10 de abril de 2019
por
Ricard Martínez
[ ILUSTRACIONES: DANIEL TORNERO ]
En este trabajo se exploran las razones del precepto, el sentido original de la propuesta y la posibilidad de definir una interpretación conforme a la Constitución Española sobre “la utilización de medios tecnológicos y datos personales en las actividades electorales” que contempla la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Tras la emergencia de las redes sociales, las campañas electorales y la propia comunicación política han sufrido una profunda mutación.
En primer lugar, no solo el partido, también la persona candidata, deben estar presente en diversas redes sociales —generalmente Twitter, Facebook e Instagram, ya que el fenómeno no parece haber alcanzado a LinkedIn—, con un perfil propio y diferenciado. En este sentido se genera una apariencia de relación directa con el elector, mediada o no según los casos por el community manager, con el que se abre un pretendido diálogo. Por otra parte, dos mensajerías privadas —WhatsApp y Telegram— se usan con la filosofía propia de una red social.
La naturaleza de las redes y el modo en el que se usan implican también nuevos modos de entender el debate político y el sentido de la información. Puesto que el usuario ya no lee periódicos, no siempre sigue las noticias o escucha la radio, resulta crucial provocar su atención para que pulse o se fije en un enlace.
Y al margen del debate sobre las llamadas fake news, paparruchas o bulos, el modo de funcionamiento que se acaba de describir produce un efecto adicional particularmente relevante puesto de manifiesto por Eli Pariser (Pariser, 2017), entre otros.
En primer lugar, la customización de las redes sociales y de los buscadores gracias a la analítica de datos 1. Desde este punto de vista, la analítica de datos en una red social tiene en cuenta la semántica, sabe de qué se habla y a quién podría interesarle. Y a partir de ello sirve información personalizada para usuarios determinados. Esta estrategia de profiling puede ser utilizada, y de hecho lo ha sido, para la comunicación política en un proceso que simplificadamente puede resumirse en dos pasos: 1) conseguir que se hable de algo, incluso creando miles de perfiles falsos que influyan en los algoritmos de los proveedores; y 2) conducir la conversación de los usuarios reales para cuyo perfil se ha generado la comunicación. Se pretende conseguir así que los indecisos cambien su voto y se viralice el mensaje, reforzando su credibilidad. Para ello se han adoptado las estrategias del neuromarketing 2. Se trata de conectar emocionalmente con el lector y lograr likes y un reenvío masivo del mensaje. El objetivo a largo plazo es obtener el voto.
Estas estrategias se encuentran al alcance de cualquier formación política que lícitamente contrate los servicios de un intermediario para el diseño y ejecución de una campaña de marketing político online. Y de hecho se ofrece en el mercado3.
Desde un punto de vista material, la Ley Orgánica del Régimen Electoral General (LOREG) ofrecía herramientas analógicas de las que muchas no pueden sino tildarse de anacrónicas. Es evidente el escaso impacto del buzoneo y su alto coste ecológico. Los partidos tenían una necesidad evidente de actualizar sus herramientas y estrategias de comunicación y ello podría abordarse a partir de ciertos criterios:
a) Considerar que los medios enunciados por la LOREG, no son un numerus clausus.
b) Proceder a la contratación de servicios de terceros para la realización de inserciones publicitarias en redes y buscadores.
c) Obtener legítimamente el consentimiento expreso y escrito para el tratamiento de datos relacionados con la ideología.
La Instrucción 4/2007, de 12 de abril, de la Junta Electoral Central4y la posterior Instrucción 3/20115no resolvían todas las necesidades6.
¿Y qué deberían hacer los partidos? ¿Renunciar al uso de medios electrónicos y redes sociales? Para buscar una respuesta no resulta ocioso recordar que el Tribunal Constitucional ha señalado que el artículo 6 de la Constitución hace de ellos expresión del pluralismo político e instrumento fundamental para la participación política.
Sería lógico considerar que los partidos para cumplir con su función constitucional puedan tratar datos personales bajo ciertas condiciones. Y así pareció entenderlo el Reglamento General de Protección de Datos (RGPD) que integra una habilitación específica:
“Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas”.
Durante la tramitación de la Ley de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), el Grupo Socialista presentó una enmienda que desarrollaba esta posibilidad incluyendo garantías que posteriormente desaparecieron. Con ella se perseguía evitar aquello que finalmente se denunció: “intensificar la protección de datos en actividades electorales7”. El resultado final, sin embargo, fue el de un artículo 58 bis de la LOREG significativamente adelgazado. Probablemente de este aligeramiento de contenidos provenga el conjunto de malentendidos que generó un enorme debate mediático.
Cuando un partido político va a realizar actividades de profiling, ordenadas para identificar la ideología política de una persona, debería realizar una evaluación de impacto relativa a la protección de datos
El punto de partida del debate puede encontrarse en un informe de síntesis de la Comisión Europea8 concebido como una guía para la aplicación de la normativa europea de protección de datos personales en un contexto electoral. Este documento considera los riesgos identificados con el asunto Cambridge Analytica y se basa en los trabajos previos de la Comisión Nacional de Informática y Libertades francesa, el Information Commissioner’s Officer británico, el Garante per la Protezione dei Dati italiano, y el Supervisor Europeo de Protección de Datos.
