LOPD partidos políticos fuentes de acceso publico

LOPD Partidos políticos y fuentes accesibles al público

 

El nuevo proyecto de LOPD contiene una regulación novedosa: lo que los partidos políticos podrán hacer con nuestros datos personales publicados en la web o en redes sociales.

El proyecto de LOPD ha sido aprobado por unanimidad en el Congreso de los Diputados. Algo no muy frecuente, en los últimos años.

¿Os removéis inquietos? No os falta razón.

Si me acompañais, en este post:

  • Resumiremos cómo está la cosa hoy en día (qué pueden y qué no pueden hacer los partidos políticos en la actualidad).
  • Analizaremos el texto propuesto del artículo. Verán qué risa.
  • Explicaremos qué supondría (o ¡Ainsh!, supondrá) su aplicación futura en sus actuales términos.
  • Daremos un poco de contexto a la situación, viendo cómo se han tratado estas cuestiones en otros países por aquí cerca.

Si estáis preparados para esto (eso os pensáis, ja) cogedme la manita y acompañadme. Podéis apretarme la mano si sentís emociones fuertes.

Un análisis más detallado del Proyecto de LOPD, en el Blog Secuoya.

¿Quo vadis, Proyecto de LOPD?

Al proyecto de nueva LOPD, en la recta final de su azaroso camino, le han salido como unos bultos.

Pobrecito mío.

Y unas disposiciones adicionales y finales, embutidas como clavos postreros, típicas chapuzas provisional-permanentes, de esas que se meten sin muchos miramientos porque la cosa corre prisa, y acabamos sufriendo durante lustros.

La disposición final tercera, que modifica, ni corta ni perezosa, la Ley Orgánica del Régimen Electoral General.

De todo lo que habría que modificar en esa ley, precisamente en esa ley, sus ilustres señorías han elegido esto:


«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades
electorales.
1.
La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.

2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrá(n) la consideración de actividad o comunicación comercial.
4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.»

Lo pongo en Comic sans serif porque siempre que leo algo escrito en esta fuente me parece que va de coña. Así que, no sé, me parece coherente.

LOPD partidos políticos fuentes de acceso publico

¿Cómo te quedas?

Cuenta hasta diez, querido lector. De diez a uno funciona mejor.

Sí, lo sé. Yo también saboreo mi propia bilis en estos momentos.

Como tú.

¿Qué pueden hacer los partidos políticos con la actual LOPD?

Las opiniones políticas son consideradas datos de categoría especial por el RGPD. Y de acuerdo con su art. 9, está prohibido en general tratar este tipo de datos, salvo que aplique alguna de las excepciones recogidas en el apartado dos. Excepciones que, como tales, se interpretan restrictivamente.

Por tanto, si esta disposición no entra en vigor, los partidos políticos están sujetos al régimen común del Reglamento General de Protección de Datos Europeo, que en tres pinceladas sería el siguiente:

1.- Los partidos políticos sólo podrán recopilar y tratar nuestros datos consistentes en “opiniones políticas” concurriendo conjuntamente estos dos factores:

  • Alguna de las excepciones del art. 9.2. RGPD (normalmente la a) –consentimiento explícito-, la d) – tratamiento por el partido de datos de afiliados o simpatizantes-, g) –interés público esencial– o la tristemente conocida por lo mal interpretada e) datos hechos manifiestamente públicos por el interesado.
  • Alguna de las bases de legitimación del art 6 RGPD (una de las seis bases generales: consentimiento, contrato, obligación legal, interés vital, interés público, interés legítimo).

 

Todo esto ya lo vimos por aquí. En su momento, poner al Ciudadano en porretas ilustrando el post me pareció oportuno. Ahora me parece profético.

Podéis llamarme Nostradamus. Pero sigamus.

2.- No pueden utilizar datos personales obtenidos en páginas web ni otras fuentes de acceso público.

Porque ni ellos ni nadie puede captar y utilizar datos personales obtenidos en páginas web ni redes sociales, sin cumplir las obligaciones impuestas por el RGPD.

Porque el RGPD no reconoce nada llamado sólo menciona pero no regula las “fuentes de acceso público”.  Y por eso en mi humilde opinión, la regulación de la LOPD en este punto ya no es aplicable. esa cosa ya no existe.

La LOPD regulaba como fuentes de acceso público, el censo promocional, la edición más actualizada de los repertorios telefónicos y los listados de colegiados, boletines oficiales y medios de comunicación.

Pero los buenos viejos tiempos pasaron.

