La protección de datos y la reacción de la AEPD al artículo 58bis

El pasado 11 de marzo la AEPD ha publicado una Circular sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral. En esta Circular la AEPD aclara qué procedimientos de protección de datos han de seguir los partidos que se acojan al nuevo artículo 58 bis, de la LOREG de 1985, modificado en la disposición final tercera de la nueva LOPD.

Al principio de dicha circular la AEPD hace un análisis de la alarma social provocada por casos como el de Cambridge Analytica. También hace referencia a qué documentos han publicado las instituciones responsables de la protección de datos personales de varios países de la UE y la propia UE al respecto.

A partir de esta exposición de motivos la AEPD propone un tratamiento restrictivo de los datos personales en campaña electoral. Este tratamiento implica “medidas adecuadas y específicas para proteger los intereses y derechos fundamentales de los afectados… Dichas garantías adquieren una especial relevancia tanto por la importancia de los datos personales objeto de tratamiento como por tratarse de tratamientos a gran escala de categorías especiales de datos que entrañarán un alto riesgo para los derechos y libertades de las personas físicas difícilmente mitigable si no se toman medidas adecuadas

La Circular contiene 11 artículos y una disposición transitoria única. Esta última recoge los plazos para que los partidos políticos presenten la documentación soporte de las garantías y medidas tomadas en caso de acogerse al artículo 58 bis de cara a los próximos procesos electorales previstos para el 28 de abril y el 26 de mayo de 2019.

Nuestra opinión

En nuestra opinión, las iniciativas de las organizaciones de internautas, especialistas en derecho y otros colectivos, el Defensor del Pueblo y la AEPD nos parecen muy positivas y proactivas. Éstas ayudan a mitigar el riesgo de que los responsables de partidos políticos hagan uso de tecnologías para manipular la opinión y/o recabar las preferencias ideológicas de los ciudadanos por medio del tratamiento de sus datos personales (ver la parte primera de este post al respecto).

Sin embargo, no somos capaces de valorar si esa mitigación del riesgo es suficiente. En el caso de que algún partido político consiguiera obtener el poder tras las elecciones de forma fraudulenta, en lo que respecta al uso de datos personales, sería muy difícil invalidar el resultado. No existe una ley que se pronuncie claramente al respecto, estableciendo las correspondientes responsabilidades civiles y penales de dicha situación.

En definitiva se impone con fuerza la necesidad, cada vez mayor, de establecer criterios proactivos al diseño de la protección de los datos personales de los afectados por el uso de las nuevas tecnologías de la información, como el big data, la inteligencia artificial, etc., pues la reacción posterior puede no ser viable.

En un próximo post analizaremos más en profundidad las implicaciones de la circular y de su incumplimiento.

Luis Fernández
Responsable TIC