El documento es una bitácora que recuerda que los partidos son responsables de cumplir tanto el RGPD como la Directiva sectorial sobre la privacidad y las comunicaciones electrónicas9. La Comisión recuerda la necesidad de verificar la condición de responsables, corresponsables y encargados en el desarrollo de las operaciones normales en una campaña electoral, subrayando que en ocasiones las plataformas y las compañías que realizan analítica de datos pueden ser “joint controllers”.
Por otra parte, la guía aborda la cuestión de la legitimación para el tratamiento en los estrictos términos del RGPD y en los supuestos recogidos por el mismo: consentimiento explícito, datos hechos públicamente manifiestos y/o un interés público reconocido por un el derecho nacional.
Pero, lo que realmente preocupa a la Comisión es el profiling, o micro-targeting, y lo aborda en los siguientes términos10:
“Las prácticas de micro-targeting en el contexto electoral entran en esta categoría cuando producen un efecto suficientemente significativo en las personas. El Comité Europeo de Protección de Datos declaró que este es el caso cuando la decisión puede afectar significativamente a las circunstancias, el comportamiento o las elecciones de los individuos o tener un impacto prolongado o permanente en ellos. La Junta consideró que, en algunas circunstancias, la publicidad dirigida en línea (micro-targeting) podría tener la capacidad de afectar de manera suficientemente significativa a las personas cuando, por ejemplo, es intrusiva o utiliza el conocimiento de las vulnerabilidades de las personas.
En el contexto electoral, por lo tanto, los responsables del tratamiento deben garantizar que todo tratamiento que utilice estas técnicas sea lícito de conformidad con los principios antes mencionados y con las estrictas condiciones del Reglamento general de protección de datos11.
¿Y cuál es la consecuencia natural? La que en su día se defendió en un entorno de blog12, y se plantea en el siguiente epígrafe: realizar una evaluación de impacto relativa a la protección de datos, definir los riesgos y fijar condiciones de cumplimiento normativo.
Lo destacable del documento es que no solo centra su punto de vista en los partidos sino en las entidades que intermedian el mercado publicitario online operando como data brokers o como asesores en analítica de datos personales. Y estos dos últimos, pueden ser caracterizados como responsables, joint controllers o encargados. Y lo mismo sucede con las plataformas de social media y redes sociales, que según la Comisión “suelen ser controladores de los datos para el procesamiento que tiene lugar en sus plataformas y posiblemente co-controladores con otras organizaciones”. Para la Comisión operaría un criterio que ya fue usado por el antiguo Reglamento de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), cuyo artículo 46 establecía tres criterios para identificar al responsable de una campaña publicitaria:
a) Cuando los parámetros identificativos de los destinatarios de la campaña sean fijados por la entidad que contrate la campaña, ésta será responsable del tratamiento de los datos.
b) Cuando los parámetros fueran determinados únicamente por la entidad o entidades contratadas, dichas entidades serán las responsables del tratamiento.
c) Cuando en la determinación de los parámetros intervengan ambas entidades, serán ambas responsables del tratamiento.
Nótese que a diferencia de los posicionamientos nacionales centrados en los riesgos derivados de la propia naturaleza de los tratamientos, la Comisión, pero también las autoridades de protección de datos, pivotan en torno al riesgo que presentan determinados tratamientos y los agentes que los realizan.
Incluso considerando que la redacción del artículo 58 bis perdió calidad técnica durante su tramitación, y que podría admitir una lectura presuntamente inconstitucional, no pueden compartirse gran parte de los posicionamientos. No podemos presumir por defecto un comportamiento ilícito ni de los partidos ni de ningún otro sujeto. El debate sobre el artículo debe centrarse en su calidad jurídica. Y, aquí es donde los profesionales podemos enriquecer el debate. Por su parte, la Agencia Española de Protección de Datos ha publicado un informe, cuya lectura se recomienda13, y también podría dictar una Circular Interpretativa.
Desde el enfoque propio de un delegado de protección de datos las garantías eliminadas en el texto definitivo resultan plenamente aplicables. El artículo 2 de la LOPDGDD confiere a la LOREG un valor de lex specialis pero señalando el carácter supletorio del RGPD. Cuando un partido político va a realizar actividades de profiling ordenadas a identificar la ideología política de una persona, debería realizar una evaluación de impacto relativa a la protección de datos. Cabe recordar que el artículo 16.2 CE establece que nadie podrá ser obligado a declarar sobre su ideología, religión o creencias y trazar sin consentimiento un perfil ideológico lesionaría de modo irreversible la dimensión negativa de la libertad ideológica. Así que la conclusión de nuestra evaluación de impacto relativa a la protección de datos determinaría la imposibilidad de realizar el tratamiento. Y de acudir a una consulta previa ya sabemos que el regulador no autorizaría el tratamiento.
