El tratamiento de los datos que tienen que ver con las opiniones políticas acaba de entrar en el punto de mira de la Agencia Española de Protección de Datos. La Agencia, en su informe de análisis del tratamiento de datos personales relativos a las Disposiciones Final y Tercera de la Ley Orgánica en materia de protección de datos, ha detectado una excepción a la regla general recogida en el artículo 9 del nuevo RGPD, así como en el artículo 9.1 de la LOPD.
¿Cuál es el problema del tratamiento de datos relativos a la opinión política?
En dichos artículos se prohíbe el tratamiento de datos que pertenezcan a alguna de las categorías consideradas especialmente sensibles dentro de los datos personales. Entre ellas se encuentra toda la información referida a las opiniones políticas de los interesados.
Por otro lado, se considera que el artículo 58 bis de la LOPDGDD ha de interpretarse de acuerdo a lo que establece la Constitución Española para que no sea aplicado de manera lesiva al derecho fundamental a la protección de datos, así como el derecho a la libertad ideológica, la libertad de información y expresión y de participación en la política del país.
¿Cómo debe actuarse a la hora de tratar los datos sobre opinión política?
Partidos políticos, coaliciones, agrupaciones para programas electorales y federaciones podrán manejar opiniones de carácter político únicamente si las mismas han sido expresadas por los interesados durante el ejercicio de sus derechos a la libertad de ideología y expresión.
Aun dándose el caso, no está amparada la posibilidad de aplicar nuevas tecnologías como el Big Data o la inteligencia artificial con la intención de recabar información sobre la ideología política de las personas.
¿Qué ocurre en los casos de consulta a fuentes de acceso público de datos personales?
A la hora de recabar datos sobre opinión política desde fuentes de acceso público, la AEPD valora que se aplica el criterio de interpretación de la LOPD 15/1999 ya derogada, con la peculiaridad de que en todo caso tiene que tratarse de páginas web y fuentes que cualquier persona pueda consultar.
En cuanto al objetivo del tratamiento de los datos, la Agencia considera que el proceso de manejo de la información debe estar adecuado a la proporción de dicho objetivo.
Los tratamientos de datos personales que tengan que ver con opiniones políticas necesitarán cumplir con los principios recogidos en el artículo 5 del RGPD, es decir:
– Licitud, transparencia y legalidad.
– Exactitud de la información.
– Mínimo uso de datos personales, siempre de acuerdo con los objetivos del tratamiento.
– Limitación del tiempo durante el que se conservarán los datos.
– Principios de integridad y confidencialidad.
– Responsabilidad proactiva.
¿Cuáles son las garantías que una consultoría de protección de datos define como adecuadas en este tipo de tratamientos?
Un servicio profesional de consultoría de protección de datos conoce bien las garantías que la AEPD considera que cualquier proceso de tratamiento de datos de opinión política debe contemplar. Estas se definen en base a los artículos 57 y 58 a lo largo del RGPD:
– Responsabilidad por defecto y desde el diseño: el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas. Por ejemplo, anonimización, seudonimización o agregación.
– Nombrar a un delegado en materia de protección de datos.
– Elaboración de un registro de toda la actividad del proceso de tratamiento. La precisión y claridad deben ser absolutas.
– Realización de evaluación de impacto en relación con la protección de datos por el desempeño de un tratamiento de gran escala y con datos de categoría especial.
– Consultar con la Agencia antes de iniciar un proceso de tratamiento si la evaluación de impacto detecta un alto riesgo en su desempeño.
– Adopción de las medidas de seguridad más rigurosas de acuerdo a la técnica de tratamiento empleada. Los datos se refieren a opiniones políticas de tratamiento en casos excepcionales, y su filtración puede suponer un gran riesgo para la libertad y el derecho de los interesados.
– A la hora de seleccionar al encargado del tratamiento, es necesario seleccionar aquel que garantice el cumplimiento de la normativa vigente en Protección de Datos. Así mismo, es necesario suscribir con él un contrato que garantice que su conducta y su forma de proceder se ajustarán a las instrucciones de los responsables, las cuales, a su vez, necesitan contemplar las garantías que describe la Agencia.
– Deben proporcionarse las herramientas para que los interesados puedan ejercer sus derechos al acceso, rectificación o supresión, portabilidad y oposición.
– A la hora de acceder a datos proporcionados por servicios de terceros que no actúen como encargados del tratamiento, los responsables deben comprobar la legalidad y alineación de dicha información a los requisitos del RGPD.
– Los responsables necesitan cumplir con las garantías del artículo 22 del RGPD cuando puedan ejecutarse decisiones de manera automatizada, como puede ser una elaboración de perfiles.
En definitiva, un proceso de tratamiento de los datos personales es especialmente sensible a la hora de manejar las opiniones políticas de los interesados.
