Marketing electoral, protección de datos y censos ideológicos

Protección de datos

28 de abril, 26 de mayo... Dos domingos en apenas un mes en los que los españoles acudiremos a las urnas para ejercer nuestro derecho al sufragio activo. Como tantas otras veces hemos hecho, elegiremos representantes al Congreso, al Senado, a los parlamentos autonómicos, a los ayuntamientos…

Sin embargo, es la primera vez que se permite, de manera expresa, a las organizaciones políticas el tratamiento de los datos personales relativos a opiniones políticas, así como el envío de propaganda electoral por medios electrónicos o sistemas de mensajería. Esto es posible tras la entrada en vigor de Ley Orgánica de Protección de Datos Personales, que adapta el ordenamiento jurídico español al Reglamento Europeo de Protección de Datos (RGPD). Este introduce un nuevo artículo a la Ley de Régimen Electoral General, el 58 bis, denominado Utilización de medios tecnológicos y datos personales en actividades electorales.

Esta nueva situación está generando un amplio debate y preocupación sobre los límites que deben aplicarse en relación a los datos personales de los interesados. En los últimos días, el Defensor del Pueblo en funciones ha presentado ante el Tribunal Constitucional un recurso de inconstitucionalidad, al considerar que el citado artículo 58 bis adolece de “garantías normativas y limitaciones contundentes, precisas y efectivas”. Es fuente de gran preocupación que pudiese darse una situación similar a lo que ocurrió en las elecciones estadounidenses, en la que la consultora Cambridge Analytica, que trabajó para el Partido Republicano, recopiló de manera ilícita datos personales de usuarios de Facebook con finalidades de marketing electoral.

Estas elecciones serán las primeras en las que los partidos podrán tratar datos personales relativos a opiniones políticas y enviarnos propaganda por medios electrónicos. ¿Cuáles son los límites? ¿Qué datos se pueden recopilar?

En este contexto, la Agencia Española de Protección de Datos (AEPD) ha publicado recientemente la Circular 1/2019, en la que concreta cuáles son los límites de la habilitación otorgada a los partidos políticos, y manifiesta su preocupación por fenómenos como “el uso del big data, la inteligencia artificial y la aplicación delmicrotargeting en los procesos electorales, por su capacidad para llevar a la manipulación de las personas mediante la realización de perfilados exhaustivos y el fenómeno de las fake news o "desinformación online".

Antes de comenzar a desgranar la circular, debemos aclarar que el RGPD, en su considerando 56, permite estos tratamientos por razones de interés público y siempre y cuando se ofrezcan las garantías adecuadas. La cuestión es el alcance que damos al concepto jurídico indeterminado de interés público, que es el fundamento y también el límite al tratamiento de estos datos.

¿Qué tipo de datos se pueden recopilar?

De acuerdo con la Circular 1/2019 de la AEPD, pueden ser recogidas opiniones políticas libremente expresadas en páginas web y en fuentes de acceso público, entendiéndose como tal aquellas cuya consulta puede ser realizada por cualquier persona. Quedan excluidas aquellas en las que el acceso está restringido a un círculo determinado de personas. Por ello, en principio, una cuenta en un perfil de Facebook no podría ser utilizada para recopilar estos datos.

¿Qué tipo de datos se pueden recopilar?

No pueden realizarse perfiles individuales, atendiendo a características muy específicas con el objetivo de inferir la ideología de una persona concreta, y dirigir mensajes que pudiesen forzar o desviar su voluntad. En cambio, sería posible la elaboración de perfiles generales, de modo que los partidos políticos puedan conocer las inquietudes políticas de la ciudadanía, incluso por categorías genéricas como la edad, sexo, población, etc.

¿Cuándo puede hacerse?

Únicamente durante el periodo electoral y respecto a las actividades de propaganda y actos de campaña electoral.

¿Es posible el spam electoral?

