Archivos de la etiqueta: Circula 1/2019

24Ene/20

Circular 1/2019, de 7 de marzo, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales

Circular 1/2019, de 7 de marzo, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores al amparo del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General. («BOE» núm. 60, de 11 de marzo de 2019)

(Texto consolidado con la última modificación de 25 de junio de 2019, por la Sentencia del TC 76/2019, de 22 de mayo, por la que se declara contrario a la Constitución y nulo el apartado 1 del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general).

La recopilación y tratamiento de datos por parte de las organizaciones políticas con fines de comunicación política junto con el uso de técnicas modernas como el big data y la inteligencia artificial han generado un amplio debate y preocupación respecto a los límites que deben aplicarse, entre los que se encuentra el derecho a la protección de datos de carácter personal.

De ahí que ya en la 27 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada en Montreux (Suiza), de 14 al 16 de septiembre de 2005, se aprobara la «Resolución sobre el Uso de Datos Personales para la Comunicación Política». En los últimos años dicha preocupación se ha incrementado, singularmente al hacerse públicos determinados casos de tratamiento ilícito de datos personales para influir en la opinión política de los votantes como el de Cambridge Analytica, lo que ha dado lugar a que diferentes autoridades nacionales de protección de datos hayan emitido sus criterios restrictivos al respecto. El 6 de marzo de 2014, la Autoridad Italiana de Protección de Datos (Garante para la Protezione dei Dati Personali) emitió su documento «Provvedimento in materia de trattamento di dati presso i partiti politici e di esonero dall`informativa per fini di propaganda elettorale». En noviembre de 2016 lo hizo la Autoridad francesa (Commission Nationale de l’Informatique et des Libertés) con, entre otros, el título «Communication politique: quelles sont les règles pour l’utilisation des données issues des réseaux sociaux?».

Y en abril de 2017 la Autoridad británica (Information Commissioner´s Office) aprobó su «Guidance on political campaigning».

Asimismo, el Supervisor Europeo de Protección de Datos emitió el 18 de marzo de 2018 su Opinión 3/2018 sobre «manipulación online y datos personales («EDPS Opinion on online manipulation and personal data») y la Comisión Europea, ante la proximidad de las elecciones al Parlamento Europeo, el pasado 12 de septiembre de 2018 aprobó su guía sobre la aplicación de la normativa europea de protección de datos en el contexto electoral («Commission guidance on the application of Union data protection law in the electoral context»).

Todos estos documentos muestran su preocupación sobre el uso del big data, la inteligencia artificial y la aplicación del microtargeting en los procesos electorales y que pueden llevar a la manipulación de las personas mediante la realización de perfilados exhaustivos y el fenómeno de las «fake-news» o «desinformación online». Por eso coinciden en la necesidad de garantizar la aplicación de la normativa de protección de datos en el contexto electoral.

Por su parte, el legislador español, a través de la disposición final tercera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que entró en vigor el pasado 7 de diciembre, ha modificado la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (LOREG), introduciendo el artículo 58 bis con el fin de regular específicamente la recopilación y tratamiento de opiniones políticas por los partidos políticos así como el envío de propaganda electoral con el siguiente contenido:

«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.

1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.

2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.

4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.

5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.»

El tratamiento de datos personales por parte de los partidos políticos, así como por el resto de sujetos que pueden presentar candidaturas en los procesos electorales, queda sujeto a la normativa general sobre protección de datos personales, actualmente constituida por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales incluida la modificación que ésta última ha hecho de la LOREG.

El informe del Gabinete Jurídico de esta Agencia de 19 de diciembre de 2018 ya destacaba que dicho precepto debía ser objeto de interpretación restrictiva al tratarse de una excepción al tratamiento de las categorías especiales de datos personales basado en el interés público que se ampararía en la letra g) del artículo 9.2 del RGPD. Además, el interés público actuaría como fundamento pero también como límite. Por tanto, la aplicación del mismo debe interpretarse siempre en el sentido más favorable a la consecución de dicho interés público, por lo que en ningún caso podrá amparar tratamientos, como el microtargeting, que puedan ser contrarios a los principios de transparencia y libre participación que caracterizan a un sistema democrático.

