Javier González-Espadas es licenciado en Derecho por la rama Jurídico Empresarial y diplomado en Ciencias Empresariales y Derecho Comunitario. Actualmente es socio “ofcouncil” de Ceca Magán Abogados, de ISMS FORUM, a través del reconocimiento a su trabajo en las áreas de Protección de Datos y Comercio Electrónico, profesor de Master en ESIC sobre Sistemas de Investigación de Mercados y también profesor del Curso de Experto en Delegado de Protección de Datos de EDAE.
Buenos días Javier y gracias por la entrevista. Hemos conocido la polémica derivada de la nueva Ley de Protección de Datos en relación al tratamiento de datos por partidos políticos. ¿Está protegida nuestra privacidad?
Gracias a vosotros. Efectivamente este tema es hoy noticia porque el Defensor del Pueblo acaba de interponer un recurso de inconstitucionalidad contra parte de la modificación operada por la LOPD en la Ley Orgánica de Régimen Electoral General, en concreto el art. 58 bis.1 de la misma, que permite que los partidos políticos recopilen datos sobre nuestras opiniones políticas, por considerar que tal tratamiento está amparado en un interés público. La única condición que se impone es que se “ofrezcan garantías adecuadas” lo que resulta, según el recurso interpuesto, contrario a la seguridad jurídica por indeterminado, además de que puede chocar contrala libertad ideológica y, obviamente, contra la privacidad.
En mi opinión este precepto traslada el Considerando 56 del Reglamento General de Protección de Datos, y la propia AEPD había delimitado ya en un informe cuáles pueden ser algunas de esas garantías adecuadas, entre ellas el contar con un DPD. Habrá que esperar a lo que indique nuestro Tribunal Constitucional, si bien en el nuevo marco de la privacidad se basa en realizar evaluaciones de impacto para cada caso a través de las cuáles fijar estas garantías y, además, no hay que olvidar que la nueva LOPD recoge una potestad normativa a la AEPD para emitir Circulares en que puede concretar algunas cuestiones, y así se acaba de publicar la Circular 1/2019, de 7 de marzo de la AEPD.
Quiero decir con ello que el plano de seguridad jurídica al que estábamos acostumbrados se ha diluido por el principio de responsabilidad proactiva. Será muy interesante la respuesta a esta cuestión por parte del Tribunal Constitucional, en especial por la alegada infracción del art. 9.3 CE en la medida en que pueda extrapolarse a otros ámbitos, especialmente los relacionados con el ámbito sancionador.
Hay quien dice que estas normas permiten a los partidos políticos recopilar y rastrear nuestros datos y los de nuestros contactos en la red, guardarlos, tratarlos y usarlos con fines electorales. ¿Qué hay de verdad en todo esto?
No es oro todo lo que reluce… Efectivamente la LOPD modificó la Ley Orgánica Electoral General para incluir que los partidos políticos, puedan utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral, y todo ello ofreciendo “garantías adecuadas”.
Puede decirse mucho sobre el particular, pero creo que es destacable recordar que la propia Agencia Española de Protección de Datos, como antes indicaba, ya se apresuró a emitir un Informe (210070/2018) en el que señalaba que este precepto debe interpretarse de forma restrictiva y previa ponderación con otros derechos fundamentales, señalando especialmente que este tratamiento de datos solo permitirá tratar opiniones políticas cuando estas hayan sido libremente expresadas por las personas en el ejercicio de su derecho a la libertad de expresión y a su libertad ideológica. La AEPD, además, añadió que “este precepto no ampara aplicar tecnologías de big data o inteligencia artificial para inferir la ideología política de una persona, ya que esto supondría una vulneración de su derecho fundamental a no declarar su ideología”. Además, concluyó la AEPD que el uso de tecnologías como el “microtargeting” no serían proporcionales a la finalidad perseguida por dicho interés público, que está centrado en la democracia en sí. En otras palabras, el sistema democrático puede requerir elaborar perfiles generales, incluso segmentados por categorías (sexo, edad, ubicación, etc.) y ello puede considerarse de interés público, pero la AEPD fue tajante al indicar que nunca cabría considerar válidos perfiles individuales o lo suficientemente específicos. Además, para que sean válidos, el informe referido remarcó que es preciso cumplir con todos los principios del RGPD, lo que incluye informar sobre los datos recabados, e incluso suprimirlos al término de la campaña.