El nuevo artículo 58 bis citado permite enviar propaganda electoral por medios electrónicos y sistemas de mensajería, y a su vez, que los partidos políticos contraten propaganda electoral en redes sociales o medios equivalentes. De acuerdo con el precepto, no serían considerados como comunicación comercial-al no haber una finalidad lucrativa- y, por tanto, no estarían sujetas al régimen de la Ley de Servicios de Sociedad de la Información y Comercio Electrónico, que exige el consentimiento expreso en la mayoría de las ocasiones. Pero siempre deberán estar amparadas en alguna de las bases jurídicas establecidas en el RGPD, entre las que estaría el consentimiento. Es decir, no cabría el spam electoral, ya que no es posible recabar los datos de cualquier lugar de cualquier forma.

¿Qué garantías adecuadas han de cumplir los partidos políticos?

El artículo 9 de la Circular 1/2019 regula cuáles son las garantías que deben cumplir los partidos políticos en el tratamiento de los datos personales relativos a opiniones políticas. Nos vamos a detener en aquellas relativas a preservar la seguridad de la información, de vital importancia en un tratamiento como el que nos ocupa, basado en tecnologías de la información. El tratamiento deberá realizarse bajo los principios de privacidad desde el diseño y por defecto, es decir, en el momento en que se determine cómo se van a tratar los datos será necesario configurar desde el inicio las medidas técnicas y organizativas apropiadas que preserven la privacidad y que permitan tratar los datos mínimamente necesarios para el fin del tratamiento.
En segundo lugar, los partidos políticos deberán realizar una evaluación de impacto para la protección de datos, de acuerdo con el artículo 35 del RGPD. Deben consultar previamente con la AEPD sobre el tratamiento de estos datos personales. Es posible también que los partidos políticos no hagan esta consulta previa, sino que directamente remitan su análisis de riesgos y evaluación de impacto, y la justificación de las medidas adoptadas. Pero en ambos casos sería necesaria una intervención activa de la AEPD. Para los procesos electorales previstos para el 28 de abril y 26 de mayo, los partidos políticos deberían remitir esta documentación con una antelación mínima de tres semanas al inicio de la campaña electoral.

Otro aspecto a destacar es que independientemente de la base jurídica del tratamiento, siempre habrá que informar al interesado de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo sobre el tratamiento de los datos personales. Asimismo, los titulares de los datos siempre podrían ejercitar sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y oposición.

En los próximos días podremos comprobar la manera en qué las organizaciones políticas aplican lo dispuesto en el nuevo artículo 58 bis de la Ley Electoral General. Esperemos que respeten los principios de transparencia y libre participación propios de todo sistema democrático.