Por otro lado, el legislador español ha hecho uso de la habilitación que concede el artículo 9.2.a) del RGPD disponiendo en el artículo 9.1. de la Ley Orgánica 3/2018 que «el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico». Por consiguiente, si el legislador español ha otorgado mayor protección a los datos relacionados con la ideología y al mismo tiempo ha establecido como única excepción al tratamiento de las opiniones políticas la contemplada en el citado artículo 58 bis de la LOREG, ha de ser objeto de interpretación restrictiva.

Asimismo, dicha interpretación restrictiva vendría avalada por la necesidad de que el artículo 58 bis sea interpretado conforme a lo establecido en la Constitución española y de modo que no conculque derechos fundamentales, como el derecho a la protección de datos de carácter personal reconocido en el artículo 18.4, el derecho a la libertad ideológica del artículo 16, la libertad de expresión e información del artículo 20 o el derecho a la participación política del artículo 23.

Por otro lado, el artículo 9.2.g) del RGPD requiere que se establezcan medidas adecuadas y específicas para proteger los intereses y derechos fundamentales de los afectados. Dichas garantías adquieren una especial relevancia tanto por la importancia de los datos personales objeto de tratamiento como por tratarse de tratamientos a gran escala de categorías especiales de datos que entrañarán un alto riesgo para los derechos y libertades de las personas físicas difícilmente mitigable si no se toman medidas adecuadas.

Precisamente por la existencia de un alto riesgo para los derechos y libertades de las personas físicas dichas garantías, al no haberse establecido por el legislador, deben identificarse por esta Agencia Española de Protección de Datos, en cumplimiento de las funciones de interpretación y aplicación de la normativa de protección de datos que le atribuyen los artículos 57 y 58 del RGPD, entre las que destacan las relativas a la evaluación de impacto, la consulta previa a la AEPD o la adopción de las oportunas medidas de seguridad. Todo ello sin perjuicio de cualquier otra que estime el responsable del tratamiento y las que puedan exigir otros órganos en el ámbito de sus competencias, como la Junta Electoral Central, el Tribunal de Cuentas, el Ministerio del Interior y, en último término, el Tribunal Constitucional.

Con la finalidad de fijar los criterios a los que responderá la actuación de esta autoridad en la aplicación de la normativa sobre protección de datos de carácter personal y de conformidad con lo dispuesto en los artículos 48.1 y 55 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, dispongo:

Artículo 1. Ámbito objetivo.

La presente Circular se aplica al tratamiento de datos personales relativos a opiniones políticas por los partidos políticos al amparo del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.


Artículo 2. Sujetos legitimados para realizar el tratamiento.

1. Se encuentran legitimados para el tratamiento de los datos objeto de la presente circular, en el ámbito de la circunscripción que se corresponda con el proceso electoral al que se presenten, los partidos políticos, federaciones, coaliciones y agrupaciones de electores que presenten las correspondientes candidaturas y resulten proclamadas conforme a los artículos 43 y siguientes de la LOREG.

2. Dichos sujetos ostentarán la condición de responsables del tratamiento conforme al artículo 4.7) del RGPD.

3. El tratamiento de los datos podrá encomendarse a otro sujeto en calidad de encargado del tratamiento quien deberá ajustarse estrictamente a las instrucciones del responsable y previa suscripción del contrato previsto en el artículo 28 del RGPD.

4. Dichos datos no podrán ser comunicados ni transferidos a terceros.

Artículo 3. Base jurídica del tratamiento.

Solo será posible el tratamiento de datos personales que se refieran a opiniones políticas por los partidos políticos conforme al artículo 58 bis de la LOREG cuando concurra un interés público esencial conforme al artículo 9.2.b) del RGPD y se adopten las garantías adecuadas previstas en el artículo 7 de esta circular.

Los partidos políticos podrán tratar otro tipo de datos personales siempre que concurra alguna de las bases jurídicas del artículo 6 del RGPD y tratándose de categorías especiales, otra de las excepciones del artículo 9.2 RGPD, salvo el consentimiento del interesado conforme al artículo 9.1 de la Ley Orgánica 3/2018.