Hay que tener en cuenta que el derecho va detrás de los avances tecnológicos y, en este caso, todos conocemos los magníficos resultados obtenidos por equipos electorales, especialmente en Estados Unidos de América, por el uso del “microtargeting” y la inteligencia artificial, como sucedió en el caso de la cesión por una conocida red social que suministró más de 50 millones de datos para su uso electoral. De hecho, el objetivo inicial de la enmienda introducida en el texto de la LOPD tenía por objeto luchar contra estos fenómenos, aunque luego se descafeinó bastante la enmienda propuesta. Pues bien, a mi juicio, la AEPD en su informe dejó bastante claras las reglas del juego, con lo que creo que debemos tener tranquilidad al respecto.
¿Cómo funcionan las técnicas de “microtargeting”?
La micro-focalización implica la gestión de enormes cantidades de datos, la búsqueda de patrones (por inclinaciones, intereses, preocupaciones, situación socio económica, educación, etc.) con el objeto de crear segmentaciones del conjunto total, lo que permiten predecir la conducta de un sujeto. Allá por el año 2008 dos estudiantes de la Universidad de Cambrigde realizaron para Facebook una aplicación encargada de recopilar una serie de preguntas basadas en categorías de psicometría (MyPersonality), cuyas respuestas, combinados con los “me gusta” de la aplicación, generaba predicciones muy exactas. De hecho, según los estudios, que se realizaron después, al parecer el análisis de 150 «me gusta” tienen más precisión que el análisis realizado por un familiar y 300 «me gusta” pueden ser más precisos que un cónyuge a la hora de definir nuestra personalidad. Esto es asombroso y supone acabar con la privacidad…
Estos estudiantes de Cambrigde (Kosinski y Stillwell) abrieron la vía para modelos de predicciones más amplios y potentes, desarrollados luego por grandes empresas. Recomiendo en especial un artículo sobre el “Data capitalismo” publicado en el Huffington Post con el título «Trump, Micro Targeting and The Mechanisms Of Data Capitalism».
Respecto al ‘spam’ político, ¿nos espera recibir mucha propaganda?
A mi juicio este es el aspecto que más cabría criticar de la reforma operada por la nueva LOPD, pues se ha indicado por la norma que el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial. Eso sí, deben advertir destacadamente que es información electoral y permitir un sistema sencillo de oposición.
A través de esta “no consideración” de comunicación comercial se aclara la no aplicación de la prohibición de envío de tales comunicaciones que contiene la Ley 34/2002, conocida como LSSI, y que define tales comunicaciones como las llevadas a cabo para la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.
Es verdad que los partidos políticos no realizan este tipo de actividades, con lo que habría que analizar si, de partida, les era aplicable tal prohibición. Obviamente la respuesta es que el legislador ha considerado que no había prohibición alguna a la actividad de un partido, pues en otro caso tendría que haber modificado la LSSI, y no haberse limitado a indicar que no son comunicaciones comerciales. Es una reforma de interpretación de la norma, y no de modificación de la misma. Ahora bien, al dejar claro que la remisión de propaganda electoral no es comunicación comercial, queda abierta la vía para analizar, analógicamente, si le es aplicable la prohibición de la LSSI a otras organizaciones ajenas a lo comercial, profesional, industrial o artesanal, como una ONG, por ejemplo.
Sea como fuere, lo relevante es que, al margen de que no se aplique la LSSI, esta modificación no es una patente de corso para usar nuestros datos indiscriminadamente y sin permiso o debidas garantías, pues tales bases de datos que se utilicen habrán de cumplir la LOPD y el RGPD en todo caso. Será interesante conocer las quejas que se presenten al respecto y la opinión de la AEPD, sobre todo en lo relativo a realizar esfuerzos para detectar menores de edad, que en ningún caso pueden ser sujetos receptores de dicha propaganda.
Javier, de todo lo anterior ¿qué destacarías para el día a día de las empresas y los DPD?
