Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Legislación consolidada

Circular 1/2019, de 7 de marzo, de la Agencia Espaola de Proteccin de Datos, sobre el tratamiento de datos personales relativos a opiniones polticas y envo de propaganda electoral por medios electrnicos o sistemas de mensajera por parte de partidos polticos, federaciones, coaliciones y agrupaciones de electores al amparo del artculo 58 bis de la Ley Orgnica 5/1985, de 19 de junio, del Rgimen Electoral General.

Publicado en: BOE núm. 60, de 11/03/2019.
Entrada en vigor: 12/03/2019
Departamento: Agencia Espaola de Proteccin de Datos
Referencia: BOE-A-2019-3423
Permalink ELI: https://www.boe.es/eli/es/cir/2019/03/07/1/con

TEXTO ORIGINAL: Texto original publicado el 11/03/2019


[Bloque 1: #pr]

La recopilacin y tratamiento de datos por parte de las organizaciones polticas con fines de comunicacin poltica junto con el uso de tcnicas modernas como el big data y la inteligencia artificial han generado un amplio debate y preocupacin respecto a los lmites que deben aplicarse, entre los que se encuentra el derecho a la proteccin de datos de carcter personal.

De ah que ya en la27 Conferencia Internacional de Autoridades de Proteccin de Datos y Privacidad celebrada en Montreux (Suiza), de14 al16 de septiembre de2005, se aprobara la Resolucin sobre el Uso de Datos Personales para la Comunicacin Poltica. En los ltimos aos dicha preocupacin se ha incrementado, singularmente al hacerse pblicos determinados casos de tratamiento ilcito de datos personales para influir en la opinin poltica de los votantes como el de Cambridge Analytica, lo que ha dado lugar a que diferentes autoridades nacionales de proteccin de datos hayan emitido sus criterios restrictivos al respecto. El6 de marzo de2014, la Autoridad Italiana de Proteccin de Datos (Garante para la Protezione dei Dati Personali) emiti su documento Provvedimento in materia de trattamento di dati presso i partiti politici e di esonero dallinformativa per fini di propaganda elettorale. En noviembre de2016 lo hizo la Autoridad francesa (Commission Nationale de l'Informatique et des Liberts) con, entre otros, el ttulo Communication politique: quelles sont les rgles pour l'utilisation des donnes issues des rseaux sociaux?. Y en abril de2017 la Autoridad britnica (Information Commissioners Office) aprob su Guidance on political campaigning.

Asimismo, el Supervisor Europeo de Proteccin de Datos emiti el18 de marzo de2018 su Opinin3/2018 sobre manipulacin online y datos personales (EDPS Opinion on online manipulation and personal data) y la Comisin Europea, ante la proximidad de las elecciones al Parlamento Europeo, el pasado12 de septiembre de2018 aprob su gua sobre la aplicacin de la normativa europea de proteccin de datos en el contexto electoral (Commission guidance on the application of Union data protection law in the electoral context).

Todos estos documentos muestran su preocupacin sobre el uso del big data, la inteligencia artificial y la aplicacin del microtargeting en los procesos electorales y que pueden llevar a la manipulacin de las personas mediante la realizacin de perfilados exhaustivos y el fenmeno de las fake-news o desinformacin online. Por eso coinciden en la necesidad de garantizar la aplicacin de la normativa de proteccin de datos en el contexto electoral.

Por su parte, el legislador espaol, a travs de la disposicin final tercera de la Ley Orgnica3/2018, de5 de diciembre, de Proteccin de Datos Personales y garanta de los derechos digitales, que entr en vigor el pasado7 de diciembre, ha modificado la Ley Orgnica5/1985, de19 de junio, del Rgimen Electoral General (LOREG), introduciendo el artculo58 bis con el fin de regular especficamente la recopilacin y tratamiento de opiniones polticas por los partidos polticos as como el envo de propaganda electoral con el siguiente contenido:

Artculo58 bis. Utilizacin de medios tecnolgicos y datos personales en las actividades electorales.

