Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 52018DC0638

DOCUMENTO DE ORIENTACIÓN Orientaciones de la Comisión relativas a la aplicación de la legislación sobre protección de datos de la Unión en el contexto electoral Contribución de la Comisión Europea a la reunión de dirigentes en Salzburgo los días 19 y 20 de septiembre de 2018

COM/2018/638 final

Bruselas, 12.9.2018

COM(2018) 638 final

Elecciones libres y limpias

DOCUMENTO DE ORIENTACIÓN

Orientaciones de la Comisión relativas a la aplicación de la legislación sobre protección de datos de la Unión en el contexto electoral







FMT:ItalicContribución de la Comisión Europea a la reunión de dirigentes en Salzburgo los días 19 y 20 de septiembre de 2018


Orientaciones de la Comisión relativas a la aplicación de la legislación sobre protección de datos de la Unión en el contexto electoral

La comunicación con el electorado es la base del proceso democrático. Es habitual que los partidos políticos adapten la comunicación electoral al público y tengan en cuenta sus intereses específicos. Por tanto, es natural que los agentes implicados en las elecciones estudien las posibilidades de utilizar los datos con el fin de ganar votos. El aumento de las herramientas digitales y las plataformas en línea ha creado numerosas oportunidades de interactuar con la gente en el debate político.

Ahora bien, la selección muy específica de votantes basada en el tratamiento ilícito de datos personales, como hemos visto en el caso de las revelaciones sobre Cambridge Analytica, es algo muy distinto. Ilustra los retos que plantean las tecnologías modernas, y además pone de manifiesto la particular importancia de la protección de datos en el contexto electoral. Se ha convertido en una cuestión clave; no solo para las personas, sino también para el funcionamiento de nuestras democracias, porque constituye una grave amenaza para un proceso electoral limpio y democrático y puede socavar el debate abierto, el juego limpio y la transparencia que son esenciales en una democracia. La Comisión considera de importancia capital abordar esta cuestión para devolver la confianza al público en la limpieza del proceso electoral.

Los primeros informes de la autoridad británica en materia de protección de datos (Information Commissioner’s Office – ICO) sobre el uso del análisis de datos en campañas políticas 1 y el Dictamen del Supervisor Europeo de Protección de Datos sobre la manipulación en línea y los datos personales 2 han confirmado el impacto cada vez mayor de la selección muy específica de votantes, desarrollada en principio con fines comerciales, en el contexto electoral.

Más en general, diversas autoridades en materia de protección de datos han abordado la cuestión de la protección de datos en el contexto electoral 3 .

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (Reglamento general de protección de datos) 4 , que es directamente aplicable en toda la Unión desde el 25 de mayo de 2018, dota a la Unión de las herramientas necesarias para abordar los casos de uso ilícito de datos personales en el contexto electoral. No obstante, solo una aplicación firme y coherente de las normas ayudará a proteger la integridad de la política democrática. Puesto que, en las próximas elecciones al Parlamento Europeo, será la primera vez que se apliquen estas normas en el contexto electoral europeo, es importante aportar claridad a los agentes implicados en el proceso electoral, tales como autoridades electorales nacionales, partidos políticos, intermediarios y analistas de datos, plataformas de redes sociales y redes de publicidad en línea. El objetivo de las presentes orientaciones es, por tanto, poner de manifiesto las obligaciones en materia de protección de datos relevantes para las elecciones. Las autoridades nacionales en materia de protección de datos, como responsables de la aplicación del Reglamento general de protección de datos, deben hacer pleno uso de sus competencias reforzadas para poner remedio a las posibles infracciones, en especial las relacionadas con la selección muy específica de votantes.

1.Marco de protección de datos de la Unión

La protección de datos personales es un derecho fundamental consagrado en la Carta de los Derechos Fundamentales de la Unión Europea (artículo 8) y en los Tratados (artículo 16 del TFUE). El Reglamento general de protección de datos refuerza el marco de la protección de datos, dotando de más medios a la Unión para resolver casos de abuso en materia de datos personales en el futuro y aumentando la responsabilidad y la rendición de cuentas de todos los agentes en el modo de tratar los datos personales.

