Tenemos que poner fin al abuso de los datos personales de la ciudadanía de la UE en las elecciones

Enviado al Chair of the Petitions Committee European Parliament; European Commission Commissioner Mr. Didier Reynders; Directorate General of Democracy of the Council of Europe (DGII); OSCE Office for Democratic Institutions and Human Rights (ODIHR).
 

El derecho a la protección de datos es un derecho fundamental que otorga a las personas el control sobre sus datos personales, la forma en que se utilizan y su destino. Este derecho debe ser respetado tanto por los organismos públicos como por los privados. Más aún cuando se trata de datos sobre nuestras preferencias políticas. Su uso requiere una mayor necesidad social y, por lo tanto, debe estar debidamente justificado y equilibrado en la ley para compensar el impacto en el derecho fundamental a la privacidad. 

Como ciudadanos europeos, nos preocupa lo que ocurre con los datos personales durante los procesos electorales. Su actual recopilación y uso es desproporcionada y tiene consecuencias para partes importantes de la población en formas que son incompatibles con el Convenio Europeo de Derechos Humanos, la Carta de Derechos Fundamentales y la legislación de la Unión Europea. Por lo tanto, no es difícil ver cómo esto erosiona la confianza en nuestro sistema democrático.

Es debido a los abusos de los datos personales (tanto los que conocemos como los que aún no han salido a la luz) por parte de los partidos políticos y de terceros que las y los abajo firmantes, denunciamos el hecho de que, en muchos Estados miembros y países, la interpretación de la legislación europea a efectos de la celebración de elecciones no respeta el derecho fundamental a la protección de los datos, el valor de la privacidad por defecto y desde el diseño y perjudica la democracia. Las medidas actuales para evitar la elaboración de perfiles de la población con fines políticos son insuficientes y carecen de la justificación necesaria para proporcionar a los partidos políticos grandes cantidades de datos personales de las y los votantes.

El escándalo de Cambridge Analytica de 2018 reveló el alcance y la influencia de la elaboración de perfiles en la votación y las campañas electorales. A pesar de que algunos políticos critican el uso de datos personales para las campañas políticas, demasiados partidos políticos siguen participando en la elaboración de perfiles de datos personales de los votantes para obtener ventajas electorales (véase el informe del miembro de EDRi Open Rights Group https://www.openrightsgroup.org/publications/who-do-they-think-we-are-report/).


Como ejemplo reciente, una brecha digital en Malta expuso los datos personales del 95% de la población registrada durante un año. Los datos no sólo incluían los campos disponibles en el registro electoral publicado (es decir, nombre, dirección y documento de identidad) sino también números de teléfono, fechas de nacimiento y afiliaciones políticas. Esto sucedió porque el contratista de un partido político maltés, mantuvo una copia del registro electoral en un directorio abierto que fue indexado por Google, (como destaca el miembro de EDRi NOYB) (https://noyb.eu/en/massive-political-data-leak-malta__).

Las elecciones están en el corazón de nuestras democracias como un momento de verdad para la responsabilidad política. Por esta razón, el derecho a votar es indispensable. Por lo tanto, debe ser un derecho esencial recibir información correcta sobre qué y por quién estamos votando. Sin embargo, la segmentación (microtargeting) permite a políticos y partidos adoptar posiciones contradictorias para atraer a los diferentes tipos de votantes, como lo demuestra la experiencia holandesa, destacada por el miembro de EDRi Vrijschrift (https://blog.vrijschrift.org/serendipity/index.php?/archives/247-Kiezersgunst,-gericht-adverteren-en-democratie.html). Esta práctica también permite el juego sucio contra los adversarios. A pesar de la obvia naturaleza corrosiva del microtargeting en la política, su uso está muy extendido.

El Reglamento General de Protección de Datos de la UE 2016/679 (RGPD) y la orientación de la Comisión sobre la aplicación de la legislación de la Unión en materia de protección de datos en el contexto de las elecciones (https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-data-protection-law-electoral-guidance-638_en.pdf) han mejorado la protección del público en el tratamiento de sus datos personales. Como principio, el RGPD prohíbe el tratamiento de datos que revelen opiniones políticas, pero, como señaló el miembro de EDRi Panoptikon, aunque el tratamiento de datos sensibles está protegido en virtud del artículo 9 del RGPD, se debe tener en cuenta el hecho de que datos tales como las creencias políticas pueden inferirse de los datos sobre el comportamiento del público (status online, ubicación, etc.), y en la práctica se tratarán sin el consentimiento explícito requerido por el artículo 9 (https://panoptykon.org/political-ads-report#part-3-3). 