Hoy, si quieres tratar un dato personal “accesible” en esas fuentes, debes asumir que te erigirás en responsable de ese tratamiento y tendrás que cumplir tooodo el RGPD en dicha condición (tener base legítima, hacer un tratamiento lícito, informar al titular, etc, etc, etc)

3.- Si quieren enviar comunicaciones comerciales (y no otra cosa son los mensajes de contenido electoral) por medios electrónicos, tienen que cumplir la LSSI, si utilizan medios electrónicos. O claro, jugársela por alguna otra vía, ejem, arriesgada. Como cada hijo de vecino.

Ahora que tenemos claras las normas para todos, sigamos.

¿Qué podrían hacer los partidos políticos con la nueva LOPD?

Examinemos más tranquilamente este artículo 58 bis: parece que quiere tener tres efectos:

  1. Pretende regular una “habilitación legislativade esas que tanto gustan por estos lares, para que de acuerdo con el art 9.2.g) del RGPD, los partidos políticos puedan:
    • recopilar (apartado primero) datos personales relativos a las opiniones políticas de las personas, amparándose en el interés público, siempre que se ofrezcan garantías adecuadas.
    • utilizar datos personales obtenidos (tachaaaan) en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el período electoral. Aquí no se cita el interés público, ni ninguna garantía adecuada.
  2. Recupera la categoría derogada por el RGPD de las “fuentes accesibles al público”. Y no sólo la recupera, sino que la gigantiza, al incluir (chaaraaaráááááááánn) “las páginas web”. Que nunca estuvieron ahí.
  3. El apartado 3 ofrece salvoconducto a los partidos políticos para pasarse por el forro de sus caprichos los requisitos de la LSSI (vigentes –o no– para el resto de la humanidad) relacionados con el envío de comunicaciones comerciales. Esto, que sería una tropelía por sí sola, se queda en mera anécdota comparado con las dos burradas anteriores.

¿Hay motivos para preocuparse?

Todos los del mundo.

No hace falta entrar en detalles, creo: Los partidos políticos en este pobre país no vienen siendo precisamente ejemplo de accountability para nadie.

De lo que estamos hablando es de dejar las manos libres para unas organizaciones con los máximos incentivos para utilizar cuantos medios tengan a su alcance para conseguir su objetivo: ganar elecciones y conseguir el poder.

Además, cuentan con miles de voluntarios, que se distinguen más por estar orientados al mismo objetivo de que su equipo gane el clásico, que por estar preparados y concienciados para cumplir con las garantías cualificadas que exige el tratamiento de datos de categoría especial.

Ya luego están esas nuevas empresas tecnológicas capaces -en teoría- de desequilibrar campañas electorales con modernas técnicas de big data aplicadas sobre esos datos de categoría especial.

Aunque en esto último soy muy escéptico –por lo menos hoy en día-, gente mucho más preparada y desde luego posicionada que yo, sí está muy preocupada por estos temas.

Veamos.

LOPD partidos políticos fuentes de acceso publico

El Informe 3/2018 sobre manipulación online y datos personales

Un, dos, tres, responda otra vez: el Europan Data Protection Supervisor (el supervisor europeo de protección de datos) que emitió a principios de este año su informe 3/2018 sobre manipulación online y datos personales.

El supervisor europeo de protección de datos es un tal Giovanni Buttarelli.

Buttarelli ha ganado unos diez balones de oro en el ámbito de protección de datos europeo.

Y si no los ha ganado, debería.

El documento merece un par de lecturas sosegadas, pero en lo que interesa aquí hoy, dice lo siguiente:

Buttarelli equipara en riesgo los tratamientos de datos incontrolados realizados por “los publicistas o actores comerciales” (sustancialmente el sector del e-marketing directo) y por los “publicistas o actores no comerciales” (Gobiernos, candidatos, partidos políticos, lobbies…).

Y en otros países, ¿cómo se regula el tratamiento de datos por parte de partidos políticos?

Respecto a estos “actores no comerciales”, el informe nos proporciona un contexto muy necesario para valorar adecuadamente el nefando 58 bis del Proyecto de LOPD:

  1. En marzo del 2014, la Autoridad Italiana reguló el tratamiento de datos personales por partidos políticos, estableció la prohibición general de utilizar datos personales publicados en internet (redes sociales, foros, etc…) con finalidades políticas, si los mismos habían sido captados con otras finalidades.
  2. En noviembre del 2016, la Autoridad Francesa (CNIL) emitió unas directrices sobre el tema, subrayando que el tratamiento de datos personales de los votantes para su perfilado y selección en redes sociales sólo puede ser lícito con base en el consentimiento (y entiendo que explícito). Lo mismito que en el texto en trámite.
  3. La autoridad británica (ICO) también emitió sus propias guidelines en abril de 2017. Destaco alguna cosilla:

 

La experiencia revela que nada jode más al británico medio que el marketing directo no deseado, y en particular (¿adivinan?) el que proviene de partidos políticos. La primera en la frente.

