Tenemos que poner fin al abuso de los datos personales de la ciudadanía de la UE en las elecciones

Actualización (06/05/2021):

A raíz de nuestro informe #Datosporliebre, Privacidad, Protección de Datos y Abusos Institucionalizados, donde exponemos entre otras cosas cómo la Ley permite que se cedan nuestros datos a los partidos políticos, hace unos meses enviamos una carta a distintos organismos europeos para denunciar los abusos de los datos personales de la ciudadanía de la UE en las elecciones debido a que se ceden a los partidos políticos en muchos países, como España, y otros abusos detallados con ejemplos en diversos estados miembros (ver la carta completa aquí).

Nos ha contestado (https://xnet-x.net/img/STAMPED_1303.20.EN.pdf) la Presidenta del Comité de Peticiones del Parlamento Europeo, Dolors Montserrat, para comunicarnos que nuestra petición cumple con los requisitos de admisibilidad y su contenido va a ser investigado por parte de la Comisión Europea para averiguar si se cumple la legislación europea.

Paralelamente, al cumplir los requisitos, un resumen de nuestra petición ha sido publicado en el Portal de peticiones del Parlamento Europeo, donde podéis apoyarla.
Más abajo algunas instrucciones sobre cómo hacerlo.

Respuesta a nuestra petición por parte de la presidenta de la Comisión de Peticiones del Parlamento Europeo:
 

Download the PDF file .


 

 

Actualización (16/12/2020):

Nos ha contestado el Comisario de Justicia, el Sr. Didier Reynders (https://ec.europa.eu/commission/commissioners/2019-2024/reynders_en) de forma favorable en lo que a datos referidos a preferencias políticas se refiere, incluso aquellos inferidos de otros datos de los individuos: deben ser tratados con las medidas necesarias específicas, establecidas por Ley, para salvaguardar los derechos fundamentales e intereses de las personas.
También dice que la Comisión no dudará en monitorear la situación y a tomar las medidas necesarias en caso de detectar que alguno de los Estados Miembros de la UE infringe las normas europeas.

Que nos de la razón desgraciadamente no soluciona nada :))). Pero nos dice que algunos de los problemas que mencionamos en la carta van a ser parte del European Democracy Action Plan (https://ec.europa.eu/info/strategy/priorities-2019-2024/new-push-european-democracy/european-democracy-action-plan_en#what-is-the-european-democracy-action-plan), en que ya hicimos también nuestras aportaciones durante la consulta pública (https://xnet-x.net/consulta-pública-European-Democracy-Action-Plan-Comisión-Europea) y en otras propuestas legislativas entorno a la transparencia de contenidos políticos patrocinados que serán propuestas a lo largo de este año junto con la Digital Services Act o DSA (https://ec.europa.eu/digital-single-market/en/news/consultation-digital-services-act-package), en que también hemos hecho contribuciones (https://xnet-x.net/consulta-publica-digital-services-act-dsa-comision-europea).

O sea que: a seguir luchando :).

 

 

Enviado al Chair of the Petitions Committee European Parliament; European Commission Commissioner Mr. Didier Reynders; Directorate General of Democracy of the Council of Europe (DGII); OSCE Office for Democratic Institutions and Human Rights (ODIHR).

El derecho a la protección de datos es un derecho fundamental que otorga a las personas el control sobre sus datos personales, la forma en que se utilizan y su destino. Este derecho debe ser respetado tanto por los organismos públicos como por los privados. Más aún cuando se trata de datos sobre nuestras preferencias políticas. Su uso requiere una mayor necesidad social y, por lo tanto, debe estar debidamente justificado y equilibrado en la ley para compensar el impacto en el derecho fundamental a la privacidad. 

Como ciudadanos europeos, nos preocupa lo que ocurre con los datos personales durante los procesos electorales. Su actual recopilación y uso es desproporcionada y tiene consecuencias para partes importantes de la población en formas que son incompatibles con el Convenio Europeo de Derechos Humanos, la Carta de Derechos Fundamentales y la legislación de la Unión Europea. Por lo tanto, no es difícil ver cómo esto erosiona la confianza en nuestro sistema democrático.