18 Abril, 2019
Olga Martínez
Blog
10 min

Volver al blog

Últimos post publicados

¿Cuáles son las funciones de un Delegado de Protección de Datos?
Las respuestas las podemos encontrar en el "Manual del DPD" elaborado para el proyecto “T4DATA” financiado por la UE y publicado en 2019.
Ley de Protección del Denunciante. Modificación de la Ley Orgánica 3/2018 de Protección de Datos.
Serán lícitos los tratamientos de datos personales necesarios para garantizar la protección de las personas que informen sobre infracciones normativas. Dichos tratamientos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en esta ley orgánica y en la Ley Reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Hacienda especifica la lista definitiva de 24 territorios.
Esta orden adapta el concepto de «jurisdicciones no cooperativas» a los nuevos parámetros internacionales atendiendo a los criterios de transparencia y equidad fiscal.
Metaverso y la información del usuario.
En el metaverso se procesarán nuevos tipos de datos, como las gestos, la expresiones faciales, las reacciones fisiológicas a determinados contenidos. Es evidente que las empresas publicitarias van a estar interesadas en cuáles son las reacciones de los clientes ante los diferentes productos. Es posible que algunos de estos datos puedan ser categorizados como categorías especiales de datos personales, tal como se definen en el artículo 9 del RGPD, pero en todo caso nos enfrentamos a tratamientos distintos, contextos distintos.
Ley de Enmiendas de la Legislación sobre Privacidad en Australia.
El Proyecto de Ley de Enmiendas de la Legislación sobre Privacidad-, Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022 (the “Bill”)-,recibió la sanción real el 12 de diciembre de 2022. este proyecto modifica la legislación fundamental de Australia desde hace mucho tiempo, la Ley de Privacidad de 1988 ("Privacy Act").
Ley de Protección de Datos de Colorado, Colorado Privacy Act.
El 1 de Julio de 2023 entra en vigor la Ley de Protección de Datos de Colorado, Colorado Privacy Act (CPA) promulgada en julio de 2021.
Ley de Protección de Datos de los Consumidores de Virginia
El 1 de enero de 2023 entró en vigor la Ley de Protección de Datos de los Consumidores de Virginia (Virginia Consumer Data Protection Act (CDPA).
Ley Quantum de Preparación para la Ciberseguridad
El Presidente Biden firma la Ley Quantum de Preparación para la Ciberseguridad. De acuerdo con esta Ley (Quantum Computing Cybersecurity Preparedness Act): La criptografía es esencial para la seguridad nacional de Estados Unidos y el funcionamiento de su economía.
Consentimiento único del interesado con distintos responsables
Cuando distintos responsables del tratamiento se basan en el consentimiento único del interesado, basta con que este se dirija a cualquiera de los responsables para retirar su consentimiento.
Algoritmos e Inteligencia Artificial en Holanda
La Hacienda Holandesa utilizó un algoritmo para calcular el riesgo de defraudación entre los años 2013 y 2019 que arrojaba sesgos raciales, tal y como quedó de manifiesto en una investigación llevada a cabo por los medios de comunicación de este país en 2020.
¿Existen riesgos en las nuevas tecnologías biométricas?
Las tecnologías biométricas inmaduras llevan aparejado un alto riesgo de discriminación de las personas, según la Autoridad Británica de Protección de Datos (ICO).
Andorra publica el Reglamento de desarrollo de la Ley 29/2021 de Protección de Datos Personales.
Introducción de dos nuevos delitos en el ámbito de la Responsabilidad Penal Corporativa.
El 7 de septiembre se publica en el BOE la Ley Orgánica 10/2022, de 6 de septiembre, de garantía integral de la libertad sexual, que entrará en vigor a los 30 días de su publicación.
La autoridad Belga de Protección de Datos sanciona a IAB Europe.
En el transcurso de 2019 se presentaron ante la Autoridad Belga de Protección de Datos (DPA), y a través del Sistema IMI, una serie de denuncias contra la compañía IAB EUROPE , por incumplir diversas disposiciones del RGPD.
La protección de categorías especiales de datos personales también se aplica a las conclusiones inferidas de su tratamiento.
El Tribunal de Justicia de la UE señala que la protección de categorías especiales de datos personales también se aplica en el caso de posibles conclusiones inferidas del tratamiento de otros datos personales que no tienen la condición de categorías especiales de datos.
¿Podemos utilizar Google Anlytics y cumplir con la normativa de protección de datos personales?
La Autoridad Danesa de Protección de Datos concluye que el uso legal de Google Analytics requiere la implementación de medidas adicionales además de las configuraciones proporcionadas por Google.
Marco de Privacidad entre Estados Unidos y Europa
Las Executive Orders son documentos oficiales, numerados consecutivamente, a través de los cuales el Presidente de los Estados Unidos gestiona las operaciones del Gobierno Federal.
ISO 27701. Sistemas de Gestión de la Privacidad
En este post vamos a analizar la norma ISO 27701 que proporciona un marco para la Gestión de la Privacidad de las organizaciones. Es una norma alineada con los requisitos del Reglamento General de Protección de Datos, aunque como bien señala su Anexo D, se trata de una correspondencia indicativa siendo responsabilidad de cada organización evaluar sus obligaciones legales.
¿Qué es compliance?
En la actualidad cualquier organización empresarial debe cumplir un notable número de leyes, normas y regulaciones, que para su correcto cumplimiento implican que las entidades realicen cambios organizativos y establezcan controles internos.
ISO 37301. Sistemas de Gestión de Compliance
En este post vamos a analizar la norma ISO 37301, de Sistemas de Gestión de Compliance Global. Durante el proceso de desarrollo de los Sistemas de Gestión de Compliance Penal hemos tenido la oportunidad de comprobar que el Compliance Penal en sí, se queda un poco “corto”, y que el proceso de análisis de riesgos precisa incluir dentro de la misma matriz, todos los riesgos de la organización.
¿Proveedores deben notificar incidentes de seguridad?
La Resolución de, 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, prescribe en su capítulo VII que el ENS resulta de aplicación a las entidades privadas cuando presten servicios...
Declaración de conformidad al ENS
¿Podemos utilizar la información volcada en el Informe INES para realizar la declaración de conformidad en los sistemas de categoría básica del ENS? Para resolver la cuestión planteada vamos a analizar los siguientes aspectos:
- Qué es una autoevaluación para la declaración de conformidad al ENS.
- Qué es un Informe del Estado de la Seguridad de los Sistemas TIC.
- Cuáles son la similitudes o diferencias.
Responsabilidad del Compliance Officer.
La figura del Responsable de Cumplimiento Normativo o Compliance Officer es una figura cada vez más habitual en las medianas y grandes empresas españolas, como consecuencia de la influencia de las prácticas empresariales del mundo anglosajón. Esta regulación no es nueva en nuestro ordenamiento jurídico, por ejemplo la Ley 10/2010 de Prevención de Blanqueo de Capitales introduce las figuras de “representante ante el SEPBLAC” y “órgano de control interno”.
Cambio en el Responsable de la Información
¿Un cambio en el Responsable de la Información o del Servicio implicaría una nueva valoración de los servicios en el Esquema Nacional de Seguridad? De acuerdo con lo establecido en el apartado 3.2. de la “Guía de Seguridad de las TIC CCN-STIC 803. ENS. Valoración de los Sistemas”,
¿Lucha contra la desinformación o control subliminal?

