Desde el escándalo de Cambridge Analytica, el uso de datos en campañas políticas ha suscitado un debate fundamental sobre la ética y la privacidad en el tratamiento de información personal. En España, el Tribunal Constitucional se pronunció en 2019 sobre este tema al analizar la disposición adicional tercera de la Ley Orgánica del Régimen Electoral General (LOREG), que permitía a los partidos políticos recopilar datos personales de opiniones políticas de los ciudadanos a efectos de enviarles mensajes personalizados durante campañas electorales. En la Sentencia 140/2019, el Tribunal Constitucional anuló esta disposición, argumentando que permitir a los partidos procesar opiniones políticas sin un consentimiento explícito vulneraba los derechos a la privacidad y a la protección de datos de los ciudadanos. Esta resolución subrayaba la importancia de proteger a los ciudadanos frente a la posible manipulación en campañas políticas. El Tribunal advirtió que el perfilado de votantes podría condicionar el ejercicio del derecho a formar opiniones libres y fundamentadas, interfiriendo en la autonomía de los ciudadanos al exponerlos a una comunicación dirigida sin que hayan manifestado un interés previo.
En este contexto de máxima precaución en el uso de datos personales en campañas, la Agencia Española de Protección de Datos (AEPD) ha evaluado recientemente el caso de TESELA, un software de segmentación utilizado por el Partido Socialista (PSOE). Este software permite segmentar a los votantes en función de características sociodemográficas, y, en teoría, sin identificarlos a nivel individual. La AEPD concluyó que, al tratarse de datos agregados (sin capacidad de identificar a personas concretas), el uso de TESELA no vulnera el Reglamento General de Protección de Datos (RGPD) ni la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).
Dado el impacto de esta resolución, vamos a analizar cómo funcionan estos programas de segmentación y cómo se relacionan con las normativas de protección de datos.
¿Cómo funcionan estos programas?
Los programas de segmentación en campañas políticas se basan en el análisis de datos que pueden tratarse de dos maneras principales: agregación y desagregación. Esta distinción es fundamental en términos de privacidad y cumplimiento normativo:
- Agregación de datos: Implica el uso de datos combinados en un formato resumido que no permite identificar a los individuos. La información se presenta de manera general, proporcionando patrones sobre un grupo amplio de personas sin detalles específicos sobre cada una. En este caso, se consideran datos no identificables, y su tratamiento queda fuera de la normativa de protección de datos en la medida en que no se puede vincular a personas concretas.
- Desagregación de datos: Este tratamiento separa la información para obtener detalles específicos sobre grupos de individuos según variables como edad, sexo, lugar de residencia o nivel educativo. Este tipo de segmentación permite, potencialmente, identificar a las personas físicas de manera individual, haciendo necesario cumplir con las obligaciones del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) en España.
La evaluación de la AEPD: Cuando la segmentación es legal
La Agencia Española de Protección de Datos (AEPD) analiza este tipo de segmentación con detalle y distingue entre los tratamientos de datos personales e información agregada. En sus investigaciones, la AEPD ha determinado que el uso de datos en formato agregado no permite la identificación de individuos y, por tanto, no constituye un tratamiento de datos personales en el sentido del RGPD. Esto significa que el uso de software que solo maneje datos agregados permite a los partidos políticos orientar sus campañas sin vulnerar el derecho a la privacidad de los ciudadanos.
Implicaciones y perspectivas: ¿Es adecuada esta interpretación?
No obstante, la conclusión de la AEPD ha generado cierta controversia y deja algunas cuestiones abiertas, tanto jurídicas como técnicas, que es importante analizar:
- Desde un punto de vista jurídico, la definición de dato personal en el RGPD es amplia y considera como identificables aquellos datos que pueden, directa o indirectamente, asociarse a una persona. Aunque los datos agregados parecen cumplir con la normativa en primera instancia, el poder de los análisis de datos y de la inteligencia artificial actual cuestiona si la agregación realmente protege la identidad de los votantes. La interpretación de la AEPD podría ser restrictiva, ya que las técnicas avanzadas pueden, en algunos casos, «desanonimizar» datos agregados al cruzarlos con otras fuentes de información, exponiendo potencialmente datos personales. Otro aspecto jurídico relevante es el de la corresponsabilidad. En este tipo de operaciones de segmentación y perfilado, es posible que el partido político (quien solicita el servicio,) y el proveedor del software de segmentación actúen como corresponsables del tratamiento al determinar tanto los fines como los medios. Según el RGPD, la corresponsabilidad implica que ambas partes deben acordar sus respectivas obligaciones en cuanto a la protección de datos y rendir cuentas de manera conjunta. Esto significa que, aunque los datos sean técnicamente agregados, si pueden llegar a identificarse personas a través de su análisis, ambos, tanto el partido político como el proveedor del software, podrían ser responsables del tratamiento de datos
- En términos técnicos, la agregación de datos no siempre elimina el riesgo de identificación. Con una cantidad suficiente de datos, patrones de comportamiento e interacciones repetidas, es posible “desagregar” perfiles agregados mediante técnicas avanzadas de análisis que podrían volver identificables estos datos al cruzarlos con otras fuentes. En este caso, un software de segmentación podría eludir la regulación argumentando que trabaja con datos agregados, cuando en la práctica existe un potencial de identificación indirecta.
Este análisis cuestiona la resolución de la AEPD que considera este tipo de segmentación conforme a la normativa de privacidad, ya que, en la práctica, el avance de las tecnologías de datos desafía la protección que otorgan los datos agregados. Para garantizar una verdadera protección de los derechos de los votantes, podría ser necesario que la normativa contemple una evaluación de impacto de la privacidad específica para herramientas de segmentación en campañas electorales y exigir que los acuerdos de corresponsabilidad incluyan medidas de mitigación y control de riesgos. Este enfoque no solo protegería la privacidad de los votantes, sino que también proporcionaría mayor transparencia y responsabilidad en el uso de datos en la publicidad política.