1. La recopilacin de datos personales relativos a las opiniones polticas de las personas que lleven a cabo los partidos polticos en el marco de sus actividades electorales se encontrar amparada en el inters pblico nicamente cuando se ofrezcan garantas adecuadas.

2. Los partidos polticos, coaliciones y agrupaciones electorales podrn utilizar datos personales obtenidos en pginas web y otras fuentes de acceso pblico para la realizacin de actividades polticas durante el periodo electoral.

3. El envo de propaganda electoral por medios electrnicos o sistemas de mensajera y la contratacin de propaganda electoral en redes sociales o medios equivalentes no tendrn la consideracin de actividad o comunicacin comercial.

4. Las actividades divulgativas anteriormente referidas identificarn de modo destacado su naturaleza electoral.

5. Se facilitar al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposicin.

El tratamiento de datos personales por parte de los partidos polticos, as como por el resto de sujetos que pueden presentar candidaturas en los procesos electorales, queda sujeto a la normativa general sobre proteccin de datos personales, actualmente constituida por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de27 de abril de2016 relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos y por el que se deroga la Directiva95/46/CE (Reglamento general de proteccin de datos, RGPD) y la Ley Orgnica de Proteccin de Datos Personales y garanta de los derechos digitales incluida la modificacin que sta ltima ha hecho de la LOREG.

El informe del Gabinete Jurdico de esta Agencia de19 de diciembre de2018 ya destacaba que dicho precepto deba ser objeto de interpretacin restrictiva al tratarse de una excepcin al tratamiento de las categoras especiales de datos personales basado en el inters pblico que se amparara en la letra g) del artculo9.2 del RGPD. Adems, el inters pblico actuara como fundamento pero tambin como lmite. Por tanto, la aplicacin del mismo debe interpretarse siempre en el sentido ms favorable a la consecucin de dicho inters pblico, por lo que en ningn caso podr amparar tratamientos, como el microtargeting, que puedan ser contrarios a los principios de transparencia y libre participacin que caracterizan a un sistema democrtico.

Por otro lado, el legislador espaol ha hecho uso de la habilitacin que concede el artculo9.2.a) del RGPD disponiendo en el artculo9.1. de la Ley Orgnica3/2018 que el solo consentimiento del afectado no bastar para levantar la prohibicin del tratamiento de datos cuya finalidad principal sea identificar su ideologa, afiliacin sindical, religin, orientacin sexual, creencias u origen racial o tnico. Por consiguiente, si el legislador espaol ha otorgado mayor proteccin a los datos relacionados con la ideologa y al mismo tiempo ha establecido como nica excepcin al tratamiento de las opiniones polticas la contemplada en el citado artculo58 bis de la LOREG, ha de ser objeto de interpretacin restrictiva.

Asimismo, dicha interpretacin restrictiva vendra avalada por la necesidad de que el artculo58 bis sea interpretado conforme a lo establecido en la Constitucin espaola y de modo que no conculque derechos fundamentales, como el derecho a la proteccin de datos de carcter personal reconocido en el artculo18.4, el derecho a la libertad ideolgica del artculo16, la libertad de expresin e informacin del artculo20 o el derecho a la participacin poltica del artculo23.

Por otro lado, el artculo9.2.g) del RGPD requiere que se establezcan medidas adecuadas y especficas para proteger los intereses y derechos fundamentales de los afectados. Dichas garantas adquieren una especial relevancia tanto por la importancia de los datos personales objeto de tratamiento como por tratarse de tratamientos a gran escala de categoras especiales de datos que entraarn un alto riesgo para los derechos y libertades de las personas fsicas difcilmente mitigable si no se toman medidas adecuadas.

