La Agencia Española de Protección de Datos (AEPD) ha publicado en el BOE su Circular sobre el tratamiento de datos personales relativos a opiniones políticas y propaganda electoral, en la que delimita "de manera restrictiva" la interpretación de la última reforma de la Ley Electoral: si peinan las redes en busca de nuestras opiniones políticas, los partidos tienen que demostrar que lo hacen "por interés público", no pueden realizar perfiles personalizados de los votantes y "en ningún caso" se pueden usar técnicas de inteligencia artificial o 'big data' para inferir la ideología política de una persona.

Asimismo, la actividad de rastreos de datos por internet "sólo será lícita durante el periodo electoral y respecto de las actividades de propaganda y actos de campaña electoral", y todos esos datos deberán destruirse o bloquearse de forma "debidamente documentada" una vez terminado dicho periodo.

La Circular de Protección de Datos nace por la preocupación de la agencia a partir de la reforma de la Ley Electoral (LOREG) que incluía la última versión de la Ley Orgánica de Protección de Datos (LOPD): se creaba un artículo (58 bis) en la propia LOREG que da prácticamente carta blanca a los partidos políticos para peinar las redes en busca de nuestros datos y opiniones, de modo que pudiesen usar esa información para el envío de propaganda electoral segmentada. Un precepto tan polémico que el Defensor del Pueblo lo ha recurrido ante el Tribunal Constitucional.

Contenido del artículo 58 bis de la LOREG. BOE

Esa nueva norma, de facto, habilita actividades muy polémicas como las de Cambridge Analytica, todo un escándalo internacional ya que de forma opaca se puede adaptar los mensajes políticos a los gustos y preferencias de los votantes, y enviar esas consignas directamente al teléfono móvil de cada votante: como muestras, la ascensión al poder del ultraderechista Jair Bolsonaro en Brasil (WhatsApp mediante) o la agresiva campaña del Brexit en el Reino Unido.

De hecho, en la propia Circular la AEPD se suma a la "preocupación sobre el uso del 'big data', la inteligencia artificial y la aplicación del microtargeting en los procesos electorales y que pueden llevar a la manipulación de las personas mediante la realización de perfilados exhaustivos y el fenómeno de las 'fake-news' o 'desinformación online'".

Esta Circular impone una interpretación del artículo 58 bis de la LOREG que realizará el propio organismos a la hora de amparar las posibles quejas de los ciudadanos, siempre y cuando detecten que los partidos políticos han rastreado sus opiniones y usan sus datos para el envío de propaganda electoral.

Durante dos semanas, Público ha recabado la postura de varios de los principales partidos al respecto: los que contestaron a las preguntas de este medio, aseguraron que no realizan ese tipo de actividades —a pesar de que en algunos casos es evidente que lo hacen—, mientras que varios de ellos optaron por no contestar. PP y PSOE afirmaron que esperarían a la publicación de esta Circular para decidir qué hacer, se entiende que a partir de mañana martes, momento de su entrada en vigor.

Algunas novedades

Como novedades respecto del borrador inicial, que se sometió a audiencia pública para recabar opiniones internas y externas, se añade un plazo para que los partidos que vayan a realizar esta actividad informen a la Agencia: 14 semanas antes del inicio del periodo electoral, aunque una disposición transitoria hace una excepción para este año, con cruciales citas electorales los próximos días 28 de abril y de 26 de mayo: sólo tres semanas.

Además, también restringe el permiso que otorga la Ley Electoral para recabar datos exclusivamente a partidos y agrupaciones cuyos candidatos hayan sido proclamados, y limita la actividad a las circunscripciones correspondientes al proceso electoral en la que se presenten.

En la Circular, además, se establecen una serie de criterios interpretativos: 

1) La agencia insiste en que "las únicas fuentes de las que se pueden obtener los datos personales sobre opiniones políticas son las páginas web y aquellas otras fuentes que sean de acceso público", y como "fuentes de acceso público" se refiere a las que puede "consultar cualquier persona".

2) Para la AEPD no resultarán admisibles "tratamientos no proporcionales como el 'microtargeting' ni los que tengan por finalidad forzar o desviar la voluntad de los electores", y sólo se permitirá "la elaboración de perfiles generales y por categorías genéricas, pero no la realización de perfiles individuales o realizados atendiendo a categorías muy específicas".

