La Agencia Española de Protección de Datos (AEPD) ha publicado ayer una circular en el Boletín Oficial del Estado en la que fija los criterios que deberán seguir los partidos políticos en su utilización de datos personales relativos a opiniones políticas y envío de propaganda en periodos electorales.

La circular ahonda en la visión restrictiva que ya fijó el informe jurídico del gabinete jurídico de la AEPD que se hizo público el pasado 19 de diciembre y expresa su preocupación también sobre las posibles amenazas que las técnicas de Big Data y la inteligencia artificial pueden suponer para el proceso electoral.

El derecho de los partidos políticos a utilizar datos personales relativos a ideología política de los ciudadanos fue consagrado en el Artículo 58 bis de la recientemente aprobada Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales apoyándose en el artículo 9.2.g) y en el considerando 56 del Reglamento General de Protección de Datos.

La AEPD fundamenta en su circular que, si bien el interés público es el fundamento del Artículo 58 bis también debe ser su límite.

La máxima autoridad española en materia de protección de datos advierte de los grandes riesgos que entraña el tratamiento de datos especialmente protegidos como la ideología por parte de los partidos políticos y cita como ejemplo el caso de Cambridge Analytica. En este caso que saltó a la luz en 2018, una organización logró datos de ideología de cientos de miles de ciudadanos norteamericanos que fueron utilizados para crear perfiles publicitarios personalizados. Estos perfiles fueron finalmente utilizados para influenciar al electorado durante la campaña de las últimas elecciones presidenciales en Estados Unidos.

La AEPD hace una mención específica en su circular al microtargeting como una de las prácticas en las que podría derivar este tratamiento de datos de ideología y prohíbe expresamente su uso por parte de los partidos políticos. El microtarteting consiste en la creación de mensajes publicitarios adaptados a cada destinatario dependiendo de sus preferencias políticas o de cualquier otra índole.

La circular advierte también de que, dado el alto riesgo que presenta el tratamiento de datos de ideología, podría haber un choque normativo con los derechos establecidos en la Constitución Española, algo que podría dejar la puerta abierta a un recurso al Tribunal Constitucional. En concreto cita los artículos 18.4 (La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos), el artículo 16 que consagra la libertad ideológica, el artículo 20 que reconoce la libertad de expresión y el 23 que establece el derecho a la participación política.

Por todo ello, la AEPD establece en el documento una serie de garantías que los partidos políticos deben ofrecer para poder llevar a cabo el tratamiento.

  • El encargado de tratamiento deberá adoptar “medidas técnicas y organizativas apropiadas, como la seudonimización, e incluso la agregación y anonimización”. Además, deberán limitar el tratamiento de los datos a la finalidad específica que recoge el Artículo 58 bis de la LOPDGDD.
  • Será obligatorio designar a un delegado de protección de datos al realizarse un tratamiento a gran escala de categorías especiales de datos personales
  • Deberá llevarse un registro de las actividades de tratamiento.
  • Se deberá realizar una evaluación de impacto al realizarse un tratamiento a gran escala de las categorías especiales de datos.
  • Deberá consultarse a la AEPD al menos 14 semanas antes del inicio del periodo electoral y antes de proceder al tratamiento conforme al artículo 36.1 del RGPD al tratarse de tratamientos que entrañan un alto riesgo, a no ser que el responsable justifique la adopción de medidas para mitigarlo.
  • Deberán adoptarse las medidas de seguridad necesarias conforme a lo previsto en el artículo 32 del RGPD.
  • Cuando el tratamiento se vaya a realizar por un encargado del tratamiento, deberá seleccionarse uno que ofrezca garantías.
  • Deberá facilitarse, de un modo sencillo y gratuito, el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición.
  • En el caso de que se pretenda obtener los datos de terceros que no actúen como encargados del tratamiento, el responsable deberá comprobar que dichos datos fueron obtenidos de manera lícita.
  • El responsable deberá cumplir con lo dispuesto en el artículo 22 del RGPD si los afectados van a ser objeto de decisiones automatizadas que les puedan afectar significativamente.

Además, la circular estipula que los datos personales utilizados durante el proceso electoral deberán destruirse una vez terminado:

“Terminado el periodo electoral deberá garantizarse la supresión de los datos personales conforme a lo establecido en la ISO 27001:2013 «Seguridad de la información» y la Norma UNE- EN15713:2010 «Destrucción del Material Confidencial. Código de Buenas Prácticas», o cualquier otra metodología de reconocido prestigio para la destrucción de la información debidamente documentada, procediéndose al bloqueo de los mismos cuando proceda de conformidad con el artículo 32 de la Ley Orgánica 3/2018.”