Precisamente por la existencia de un alto riesgo para los derechos y libertades de las personas fsicas dichas garantas, al no haberse establecido por el legislador, deben identificarse por esta Agencia Espaola de Proteccin de Datos, en cumplimiento de las funciones de interpretacin y aplicacin de la normativa de proteccin de datos que le atribuyen los artculos57 y58 del RGPD, entre las que destacan las relativas a la evaluacin de impacto, la consulta previa a la AEPD o la adopcin de las oportunas medidas de seguridad. Todo ello sin perjuicio de cualquier otra que estime el responsable del tratamiento y las que puedan exigir otros rganos en el mbito de sus competencias, como la Junta Electoral Central, el Tribunal de Cuentas, el Ministerio del Interior y, en ltimo trmino, el Tribunal Constitucional.

Con la finalidad de fijar los criterios a los que responder la actuacin de esta autoridad en la aplicacin de la normativa sobre proteccin de datos de carcter personal y de conformidad con lo dispuesto en los artculos48.1 y55 de la Ley Orgnica3/2018, de5 de diciembre, de Proteccin de Datos Personales y garanta de los derechos digitales, dispongo:


[Bloque 2: #ar]

Artculo1. mbito objetivo.

La presente Circular se aplica al tratamiento de datos personales relativos a opiniones polticas por los partidos polticos al amparo del artculo58 bis de la Ley Orgnica5/1985, de19 de junio, del Rgimen Electoral General.


[Bloque 3: #ar-2]

Artculo2. Sujetos legitimados para realizar el tratamiento.

1. Se encuentran legitimados para el tratamiento de los datos objeto de la presente circular, en el mbito de la circunscripcin que se corresponda con el proceso electoral al que se presenten, los partidos polticos, federaciones, coaliciones y agrupaciones de electores que presenten las correspondientes candidaturas y resulten proclamadas conforme a los artculos43 y siguientes de la LOREG.

2. Dichos sujetos ostentarn la condicin de responsables del tratamiento conforme al artculo4.7) del RGPD.

3. El tratamiento de los datos podr encomendarse a otro sujeto en calidad de encargado del tratamiento quien deber ajustarse estrictamente a las instrucciones del responsable y previa suscripcin del contrato previsto en el artculo28 del RGPD.

4. Dichos datos no podrn ser comunicados ni transferidos a terceros.


[Bloque 4: #ar-3]

Artculo3. Base jurdica del tratamiento.

Solo ser posible el tratamiento de datos personales que se refieran a opiniones polticas por los partidos polticos conforme al artculo58 bis de la LOREG cuando concurra un inters pblico esencial conforme al artculo9.2.b) del RGPD y se adopten las garantas adecuadas previstas en el artculo7 de esta circular.

Los partidos polticos podrn tratar otro tipo de datos personales siempre que concurra alguna de las bases jurdicas del artculo6 del RGPD y tratndose de categoras especiales, otra de las excepciones del artculo9.2 RGPD, salvo el consentimiento del interesado conforme al artculo9.1 de la Ley Orgnica3/2018.


[Bloque 5: #ar-4]

Artculo4. Marco en el que se habilita el tratamiento.

1. El tratamiento de los datos al amparo del artculo58 bis de la LOREG solo ser lcito durante el periodo electoral y respecto de las actividades de propaganda y actos de campaa electoral reguladas en la seccin5. del captulo VI del ttulo I de la LOREG.

2. El responsable deber determinar la finalidad o finalidades que se persiguen con el tratamiento, que en todo caso debern guardar relacin con su actividad electoral conforme a lo sealado en el apartado anterior.


[Bloque 6: #ar-5]

Artculo5. Datos personales que pueden ser objeto de tratamiento.

1. Solo podrn ser objeto de recopilacin las opiniones polticas de las personas libremente expresadas por stas en el ejercicio de sus derechos a la libertad ideolgica y a la libertad de expresin reconocidos en los artculos16 y20 de la Constitucin espaola.

2. En ningn caso podrn ser objeto de tratamiento otro tipo de datos personales a partir de los que, aplicando tecnologas como las de tratamiento masivo de datos o las de inteligencia artificial, se puede llegar a inferir la ideologa poltica de una persona.

3. Las nicas fuentes de las que se pueden obtener los datos personales sobre opiniones polticas son las pginas web y aquellas otras fuentes que sean de acceso pblico.