Después desglosa las normas aplicables a cada vía de envío de marketing, para clarificar su estricto cumplimiento en el ámbito de una campaña política (no para exceptuarlo, como los padres de esta nuestra pobre patria).

En el ámbito de la analítica de datos, subraya lo ya sabido por todos: si un partido político recoge datos de la web o de otra fuente, tiene que informar al interesado directamente sobre lo que se propone hacer con dichos datos. Como cada hijo de vecino.

Aunque la información esté “aparentemente accesible al público”, como ocurre en internet y en redes sociales, ello no significa que se pueda reutilizar para cualquier fin. Y si así sucede, el partido se erige en responsable de tratamiento, y tiene que cumplir con toda la normativa de protección de datos. Vamos, que dice lo mismo que decía la autoridad italiana.

Justificando nuevas normas legales restrictivas de derechos

Buttarelli en otro informe también reciente “Auditando la necesidad de medidas que limitan el derecho fundamental a la protección de datos personales: un set de herramientas” sintetiza el trabajo de justificación interna a realizar por el legislativo de un estado miembro antes de dictar normas que limiten el derecho de protección de datos o el derecho de privacidad de los ciudadanos.

Lo que más interesa aquí es:

  • Premisa mayor: el simple tratamiento de datos personales de un ciudadano restringe su derecho de protección de datos (aunque la información tratada no sea sensible). No lo digo yo, lo ha dicho el Tribunal de justicia de la Unión Europea mil veces. No existen tratamientos no lesivos (de ahí las garantías básicas y universales impuestas por el art. 5 RGPD).
  • La norma que establezca medidas restrictivas de este derecho fundamental debe tener rango de ley.
  • Debe respetar la esencia del derecho afectado, como opuesto a dejarlo sin contenido.
  • Debe perseguir genuinamente objetivos de interés general reconocidos en el Derecho de la Unión Europea, o la necesidad de proteger derechos y libertades del resto de ciudadanos.
  • Debe ser necesaria.
  • Debe ser proporcional.

 

Al efecto, se establece que se debe describir (y probar) el problema existente, justificar cómo la medida propuesta es eficaz para atajar el problema, y sobre todo, que además de eficaz es eficiente: que es la menos intrusiva o restrictiva de las posibles en los derechos de los ciudadanos.

Para valorar con conocimiento, lo suyo sería conocer la evaluación de proporcionalidad y necesidad desarrollada y documentada por los responsables de este agujero negro legislativo conocido como “artículo 58 bis”.

Pero a la vista de la metodología exigible para razonarla y a la solución propuesta por sus señorías, casi prefiero pensar que no, que no hicieron nada de esto.

Y ya luego, el RGPD

Todo lo anterior parecen razones de peso suficientes como para enviar la reforma directamente a la papelera de reciclaje. Y hacer un borrado de diez pasadas.

Pero en lo estrictamente jurídico, y por razones de coherencia dentro del nuevo orden impuesto por el RGPD, uno piensa que:

1.- Este art. 58 bis, al agarrarse al interés público como base de legitimación, no incluye lo que tiene que incluir de acuerdo con los arts. 9.2.g), 23 y –en su caso, si vamos a jugarnos la carta el big data- el 22.4 del RGPD: las debidas “medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado”.

Bueno, las menciona, pero no las identifica.

Y esas medidas de protección no son algo que puedas limitarte a nombrar para cubrir el expediente.

Porque entonces las dejas al albur de los propios partidos políticos como entidades habilitadas.

2.- Las excepciones que pretende introducir el art 58 bis no parecen fácilmente subsumibles en ninguno de los objetivos previstos en el art. 23.1 RGPD.

3.- Ni contienen las disposiciones mínimas reguladas en el 23.2 RGPD.

Conclusión

Las buenas noticias son que el precepto es técnicamente tan deplorable y desproporcionado que será declarado nulo.

Las malas: no será pronto. Y se nos va a hacer una eternidad.

Ojalá se imponga la cordura y/o la vergüenza torera y veamos caerse ésta y alguna disposición adicional más.

Jorge García Herrero

Abogado y Delegado de Protección de Datos