de que se interpretara que deban aplicarse determinadas salvaguardas para ello.

Respecto a la base del criterio de la Agencia, efectivamente, en la lista de enmiendas que se realizaron al proyecto de Ley consta originalmente un segundo apartado que fue posteriormente suprimido, con el siguiente tenor literal

Quedan prohibidas las actividades de propaganda electoral basadas en la elaboración de perfiles electorales en redes sociales o equivalentes cuando no se informe a sus destinatarios sobre su finalidad, la identidad del responsable o la entidad contratada para su realización y los criterios de selección.

Siguiendo con la nota, y acuerdo con el criterio de la Agencia, la supresión de este apartado impide la actividad de propaganda electoral basada en la realización de perfiles, pero en mi opinión lo que se ha hecho es eliminar una limitación a dicha actividad, sin excluirla de los posibles usos dentro de la actividad política que puedan llevar a cabo. De hecho, la supresión de este segundo apartado, y con ella la prohibición indicada, hace que la motivación indicada para la enmienda (“establecer salvaguardas para impedir casos como el que vincula a Cambridge Analytica con el uso ilícito de datos de 50 millones de usuarios de Facebook”) pierda fuerza.

La enmienda original no indicaba que resultaba posible realizar dichas tareas de perfilado salvo en determinados supuestos. Lo que hacía era indicar una prohibición de realizar dichas tareas sin que se cumplieran una serie de garantías. Es por ello que resulta complicado basar el criterio en la mera supresión de este apartado.

De hecho, siguiendo con la entrevista a Mar España se nos dice que:

La AEPD va a cumplir con sus funciones, una de las cuales es la capacidad y la competencia de interpretar la normativa vigente de protección de datos. Esta disposición final hay que interpretarla, como dijimos en el comunicado, en el contexto de la enmienda inicial;

A mí parecer, no resulta admisible esta afirmación. Estamos hablando de posibles derechos fundamentales afectados, y una interpretación que quiere ir más allá de lo incorporado en la norma y tener en cuenta un precepto que fue finalmente expulsado del texto definitivo. Es posible que la Agencia interprete que sí que existe una prohibición, pero resulta asimismo viable que un recurso contencioso-administrativo acabe con la anulación de las sanciones que puedan llegar a imponerse. Dado que va a acabar sirviendo de base a actuaciones sancionadoras, es necesario que la normativa sea lo más clara posible.

Respecto a las garantías adecuadas, la normativa no habla de ellas, aunque sí se nos ha indicado que  la legislación aplicable en este supuesto es la electoral, siendo la de protección de datos en este caso supletoria. Respecto a medias concretas, Mar España indicó que el criterio de la Agencia es cumplir con los siguientes requisitos:

tienen que tener nombrado un delegado de protección de datos obligatoriamente, deberán de informar a los ciudadanos (art. 14 del RGPD), y si no pueden por una cuestión técnica, tendrán que publicitar adecuadamente qué datos tratan y cómo lo hacen. También deberán realizar un análisis de riesgos y una evaluación de impacto. Si tienen cualquier duda de que un tratamiento de datos puede suponer un riesgo para los derechos de los ciudadanos, están obligados a consultar a la AEPD. A consecuencia del análisis de impacto, deberán adoptar medidas técnicas, organizativas y de seguridad para minimizar posibles problemas. Y, a la vez, tienen que ofrecer la posibilidad de ejercer el derecho de oposición de una forma clara, sencilla y en el mismo canal por el que están enviando esa propaganda a los votantes.

Así como en otros casos se ha sido más específico, la realidad es que en la modificación de la norma  solo se indica que para basarse en el interés público hace falta ofrecer garantías adecuadas, lo cual resulta una oportunidad perdida para resultar más específico. Tratándose además de un ámbito tan importante como es el relacionado con la actividad de partidos políticos, coaliciones y agrupaciones electorales se debería haber sido especialmente cauto, y no esperar que a través de una interpretación sistemática pudiera llegar a entenderse que existen multitud de salvaguardas para estos tratamientos, o que todos los problemas se arreglarán en un futuro reglamento.

Se dice que la evaluación de impacto, y otras actuaciones a llevar a cabo, impedirían dicho tratamiento para perfilado, pero muchos de los argumentos que se utilizan harían que directamente esta previsión no tuviera razón alguna por resultar aplicables al resto de supuestos en que tratarían dichos datos.

Ampliando todo lo anterior, y de acuerdo con eldiario.es en su artículo “el Parlamento Europeo, alarmado por la ley española del spam electoral: No encaja en el Reglamento de Protección de Datos

Desde el Parlamento Europeo responden que “sin embargo, la ley española no prevé salvaguardias apropiadas, salvo un derecho de objeción que no parece suficiente”.

Aunque la Comisión no ha querido pronunciarse, y habría que ver qué fuente del Parlamento realmente ha hecho dichas afirmaciones  (además de encontramos en el fondo ante una materia no comprendida en el Derecho de la Unión), resulta relevante conocer la posición de las diversas instituciones.

¿Por qué decimos que lo importante no es el spam electoral sino los datos?

Muchos de los titulares se han centrando en el concepto de spam electoral, en el envío de publicidad electoral por parte de los partidos. A causa de ello, muchas personas lo que tienen en mente es el gran conjunto de papeletas que se reciben en periodo electoral, pero el uso de datos que se podría llegar a hacer va mucho más allá de ello.

Al final, si entendemos que dicho tratamiento de datos resulta posible, podemos acabar con perfiles muy potentes sobre los que trabajar. Cada vez resulta más sencillo enlazar perfiles en diferentes servicios, pensemos en que

  1. Cada vez más personas se registran en un nuevo servicio utilizando su perfil en redes sociales (cuenta de Facebook, Twitter, su cuenta en Google), dada la facilidad y rapidez de este mecanismo. Esto permite enlazar muy fácilmente la actividad de una persona en diferentes páginas
  2. A través de lugares visitados, comentarios realizados en negocios o productos adquiridos, fotos en redes sociales, o incluso el número de comentarios o publicaciones realizadas y el horario en que se han llevado a cabo, permiten la realización de un perfil del usuario muy completo
  3. No se trata únicamente de enviar “publicidad electoral”, sino de cómo se puede influir sobre la actuación de un sujeto una vez se conoce su perfil.

A través del uso de determinados contenidos se puede llegar a incrementar o reducir la probabilidad de que un sujeto acuda a votar, especialmente en fechas cercanas a las elecciones. Y, como siempre, si lo que dicen que van a hacer ya resulta preocupante, más aún debemos preocuparnos por lo que no dicen que hacen con nuestros datos.

Sergio Carrasco Mayans
Síguenos

Sergio Carrasco Mayans

Consultor at Fase Consulting
Sergio Carrasco Mayans es Ingeniero de Telecomunicaciones, Informático, politólogo y Licenciado en Derecho por la Universitat Oberta de Catalunya, especializado en Derecho de la Sociedad de la Información, Derecho Civil y Derecho Público.
Sergio Carrasco Mayans
Síguenos

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.