Se entiende por fuentes de acceso pblico aquellas cuya consulta puede ser realizada por cualquier persona, quedando excluidas otro tipo de fuentes en las que el acceso est restringido a un crculo determinado de personas.

4. El tratamiento de cualquier otro tipo de datos personales u obtenidos de otras fuentes por los sujetos legitimados deber ampararse en alguna de las bases legitimadoras del artculo6 del RGPD y encontrarse en alguna de las excepciones del artculo9.2 RGPD si se trata de categoras especiales de datos.


[Bloque 7: #ar-6]

Artculo6. Actividades de tratamiento.

1. Corresponder al responsable determinar las actividades de tratamiento a realizar conforme al artculo4.2) del RGPD que, en todo caso, debern ser proporcionales al objetivo perseguido consistente en garantizar el adecuado funcionamiento de un sistema democrtico, sin que sean admisibles tratamientos no proporcionales como el microtargeting ni los que tengan por finalidad forzar o desviar la voluntad de los electores. Tratndose de datos personales relativos a opiniones polticas, estos solo podrn ser objeto de recopilacin conforme a lo previsto en el artculo58 bis de la LOREG y el artculo1 de esta Circular.

2. Si se pretende la elaboracin de perfiles se deber ser especialmente riguroso con el nivel de detalle y la exhaustividad del mismo, siendo admisible nicamente la elaboracin de perfiles generales y por categoras genricas, pero no la realizacin de perfiles individuales o realizados atendiendo a categoras muy especficas, de tal manera que slo se puedan deducir patrones de conducta generales de la poblacin de forma agregada, pero no de titulares de datos personales concretos.

3. En todo caso, resultarn de aplicacin al tratamiento todos los principios recogidos en el artculo5 del RGPD.


[Bloque 8: #ar-7]

Artculo7. Garantas adecuadas.

1. Conforme a lo previsto en el artculo9.2.g) del RGPD tendrn la consideracin de medidas adecuadas y especficas para proteger los intereses y derechos fundamentales de los afectados, en todo caso, las siguientes, sin perjuicio de cualquier otra que estime el responsable del tratamiento y las que puedan exigir otros rganos en el mbito de sus competencias:

1. Atendiendo al principio de responsabilidad desde el diseo y por defecto previsto en el artculo25 del RGPD, debern adoptarse, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas tcnicas y organizativas apropiadas, como la seudonimizacin, e incluso la agregacin y anonimizacin. Adems, deber garantizarse que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines especficos del tratamiento y que no sern accesibles, sin intervencin de la persona, a un nmero indeterminado de personas.

2. Ser obligatorio designar a un delegado de proteccin de datos conforme a lo previsto en el artculo37.1.c) del RGPD, al realizarse un tratamiento a gran escala de categoras especiales de datos personales. El delegado de proteccin de datos desempear las funciones que le atribuyen el artculo39 del RGPD y los artculos36 y37 de la LOPDPGDD con especial diligencia atendiendo al alto riesgo asociado a estos tratamientos.

3. Deber llevarse un registro de las actividades de tratamiento con el contenido sealado en el artculo30 del RGPD, debiendo ser precisos y claros, conforme a los principios de lealtad y transparencia, en la descripcin de los fines del tratamiento, y de las categoras de interesados y de datos personales objeto de tratamiento. La llevanza de dicho registro resultar en todo caso obligatoria al incluir categoras especiales de datos personales del artculo9.

4. Se deber realizar una evaluacin de impacto relativa a la proteccin de datos al realizarse un tratamiento a gran escala de las categoras especiales de datos conforme a lo dispuesto en el artculo35.3 del RGPD.

5. Deber consultarse a la AEPD antes de proceder al tratamiento conforme al artculo36.1 del RGPD al tratarse de tratamientos que entraan un alto riesgo, a no ser que el responsable justifique la adopcin de medidas para mitigarlo. En este ltimo caso deber remitirse a la AEPD el anlisis de riesgos y la evaluacin de impacto junto a la justificacin de las medidas adoptadas, al amparo de lo previsto en el artculo58.1. a) y e) del RGPD. La solicitud de consulta a la AEPD o, en su defecto, la remisin de la documentacin anteriormente indicada, deber realizarse al menos14 semanas antes del inicio del periodo electoral.