Artículo publicado en Expansión.com
La sociedad de la información ha desarrollado una enfermedad propia: la desinformación, con potencial para extenderse rápidamente y atacar los órganos vitales de cualquier sociedad democrática.
¿Pretende el Gobierno combatir las ‘fake news’ o controlar la red?

Artículo publicado en Cinco Días
Un plan de lucha contra la desinformación a priori parece algo acertado, pero existe el grave riesgo de coartar el derecho a la libertad de información.
Marketing electoral, protección de datos y censos ideológicos

Artículo publicado en Retina El País
Estas elecciones serán las primeras en las que los partidos podrán tratar datos personales relativos a opiniones políticas y enviarnos propaganda por medios electrónicos. ¿Cuáles son los límites? ¿Qué datos se pueden recopilar?
Es posible articular el derecho laboral a la desconexión digital?

Artículo publicado en Expansión Jurídico
La creciente digitalización del trabajo es una gran oportunidad para dar entrada a un nuevo liderazgo empresarial que valore al trabajador desde el rendimiento y la productividad.
Desgranando la nueva norma UNE 19602

Artículo publicado en El Economista
El pasado 27 de febrero se publicó la norma UNE 19602, Sistemas de Gestión de Compliance Tributario, configurándose como una guía eficaz para gestionar los riesgos tributarios a los que se ven expuestos todas las organizaciones.
Compliance en materia tributaria
Desde mi experiencia en el diseño de Programas de Compliance Penal los riesgos penales asociados a incumplimientos tributarios constituyen la parte más crítica del proyecto..
Compliance ad intra
Y empezamos por el Compliance ad intra, del que me imagino que todos habéis oído hablar. Nos situamos en la Sentencia de la Sala II del Tribunal Supremo 316/2018..