Artículo 4. Marco en el que se habilita el tratamiento.

1. El tratamiento de los datos al amparo del artículo 58 bis de la LOREG solo será lícito durante el periodo electoral y respecto de las actividades de propaganda y actos de campaña electoral reguladas en la sección 5.ª del capítulo VI del título I de la LOREG.

2. El responsable deberá determinar la finalidad o finalidades que se persiguen con el tratamiento, que en todo caso deberán guardar relación con su actividad electoral conforme a lo señalado en el apartado anterior.

Artículo 5. Datos personales que pueden ser objeto de tratamiento.

1. Solo podrán ser objeto de recopilación las opiniones políticas de las personas libremente expresadas por éstas en el ejercicio de sus derechos a la libertad ideológica y a la libertad de expresión reconocidos en los artículos 16 y 20 de la Constitución española.

2. En ningún caso podrán ser objeto de tratamiento otro tipo de datos personales a partir de los que, aplicando tecnologías como las de tratamiento masivo de datos o las de inteligencia artificial, se puede llegar a inferir la ideología política de una persona.

3. Las únicas fuentes de las que se pueden obtener los datos personales sobre opiniones políticas son las páginas web y aquellas otras fuentes que sean de acceso público. Se entiende por fuentes de acceso público aquellas cuya consulta puede ser realizada por cualquier persona, quedando excluidas otro tipo de fuentes en las que el acceso está restringido a un círculo determinado de personas.

4. El tratamiento de cualquier otro tipo de datos personales u obtenidos de otras fuentes por los sujetos legitimados deberá ampararse en alguna de las bases legitimadoras del artículo 6 del RGPD y encontrarse en alguna de las excepciones del artículo 9.2 RGPD si se trata de categorías especiales de datos.

Artículo 6. Actividades de tratamiento.

1. Corresponderá al responsable determinar las actividades de tratamiento a realizar conforme al artículo 4.2) del RGPD que, en todo caso, deberán ser proporcionales al objetivo perseguido consistente en garantizar el adecuado funcionamiento de un sistema democrático, sin que sean admisibles tratamientos no proporcionales como el microtargeting ni los que tengan por finalidad forzar o desviar la voluntad de los electores. Tratándose de datos personales relativos a opiniones políticas, estos solo podrán ser objeto de recopilación conforme a lo previsto en el artículo 58 bis de la LOREG y el artículo 1 de esta Circular.

2. Si se pretende la elaboración de perfiles se deberá ser especialmente riguroso con el nivel de detalle y la exhaustividad del mismo, siendo admisible únicamente la elaboración de perfiles generales y por categorías genéricas, pero no la realización de perfiles individuales o realizados atendiendo a categorías muy específicas, de tal manera que sólo se puedan deducir patrones de conducta generales de la población de forma agregada, pero no de titulares de datos personales concretos. 3. En todo caso, resultarán de aplicación al tratamiento todos los principios recogidos en el artículo 5 del RGPD.

Artículo 7. Garantías adecuadas.

1. Conforme a lo previsto en el artículo 9.2.g) del RGPD tendrán la consideración de medidas adecuadas y específicas para proteger los intereses y derechos fundamentales de los afectados, en todo caso, las siguientes, sin perjuicio de cualquier otra que estime el responsable del tratamiento y las que puedan exigir otros órganos en el ámbito de sus competencias:

1.º Atendiendo al principio de responsabilidad desde el diseño y por defecto previsto en el artículo 25 del RGPD, deberán adoptarse, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, e incluso la agregación y anonimización. Además, deberá garantizarse que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento y que no serán accesibles, sin intervención de la persona, a un número indeterminado de personas.

2.º Será obligatorio designar a un delegado de protección de datos conforme a lo previsto en el artículo 37.1.c) del RGPD, al realizarse un tratamiento a gran escala de categorías especiales de datos personales. El delegado de protección de datos desempeñará las funciones que le atribuyen el artículo 39 del RGPD y los artículos 36 y 37 de la LOPDPGDD con especial diligencia atendiendo al alto riesgo asociado a estos tratamientos.

