La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (la “LOPDGDD”) que entró en vigor el pasado 7 de diciembre de 2018, incorporó el articulo 58 bis a la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.

Este articulo 58 bis, permite entre otros, a los partidos políticos, en el marco de sus actividades electorales, el tratamiento de datos sensibles como son los datos relativos a las opiniones política amparando dicho tratamiento en el bien público.

Recordemos que el artículo 9.1 del RGPD prohíbe el tratamiento de datos sensibles salvo en ciertos casos, como cuando el tratamiento es necesario por razones de interés público esencial (9.2.g) del RGPD), por lo que el articulo 58 bis da legitimidad a los partidos políticos para el tratamiento de datos sobre opiniones políticas.

El problema del tratamiento de datos sobre opiniones políticas es que hoy en día, con redes sociales como Facebook, a través del uso de algoritmos tecnológicos y de big data, se pueden recopilar datos que permiten inferir las preferencias ideológicas de millones de usuarios.

Un ejemplo: en función de los usuarios de Facebook que le den a like un determinado tipo de noticia, se pueden segmentar estos usuarios en grupos con distintos perfiles. Por ejemplo grupos de usuarios más religiosos o más liberales, usuarios más preocupados por la sanidad, por la inmigración, por los impuestos o por el paro.

Tras esta segmentación, puede ser sumamente fácil manipular a los votantes de cada perfil a través de la desinformación y fake news. A modo de ejemplo, al grupo de usuarios preocupados por el paro, se les podría mandar la noticia falsa de que el partido X va a reducir el subsidio por desempleo a la mitad, para manipular su voto.

En nuestro post sobre el escándalo de Cambridge Analytica, ya explicamos como a través del uso no autorizado de los datos en Facebook de 87 millones de usuarios se intentó influir en las elecciones presidenciales de EEUU de 2016.

Por todos estos riesgos, es por lo que sorprende que la LOPGDD haya permitido a los partidos políticos el tratamiento de datos relativos a las opiniones políticas.

 

Circular 1/2019, de 7 de marzo de la AEPD

Para mitigar los riegos que puedan surgir de este tipo de tratamiento de datos personales, la AEPD ha publicado la Circular 1/2019, de 7 de marzo, sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores al amparo del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.

Dicha circular establece en su artículo 5.2 lo siguiente: “En ningún caso podrán ser objeto de tratamiento otro tipo de datos personales a partir de los que, aplicando tecnologías como las de tratamiento masivo de datos o las de inteligencia artificial, se puede llegar a inferir la ideología política de una persona.”

Si bien este artículo es un buen comienzo, vemos dos problemas. El primero es que, a efectos de denunciar dicha actividad, un individuo no tiene forma alguna de saber (y demostrar) que sus gustos y preferencias estan siendo inferidas a raíz de su actividad en las redes sociales para luego ser destinatarios de posibles fake news.

Es por ello que para investigar si un partido político esta incumpliendo la normativa de protección de datos, tendría que ser la propia AEPD la que iniciara de oficio la investigación, lo cual representa a nuestro entender un conflicto de intereses en la medida en que el Presidente de la AEPD lo nombra el Gobierno mediante Real Decreto a propuesta del Ministro de Justicia.

El segundo problema es que la manipulación de votantes puede tener repercusiones duraderas, como es que un determinado partido político llegue al gobierno, y aunque en el mejor de los casos se acabe multando al partido político por incumplimiento de la LOPDGDD, el daño ya estará hecho. Usando un ejemplo paradigmático, las elecciones de EEUU de 2016 no se volverán a celebrar.

Se puede incluso llegar al peor de los escenarios posibles, que es posible en nuestra opinión dado lo que está en juego, y es que haya algún partido político que crea que el premio de gobernar bien merece el riesgo de infringir la LOPDGDD.

______

Gonzalo Sanchez-Jara Garralda , autor de este post es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

Para más información sobre abc Compliance, pulse aquí.

Suscríbase aquí para recibir los últimos posts del RGPD Blog en su correo electrónico.