Carlos B Fernández. El Boletín Oficial del Estado ha publicado la Circular 1/2019 (LA LEY 3216/2019), de la Agencia Española de Protección de Datos (AEPD), por la que se fijan los criterios conforme a los que este organismo va a actuar respecto del tratamiento relativo a las opiniones políticas de los ciudadanos por los partidos, al amparo del artículo 58 bis de la LOREG (LA LEY 1596/1985).
La Circular, que entrará en vigor al día siguiente de su publicación en el BOE, se publica una vez finalizado el trámite de audiencia en el que la Agencia ha recabado la opinión de los interesados tras la introducción de esta modificación en la LOREG (LA LEY 1596/1985) por la Ley Orgánica 3/2018 (LA LEY 19303/2018).
En lo esencial, la AEPD mantiene en su interpretación restrictiva de la modificación de la LOREG (LA LEY 1596/1985), dando continuidad al informe que publicó el pasado diciembre.
La Circular, está compuesta por una parte expositiva, once artículos, una disposición transitoria y una disposición final.
Ámbito objetivo
Según su art. 1, la Circular se aplica al tratamiento de datos personales relativos a opiniones políticas por los partidos políticos al amparo del artículo 58 bis de la LOREG (LA LEY 1596/1985).
Los partidos políticos serán responsables del tratamiento.
Según el art. 2 son “Sujetos legitimados para realizar el tratamiento” de los datos objeto de la Circular, en el ámbito de la circunscripción que se corresponda con el proceso electoral al que se presenten, los partidos políticos, federaciones, coaliciones y agrupaciones de electores que presenten las correspondientes candidaturas y resulten proclamadas conforme a los artículos 43 y siguientes de la LOREG (LA LEY 1596/1985).
Estos sujetos ostentarán la condición de responsables del tratamiento conforme al artículo 4.7) del RGPD. Sin embargo, el tratamiento de los datos podrá encomendarse a otro sujeto en calidad de encargado del tratamiento quien deberá ajustarse estrictamente a las instrucciones del responsable y previa suscripción del contrato previsto en el artículo 28 del RGPD.
Por otra parte, dichos datos no podrán ser comunicados ni transferidos a terceros.
El interés público esencial como base jurídica del tratamiento
Según el art. 3, solo será posible el tratamiento de datos personales que se refieran a opiniones políticas por los partidos políticos conforme al artículo 58 bis de la LOREG (LA LEY 1596/1985) cuando concurra “un interés público esencial conforme al artículo 9.2.b) del RGPD y se adopten las garantías adecuadas previstas en el artículo 7 de esta circular”.
Limitación al período electoral y para actividades de propaganda
El art. 4 (“Marco en el que se habilita el tratamiento2) establece que “El tratamiento de los datos al amparo del artículo 58 bis de la LOREG (LA LEY 1596/1985) solo será lícito durante el periodo electoral y respecto de las actividades de propaganda y actos de campaña electoral reguladas en la sección 5.ª del capítulo VI del título I de la LOREG (LA LEY 1596/1985)”.
A este respecto “El responsable deberá determinar la finalidad o finalidades que se persiguen con el tratamiento, que en todo caso deberán guardar relación con su actividad electoral conforme a lo señalado en el apartado anterior”.
Definición de los datos que se podrán tratar. Exclusión de los datos inferidos.
Según el art. 5 de la Circular, solo podrán ser objeto de recopilación las opiniones políticas de las personas libremente expresadas por éstas en el ejercicio de sus derechos a la libertad ideológica y que hayan sido extraidos de páginas web y otras fuentes de acceso público.
A estos efectos se entiende por fuentes de acceso público aquellas cuya consulta puede ser realizada por cualquier persona, quedando excluidas otro tipo de fuentes en las que el acceso está restringido a un círculo determinado de personas.
En ningún caso podrán ser objeto de tratamiento otro tipo de datos personales a partir de los que, aplicando tecnologías como las de tratamiento masivo de datos o las de inteligencia artificial, se puede llegar a inferir la ideología política de una persona.
El tratamiento de cualquier otro tipo de datos personales u obtenidos de otras fuentes por los sujetos legitimados deberá ampararse en alguna de las bases legitimadoras del
artículo 6 del RGPD y encontrarse en alguna de las excepciones del artículo 9.2 RGPD si se trata de categorías especiales de datos.
Limitación del tratamiento. Prohibición del microtargeting
Según el art. 6, “Corresponderá al responsable determinar las actividades de tratamiento a realizar conforme al artículo 4.2) del RGPD que, en todo caso, deberán ser proporcionales al objetivo perseguido consistente en garantizar el adecuado funcionamiento de un sistema democrático.”
Por ello no se consideran admisibles “tratamientos no proporcionales como el microtargeting ni los que tengan por finalidad forzar o desviar la voluntad de los electores”.
Tratándose de datos personales relativos a opiniones políticas, estos solo podrán ser objeto de recopilación conforme a lo previsto en el artículo 58 bis de la LOREG (LA LEY 1596/1985) y el artículo 1 de esta Circular.