3.º Deberá llevarse un registro de las actividades de tratamiento con el contenido señalado en el artículo 30 del RGPD, debiendo ser precisos y claros, conforme a los principios de lealtad y transparencia, en la descripción de los fines del tratamiento, y de las categorías de interesados y de datos personales objeto de tratamiento. La llevanza de dicho registro resultará en todo caso obligatoria al incluir categorías especiales de datos personales del artículo 9.

4.º Se deberá realizar una evaluación de impacto relativa a la protección de datos al realizarse un tratamiento a gran escala de las categorías especiales de datos conforme a lo dispuesto en el artículo 35.3 del RGPD.

5.º Deberá consultarse a la AEPD antes de proceder al tratamiento conforme al artículo 36.1 del RGPD al tratarse de tratamientos que entrañan un alto riesgo, a no ser que el responsable justifique la adopción de medidas para mitigarlo. En este último caso deberá remitirse a la AEPD el análisis de riesgos y la evaluación de impacto junto a la justificación de las medidas adoptadas, al amparo de lo previsto en el artículo 58.1. a) y e) del RGPD. La solicitud de consulta a la AEPD o, en su defecto, la remisión de la documentación anteriormente indicada, deberá realizarse al menos 14 semanas antes del inicio del periodo electoral.

6.º Deberán adoptarse las medidas de seguridad necesarias conforme a lo previsto en el artículo 32 del RGPD, que deberán ser lo más rigurosas que permita el estado de la técnica teniendo en cuenta que se están tratando datos referentes a las opiniones políticas cuyo tratamiento es excepcional y que suponen un alto riesgo para los derechos y libertades de las personas físicas.

7.º Cuando el tratamiento se vaya a realizar por un encargado del tratamiento, deberá seleccionarse uno que ofrezca garantías suficientes y haberse suscrito un contrato con el contenido del artículo 28 del RGPD, en el que deberá quedar plenamente garantizado que el encargado actuará solo siguiendo instrucciones del responsable, debiendo dichas instrucciones contemplar todas las garantías adecuadas a las que se hace referencia en la presente circular.

8.º Deberá facilitarse, de un modo sencillo y gratuito, el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición, conforme a lo previsto en el artículo 12 del RGPD y, en cuanto al derecho de oposición, conforme a lo previsto en el apartado 5 del artículo 58 bis de la LOREG.

9.º En el caso de que se pretenda obtener los datos de terceros que no actúen como encargados del tratamiento, el responsable deberá comprobar que dichos datos fueron obtenidos de manera lícita y cumpliendo con todos los requisitos del RGPD, especialmente que el tercero tiene una legitimación específica para obtener y tratar dichos datos y que ha informado expresamente a los afectados de la finalidad de cesión a los partidos políticos, cumpliendo de este modo con el principio general de responsabilidad proactiva consagrado en el artículo 5.2 del RGPD, y singularmente para actuar conforme a lo previsto en sus artículos 24 y 25.

10.º El responsable deberá cumplir con lo dispuesto en el artículo 22 del RGPD si los afectados van a ser objeto de decisiones automatizadas, incluida la elaboración de perfiles, siempre que el tipo de tratamiento que prevea, por sus características y teniendo en cuenta de nuevo la naturaleza de los datos tratados, pueda afectar significativamente a los ciudadanos.

2. El responsable del tratamiento y, en su caso, el encargado, deberán ser capaces de acreditar documentalmente la adopción de las anteriores garantías.

Artículo 8. Deber de información.

1. En todo caso deberá cumplirse con el deber de información previsto en los artículos 13 y 14 del RGPD, que deberá realizarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo de acuerdo con el artículo 12 del RGPD, siendo de aplicación lo previsto en el artículo 11 de la Ley Orgánica 3/2018.

2. Cuando se considere que la comunicación individual de dicha información a los afectados resulta imposible o suponga un esfuerzo desproporcionado, deberá facilitarse en forma electrónica en el sitio web del responsable, así como en las cuentas que tenga en redes sociales y servicios equivalentes.