3) La agencia ha insistido mucho en que "no se va a permitir el tratamiento de datos personales a partir de los cuales se puede llegar a inferir la ideología política de una persona", y así queda recogido en la Circular.

4) También pretende obligar, antes siquiera de la recogida de los datos rastreados, a cumplir con las garantías que impone el Reglamento General de Protección de Datos europeo, especialmente "el registro de actividades, la evaluación de impacto, la consulta previa, la designación del delegado de protección de datos si no lo hubieran designado con anterioridad y la celebración, en su caso, del contrato de encargado del tratamiento".

5) Durante el periodo electoral, tendrán que cumplir "en primer lugar" con la obligación de informar a los afectados o titulares de los datos. Y si los candidatos no resultan proclamados "deberá interrumpirse inmediatamente el tratamiento y procederse a la supresión de los datos".

6) Cuando termine el periodo electoral, los partidos deberán suprimir (y realizar dicha "destrucción de la información debidamente documentada") o bloquear los datos.

7) En cuanto al 'spam' electoral, la agencia recuerda que los datos personales tales como números de teléfono, correo electrónico u otros similares "deberán haber sido obtenidos lícitamente" y "deberán corresponder a personas que puedan ejercer su derecho al voto en el ámbito de la circunscripción que se corresponda con el proceso electoral al que se presenten".

8) Toda esa propaganda digital deberá incluir remitente y dejar claro su carácter electoral, y "deberá facilitarse de un modo sencillo y gratuito el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición, con especial atención en el caso de este último". Ojo, si te opones una sola vez, no se podrán usar esos datos para sucesivos envíos de 'spam' electoral.

Ante la duda, denuncia

Algunos juristas ya han puesto el grito en el cielo, ya que la agencia se ha puesto a regular mediante una Circular todo lo que no dice el artículo 58 bis, en concreto las garantías que han de respetarse en la recogida y tratamiento de datos sobre opiniones políticas

"Las garantías de un derecho fundamental no las puede establecer la Agencia Española de Protección de Datos en una Circular que solamente tiene efectos administrativos", comenta a este diario el abogado especializado Carlos Sánchez Almeida, director jurídico de la Plataforma en Defensa de la Libertad de Información (PDLI). "Cualquier desarrollo de una Ley Orgánica tiene que desarrollarlo el Parlamento, no la agencia", protesta.

"La agencia no puede 'legislar' en donde el Legislador no ha legislado", resume Almeida, que explica: "Esta Circular no puede sustituir a lo que debería haber estado en la ley, que son las 'garantías adecuadas', en la medida en que dichas garantías son el desarrollo de un derecho fundamental".

"Todo lo que han hecho es una cataplasma sobre los errores cometidos en la tramitación de la norma; ni siquiera la AEPD se ha posicionado inequívocamente y desde el primer momento en contra del artículo 58 bis de la Ley Electoral, casi lo bendijo tras la votación en el Senado ya que salió enseguida a defender el texto", recuerda este jurista.

En opinión de Almeida, la gente debería comunicar de manera inmediata cualquier notificación sospechosa de ser propaganda política en el móvil, especialmente en WhatsApp, Telegram y demás servicios de mensajería (dado su carácter cerrado), además de Facebook. "A la primera petición de voto por WhatsApp, denuncia inmediata", aconseja, y añade: "Todo lo que no sean expedientes sancionadores de la agencia, no va a ninguna parte".

Protección de Datos no investigará de momento

En cualquier caso, Protección de Datos puede iniciar de oficio expedientes informativos sobre los partidos políticos, tal y como hace a través de planes sectoriales, aunque no parece que de momento vaya a realizar dichas indagaciones a los partidos.

Fuentes oficiales de la agencia comentaron a Público, tras una consulta, que "los planes sectoriales de oficio tienen entre sus finalidades emitir recomendaciones con el objetivo final de elevar el nivel de cumplimiento de un determinado sector y no tienen carácter sancionador sino preventivo".

"En el caso del tratamiento de datos por parte de los partidos políticos, la Agencia ya ha publicado la Circular 1/2019, que fija, entre otros puntos, las garantías que deben aplicar los partidos políticos, federaciones, coaliciones y agrupaciones de electores", explica, y agrega: "El texto posee un rango normativo superior a unas recomendaciones realizadas en un plan sectorial".