Prohibición de la elaboración de perfiles individualizados
La Agencia se muestra particularmente preocupada por la posibilidad de que los partidos elaboren un perfilado ideológico de los ciudadanos y por ello, el mismo art. 6 establece también que:
1. Si se pretende la elaboración de perfiles, se deberá ser especialmente riguroso con el nivel de detalle y la exhaustividad del mismo,
2. Únicamente se considera admisible la elaboración de perfiles generales y por categorías genéricas,
3. No se admite la realización de perfiles individuales o realizados atendiendo a categorías muy específicas. Es decir, sólo se pueden deducir patrones de conducta generales de la población de forma agregada, pero no de titulares de datos personales concretos.
En todo caso, se añade, “resultarán de aplicación al tratamiento todos los principios recogidos en el artículo 5 del RGPD”.
Relación de las garantías consideradas adecuadas
El art. 7 establece una relación de medidas adecuadas y específicas para proteger los intereses y derechos fundamentales de los afectados.
Sin embargo esta relación no se considera cerrada y se realiza “sin perjuicio de cualquier otra que estime el responsable del tratamiento y las que puedan exigir otros órganos en el ámbito de sus competencias”:
1. Seudonimización, agregación y anonimización de los datos
Conforme al principio de responsabilidad desde el diseño y por defecto previsto en el artículo 25 del RGPD, tanto en el momento de determinarse los medios de tratamiento como en el momento del propio tratamiento, deberán adoptarse medidas técnicas y organizativas apropiadas, como la seudonimización, e incluso la agregación y anonimización.
2. Tratamiento del mínimo de datods
Deberá garantizarse que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Igualmente deberá garantizarse que estos datos no serán accesibles, sin intervención de la persona, a un número indeterminado de personas.
3. Designación de un delegado de protección de datoss
Al estarse ante la realización de tratamientos a gran escala de categorías especiales de datos personales, será obligatorio designar a un delegado de protección de datos, el cual, “atendiendo al alto riesgo asociado a estos tratamientos”, desempeñará las funciones que se le atribuyen por los arts. 39 del RGPD y 36 y 37 de la LOPDPGDD (LA LEY 19303/2018) “con especial diligencia”.
4. Registro de actividades de tratamientoo
En todo caso resultará obligatoria la llevanza de un registro de las actividades de tratamiento, con el contenido señalado en el artículo 30 del RGPD. Estos registros deberán ser “precisos y claros, conforme a los principios de lealtad y transparencia, en la descripción de los fines del tratamiento, y de las categorías de interesados y de datos personales objeto de tratamiento”.
5. Realización de una evaluación de impactoo
Se deberá realizar una evaluación de impacto relativa a la protección de datos, al realizarse un tratamiento a gran escala de las categorías especiales de datos conforme a lo dispuesto en el artículo 35.3 del RGPD.
6. Consulta previa a la AEPD
Al tratarse de tratamientos que entrañan un alto riesgo, deberá consultarse a la AEPD antes de proceder al tratamiento (artículo 36.1 del RGPD) y al menos 14 semanas antes del inicio del periodo electoral.
Todo ello a no ser que el responsable justifique la adopción de medidas para mitigarlo, en cuyo caso deberá remitirse a la AEPD el análisis de riesgos y la evaluación de impacto junto a la justificación de las medidas adoptadas, al amparo de lo previsto en el artículo 58.1. a) y e) del RGPD. La remisión de esta documentación deberá realizarse igualmente al menos 14 semanas antes del inicio del período electoral.
7. Adopción de las medidas de seguridad más rigurosass
Teniendo en cuenta que se están tratando datos referentes a las opiniones políticas de los ciudadanos, cuyo tratamiento es excepcional y que suponen un alto riesgo para los derechos y libertades de las personas físicas, la Circular establece que deberán adoptarse las medidas de seguridad más rigurosas que permita el estado de la técnica.
8. Selección de un encargado del tratamiento adecuado, en su casoo
Cuando el tratamiento se vaya a realizar por un encargado del tratamiento, deberá seleccionarse uno que ofrezca garantías suficientes, con el que deberá haberse suscrito un contrato con el contenido del artículo 28 del RGPD, en el que deberá quedar plenamente garantizado que el encargado actuará solo siguiendo instrucciones del responsable, debiendo dichas instrucciones contemplar todas las garantías adecuadas a las que se hace referencia en la presente circular.
9. Ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición de los interesados
Deberá facilitarse, de un modo sencillo y gratuito, el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición, conforme a lo previsto en el artículo 12 del RGPD y, en cuanto al derecho de oposición, conforme a lo previsto en el apartado 5 del artículo 58 bis de la LOREG (LA LEY 1596/1985).
10. Comprobación de los datos se obtuvieron lícitamentoe
En el caso de que se pretenda obtener los datos de terceros que no actúen como encargados del tratamiento, el responsable deberá comprobar que dichos datos fueron obtenidos de manera lícita y cumpliendo con todos los requisitos del RGPD, especialmente que el tercero tiene una legitimación específica para obtener y tratar dichos datos y que ha informado expresamente a los afectados de la finalidad de cesión a los partidos políticos (principio general de responsabilidad proactiva del artículo 5.2 del RGPD y artículos 24 y 25 del mismo).
