“La nueva ley no permite crear bases de datos basadas en ideología de los ciudadanos ni el spam político masivo”
La nueva Ley Orgánica de Protección de Datos, aprobada la semana pasada, avanzó con la máxima tranquilidad en su trámite parlamentario. El texto gozó del apoyo unánime de todos los partidos, que se felicitaban mutuamente por el gran consenso alcanzado. Eso se rompió justo antes del último paso antes de su ratificación. La causa fue una disposición final que, a su vez, modificaba la ley electoral para permitir a los partidos enviar propaganda electoral al teléfono móvil sin consentimiento previo del ciudadano y sin que este les hubiera facilitado nunca sus datos.
La salida a la luz de esa medida suscitó polémica. Unidos Podemos y Ciudadanos denunciaron que el PSOE la introdujo al final de las negociaciones y sin publicidad. El diputado socialista Artemi Rallo (Castellón, 1965), ex director de la Agencia Española de Protección de Datos (AEPD) lo desmiente, como gran parte de las denuncias de los juristas que cargaron contra la ley: “Hemos oído de todo. Que este artículo va a posibilitar un Gran Hermano, que los partidos van a poder crear bases de datos con perfiles ideológicos de los ciudadanos, que van a hacer rastreos masivos en Internet y que además se va a hacer spam con esos datos resultantes. Yo tengo que decir que nada de eso se va a poder hacer”.
La ley ha provocado una gran alarma. Múltiples juristas han alertado sobre ella. ¿Cuál es su impresión de la polémica?
No ha habido la más remota intención por parte de los grupos de aprobar una ley que restringiera en alguna medida la privacidad o la protección de datos. Todo lo contrario. Lo que ha presidido siempre el impulso de esta ley es establecer más garantías a la protección de datos.
Eso se demuestra con medidas como que, a partir de la aprobación de esta ley, quien quiera salir del censo electoral que se facilita a los partidos políticos lo va a poder pedir. Ese es un indicador de cuál es la voluntad de esta ley. Otro es haber regulado este tema, cuando hasta la fecha la ley no establecía ningún tipo de previsión en materia de uso de medios tecnológicos en actividades electoral. Y si se incorpora es precisamente para introducir garantías. Creemos que eso es lo que hace la ley: ni permite crear bases de datos basadas en la ideología de los ciudadanos, ni permite rastrear información por la web, ni permite el spam masivo.
¿Los partidos no podrán crear perfiles ideológicos, como se ha denunciado?
En absoluto, pero es que si a algún partido se le ocurriera en algún momento hacerlo, cosa que no ocurrirá porque contradice de plano previsiones constitucionales y de la misma carta de derechos fundamentales de la UE, pero si en algún momento alguien se lo planteara, lo primero que tendría que hacer es algo a lo que obliga el RGPD [Reglamento General de Protección de Datos europeo], que es una evaluación de impacto.
En el momento en que alguien quiera tratar datos ideológicos tiene la obligación de hacer esa evaluación. Además, se obliga a consultar antes a la autoridad de control, que en este caso es la AEPD. Es evidente que, en esa evaluación, los riesgos chocarían con la barrera frontal de la libertad ideológica y el derecho a no revelar la propia ideología. No hay que ser un jurista fino para ver que esa barrera es insalvable, la establece la ley en la interpretación conjunta con las garantías del Reglamento.
Por lo tanto, desde el minuto uno en que alguien se planteara hacer un tratamiento de esa naturaleza, se toparía con un ‘no’, tanto en su propio análisis de riesgo como en la consulta que le tendría que hacer a la AEPD.
Me parece bastante claro este aspecto.
¿Los partidos se podrán poner en contacto con los ciudadanos a través del móvil o del correo electrónico sin consentimiento previo?
Eso es otro tema. Nuestro objetivo al redactar la ley ha sido siempre añadir garantías y seguridad jurídica. ¿Cómo? Entre otras cosas, incorporando a la ley lo que es doctrina vigente de la AEPD cuando aplica normativa de protección de datos. La Agencia tiene dicho desde hace 10 años que los envíos de propaganda electoral no son envíos comerciales. Hasta la fecha eso era doctrina de la Agencia, pero es evidente que si lo incorporas a la ley añades más seguridad.
¿Significa esto que se autoriza el envío masivo de propaganda electoral a cualquiera? No, porque lo que va a tener que hacer un partido para hacer envíos de esta naturaleza es obtener legítimamente el correo electrónico o el teléfono. En ese sentido, resoluciones de la Agencia hay todas las que quieras: si alguien hace un envío de propaganda electoral a un correo y no justifica de dónde lo ha sacado, multa.
¿Los partidos podrán obtener datos personales de los ciudadanos de páginas web y redes sociales legítimamente?
Esto posiblemente sea lo más difícil de entender para un no introducido en normativa de protección de datos. Hay un concepto en el Reglamento que se llama webs y fuentes de acceso público, que es el que contempla este artículo. De este tema le voy a pasar una resolución de la Agencia para que vea que ni nos hemos inventado el apartado uno ni hemos innovado en nada. En esta resolución se deja claro que el envío de propaganda electoral usando correos públicos y accesibles del Gobierno de la Rioja es legal.
[Rallo resume una resolución de la AEPD de 2016 en la que sanciona a una candidata del PSOE por enviar propaganda electoral a profesionales del Gobierno de la Rioja cuyas direcciones de correo no estaban disponibles en webs públicas. En el mismo dictamen, la Agencia afirma que el envío de la misma propaganda a profesionales cuyos emails sí estaban disponibles para el público fue legal, ya que aunque estos profesionales tampoco habían dado su consentimiento al envío, la candidata lo hizo en base a un “interés legítimo”]
Esto es un caso de libro. Aquí la Agencia se basa en la antigua Ley de Protección de Datos, pero estos detalles no han cambiado con la nueva normativa.
¿Tienen los partidos un “interés legítimo” a recabar datos personales de los ciudadanos?
Todo se puede cuestionar. Pero la AEPD ha reconocido en sus resoluciones que sí lo tienen, nosotros no nos hemos inventado nada. La ley lo único que hace es confirmar criterios de la Agencia.
Si hay una autoridad independiente especializada en la aplicación de la protección de datos, a esa es a la que todos le reconocemos la autoridad para fijar criterio. Que luego discrepemos, pues está bien, enriquece el debate. Pero la referencia, en mi opinión, no puede ser otra. Si no se le reconoce a la AEPD la capacidad técnica para fijar criterios… entonces se rompe el sistema.
Afirma que se han añadido garantías. ¿Cuáles?
Que solo se puedan realizar esas comunicaciones durante el período electoral. Segundo, que se identifique la naturaleza electoral de la comunicación. Y tercero y más importante: que al primer envío que reciba un destinatario, se pueda ejercer el derecho de oposición. Es decir, que en un click pueda decir no quiero volver a recibir propaganda electoral por parte de ustedes.
¿Eso significa que los partidos políticos van a poder…
No.
... expresar un interés legítimo a la hora de recabar datos personales como el correo electrónico o el teléfono, para enviar propaganda a los ciudadanos sin su consentimiento?
Eso es así, pero no porque lo diga la ley. Sino porque el intérprete de la ley, independiente y especializado...
Pero, por contextualizar, esto es una renovación de la actual Ley de Protección de Datos. ¿No se podría haber prohibido esta práctica a los partidos? De esa forma la AEPD tendría que haber interpretado la ley de otra forma.
Esto es un tema jurídico que intento también aclarar. La labor de la Agencia es decir que, conforme a las normas de protección de datos españolas y europeas, eso es así. Y eso es así porque lo dice la Agencia, que es la que tiene el encargo legal para hacerlo.
Además, el tribunal de Luxemburgo ya se ha posicionado en este sentido, y además en un caso español. Y nos dijo que no, que el legislador español no puede restringir la base jurídica del interés legítimo. Fue en una sentencia del 24 de noviembre de 2011 ante una reclamación de Asnef, la asociación que gestiona las listas de morosos.
La ley no puede restringir el interés legítimo.
Es decir, ¿los partidos políticos estaban obligados a mantenerse a sí mismos dentro de ese “interés legítimo” para recabar datos de los ciudadanos?
Claro. No podíamos restringirlo. Lo que sí que puedes hacer es introducir esas garantías que se decidieron: dejar claro el ámbito para hacer ese tipo de envíos y restringirlo al período electoral, y lo fundamental, un derecho de oposición sencillo y gratuito.
La UE promocionó el nuevo RGPD como una serie de normas que facilitarían que los ciudadanos ejercieran el control en todo momento sobre sus datos personales. Esta medida, ¿no es todo lo contrario a eso?
Eso está bien como principio básico. Pero luego la normativa es muy sofisticada [pasa las páginas del Reglamento]. Todo lo que estoy diciendo evidencia esa complejidad, y como siempre digo, la normativa de protección de datos es muy obtusa…
Sí, pero pone encima de la mesa resoluciones de la AEPD, que es el regulador español. Me refiero al Reglamento europeo. ¿Esta ley no lo contraviene, al permitir que los partidos recopilen datos sin consentimiento del ciudadano? Desde el Parlamento Europeo nos han expresado dudas al respecto.Desde el Parlamento Europeo nos han expresado dudas al respecto
Yo le digo una cosa. Todo lo que acabamos de comentar, quedaría cojo sin una última cuestión. Este artículo sirve para unos supuestos muy concretos y delimitados, por ejemplo el PSOE de una determinada localidad que envía propaganda a los correos electrónicos que los profesores universitarios tienen colgados en la web de su universidad, a los profesionales de la sanidad… hablamos de envíos específicos. Eso es lo que amparaba la legislación hasta el 25 de mayo [fecha de entrada en vigor del RGPD] y a partir de ahora seguirá amparando.
Pero lo que también hay que tener muy claro es que eso no ampara un rastreo masivo en Internet de direcciones de correo y a crear una base de datos con millones de ellas para hacer envíos masivos. Si tuvieran esa ocurrencia estaríamos en las mismas. Declaración de impacto y denegación de esa posibilidad.
Y ojo, lo ha recordado la AEPD, quien intente llevar a cabo estas prácticas ilícitamente, se arriesga a multas de hasta 20 millones de euros. Se arriesgan a la disolución del partido.
Vamos a dejar atrás las bases de datos masivas. Para segmentos muy determinados de población, pero que pueden llegar a ser decisivos a la hora de que sea un partido u otro el que se hace con un escaño. ¿Se va a poder hacer propaganda dirigida a ellos con datos recogidos de la web sin consentimiento?
La respuesta a eso está en esta resolución de la AEPD.
O sea, que sí.
Pero no porque lo diga la nueva ley. Ese es el criterio de la autoridad independiente especializada que tiene encargado ese mandato, y que va a seguir teniéndolo. Eso no es nuevo. Se puede cuestionar, pero si uno entra a analizar el principio de proporcionalidad, parece que en un principio acotado, tampoco parece que esa práctica sea… ¿no?
El problema es que en este 2018 hemos visto que esos datos personales se pueden utilizar con muchos fines.
¡Y tanto! ¡Cambridge Analytica! Eso es precisamente lo que justifica este artículo.
Pongamos como ejemplo a Vox. ¿No podría utilizar esa posibilidad para hacer propaganda anti-inmigración en un segmento de población en concreto que una semana antes ha tenido algún tipo de problema relacionado con la inmigración?
Eso es un caso de máximos. Lo primero es que no veo a Vox en todos los pueblos de España teniendo esa capacidad de previsión. Porque aquí estamos hablando que solo en período electoral se puedan recabar esos datos y articular ese sistema de propaganda y publicidad. Eso es solo un mes. Luego hay que borrarlo.
No veo esa capacidad de bucear en todas las páginas web para buscar uno a uno quién tiene un correo electrónico en abierto. Porque lo que no cabe es el rastreo indiscriminado. Como eso no supera la evaluación de impacto, lo demás es ya más bien un punteo, lo que creo que minimiza mucho los riesgos.
¿Por qué no se ha prohibido esa posibilidad de “puntear”, en vez de dejar la puerta abierta a enviar propaganda ultrapersonalizada?
Creo que usted, yo y cualquiera, el usuario medio, tiene la capacidad de ir a la parte de abajo del email y pulsar en ‘unsubscribe’ [darse de baja, en inglés]. Punto y aparte. Estamos hablando de eso, un medio de reacción sencillo y fácil.
No acabo de ver cómo se concreta una prohibición de enviar publicidad segmentada. Eso existe en la realidad analógica. Los partidos a menudo envían cartas específicas a los profesionales de la medicina, de la educación, de la sanidad… si no se han podido hacer perfiles ideológicos, no sé donde está exactamente esa demanda de prohibición, si en la realidad analógica eso existe y no resulta excesivo.
Unidos Podemos y Ciudadanos cuestionaron el artículo que ha dado pie a la polémica al final del proceso. Finalmente causó el voto en contra de la ley de Unidos Podemos, Compromís, Nueva Canarias y Bildu.causó el voto en contra de la ley
Yo respeto lo que los partidos hayan querido hacer en el trámite del Senado, cuando se planteó esa lectura de este artículo que generó un cierto conflicto. En el Congreso la tramitación fue totalmente tranquila y se aprobó con unanimidad.
¿Algún grupo expresó dudas entonces sobre el artículo?
En la tramitación que hicimos con algunos grupos hicimos un análisis conjunto y llegamos a este resultado, y ningún otro grupo lo cuestionó nunca. Otra cosa es lo que ha pasado después.
¿Considera que ha habido una escenificación?
No lo voy a valorar. Creo que la polémica que se ha planteado es el resultado de tres cosas. Una, que debido a la presión temporal se ha hecho una lectura precipitada de lo que este artículo decía. Dos, que el artículo no se ha leído en el conjunto de la normativa, con lo que no se pueden tener claros sus efectos. Y tres, que hay una extraordinaria sensibilidad social con el tema de la protección de datos y las nuevas tecnologías, algo que yo celebro.