Es debido a los abusos de los datos personales (tanto los que conocemos como los que aún no han salido a la luz) por parte de los partidos políticos y de terceros que las y los abajo firmantes, denunciamos el hecho de que, en muchos Estados miembros y países, la interpretación de la legislación europea a efectos de la celebración de elecciones no respeta el derecho fundamental a la protección de los datos, el valor de la privacidad por defecto y desde el diseño y perjudica la democracia. Las medidas actuales para evitar la elaboración de perfiles de la población con fines políticos son insuficientes y carecen de la justificación necesaria para proporcionar a los partidos políticos grandes cantidades de datos personales de las y los votantes.

El escándalo de Cambridge Analytica de 2018 reveló el alcance y la influencia de la elaboración de perfiles en la votación y las campañas electorales. A pesar de que algunos políticos critican el uso de datos personales para las campañas políticas, demasiados partidos políticos siguen participando en la elaboración de perfiles de datos personales de los votantes para obtener ventajas electorales (véase el informe del miembro de EDRi Open Rights Group https://www.openrightsgroup.org/publications/who-do-they-think-we-are-report/).


Como ejemplo reciente, una brecha digital en Malta expuso los datos personales del 95% de la población registrada durante un año. Los datos no sólo incluían los campos disponibles en el registro electoral publicado (es decir, nombre, dirección y documento de identidad) sino también números de teléfono, fechas de nacimiento y afiliaciones políticas. Esto sucedió porque el contratista de un partido político maltés, mantuvo una copia del registro electoral en un directorio abierto que fue indexado por Google, (como destaca el miembro de EDRi NOYB) (https://noyb.eu/en/massive-political-data-leak-malta__).

Las elecciones están en el corazón de nuestras democracias como un momento de verdad para la responsabilidad política. Por esta razón, el derecho a votar es indispensable. Por lo tanto, debe ser un derecho esencial recibir información correcta sobre qué y por quién estamos votando. Sin embargo, la segmentación (microtargeting) permite a políticos y partidos adoptar posiciones contradictorias para atraer a los diferentes tipos de votantes, como lo demuestra la experiencia holandesa, destacada por el miembro de EDRi Vrijschrift (https://blog.vrijschrift.org/serendipity/index.php?/archives/247-Kiezersgunst,-gericht-adverteren-en-democratie.html). Esta práctica también permite el juego sucio contra los adversarios. A pesar de la obvia naturaleza corrosiva del microtargeting en la política, su uso está muy extendido.

El Reglamento General de Protección de Datos de la UE 2016/679 (RGPD) y la orientación de la Comisión sobre la aplicación de la legislación de la Unión en materia de protección de datos en el contexto de las elecciones (https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-data-protection-law-electoral-guidance-638_en.pdf) han mejorado la protección del público en el tratamiento de sus datos personales. Como principio, el RGPD prohíbe el tratamiento de datos que revelen opiniones políticas, pero, como señaló el miembro de EDRi Panoptikon, aunque el tratamiento de datos sensibles está protegido en virtud del artículo 9 del RGPD, se debe tener en cuenta el hecho de que datos tales como las creencias políticas pueden inferirse de los datos sobre el comportamiento del público (status online, ubicación, etc.), y en la práctica se tratarán sin el consentimiento explícito requerido por el artículo 9 (https://panoptykon.org/political-ads-report#part-3-3). 

En el ámbito electoral, y concretamente en lo que respecta al tratamiento por parte de los partidos políticos de categorías especiales de datos, las excepciones del RGPD se utilizan en varios Estados miembros sin salvaguardias suficientemente sólidas, como se exige en el considerando 56.

El miembro de EDRi Xnet informa que, en España, aunque el Tribunal Constitucional declaró inconstitucional el tratamiento de categorías especiales de datos por los partidos políticos sin consentimiento (STC 76/2019, 22 May 2019, https://www.boe.es/boe/dias/2019/06/25/pdfs/BOE-A-2019-9548.pdf), el censo municipal (utilizado para crear el padrón electoral) que contiene los datos personales (incluidos el domicilio, la fecha de nacimiento y la nacionalidad) a cada elección es entregado a todos los partidos políticos sin que la Ley haya proporcionado los fundamentos jurídicos que legitiman esta comunicación, y sin dar al público la posibilidad de oponerse a la comunicación de sus datos a los partidos políticos en el momento de la inscripción en el censo municipal (https://xnet-x.net/proteccion-datos-censo-propaganda-electoral/).

Como indicó el ORG, en el Reino Unido los fundamentos jurídicos del «compromiso democrático» se admiten en la Ley de Protección de Datos, permitiendo a las partes recoger cantidades excesivas de datos personales (https://www.openrightsgroup.org/campaign/who-do-they-think-you-are/) que pueden ser utilizados durante las campañas electorales (https://www.openrightsgroup.org/publications/who-do-they-think-we-are-report/), sin el consentimiento explícito de los votantes, con el fin de crear perfiles muy intrusivos sin suficientes fundamentos jurídicos.

Del mismo modo, el miembro de EDRi ApTI señala que en Rumania la ley permite a los partidos políticos procesar datos personales, incluidas categorías especiales de datos, sin el consentimiento de las y los ciudadanos o las salvaguardias adecuadas. Los partidos políticos sólo tienen que informar y permitir el ejercicio de los derechos de supresión y rectificación, sin requerir el consentimiento de los ciudadanos ni indicar ningún fundamento jurídico (https://www.gdprtoday.org/european-commission-urged-to-investigate-romanian-gdpr-implementation/).

Si bien los Estados miembros de la Unión Europea tienen una historia, tradiciones y legislación diferentes en cuanto a la forma en que manejan las elecciones, estos acontecimientos exigen la adopción de medidas a nivel de toda la Unión Europea [Véase (1)].

Por lo tanto, proponemos: 

– Fijar normas mínimas compatibles con nuestros valores democráticos europeos a fin de evitar, cuando exista, la comunicación de los datos personales contenidos en los registros públicos (censo electoral, padrón municipal, registro electoral) a los partidos políticos u otros terceros con motivo de las campañas políticas y electorales.

– En lugar de que esa comunicación se lleve a cabo de manera cuasi automática o a raíz de una solicitud de los partidos políticos, sería conveniente que tanto la comunicación como el posterior tratamiento de los datos por los partidos políticos se legitimaran mediante el consentimiento explícito de las personas (opt-in), asegurando el control de las personas sobre sus datos en este contexto sumamente delicado (https://xnet-x.net/proteccion-datos-censo-propaganda-electoral/).
Esto respetaría los derechos fundamentales del público sin renunciar a los beneficios de las campañas políticas basadas en datos (https://www.openrightsgroup.org/publications/who-do-they-think-we-are-report/).

– Hacer cumplir el RGPD para que el tratamiento de datos de los que se puedan deducir categorías especiales de datos personales se someta al régimen del artículo 9 del RGPD (https://panoptykon.org/political-ads-report#part-3-3) esté realmente salvaguardado, tal como lo exige.

– Reforzar las obligaciones de transparencia: como señala Xnet, para controlar la proliferación de la desinformación resultante de la propaganda microdirigida de los partidos políticos, hay que reforzar la aplicación de las obligaciones de publicidad activa y el derecho de acceso en materia de gastos, contabilidad y comunicaciones electorales. Concretamente, debe establecerse que quienes contraten o presten servicios de comunicación deberán revelar el detalle de los gastos o cargos por los elementos de comunicación, enumerando las cantidades y el contenido exacto de los items/servicios (mensajes, publicaciones, bots, banners, posters, campañas, etc.) (https://xnet-x.net/ley-fakeyou/).

– Reforzar las obligaciones de transparencia sobre los algoritmos utilizados en los perfiles del público (transparencia algorítmica). 

Por consiguiente, pedimos, como en otras esferas, que las salvaguardias previstas en el considerando 56 del RGPD se apliquen de manera más clara y limitada, de modo que no se menoscabe la democracia en su conjunto y se protejan eficazmente los datos personales. La democracia en Europa está amenazada. Tenemos que actuar juntos.
 

Xnet
Vrijschrift
Homo Digitalis