Los partidos políticos en ningún caso podrían segmentar mediante perfilado ideológico a las personas. Pero se consideraría lícito tratar de obtener información relevante para orientar sus programas y el discurso
De subsistir dudas sobre la constitucionalidad de la norma es posible que el Tribunal Constitucional salvase el precepto mediante una sentencia interpretativa. Tal interpretación se basaría en tres pilares:
1)La norma no contiene una habilitación general sino específica y en un contexto determinado: el periodo electoral.
2)La utilización de datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante este periodo únicamente puede tener por finalidad el fomento del debate democrático para la formación de una opinión pública libre, reinterpretando el artículo 23 CE en términos adaptados a los recursos tecnológicos disponibles. La transparencia en la naturaleza del mensaje y el derecho de oposición facilitarían la autodeterminación individual.
3)Los partidos políticos en ningún caso podrían segmentar mediante perfilado ideológico a las personas. Pero se consideraría lícito tratar de obtener información relevante para orientar sus programas y el discurso y debate políticos.
Aunque la Ley es una criatura que siempre se independiza de su autor y toma a veces extraños caminos existen aproximaciones que nos pueden permitir corregir riesgos. Otra lectura, un tanto menos alarmista es posible y no lo olviden, los partidos no están en la lista del artículo 77.1 LOPDGDD, si cometen un error pasarán por caja.
La apuesta siguiente debería consistir en impulsar el desarrollo de un Código de Conducta que ofrezca unas reglas del juego compartidas, y transparencia a la ciudadanía. Sin embargo, existe un territorio pantanoso en el que solo el EDPS se ha aventurado a entrar: la contratación de espacios electorales a terceros. Es ahí, dónde en realidad hubiéramos necesitado un mayor grado de precisión por el Regulador. Y es en este territorio donde se producirán los conflictos.
1Pariser, E. (2017): El filtro burbuja. Cómo la red decide lo que leemos y lo que pensamos. Barcelona. Taurus.
2“The Cambridge Analytica Files”. Disponible en https://www.theguardian.com/news/series/cambridge-analytica-files
3“Spam electoral: lo que se puede y lo que no se puede hacer». Disponible en: https://www.elperiodico.com/es/politica/20181208/spam-electoral-partidos-que-se-puede-y-que-no-7190165.
4Instrucción 4/2007, de 12 de abril, de la Junta Electoral Central, sobre la utilización de las nuevas tecnologías de la información y de la comunicación electrónicas como instrumento de propaganda electoral. BOE núm. 94, de 19/04/2007.
5Instrucción 3/2011, de 24 de marzo, de la Junta Electoral Central, sobre interpretación de la prohibición de realización de campaña electoral incluida en el artículo 53 de la LOREG. BOE núm. 74, de 28/03/2011.
6García Mahamut, R. (2015): “Partidos políticos y derecho a la protección de datos en campaña electoral: tensiones y conflictos en el ordenamiento” en Teoría y realidad constitucional, 35, págs. 309-338, citas en págs. 317, 318 y 319.
7“Ni Gran Hermano ideológico ni spam electoral masivo». Disponible en: https://elpais.com/sociedad/2018/12/02/actualidad/1543764183_994977.html y “La nueva ley no permite crear bases de datos basadas en ideología de los ciudadanos ni el spam político masivo” disponible en https://www.eldiario.es/tecnologia/Entrevista-Artemi-Rallo_0_840266917.html
8Free and Fair elections. Commission guidance on the application of Union data protection law in the electoral context. A contribution from the European Commission to the Leaders’ meeting. . Disponible en: https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-data-protection-law-electoral-guidance-638_en.pdf
9Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. data-protection-law-electoral-guidance-638_en.pdf
10Traducido por el editor, ya que el documento original solo está disponible en inglés.
11Free and Fair elections. Op. cit. pág. 8. Véase también, Guidelines of the European Data Protection Board on automated decision making. Disponible en: https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-data-protection-law-electoral-guidance-638_en.pdf
12Véase distintos posts del autor en http://lopdyseguridad.es/.
Martínez Martínez, R. (2004): Una aproximación crítica a la autodeterminación informativa. Madrid, Civitas.
O’Neil, C. (2018): Armas de destrucción matemática: como el big data aumenta la desigualdad y amenaza la democracia. Madrid, Capitan Swing.
Pariser, E. (2017): El filtro burbuja. Cómo la red decide lo que leemos y lo que pensamos. Barcelona, Taurus.
Profesor de Derecho Constitucional. Director de la Cátedra de privacidad y Transformación Digital Microsoft-Universitat de Valencia.
Ver todos los artículosProfesor de Derecho Constitucional. Director de la Cátedra de privacidad y Transformación Digital Microsoft-Universitat de Valencia.
Ver todos los artículos
Comentarios