En el ámbito electoral, y concretamente en lo que respecta al tratamiento por parte de los partidos políticos de categorías especiales de datos, las excepciones del RGPD se utilizan en varios Estados miembros sin salvaguardias suficientemente sólidas, como se exige en el considerando 56.

El miembro de EDRi Xnet informa que, en España, aunque el Tribunal Constitucional declaró inconstitucional el tratamiento de categorías especiales de datos por los partidos políticos sin consentimiento (STC 76/2019, 22 May 2019, https://www.boe.es/boe/dias/2019/06/25/pdfs/BOE-A-2019-9548.pdf), el censo municipal (utilizado para crear el padrón electoral) que contiene los datos personales (incluidos el domicilio, la fecha de nacimiento y la nacionalidad) a cada elección es entregado a todos los partidos políticos sin que la Ley haya proporcionado los fundamentos jurídicos que legitiman esta comunicación, y sin dar al público la posibilidad de oponerse a la comunicación de sus datos a los partidos políticos en el momento de la inscripción en el censo municipal (https://xnet-x.net/proteccion-datos-censo-propaganda-electoral/).

Como indicó el ORG, en el Reino Unido los fundamentos jurídicos del «compromiso democrático» se admiten en la Ley de Protección de Datos, permitiendo a las partes recoger cantidades excesivas de datos personales (https://www.openrightsgroup.org/campaign/who-do-they-think-you-are/) que pueden ser utilizados durante las campañas electorales (https://www.openrightsgroup.org/publications/who-do-they-think-we-are-report/), sin el consentimiento explícito de los votantes, con el fin de crear perfiles muy intrusivos sin suficientes fundamentos jurídicos.

Del mismo modo, el miembro de EDRi ApTI señala que en Rumania la ley permite a los partidos políticos procesar datos personales, incluidas categorías especiales de datos, sin el consentimiento de las y los ciudadanos o las salvaguardias adecuadas. Los partidos políticos sólo tienen que informar y permitir el ejercicio de los derechos de supresión y rectificación, sin requerir el consentimiento de los ciudadanos ni indicar ningún fundamento jurídico (https://www.gdprtoday.org/european-commission-urged-to-investigate-romanian-gdpr-implementation/).

Si bien los Estados miembros de la Unión Europea tienen una historia, tradiciones y legislación diferentes en cuanto a la forma en que manejan las elecciones, estos acontecimientos exigen la adopción de medidas a nivel de toda la Unión Europea [Véase (1)].

Por lo tanto, proponemos: 

– Fijar normas mínimas compatibles con nuestros valores democráticos europeos a fin de evitar, cuando exista, la comunicación de los datos personales contenidos en los registros públicos (censo electoral, padrón municipal, registro electoral) a los partidos políticos u otros terceros con motivo de las campañas políticas y electorales.

– En lugar de que esa comunicación se lleve a cabo de manera cuasi automática o a raíz de una solicitud de los partidos políticos, sería conveniente que tanto la comunicación como el posterior tratamiento de los datos por los partidos políticos se legitimaran mediante el consentimiento explícito de las personas (opt-in), asegurando el control de las personas sobre sus datos en este contexto sumamente delicado (https://xnet-x.net/proteccion-datos-censo-propaganda-electoral/).
Esto respetaría los derechos fundamentales del público sin renunciar a los beneficios de las campañas políticas basadas en datos (https://www.openrightsgroup.org/publications/who-do-they-think-we-are-report/).

– Hacer cumplir el RGPD para que el tratamiento de datos de los que se puedan deducir categorías especiales de datos personales se someta al régimen del artículo 9 del RGPD (https://panoptykon.org/political-ads-report#part-3-3) esté realmente salvaguardado, tal como lo exige.

– Reforzar las obligaciones de transparencia: como señala Xnet, para controlar la proliferación de la desinformación resultante de la propaganda microdirigida de los partidos políticos, hay que reforzar la aplicación de las obligaciones de publicidad activa y el derecho de acceso en materia de gastos, contabilidad y comunicaciones electorales. Concretamente, debe establecerse que quienes contraten o presten servicios de comunicación deberán revelar el detalle de los gastos o cargos por los elementos de comunicación, enumerando las cantidades y el contenido exacto de los items/servicios (mensajes, publicaciones, bots, banners, posters, campañas, etc.) (https://xnet-x.net/ley-fakeyou/).

– Reforzar las obligaciones de transparencia sobre los algoritmos utilizados en los perfiles del público (transparencia algorítmica). 

Por consiguiente, pedimos, como en otras esferas, que las salvaguardias previstas en el considerando 56 del RGPD se apliquen de manera más clara y limitada, de modo que no se menoscabe la democracia en su conjunto y se protejan eficazmente los datos personales. La democracia en Europa está amenazada. Tenemos que actuar juntos.
 

Xnet
Vrijschrift
Homo Digitalis