El Reglamento otorga a las personas en la Unión derechos adicionales más sólidos que son particularmente relevantes en el contexto electoral. El régimen de protección de datos en vigor en la Unión durante los 20 años anteriores adolecía en particular de una aplicación fragmentada de las normas entre Estados miembros, de falta de mecanismos formales de cooperación entre autoridades nacionales de protección de datos y de reducidas competencias de ejecución de dichas autoridades. El Reglamento general de protección de datos subsana esas deficiencias: a partir de los principios reconocidos de protección de datos, armoniza conceptos clave tales como el consentimiento, refuerza los derechos de la persona a ser informada sobre el tratamiento de sus datos, aclara las condiciones en las que pueden transmitirse a otros datos personales, introduce normas sobre violaciones de los datos personales, establece un mecanismo de cooperación entre las autoridades en materia de protección de datos en casos transfronterizos y refuerza sus competencias de ejecución. En caso de infracción de las normas de protección de datos de la UE, las autoridades en materia de protección de datos tienen competencias para investigar el comportamiento (por ejemplo, ordenar que se facilite información, realizando inspecciones en los locales de los responsables y encargados del tratamiento) y corregirlo (por ejemplo, dictar advertencias y apercibimientos, o imponer una suspensión temporal o definitiva del tratamiento). También tienen competencias para imponer multas de hasta 20 millones EUR o, en el caso de una empresa, hasta el 4 % de su volumen de negocios mundial 5 . Al decidir sobre la imposición de una multa y su nivel, las autoridades en materia de protección de datos considerarán las circunstancias de cada caso y factores como la naturaleza, el alcance o el propósito de la operación de tratamiento, el número de personas afectadas y el nivel de los daños y perjuicios que hayan sufrido 6 . En el contexto electoral, es probable que la gravedad de la infracción y el número de personas afectadas sea elevado, lo que puede llevar a la imposición de multas elevadas, sobre todo considerando la importancia de la cuestión de la confianza de los ciudadanos para el proceso democrático.

El recién creado Comité Europeo de Protección de Datos, que agrupa a todas las autoridades nacionales en materia de protección de datos, así como al Supervisor Europeo de Protección de Datos, desempeña un papel clave en la aplicación del Reglamento general de protección de datos, formulando orientaciones, recomendaciones y buenas prácticas 7 . Como responsables de la aplicación del Reglamento general de protección de datos y contactos directos para los interesados, las autoridades nacionales en materia de protección de datos son las indicadas para aportar certeza legal adicional por lo que respecta a su interpretación. La Comisión apoya activamente este trabajo.

La Directiva sobre la privacidad y las comunicaciones electrónicas, o «Directiva sobre la privacidad y las comunicaciones electrónicas» (Directiva 2002/58/CE del Parlamento Europeo y del Consejo 8 ), completa el marco de protección de datos de la Unión y es relevante en el contexto electoral ya que su alcance incluye normas sobre el envío electrónico de comunicaciones no solicitadas, incluso con fines de venta directa. La Directiva sobre la privacidad y las comunicaciones electrónicas sienta también las normas sobre el almacenamiento de información y la obtención del acceso a información ya almacenada, como las cookies que puedan utilizarse para rastrear el comportamiento en línea de un usuario, en equipo terminal, como un teléfono inteligente o un ordenador. La propuesta de la Comisión de un Reglamento sobre la privacidad y las comunicaciones electrónicas, («Reglamento sobre la privacidad y las comunicaciones electrónicas») 9 , que se está negociando actualmente, se basa en los mismos principios que la Directiva sobre la privacidad y las comunicaciones electrónicas. El nuevo Reglamento ampliará su ámbito de aplicación más allá de los operadores de telecomunicaciones tradicionales para incluir los servicios de comunicaciones electrónicas basadas en Internet.

2.Obligaciones clave de los distintos agentes

El Reglamento general de protección de datos se aplica a todos los agentes activos en el contexto electoral, como los partidos políticos nacionales y europeos (en lo sucesivo, «partidos políticos»), fundaciones políticas nacionales y europeas (en lo sucesivo, «fundaciones»), plataformas, compañías de análisis de datos y autoridades públicas responsables del proceso electoral. Deben tratar los datos personales (por ejemplo, nombres y direcciones) de manera lícita, leal y transparente, únicamente para fines determinados. No pueden utilizarlos después de manera incompatible con los fines para los que se recabaron inicialmente. Tratar datos con fines periodísticos entra también en el ámbito de aplicación del Reglamento general de protección de datos, en principio, pero puede beneficiarse de exenciones y excepciones contempladas en la legislación nacional, dada la importancia del derecho a la libertad de expresión e información en una sociedad democrática 10 .