3. Del mismo modo, cuando el responsable pretenda obtener los datos de un tercero, deberá comprobar que dicho tercero ha cumplido con su obligación de informar sobre los mismos extremos a los afectados, al menos de forma electrónica según lo indicado en al apartado anterior.

Artículo 9. Momento en el que deberán adoptarse las garantías adecuadas.

1. Antes del comienzo del periodo electoral los responsables que vayan a presentar las correspondientes candidaturas podrán realizar las actuaciones necesarias para preparar los tratamientos que vayan a desarrollar en el periodo electoral, conforme a las obligaciones señaladas en los artículos anteriores, pero sin poder iniciar los tratamientos. En especial, las relativas al registro de actividades, evaluación de impacto, consulta previa, designación del delegado de protección de datos si no lo hubieran designado con anterioridad y la celebración, en su caso, del contrato de encargado del tratamiento.

2. Durante el periodo electoral podrá iniciarse el tratamiento, debiendo en primer lugar cumplir con la obligación de información conforme al artículo 8 y velar por el cumplimiento de la normativa de protección de datos. En el caso de que los sujetos que hayan presentado candidaturas no resulten proclamados, deberá interrumpirse inmediatamente el tratamiento y procederse a la supresión de los datos conforme al apartado siguiente.

3. Terminado el periodo electoral deberá garantizarse la supresión de los datos personales conforme a lo establecido en la ISO 27001:2013 «Seguridad de la información» y la Norma UNE- EN15713:2010 «Destrucción del Material Confidencial. Código de Buenas Prácticas», o cualquier otra metodología de reconocido prestigio para la destrucción de la información debidamente documentada, procediéndose al bloqueo de los mismos cuando proceda de conformidad con el artículo 32 de la Ley Orgánica 3/2018.

Artículo 10. Violación de la seguridad de los datos personales que se refieran a opiniones políticas.

1. En caso de violación de la seguridad de los datos personales que se refieran a opiniones políticas, el responsable del tratamiento deberá notificarlo, en todo caso, a la Agencia Española de Protección de datos conforme al artículo 33 del RGPD al constituir un riesgo para los derechos y libertades de las personas físicas.

2. Asimismo, deberá comunicarlo a los afectados salvo que se cumpla alguna de las condiciones del artículo 34.3 del RGPD.

Artículo 11. Envío de propaganda electoral por medios electrónicos o sistemas de mensajería y contratación de propaganda electoral en redes sociales o medios equivalentes.

1. Conforme al apartado 3 del artículo 58 bis el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.

2. Los datos personales que vayan a ser utilizados por los partidos políticos, federaciones, coaliciones o agrupaciones de electores para el envío de propaganda electoral tales como números de teléfono, correo electrónico u otros similares deberán haber sido obtenidos lícitamente, amparados en alguna de las bases jurídicas del artículo 6 del RGPD y deberán corresponder a personas que puedan ejercer su derecho al voto en el ámbito de la circunscripción que se corresponda con el proceso electoral al que se presenten

3. En todo caso, en los envíos que se realicen deberá constar su carácter electoral y la identidad del remitente. Asimismo, deberá facilitarse de un modo sencillo y gratuito el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición, con especial atención en el caso de este último, conforme al apartado 5 del artículo 58 bis de la LOREG.

En caso de ejercicio del derecho de oposición, los datos personales dejarán de ser tratados para el envío de propaganda electoral mientras el afectado no preste su consentimiento expreso.

Disposición transitoria única. Consulta previa a la AEPD o remisión de la documentación prevista en el artículo 7.1. 5.º en los procesos electorales previstos para el 28 de abril y el 26 de mayo de 2019.

En los procesos electorales previstos para el 28 de abril y el 26 de mayo de 2019 la consulta previa o la remisión de la documentación a la que se refiere el artículo 7. 1. 5.º de la presente Circular deberá realizarse, en su caso, con una antelación mínima de tres semanas al inicio de la campaña electoral, debiendo emitirse el correspondiente informe o adoptarse las medidas oportunas con anterioridad al inicio de la misma.

Disposición final. Entrada en vigor.

La presente Circular entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

Madrid, 7 de marzo de 2019

La Directora de la Agencia Española de Protección de Datos,

Mar España Martí.