11. Adopción de decisiones automatizadass
El responsable deberá cumplir con lo dispuesto en el artículo 22 del RGPD si los afectados van a ser objeto de decisiones automatizadas, incluida la elaboración de perfiles, siempre que el tipo de tratamiento que prevea, por sus características y teniendo en cuenta de nuevo la naturaleza de los datos tratados, pueda afectar significativamente a los ciudadanos.
12. Acreditación documental de las garantías aplicadass
El responsable del tratamiento y, en su caso, el encargado, deberán ser capaces de acreditar documentalmente la adopción de las garantías anteriormente indicadas.
Deber de información a los interesados
Según el art. 8, “En todo caso deberá cumplirse con el deber de información previsto en los artículos 13 y 14 del RGPD, que deberá realizarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo de acuerdo con el artículo 12 del RGPD, siendo de aplicación lo previsto en el artículo 11 de la Ley Orgánica 3/2018 (LA LEY 19303/2018).
Del mismo modo, cuando el responsable pretenda obtener los datos de un tercero, deberá comprobar que dicho tercero ha cumplido con su obligación de informar sobre los mismos extremos a los afectados, al menos de forma electrónica según lo indicado en al apartado anterior.
Excepción: Cuando se considere que la comunicación individual de dicha información a los afectados resulta imposible o suponga un esfuerzo desproporcionado, deberá facilitarse en forma electrónica en el sitio web del responsable, así como en las cuentas que tenga en redes sociales y servicios equivalentes.
Momento en el que deberán adoptarse las garantías adecuadas (Art. 9)
• Antes del comienzo del periodo electoral: los responsables que vayan a presentar las correspondientes candidaturas podrán realizar las actuaciones necesarias para preparar los tratamientos que vayan a desarrollar en el periodo electoral, conforme a las obligaciones señaladas en los artículos anteriores, pero sin poder iniciar los tratamientos. En especial, las relativas al registro de actividades, evaluación de impacto, consulta previa, designación del delegado de protección de datos si no lo hubieran designado con anterioridad y la celebración, en su caso, del contrato de encargado del tratamiento.
• Durante el periodo electoral: podrá iniciarse el tratamiento, debiendo en primer lugar cumplir con la obligación de información conforme al artículo 8 y velar por el cumplimiento de la normativa de protección de datos.
En el caso de que los sujetos que hayan presentado candidaturas no resulten proclamados, deberá interrumpirse inmediatamente el tratamiento y procederse a la supresión de los datos conforme al apartado siguiente.
• Terminado el periodo electoral: deberá garantizarse la supresión de los datos personales conforme a lo establecido en la ISO 27001:2013 «Seguridad de la información» y la Norma UNE- EN15713:2010 «Destrucción del Material Confidencial. Código de Buenas Prácticas», o cualquier otra metodología de reconocido prestigio para la destrucción de la información debidamente documentada, procediéndose al bloqueo de los mismos cuando proceda de conformidad con el artículo 32 de la Ley Orgánica 3/2018 (LA LEY 19303/2018).
La propaganda electoral enviada por medios electrónicos deberá identificarse como tal
El art. 11 de la Circular reitera lo dispuesto en el apartado 3 del artículo 58 bis de la LOREG (LA LEY 1596/1985), en el sentido de que el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
Por ello, y “en todo caso”, en los envíos que se realicen deberá constar su carácter electoral y la identidad del remitente.
Asimismo, deberá facilitarse de un modo sencillo y gratuito el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición, con especial atención en el caso de este último, conforme al apartado 5 del artículo 58 bis de la LOREG (LA LEY 1596/1985).
En caso de ejercicio del derecho de oposición, los datos personales dejarán de ser tratados para el envío de propaganda electoral mientras el afectado no preste su consentimiento expreso.
Aplicación de la Circular al actual período electoral
Dada la imposibilidad de cumplir el plazo de 14 semanas para consultar a la AEPD sobre el tratamiento de estos datos, o la remisión de la documentación justificativa de la adopción de las medidas adecuadas para mitigar los riesgos, respecto a los procesos electorales del 28 de abril y de 26 de mayo de 2019, la disposición transitoria de la Circular ha establecido que dicha consulta “deberá realizarse, en su caso, con una antelación mínima de tres semanas al inicio de la campaña electoral, debiendo emitirse el correspondiente informe o adoptarse las medidas oportunas con anterioridad al inicio de la misma”.
Recurso de inconstitucionalidad contra el art. 58 bis.1 LOREG (LA LEY 1596/1985)
El art. 58 bis (LA LEY 1596/1985) 1 de la LOREG (LA LEY 1596/1985) ha sido objeto de recurso de inconstitucionalidad por el Defensor del Pueblo, encontrándose pendiente de admisión a trámite por el TC.