El concepto de datos personales es amplio. Por «datos personales» se entiende toda información sobre una persona física identificada o identificable. El tratamiento de datos en el contexto electoral a menudo incluirá categorías especiales de datos personales («datos sensibles») como opiniones políticas, pertenencia a un sindicato, origen étnico, vida sexual, etc. que se benefician de un régimen de mayor protección 11 . Por otra parte, el análisis de datos puede inferir «datos sensibles» (tales como opiniones políticas pero también creencias religiosas u orientaciones sexuales) a partir de series de datos no sensibles. El tratamiento de estos datos inferidos entra también en el ámbito de aplicación del Reglamento general de protección de datos y, por tanto, debe cumplir toda las normas de protección de datos.

En conclusión, prácticamente todas las operaciones de tratamiento de datos en el contexto electoral están sujetas al Reglamento general de protección de datos.

Teniendo en cuenta que es necesario aportar claridad a los agentes implicados en el proceso electoral y las primeras conclusiones del caso Cambridge Analytica, las siguientes secciones destacan las obligaciones en materia de protección de datos que revisten especial importancia en el contexto electoral. Estas obligaciones se resumen en el anexo.

2.1Responsables y encargados del tratamiento de datos

El concepto de responsabilidad proactiva de los responsables de datos y de los corresponsables es un rasgo decisivo del Reglamento general de protección de datos. El responsable de datos es la organización que decide, sola o en cooperación con otros, por qué y cómo se tratan los datos personales; el encargado del tratamiento de datos solo trata datos personales en nombre del responsable y siguiendo sus instrucciones (la relación entre ellos está determinada por un contrato u otro acto jurídicamente vinculante). Los responsables del tratamiento de datos deben implantar medidas adecuadas a los riesgos e implementar la protección de datos en el propio diseño desde un principio y ser capaces de demostrar la conformidad con el Reglamento general de protección de datos (principio de responsabilidad proactiva).

El papel como responsable de datos o encargado del tratamiento de datos ha de ser evaluado en cada caso. En el contexto electoral, pueden ser responsables del tratamiento de datos una serie de agentes: los partidos políticos, los candidatos y las fundaciones, son en la mayoría de los casos, responsables del tratamiento de datos; las plataformas y empresas de análisis de datos pueden ser (conjuntamente) responsables o encargados del tratamiento en un proceso determinado, dependiendo del grado de control que tengan sobre el proceso en cuestión 12 ; las autoridades electorales nacionales son responsables del censo electoral.

Cuando sus actividades de tratamiento se refieran a la prestación de bienes y servicios a personas en la Unión o al control de su comportamiento en la Unión, las empresas establecidas fuera de la Unión también tienen que cumplir el Reglamento general de protección de datos. Es el caso de una serie de plataformas y compañías de análisis de datos.

2.2Principios, licitud del tratamiento y condiciones especiales para los «datos sensibles»

Los agentes implicados en las elecciones solo pueden tratar datos personales, incluidos los obtenidos de fuentes públicas, de conformidad con los principios relativos al tratamiento de datos personales y sobre la base del reducido número de motivos señalados claramente por el Reglamento general de protección de datos 13 . Los motivos más relevantes para el tratamiento lícito de datos en el contexto electoral son el consentimiento de una persona, el cumplimiento de una obligación legal, el cumplimiento de una misión realizada en interés público y el interés legítimo de los agentes. No obstante, los agentes en el contexto electoral solo pueden alegar el motivo de interés legítimo si no prevalecen sobre dicho interés los intereses o los derechos y libertades de las personas afectadas.

Además, el almacenamiento de información o la obtención del acceso a información ya almacenada, en el equipo terminal (ordenador, teléfono inteligente, etc.) debe ser conforme con los requisitos sobre la protección de los equipos terminales de la Directiva sobre la privacidad y las comunicaciones electrónicas, lo que significa que la persona de que se trate tendría que dar su consentimiento.

Cuando el consentimiento se utiliza como fundamento jurídico, el Reglamento general de protección de datos exige que el consentimiento se otorgue mediante una clara acción afirmativa y sea libre e informado 14 .