6. Debern adoptarse las medidas de seguridad necesarias conforme a lo previsto en el artculo32 del RGPD, que debern ser lo ms rigurosas que permita el estado de la tcnica teniendo en cuenta que se estn tratando datos referentes a las opiniones polticas cuyo tratamiento es excepcional y que suponen un alto riesgo para los derechos y libertades de las personas fsicas.

7. Cuando el tratamiento se vaya a realizar por un encargado del tratamiento, deber seleccionarse uno que ofrezca garantas suficientes y haberse suscrito un contrato con el contenido del artculo28 del RGPD, en el que deber quedar plenamente garantizado que el encargado actuar solo siguiendo instrucciones del responsable, debiendo dichas instrucciones contemplar todas las garantas adecuadas a las que se hace referencia en la presente circular.

8. Deber facilitarse, de un modo sencillo y gratuito, el ejercicio de los derechos de acceso, rectificacin, supresin, limitacin del tratamiento y oposicin, conforme a lo previsto en el artculo12 del RGPD y, en cuanto al derecho de oposicin, conforme a lo previsto en el apartado5 del artculo58 bis de la LOREG.

9. En el caso de que se pretenda obtener los datos de terceros que no acten como encargados del tratamiento, el responsable deber comprobar que dichos datos fueron obtenidos de manera lcita y cumpliendo con todos los requisitos del RGPD, especialmente que el tercero tiene una legitimacin especfica para obtener y tratar dichos datos y que ha informado expresamente a los afectados de la finalidad de cesin a los partidos polticos, cumpliendo de este modo con el principio general de responsabilidad proactiva consagrado en el artculo5.2 del RGPD, y singularmente para actuar conforme a lo previsto en sus artculos24 y25.

10. El responsable deber cumplir con lo dispuesto en el artculo22 del RGPD si los afectados van a ser objeto de decisiones automatizadas, incluida la elaboracin de perfiles, siempre que el tipo de tratamiento que prevea, por sus caractersticas y teniendo en cuenta de nuevo la naturaleza de los datos tratados, pueda afectar significativamente a los ciudadanos.

2. El responsable del tratamiento y, en su caso, el encargado, debern ser capaces de acreditar documentalmente la adopcin de las anteriores garantas.


[Bloque 9: #ar-8]

Artculo8. Deber de informacin.

1. En todo caso deber cumplirse con el deber de informacin previsto en los artculos13 y14 del RGPD, que deber realizarse en forma concisa, transparente, inteligible y de fcil acceso, con un lenguaje claro y sencillo de acuerdo con el artculo12 del RGPD, siendo de aplicacin lo previsto en el artculo11 de la Ley Orgnica3/2018.

2. Cuando se considere que la comunicacin individual de dicha informacin a los afectados resulta imposible o suponga un esfuerzo desproporcionado, deber facilitarse en forma electrnica en el sitio web del responsable, as como en las cuentas que tenga en redes sociales y servicios equivalentes.

3. Del mismo modo, cuando el responsable pretenda obtener los datos de un tercero, deber comprobar que dicho tercero ha cumplido con su obligacin de informar sobre los mismos extremos a los afectados, al menos de forma electrnica segn lo indicado en al apartado anterior.


[Bloque 10: #ar-9]

Artculo9. Momento en el que debern adoptarse las garantas adecuadas.

1. Antes del comienzo del periodo electoral los responsables que vayan a presentar las correspondientes candidaturas podrn realizar las actuaciones necesarias para preparar los tratamientos que vayan a desarrollar en el periodo electoral, conforme a las obligaciones sealadas en los artculos anteriores, pero sin poder iniciar los tratamientos. En especial, las relativas al registro de actividades, evaluacin de impacto, consulta previa, designacin del delegado de proteccin de datos si no lo hubieran designado con anterioridad y la celebracin, en su caso, del contrato de encargado del tratamiento.

