Tras la aprobación por parte del Congreso de los Diputados del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales y su actual tramitación en el Senado, uno de los aspectos que han generado mayor debate y controversias es la Disposición Final Tercera sobre la modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.
Dicha disposición hace introduce un nuevo artículo (cincuenta y ocho bis), en relación con la utilización de medios tecnológicos y datos personales en las actividades electorales. Dos son los aspectos que han generado mayores dudas desde el punto de vista jurídico: (i) la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas, y (ii) los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
De cara a analizar su impacto y legitimación, debemos tener en cuenta lo establecido en el propio Reglamento General de Protección de Datos, que en su Considerando 56 dice, “si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.”
En este sentido debemos destacar que dicho Considerando no establece un tratamiento directo, si no, la posibilidad de establecerse una autorización por razones de interés público por los Estados miembros.
A nadie escapa que el tratamiento de los datos personales en el ámbito electoral tiene un fuerte impacto, tal y como hemos visto, por ejemplo, en Estados Unidos, en la campaña electoral de Obama y más concretamente en la de Trump. Conocer las necesidades del votante, facilita, tanto la elaboración de programas electorales como la definición del voto dudoso. Al final, la realización de estudios de mercado personalizados en tiempo real con un gran margen de acierto, cuestión que ha conllevado que, en dichos equipos de campaña, se hayan unido expertos en big data y análisis de datos.
No obstante, es importante recordar que la información que implique el tratamiento de aspectos ideológicos o políticos tiene la consideración de sensible, estableciéndose en el propio Reglamento General de Protección de Datos un régimen especial de tratamiento, con una serie de obligaciones reforzadas, así como la aportación de garantías en relación con la idoneidad del tratamiento, la proporcionalidad de este o la seguridad aportada.
Así las cosas, dicho Considerando no debe entenderse como una patente de corso para abrir el tratamiento a los partidos políticos. En este sentido, la información puede ser utilizada, dentro de ese “interés público” para diferentes fines:
- La fidelización del votante del partido político que realiza el análisis.
- La identificación de votantes contrarios a los propuesto, que posibiliten anular dichas opiniones contraprogramando o estableciendo una estrategia electoral determinada.
- Otros tratamientos de datos con finalidades que nada tienen que ver con el interés público.
-
Sobre este aspecto, debemos tener en cuenta que, el Reglamento, establece entre las causas legitimadoras del tratamiento, dos conceptos: el interés legítimo y el interés público. Conceptos jurídicos, en ocasiones, indeterminados, que por parte del usuario pueden generar dudas en cuanto a su aplicación, o asemejarse a un cajón desastre donde todo puede caber.
En este sentido, el artículo 9 del Reglamento, establece como norma general que, “quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.” Estableciéndose entre las excepciones a dicha norma general:
- El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados.
- El tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
-
En el primer caso, se refiere a tratamientos que afecten exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos, caso ante el que no nos encontramos con la redacción del Proyecto de Ley Orgánica.
En el segundo supuesto se establecen determinadas garantías que deben adoptarse, en relación con “respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado”, aspectos que no se recogen en la redacción propuesta
Para aportar dichas garantías debería matizarse aún mas las finalidades de dicho tratamiento por los partidos políticos, en relación con el “interés público”, dejando fuera de la redacción otros tratamientos o la posibilidad de hacer listas blancas o negras, aspecto ampliamente sancionado por las propias Autoridades de control, que afecta más al tratamiento de los datos por el responsable del tratamiento en su actividad diaria. A mayor abundamiento, debe hacerse una mención a la definición del propio concepto de interés público, entendido como tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, por lo que, de las diferentes finalidades para la que puedan ser tratados los datos, pueden entenderse determinadas amparadas bajo este concepto y otras que hacen referencia a un interés particular. Igualmente, la ampliación de esta fuente de legitimación puede implicar que otros sectores, ligados al sector público, directa o indirectamente, puedan invocar dicho precepto para realizar otros tratamientos de datos.
Otros aspectos, como la conservación de los datos una vez haya finalizado la finalidad para que fueron recabados, plantean dudas sobre el plazo de validez, ¿cuatro años? ¿qué ocurre entre elecciones?, es importante recalcar que los datos no pueden ser tratados y almacenados sin caducidad, y que, en caso de tratarse la información anonimizada o seudoanonimizada se deban establecer garantías suficientes, que no permitan la reidentificación de los ciudadanos.
Otras de las cuestiones que genera inseguridad jurídica hace referencia, tanto a qué datos van a ser tratados, como de quién, recordemos que en un comentario, un post o un perfil social, puede hacer información del propio usuario, información que este facilite de terceros, o terceros que interactúen con éste, por lo que las garantías que deban establecerse, deberán ser mayores relativos a estos aspectos.
¿Cómo aplicaría el ejercicio de derechos por los usuarios, por ejemplo, el derecho de acceso o supresión? ¿qué ocurre si el usuario da de baja su perfil social, por lo que la “fuente” de la que se obtuvo deja de estar viva, pudiendo afectar a la autonomía de la voluntad? En este sentido, el derecho de acceso, por ejemplo, implicaría que el ciudadano tiene derecho a conocer que información se está tratando sobre él, en el caso del derecho de supresión, parce a priori que esta legitimación introducida en la nueva norma podría imponer determinadas limitaciones al ejercicio de este, al igual que podría ocurrir con el derecho de portabilidad o de oposición. Otro interrogante, ¿cabría el derecho de rectificación si el usuario ha cambiado alguna opinión o criterio? Sin duda son muchos los interrogantes que pueden abrirse en torno a este nuevo tratamiento de datos personales.
Finalmente, en relación con la redacción facilitada, sorprende la inclusión de un término obsoleto a nivel legislativo en materia de protección de datos como es “fuente accesible al público”, de este concepto, a priori, puede desprenderse que, internet o las redes sociales son fuentes, y en tanto se pueda acceder a las mismas, son accesibles al público. En este sentido debe hacerse especial hincapié con el ámbito personal de la información facilitada por el usuario, así como las propias reglas de juego de la fuente que se pretende analizar, el hecho de compartir un comentario, no significa que este autorizando, abiertamente, el tratamiento por parte de cualquier usuario, aspecto al que se une otra gran duda jurídica, cómo se obtendrá esta información si el usuario tiene cerrado su perfil social, o fuese necesario por parte del responsable de la red social la apertura de dicha información.
El cambio de reglas de uso de los datos personales, finalmente, deben partir del respeto a los derechos fundamentales que protege, el honor, la intimidad personal y familiar, la libertad de expresión, entre otros, por lo que, en caso de prosperar dicha modificación legal, deberán aportarse mayores garantías y límites al tratamiento, así como a la conservación y explotación de la información.