Las autoridades públicas implicadas en el contexto electoral tratan los datos personales con el fin de cumplir una obligación legal o en el ejercicio de una misión pública. Otros agentes en el contexto electoral pueden tratar datos sobre la base del consentimiento o el interés legítimo 15 . Los partidos políticos y las fundaciones también pueden tratar datos por motivos de interés público si así lo dispone la legislación nacional 16 .

Las autoridades públicas pueden comunicar determinada información sobre personas incluidas en el censo electoral o en el censo de residentes solo cuando lo autorice específicamente la legislación del Estado miembro y solo con fines de propaganda electoral y en la medida de lo necesario con estos fines, tales como nombre y dirección.

El tratamiento de datos en el contexto electoral a menudo implicará «datos sensibles». El tratamiento de estos datos, incluidos los «datos sensibles» inferidos, está prohibido en general, salvo si es de aplicación alguna de las justificaciones específicas contempladas en el Reglamento general de protección de datos 17 . El tratamiento de «datos sensibles» exige que se cumplan condiciones específicas más estrictas: la persona debe haber dado su consentimiento explícito 18 o haber hecho públicos los datos en cuestión 19 . Los partidos políticos y las fundaciones también pueden tratar «datos sensibles» si existe un interés público esencial sobre la base del Derecho de la Unión o de los Estados miembros y las salvaguardias adecuadas 20 . El Reglamento general de protección de datos establece que también pueden tratar «datos sensibles» siempre que el tratamiento se refiera exclusivamente a sus miembros actuales o antiguos o a personas que mantengan contactos regulares con ellos, pero solo para ser comunicados dentro del partido político o fundación 21 . No obstante, un partido político no puede acogerse a esta disposición específica para tratar datos de futuros miembros o votantes.

La finalidad del tratamiento de datos debe especificarse en el momento de la recogida de datos (principio de «limitación de la finalidad») 22 . Los datos recogidos con una finalidad solo podrán ser tratados para fines compatibles; de lo contrario, debe acudirse a otro fundamento jurídico, contemplado por el Reglamento general de protección de datos, por ejemplo, el consentimiento. En particular, cuando los intermediarios de datos sobre el estilo de vida o las plataformas recogen datos con fines comerciales, esos datos no podrán ser tratados posteriormente en el contexto electoral.

Salvo que las fundaciones y los partidos políticos actúen con diligencia debida y comprueben que los datos han sido obtenidos legalmente, no podrán utilizar este tipo de datos obtenidos de un tercero.

2.3Requisitos de transparencia

El caso Cambridge Analytica ha puesto de manifiesto la importancia de luchar contra la opacidad e informar debidamente a las personas afectadas. En muchos casos, la gente no sabe quién trata sus datos personales ni con qué fines. Los principios de tratamiento leal y transparente exigen que se informe a las personas de la existencia de la operación de tratamiento y sus fines 23 . El Reglamento general de protección de datos aclara las obligaciones de los responsables del tratamiento de datos a este respecto. Tienen que informar a la persona sobre aspectos clave relacionados con el tratamiento de sus datos personales, tales como:

·la identidad del responsable del tratamiento;

·los fines del tratamiento;

·los destinatarios de los datos personales;

·la fuente de los datos cuando no se recojan directamente de la persona;

·si existen decisiones automatizadas y

·cualquier otra información necesaria para garantizar un tratamiento leal y transparente 24 .

Por otra parte, el Reglamento general de protección de datos exige que la información se facilite en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo 25 . Por ejemplo, un aviso sobre la protección de datos pequeño y opaco, impreso solo en letra pequeña en la propaganda electoral, no cumpliría los requisitos de transparencia.

Según las conclusiones preliminares, la información incompleta sobre los fines para los que se recababan los datos fue una deficiencia clave en el caso Cambridge Analytica, que también ponían en cuestión la validez del consentimiento de las personas afectadas. Todas las organizaciones que tratan datos personales en el contexto electoral tienen que asegurarse de que las personas entienden plenamente cómo se utilizarán sus datos personales y con qué fines antes de que den su consentimiento o antes de que el responsable del tratamiento empiece a tratarlos sobre la base de cualquier otro fundamento.

Ha de informarse a las personas en cada fase del tratamiento, no solo cuando se recogen los datos.

En especial, cuando los partidos políticos tratan datos obtenidos de terceros (por ejemplo, censos electorales, intermediarios de datos, analistas de datos y otras fuentes) suelen tener que informar y explicar a las personas afectadas cómo combinan y utilizan esos datos para garantizar un tratamiento de datos leal 26 .

2.4Elaboración de perfiles, decisiones automatizadas y selección muy específica

La elaboración de perfiles es una forma de tratamiento automatizado de datos utilizada para analizar o predecir aspectos relativos, por ejemplo, a las preferencias personales, intereses, situación económica, etc. 27 . La elaboración de perfiles puede utilizarse para seleccionar muy específicamente personas, es decir, analizar datos personales (por ejemplo, su historial de búsquedas en internet) y detectar los intereses particulares de una persona o público específico con el fin de influir en sus acciones. La selección muy específica puede utilizarse para dar un mensaje personalizado a una persona o al público utilizando un servicio en línea, por ejemplo, las redes sociales.

El caso Cambridge Analytica ha puesto de manifiesto los problemas particulares que plantean los métodos de selección muy específica en las redes sociales. Las organizaciones pueden estar extrayendo datos de las redes sociales de los usuarios para crear perfiles de votantes. Esto podría permitir a esas organizaciones identificar a aquellos votantes que pueden ser más fácilmente influenciables y, por tanto, permitirles influir en el resultado de las elecciones.

Todos los principios y normas generales del Reglamento general de protección de datos se aplican a ese tipo de tratamiento de datos, tales como los principios de licitud, lealtad y transparencia y de limitación de la finalidad. Las personas no suelen ser conscientes de que se elabora su perfil: no entienden por qué reciben publicidad tan directamente relacionada con las últimas búsquedas que han hecho o por qué reciben mensajes personalizados de diferentes organizaciones. El Reglamento general de protección de datos obliga a todos los responsables del tratamiento de datos, por ejemplo partidos políticos o analistas de datos, a informar a las personas cuando utilicen estas técnicas, y de sus consecuencias 28 .

El Reglamento general de protección de datos reconoce que las decisiones automatizadas, incluida la elaboración de perfiles, pueden tener graves consecuencias. El Reglamento general de protección de datos dispone que una persona tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos en ella o le afecte significativamente de modo similar, salvo cuando dicho tratamiento se realice en condiciones estrictas, en concreto cuando la persona dé su consentimiento explícito o cuando el derecho de la Unión o de los Estados miembros que establezca salvaguardias adecuadas lo permita 29 .

Las prácticas de selección muy específica en el contexto electoral entran dentro de esta categoría cuando produzcan efectos suficientemente importantes. Según el Reglamento general de protección de datos, es así cuando la decisión tiene el potencial de afectar significativamente a las circunstancias, comportamiento o decisiones de las personas o tiene un impacto prolongado o permanente sobre la persona 30 . El Comité consideró que la publicidad personalizada en línea podría ser capaz, en algunas circunstancias, de afectar significativamente a las personas cuando, por ejemplo, es intrusiva o aprovecha su conocimiento de aspectos vulnerables de las personas. Dada la importancia del ejercicio del derecho democrático al voto, los mensajes personalizados cuyo posible efecto sea, por ejemplo, que las personas no voten, o voten de una forma específica, podrían potencialmente cumplir el criterio de efecto significativo.

Por tanto, en el contexto electoral, los responsables del tratamiento deben garantizar que todo tratamiento que utilice esas técnicas es lícito con arreglo a los citados principios y las estrictas condiciones expuestas en el Reglamento general de protección de datos.

2.5Seguridad y exactitud de los datos personales

En el contexto electoral, la seguridad es de especial importancia, dada la magnitud de las series de datos y el hecho de que estas series suelen contener «datos sensibles». El Reglamento general de protección de datos requiere que los operadores que tratan datos personales (tanto los responsables como los encargados del tratamiento) apliquen las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado en relación con los riesgos que entraña el tratamiento para los derechos y libertades de las personas 31 .

El Reglamento general de protección de datos requiere que los responsables del tratamiento notifiquen las violaciones de la seguridad de los datos personales a la autoridad de control competente sin dilación indebida como máximo en un plazo de 72 horas. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de personas, el responsable del tratamiento debe informar también a las personas afectadas por la violación de datos sin dilación indebida 32 .

Los partidos políticos y otros agentes implicados en el proceso electoral han de prestar especial atención para garantizar la exactitud de los datos personales cuando se trate de grandes series de datos y cuando se recopilan los datos a partir de diferentes fuentes heterogéneas. Los datos inexactos deben ser borrados o rectificados inmediatamente y, cuando sea necesario, actualizados.

2.6Evaluación de impacto relativa a la protección de datos

El Reglamento general de protección de datos introduce un nuevo instrumento para evaluar el riesgo antes del inicio del tratamiento: la evaluación de impacto relativa a la protección de datos. Es necesaria siempre que sea probable que el tratamiento de datos entrañe un alto riesgo para los derechos y libertades de personas 33 . En el contexto electoral es así cuando un responsable del tratamiento de datos evalúa, de manera sistemática y extensa, aspectos personales de una persona (incluida la elaboración de su perfil), que afecten significativamente a la persona y cuando el responsable trate «datos sensibles» a gran escala. Las autoridades electorales nacionales en el ejercicio de sus funciones públicas podrán no tener que realizar una evaluación de impacto relativa a la protección de datos si ya se ha realizado en el contexto de la adopción de la legislación.

Las evaluaciones de impacto que deben realizar los diversos agentes en el contexto electoral deben incluir los elementos necesarios para subsanar los riesgos implicados en dicho tratamiento, especialmente la legalidad del tratamiento también por lo que se refiere a las series de datos obtenidas de terceros y los requisitos de transparencia.

3.Derechos de las personas

El Reglamento general de protección de datos otorga a las personas derechos adicionales y más fuertes que son particularmente relevantes en el contexto electoral:

·el derecho a acceder a sus datos personales;

·el derecho a solicitar que se borren sus datos personales si el tratamiento está basado en el consentimiento y ese consentimiento ha sido retirado, si los datos ya no son necesarios o si el tratamiento es ilícito; y

·el derecho a que se corrijan datos personales incorrectos, inexactos o incompletos.

Las personas también tienen derecho a oponerse al tratamiento de datos (por ejemplo, de datos incluidos en censos electorales trasmitidos a partidos políticos) si el tratamiento de sus datos se fundamenta en el «interés legítimo» o en el «interés público».

Las personas tienen derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de sus datos personales. En esos casos, la persona puede solicitar la intervención de una persona física y poder expresar su punto de vista e impugnar la decisión.

Para que las personas puedan ejercer estos derechos, todos los agentes implicados tienen que facilitar las necesarias herramientas y parámetros. El Reglamento general de protección de datos prevé la posibilidad de elaborar un código de conducta aprobado por una autoridad en materia de protección de datos que especifique la aplicación del Reglamento en sectores concretos, inclusive en el contexto electoral.

El Reglamento general de protección de datos concede a las personas el derecho a presentar una reclamación ante una autoridad de control y el derecho a la tutela judicial. Otorga también a las personas el derecho a dar mandato a una organización no gubernamental para que presente una reclamación en su nombre 34 . En algunos Estados miembros, la legislación nacional permite a una organización no gubernamental presentar una reclamación sin necesidad del mandato de una persona. Esto es especialmente relevante en el contexto electoral, dado el gran número de personas potencialmente afectadas.

Cuestiones clave en materia de protección de datos relevantes en el proceso electoral 35  

Partidos políticos y fundaciones políticas

Los partidos políticos y las fundaciones políticas son responsables del tratamiento de datos

·Respetar la limitación de la finalidad, tratando los datos posteriormente solo para fines compatibles (por ejemplo, cuando se comparten datos con plataformas)

·Elegir la base jurídica adecuada para tratar los datos (también en el caso de datos inferidos): consentimiento, interés legítimo, misión realizada en interés público (si así lo dispone la ley), las condiciones específicas de los «datos sensibles» (por ejemplo, opinión política)

·Realizar una evaluación de impacto relativa a la protección de datos

·Informar a las personas sobre cada finalidad del tratamiento (requisitos de transparencia), ya sea al recopilar datos directamente o cuando se obtienen de terceros

·Garantizar la exactitud de los datos, en particular en el caso de datos procedentes de diferentes fuentes y de datos inferidos

·Comprobar si los datos procedentes de terceros han sido obtenidos legalmente y para qué fines (por ejemplo: si las personas afectadas han dado su consentimiento informado para una finalidad determinada)

·Tomar en cuenta los riesgos específicos de la elaboración de perfiles y adoptar salvaguardias adecuadas

·Cumplir las condiciones específicas cuando se utilicen decisiones automatizadas (por ejemplo, obtener el consentimiento explícito y aplicar salvaguardias adecuadas)

·Identificar claramente quién tiene acceso a los datos

·Garantizar la seguridad del tratamiento mediante medidas técnicas y organizativas; comunicar las violaciones de datos

·Aclarar las obligaciones en los contratos u otros actos jurídicos vinculantes con los encargados del tratamiento de datos, como empresas de análisis de datos

·Borrar los datos cuando ya no sean necesarios para la finalidad inicial para la que se recabaron

Intermediarios de datos y empresas de análisis de datos

Los intermediarios de datos y las empresas de análisis de datos son, bien conjuntamente responsables o encargados del tratamiento de los datos, dependiendo del grado de control que tengan sobre el mismo.

Como responsables del tratamiento

Como encargados del tratamiento

·Respetar la limitación de la finalidad, tratando los datos posteriormente solo para fines compatibles (especialmente, cuando se comparten los datos con terceros)

·Elegir la base jurídica adecuada para tratar los datos: consentimiento, interés legítimo. Si son «datos sensibles», solo es posible tratarlos con el consentimiento explícito o si los datos se han hecho manifiestamente públicos

·Realizar una evaluación de impacto relativa a la protección de datos

·Informar a las personas sobre cada finalidad del tratamiento (requisitos de transparencia) – en particular, cuando se pide el consentimiento puesto que generalmente se venderán los datos a un tercero

·Cumplir las condiciones específicas cuando se utilicen decisiones automatizadas (por ejemplo, obtener el consentimiento explícito y aplicar salvaguardias adecuadas)

·Prestar especial atención a la licitud del tratamiento y a la exactitud cuando se combinen diferentes series de datos

·Garantizar la seguridad del tratamiento mediante medidas técnicas y organizativas; comunicar las violaciones de datos

·Cumplir las obligaciones del contrato u otro acto jurídico vinculante con el responsable del tratamiento

·Garantizar la seguridad del tratamiento mediante medidas técnicas y organizativas

·Apoyar al responsable del tratamiento en la evaluación de impacto relativa a la protección de datos o en el ejercicio de los derechos de los interesados o comunicar al responsable del tratamiento una violación de los datos sin demora si han tenido conocimiento de ello

Normalmente las plataformas son responsables del tratamiento de datos cuando este se realiza en sus plataformas y pueden ser corresponsables con otras organizaciones

Plataformas de redes sociales / redes de publicidad en línea

·Elegir la base jurídica adecuada para tratar los datos: contrato con personas, consentimiento, interés legítimo. Si son «datos sensibles», solo es posible tratarlos con el consentimiento explícito o si los datos se han hecho manifiestamente públicos

·Utilizar únicamente los datos que resulten necesarios para la finalidad señalada

·Realizar una evaluación de impacto relativa a la protección de datos

·Garantizar la legalidad cuando se comparten con terceros datos de los miembros

·Cumplir con los requisitos de transparencia, en particular por lo que se refiere a las condiciones, si los datos se compartirán posteriormente con un tercero, etc.

·Cumplir las condiciones específicas cuando se utilicen decisiones automatizadas (por ejemplo, obtener el consentimiento explícito y aplicar salvaguardias adecuadas)

·Garantizar la seguridad del tratamiento mediante medidas técnicas y organizativas; comunicar las violaciones de datos

·Disponer controles y parámetros para que las personas ejerzan efectivamente sus derechos, incluido el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado incluida la elaboración de perfiles

Las autoridades electorales nacionales son responsables del tratamiento de datos

Autoridades electorales nacionales

·Base jurídica para el tratamiento: obligación legal o misión de interés público fundamentada en la legislación

·Realizar una evaluación de impacto relativa a la protección de datos si no se ha evaluado ya el impacto en la legislación

(1)

Informes de la autoridad británica en materia de protección de datos (Information Commissioner’s Office – ICO) de 10 de julio de 2018: «Investigation into the use of data analytics in political campaigns – Investigation update» y «Democracy Disrupted? Personal information and political influence».

(2)

https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_en.pdf.

(3)

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3013267 «Provvedimento in materia di trattamento di dati presso i partiti politici e di esonero dall’informativa per fini di propaganda elettorale» publicado en el Boletín Oficial de la autoridad italiana en materia de protección de datos número 71 de 26.3.2014 [doc. web n. 3013267]; https://www.cnil.fr/fr/communication-politique-quelles-sont-les-regles-pour-lutilisation-des-donnees-issues-des-reseaux «Communication politique: quelles sont les règles pour l’utilisation des données issues des réseaux sociaux?» Publicado por la Commission Nationale de l’informatique et des libertés (Comisión Nacional Francesa de Informática y Libertades) 8.11.2016; https://ico.org.uk/media/for-organisations/documents/1589/promotion_of_a_political_party.pdf Information Commissioner’s Office «Guidance on political campaigning» [20170426].

(4)

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(5)

Orientaciones de la Comisión sobre el Reglamento general de protección de datos: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en.

(6)

Artículo 83 del Reglamento general de protección de datos.

(7)

El Supervisor Europeo de Protección de Datos también emite dictámenes.

(8)

Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(9)

Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas), COM(2017) 10 final.

(10)

Artículo 85, apartado 2, del Reglamento general de protección de datos.

(11)

Artículo 9, apartado 1, del Reglamento general de protección de datos.

(12)

La jurisprudencia reciente del Tribunal de Justicia de la Unión Europea (asunto C-25/17, Testigos de Jehová, sentencia de 10 de julio de 2018) aclaró que una organización que influye en la actividad de recogida y tratamiento de datos personales puede ser considerada, en determinadas circunstancias, responsable del tratamiento.

(13)

Artículos 5 y 6 del Reglamento general de protección de datos.

(14)

Artículo 7 y artículo 4, apartado 11, del Reglamento general de protección de datos.

(15)

Siempre y cuando los derechos y libertades de las personas interesadas no se vean gravemente afectados.

(16)

Véase el considerando 56 del Reglamento general de protección de datos «[s]i, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas».

(17)

Artículo 9 del Reglamento general de protección de datos.

(18)

Artículo 9, apartado 2, letra a), del Reglamento general de protección de datos.

(19)

Artículo 9, apartado 2, letra e), del Reglamento general de protección de datos.

(20)

Artículo 9, apartado 2, letra g), del Reglamento general de protección de datos.

(21)

Artículo 9, apartado 2, letra d), del Reglamento general de protección de datos El partido político o la fundación no pueden comunicar a un tercero los datos de sus miembros o antiguos miembros, ni de personas que mantengan contactos regulares con ellos, sin el consentimiento de la persona en cuestión.

(22)

Artículo 5, apartado 1, letra b), del Reglamento general de protección de datos.

(23)

Artículo 5, apartado 1, letra a), del Reglamento general de protección de datos.

(24)

Artículos 13 y 14 del Reglamento general de protección de datos.

(25)

Orientaciones del Comité europeo de protección de datos sobre transparencia.

(26)

Artículo 14 del Reglamento general de protección de datos.

(27)

Como se define en el artículo 4, apartado 4, del Reglamento general de protección de datos.

(28)

Artículo 13, apartado 2, del Reglamento general de protección de datos.

(29)

Artículo 22 del Reglamento general de protección de datos.

(30)

Orientaciones del Comité europeo de protección de datos sobre decisiones automatizadas, WP251rev.01 revisadas por última vez y adoptadas el 6.2.2018.

(31)

Artículo 32 del Reglamento general de protección de datos.

(32)

Artículos 33 y 34 del Reglamento general de protección de datos; y Orientaciones del Comité europeo de protección de datos sobre la notificación de violaciones de datos personales.

(33)

Artículos 35 y 36 del Reglamento general de protección de datos; y Orientaciones del Comité europeo de protección de datos sobre la evaluación de impacto relativa a la protección de datos.

(34)

Artículo 80, apartado 1, del Reglamento general de protección de datos.

(35)

La información anterior no es en modo alguno exhaustiva. Pretende destacar algunas obligaciones clave relacionadas con los datos en virtud del Reglamento general de protección de datos que son relevantes en el proceso electoral. Corresponden a una situación en la que los partidos políticos recaban datos ellos mismos (a partir de fuentes públicas, de su presencia en las redes sociales, directamente de los votantes, etcétera) y utilizan el servicio de intermediarios de datos o de empresas analistas de datos con el objetivo de elegir votantes a través de las plataformas de redes sociales. Las plataformas también pueden ser una fuente de datos para los agentes mencionados anteriormente. Así mismo, puede ser relevante otra legislación, por ejemplo las normas sobre el envío de comunicaciones no solicitadas y la protección de los equipos terminales en la Directiva sobre la privacidad y las comunicaciones electrónicas.

Top