2. Durante el periodo electoral podr iniciarse el tratamiento, debiendo en primer lugar cumplir con la obligacin de informacin conforme al artculo8 y velar por el cumplimiento de la normativa de proteccin de datos. En el caso de que los sujetos que hayan presentado candidaturas no resulten proclamados, deber interrumpirse inmediatamente el tratamiento y procederse a la supresin de los datos conforme al apartado siguiente.

3. Terminado el periodo electoral deber garantizarse la supresin de los datos personales conforme a lo establecido en la ISO27001:2013 Seguridad de la informacin y la Norma UNE- EN15713:2010 Destruccin del Material Confidencial. Cdigo de Buenas Prcticas, o cualquier otra metodologa de reconocido prestigio para la destruccin de la informacin debidamente documentada, procedindose al bloqueo de los mismos cuando proceda de conformidad con el artculo32 de la Ley Orgnica3/2018.


[Bloque 11: #ar-10]

Artculo10. Violacin de la seguridad de los datos personales que se refieran a opiniones polticas.

1. En caso de violacin de la seguridad de los datos personales que se refieran a opiniones polticas, el responsable del tratamiento deber notificarlo, en todo caso, a la Agencia Espaola de Proteccin de datos conforme al artculo33 del RGPD al constituir un riesgo para los derechos y libertades de las personas fsicas.

2. Asimismo, deber comunicarlo a los afectados salvo que se cumpla alguna de las condiciones del artculo34.3 del RGPD.


[Bloque 12: #ar-11]

Artculo11. Envo de propaganda electoral por medios electrnicos o sistemas de mensajera y contratacin de propaganda electoral en redes sociales o medios equivalentes.

1. Conforme al apartado3 del artculo58 bis el envo de propaganda electoral por medios electrnicos o sistemas de mensajera y la contratacin de propaganda electoral en redes sociales o medios equivalentes no tendrn la consideracin de actividad o comunicacin comercial.

2. Los datos personales que vayan a ser utilizados por los partidos polticos, federaciones, coaliciones o agrupaciones de electores para el envo de propaganda electoral tales como nmeros de telfono, correo electrnico u otros similares debern haber sido obtenidos lcitamente, amparados en alguna de las bases jurdicas del artculo6 del RGPD y debern corresponder a personas que puedan ejercer su derecho al voto en el mbito de la circunscripcin que se corresponda con el proceso electoral al que se presenten

3. En todo caso, en los envos que se realicen deber constar su carcter electoral y la identidad del remitente. Asimismo, deber facilitarse de un modo sencillo y gratuito el ejercicio de los derechos de acceso, rectificacin, supresin, limitacin del tratamiento y oposicin, con especial atencin en el caso de este ltimo, conforme al apartado5 del artculo58 bis de la LOREG.

En caso de ejercicio del derecho de oposicin, los datos personales dejarn de ser tratados para el envo de propaganda electoral mientras el afectado no preste su consentimiento expreso.


[Bloque 13: #dt]

Disposicin transitoria nica. Consulta previa a la AEPD o remisin de la documentacin prevista en el artculo7.1. 5. en los procesos electorales previstos para el28 de abril y el26 de mayo de2019.

En los procesos electorales previstos para el28 de abril y el26 de mayo de2019 la consulta previa o la remisin de la documentacin a la que se refiere el artculo7. 1. 5. de la presente Circular deber realizarse, en su caso, con una antelacin mnima de tres semanas al inicio de la campaa electoral, debiendo emitirse el correspondiente informe o adoptarse las medidas oportunas con anterioridad al inicio de la misma.


[Bloque 14: #df]

Disposicin final. Entrada en vigor.

La presente Circular entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.


[Bloque 15: #fi]

Madrid, 7 de marzo de2019.–La Directora de la Agencia Espaola de Proteccin de Datos, Mar Espaa Mart.

Este documento es de carácter informativo y no tiene valor jurídico.

Dudas o sugerencias: Servicio de atención al ciudadano

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid