La AEPD avisa de que los partidos no pueden usar Big Data para inferir la ideología de personas

"Este precepto no ampara aplicar tecnologías de big data o inteligencia artificial para inferir la ideología política de una persona, ya que esto supondría una vulneración de su derecho fundamental a no declarar su ideología", advierte la Agencia Española de Protección de Datos (AEPD) en un informe que acaba de publicar.

La Agencia ha analizado el tratamiento de datos personales en relación con la Disposición final tercera de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, que modifica la Ley Orgánica 5/1985 del Régimen Electoral General (LOREG) añadiendo el artículo 58 bis.

Así, la AEPD aclara que esta modificación fue introducida durante la tramitación parlamentaria de la LOPD y, al no encontrarse en el Proyecto de Ley remitido por el Gobierno, "no fue objeto de informe preceptivo" por parte de la Agencia.

En este sentido, la Agencia considera que la modificación de la LOREG, que aborda el tratamiento de datos relativos a opiniones políticas por los partidos, "debe ser objeto de una interpretación restrictiva".

Por una parte, argumenta que se trata de "una excepción a la regla general" recogida en el artículo 9 del Reglamento General de Protección de Datos (RGPD) y en el 9.1 de la LOPD, que prohíbe el tratamiento de categorías especiales de datos personales --entre las que se encuentran las opiniones políticas--. Además, añade que el artículo 58 bis debe ser interpretado conforme a lo establecido en la Constitución, de modo que no conculque derechos fundamentales como la protección de datos, el derecho a la libertad ideológica, la libertad de expresión e información o el derecho a la participación política.

En relación con la ausencia de definición en la Ley Orgánica 3/2018 de "fuentes de acceso público", la Agencia cree que puede seguir aplicándose como criterio interpretativo la derogada LOPD 15/1999 pero "debe tratarse de webs y fuentes en las que la consulta la pueda realizar cualquier persona, lo que excluiría aquellas en las que el acceso está restringido a un círculo determinado, ya sea como "amigo" u otro concepto similar".

Sobre la finalidad del tratamiento, la AEPD recoge en su informe que éste deberá ser "proporcional al objetivo perseguido" (artículo 9.2 g RGPD), lo que no ampara tratamientos no proporcionales como el microtargeting, ni tener por finalidad forzar o desviar la voluntad de los electores.

"Si bien el funcionamiento de un sistema democrático puede requerir la elaboración de perfiles generales, de modo que los partidos políticos puedan conocer las inquietudes políticas de la ciudadanía, incluso por categorías genéricas como la edad, sexo, población, etc., lo que no puede en ningún caso pretenderse es la realización de perfiles individuales o realizados atendiendo a categorías muy específicas que conculcarían los derechos fundamentales anteriormente citados", añade.

En este sentido, la AEPD recuerda que los tratamientos deben cumplir con todos los principios recogidos en el artículo 5 del RGPD (licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación de plazo de conservación; integridad y confidencialidad y responsabilidad proactiva).

En cuanto al envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de esta en redes sociales o medios equivalentes (artículo 58 bis LOREG), los datos que vayan a ser usados para el envío de la misma (números de teléfono, correo electrónico, etc.) deben haberse obtenido "lícitamente", amparados en alguna de las bases del artículo 6 del RGPD. Además, en los envíos que se realicen deberá constar su carácter electoral y facilitar el derecho de oposición por los destinatarios.

Las garantías

Por otro lado, la Agencia indica que el texto del artículo 58 bis "no detalla las garantías aplicables a este tipo de tratamientos". Por ello, la Agencia ha identificado esas garantías que pasan por que los responsables adopten medidas técnicas y organizativas apropiadas, como la seudonimización e incluso la agregación y anonimización.

Designar un delegado de protección de datos; elaborar el registro de actividades de tratamiento, debiendo ser precisos y claros, conforme a los principios de lealtad y transparencia; o realizar una evaluación de impacto relativa a la protección de datos, al realizar un tratamiento a gran escala de categorías especiales de datos son otras de las garantías identificadas por la Agencia.

Asimismo, se debe consultar a la AEPD antes de proceder al tratamiento cuando la evaluación de impacto muestre que el tratamiento entraña un alto riesgo. "Si esa evaluación de impacto se realiza adecuadamente será obligatorio consultar a la AEPD, salvo que el responsable garantice que el riesgo puede mitigarse", subraya.

Por otro lado, hay que adoptar medidas de seguridad, que deberán ser "lo más rigurosas que permita el estado de la técnica, teniendo en cuenta que se trata de datos referentes a opiniones políticas cuyo tratamiento es excepcional y que suponen un importante riesgo para los derechos y libertades de las personas".

Si el tratamiento va a ser realizado por un encargado en concreto, se debe elegir a uno que de "garantías suficientes" y suscribir con él un contrato en el que se garantice que actuará "sólo siguiendo instrucciones del responsable, debiendo contemplar dichas instrucciones las garantías definidas por la Agencia".

También se debe facilitar el ejercicio de los derechos de acceso, rectificación, supresión y oposición; y en caso de que se pretenda obtener datos de terceros (que no actúen como encargados del tratamiento) el responsable deberá comprobar que esos datos fueron obtenidos de manera lícita y cumpliendo con todos los requisitos del RGPD, especialmente que el tercero tenga una legitimación específica para obtener y tratar dichos datos y que haya informado expresamente a los afectados de la finalidad de cesión a los partidos políticos.