¿Vale todo para hacer propaganda electoral en internet?

Que la privacidad es un derecho fundamental clave en la revolución digital que estamos viviendo no se le escapa a nadie. Sin embargo, existe el peligro de que nos distraigamos con las cuestiones más formales e insignificantes de la protección de datos, mientras asuntos de más calado para la dignidad de las personas pasan totalmente desapercibidos.

Una de estas cuestiones es el tratamiento de nuestros datos personales por parte de los partidos políticos en España. Cualquier organización utiliza hoy día herramientas de inteligencia artificial y big data para intentar extraer la mayor cantidad de información relevante a partir de los datos personales de los que dispone.

Todos tenemos demasiado reciente el escándalo de Cambridge Analytica, en el que se cruzaron datos de un test de personalidad con la información de Facebook para inferir perfiles psicológicos de cada usuario. De esta forma, Cambridge Analytica pudo averiguar cuál debía ser el contenido, tema y tono de un mensaje para cambiar la forma de pensar de los votantes de forma casi individualizada.

Este asunto alarmó al mundo entero y constató algo que ya teníamos bastante claro: aquellos que tienen el poder en internet –empresas y gobiernos— pueden comerciar con nuestros datos personales. Pero no solo eso: como consecuencia del mal uso de esa información que nos concierne, pueden llegar a condicionar nuestras decisiones (comerciales y de voto, entre otras).

Por ello, es importante dejar claro hasta dónde pueden llegar los partidos amparándose en el artículo 58 bis de la Ley Orgánica del Régimen Electoral General, que les permite recoger datos sobre opiniones políticas de los ciudadanos "obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral".

Esta posibilidad fue introducida por la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales aprobada en España a finales de 2018 para adaptar nuestra normativa al Reglamento Europeo de Protección de Datos.

Que este tema es controvertido lo demuestra el hecho de que el Defensor del Pueblo, a instancias de la Asociación Pro Derechos Humanos de España, haya presentado un recurso de inconstitucionalidad contra la citada disposición, por entenderla contraria a los artículos 16 y 18.4 de la Constitución española, que protegen la libertad de pensamiento y el derecho a la autodeterminación informativa.

Qué puede hacerse con los datos

Mientras se resuelve el asunto por parte del Tribunal Constitucional, existen varias dudas que merece la pena aclarar: ¿qué datos personales pueden tratarse en este contexto? ¿De qué tipo de páginas web pueden recogerse datos por parte de los partidos políticos? ¿Cómo pueden hacerlo? ¿Son datos anónimos o no? ¿Pueden crear realmente bases de datos con las opiniones de los ciudadanos?

Las respuestas a esas preguntas las ha aclarado la Agencia de Protección de Datos mediante una Circular del 7 de marzo, estableciendo que esta utilización de datos de opinión política por parte de los partidos solo puede llevarse a cabo cuando exista interés público esencial y concurran unas garantías adecuadas.

El tipo de datos que pueden tratarse son las opiniones expresadas en ejercicio de los derechos de libertad ideológica y de expresión. Pero no podrán ser objeto de tratamiento otro tipo de datos personales, a partir de los que, utilizando inteligencia artificial o big data, se pueda inferir ideología política.

La ley permite a los partidos recoger datos personales relativos a opinión política de páginas web y fuentes accesibles al público —aquellas cuya consulta puede ser realizada por cualquier persona, es decir, que no sean de acceso restringido— solo durante el período electoral.

Algún ejemplo de información que pueden recoger son las críticas a un político o a un partido plasmadas en una web o en una red social como Twitter. Sin embargo, no se podrían registrar las críticas que se hacen por WhatsAppp, correo electrónico o desde una red social si configuramos los ajustes de privacidad para mantener cerrado nuestro perfil.

La propaganda enviada (a través de correo electrónico, WhatsApp, anuncios en Facebook o Twitter, etc.) debe identificarse claramente como propaganda electoral y es obligatorio ofrecer un modo sencillo y gratuito de oponerse que implicará no volver a recibir esa publicidad.

Esta disposición supone una excepción a la regla general para legitimar este tipo de tratamientos de datos especialmente protegidos (opinión política, salud, etc), que es la prestación de consentimiento por parte del ciudadano. Por eso, debe interpretarse de forma restrictiva y siempre en el sentido más favorable a la consecución del interés público, no siendo posibles tratamientos como el microtargeting, ni otros que tengan como finalidad forzar o desviar la voluntad de los electores.

Perfiles sí, pero generales

La Agencia establece que, si se pretende elaborar perfiles, se deberá ser especialmente riguroso con el nivel de detalle y la exhaustividad de los mismos. Será admisible únicamente la elaboración de perfiles generales: solo se pueden utilizar patrones de conducta generales de la población de forma agregada, pero no de ciudadanos concretos. En este sentido, sería muy recomendable anonimizar los datos (desvincularlos de la identidad de la persona y evitar la reidentificación).

Otros requisitos obligatorios son la evaluación de impacto en la protección de datos si las actividades se llevan a cabo a gran escala, la designación de un delegado de protección de datos y el registro de actividades de tratamiento. Corresponde a la Agencia de Protección de Datos sancionar en caso de incumplimiento.

Preocupa además el hecho de que el tratamiento de los datos podrá encomendarse a otro sujeto en calidad de encargado de tratamiento o lo que es lo mismo, podrá subcontratarse a empresas de marketing que elaboren perfiles. Para ello, deben respetarse los requisitos del artículo 28 del Reglamento de Protección de Datos, entre los que se incluye la celebración de un contrato entre el partido político y la empresa, que garantice la seguridad del tratamiento y evite la comunicación o cesión a terceros. Lo más apropiado será exigir unas medidas de seguridad muy exigentes, tanto técnicas como organizativas, que eviten utilizaciones posteriores no deseadas.

Algunos de estos criterios ya habían sido avanzados en la Resolución sobre el uso de datos personales para la comunicación política aprobada en 2005 en la Conferencia Internacional de Autoridades de Protección de Datos. Además, otras autoridades de protección de datos europeas y el Supervisor Europeo de Protección de Datos se han manifestado en torno a este tema en idénticos términos.

El estándar europeo de protección de datos, una vez más, se sitúa muy por encima del de otros países. Pero ¿será suficiente con esto? ¿Quién va a ser capaz de controlar que los partidos no utilicen inteligencia artificial para condicionar nuestras decisiones? ¿Es suficiente con la Circular de la Agencia de Protección de Datos?

Celia Fernández Aller: Investigadora en derechos humanos en el entorno digital, Universidad Politécnica de Madrid (UPM)

Publicado originalmente en The Conversation.