El informe referido de la AEPD, desde luego, resulta de máximo interés para conocer la opinión jurídica de la autoridad de control sobre mecanismos de perfilados como el “microtargeting”, opinión que, en algunos casos, cabrá extrapolar a otras actividades previo análisis y evaluación individual. Del mismo modo, y como garantía adecuada para el tratamiento, quiero mencionar que la AEPD señala que una de esas garantías es precisamente que se acredite la existencia de un DPD, o que se realice una Evaluación de Impacto.
En todo caso, me parece muy relevante y útil la interpretación que la propia AEPD ha realizado en este informe sobre qué se entiende por fuentes de acceso público. Como es sabido, la antigua LOPD del año 1999 definía esta categoría de datos, permitiendo un uso de los mismos sin necesidad de consentimiento. Hoy por hoy, estas fuentes podrían ser analizadas en supuestos de enriquecimiento de datos, investigación de fraudes, etc., siempre que tengamos una base legitimadora para ello conforme al art. 6 RGPD, como podría ser el interés legítimo, la habilitación legal, etc.
Pues bien, en este informe se indica que puede seguir aplicándose el concepto de fuentes de acceso público, adaptándola al contexto actual, contenido en el artículo 3.j) de la derogada Ley Orgánica 15/1999, esto es: “aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación”. La adaptación a ese contexto actual, lógicamente, supondrá cumplir con las obligaciones de información, etc. recogidas en el RGPD. De hecho, el Reglamento 679/2016 se refiere a esta categoría de datos, por ejemplo, en el art. 14.2.f), lo que sin duda avala la posibilidad de su uso.
Debe tenerse en cuenta que es normal, y muy útil, que ciertos datos “públicos” puedan ser captados y utilizados por los responsables, cumpliendo todas las garantías, para ser tratados para fines legítimos y compatibles sobre la base, por ejemplo, de interés legítimo. De hecho, no hay que olvidar, a efectos interpretativos, que el Anteproyecto de la nueva LOPD recogía en su articulo 13 que “será lícito el tratamiento de los datos que el propio afectado hubiese hecho manifiestamente públicos siempre y cuando respete los principios establecidos en el artículo 5 del Reglamento (UE) 2016/679, se haya informado al afectado en los términos previstos en el artículo 14 del citado reglamento y se le garantice el ejercicio de sus derechos, en particular los previstos en sus artículos 17 y 19”y que, sobre la base de lo anterior, algún informe de la AEPD (Informe 195/2017) ya señaló que para estas categorías de datos que el interesado ha hecho manifiestamente públicos, como podría ser los que incorporase aperfiles abiertos de redes sociales, puede considerarse mínima la intromisión en la esfera privada.
Volviendo al tema de origen, y si esos datos hechos públicos son opiniones políticas, ¿se pueden usar libremente?
Hay que partir de que ciertos datos, como las opiniones políticas, las convicciones religiosas o filosóficas, la orientación sexual, etc. son categorías especiales de datos cuyo tratamiento está prohibido como regla general (art. 9.1 RGPD). Solo en ciertos casos, como excepciones, el RGPD permite su uso, como sería para cumplir un interés público (art. 9.2.g) RGPD, siempre con garantías adecuadas), pero también cuando el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos (art. 9.2.e) RGPD). Estas son las reglas generales impuestas por el RGPD, que lógicamente tienen que casar con el respeto a otros derechos fundamentales (como la libertad ideológica), pues como es sabido no hay derechos absolutos, sino que todos deben ponderarse. Por tanto, no hay respuestas generales a la cuestión, sino que habría que analizar caso por caso.
Por ello, tanto las reformas operadas en la Ley Orgánica de Régimen Electoral General, como sobre todo el Informe de la AEPD antes referido, suponen concretar y, a mi juicio, limitar lo que el RGPD ya había previsto, en los términos indicados, esto es, que solo podrán ser tratadas para elaborar perfiles generales, y no individuales, y en la medida en que estas opiniones hayan sido libremente expresadas por las personas en el ejercicio de su derecho a la libertad de expresión y a su libertad ideológica. Es decir, no sería válida tomar cualquier opinión privada, o expuesta en un círculo cerrado de amigos, aunque se realice en redes sociales.
En suma, y aunque no uso redes sociales en la que pueda manifestar mi opinión, personalmente creo que tras el Informe AEPD 210070/2018 2018 y la Circular 1/2019 de la AEPD creo que todos podemos dormir tranquilos.
Muchas gracias Javier