No te pierdas nuestros contenidos
SuscribirmeEl pasado 16 de noviembre de 2024, el Supervisor Europeo de Protección de Datos (SEPD) emitió una decisión relevante por su peculiaridad en respuesta a una queja presentada por la ONG NOYB en representación de un ciudadano holandés contra la Comisión Europea.
Contexto
La queja se centró en una campaña publicitaria llevada a cabo por la Dirección General de Migración y Asuntos de Interior (DG HOME) de la Comisión Europea en la red social X (anteriormente conocida como Twitter) del 15 al 28 de septiembre de 2023. La campaña tenía como objetivo comunicar la propuesta de un reglamento para combatir y prevenir el abuso sexual infantil. Para alcanzar este objetivo, la Comisión utilizó una estrategia de segmentación que incluía y excluía ciertos grupos de audiencia en función de palabras y cuentas clave.
El reclamante argumentó que este fraccionamiento se realizó teniendo en cuenta la ideología política o las creencias religiosas de los afectados, lo que implicó el tratamiento de categorías especiales de datos conforme al artículo 10 del Reglamento (UE) 2018/1725 (en adelante, el «Reglamento»).
Argumentos del reclamante
NOYB fundamentó sus alegaciones en la ausencia de una base jurídica que legitimase a la Comisión para realizar un tratamiento de categorías especiales de datos. Explicó que la Comisión había utilizado 36 segmentos relacionados con partidos políticos, políticos o términos políticos, y 6 segmentos relacionados con creencias religiosas para excluir a usuarios que, mediante sus publicaciones, «retweets» y otras interacciones realizadas en la red social, hubiesen manifestado una ideología determinada. De este modo, la Comisión buscaba dirigirse a usuarios de X con opiniones políticas específicas. El objetivo de la campaña era transmitir un mensaje particular a personas con intereses afines a los seguidores de ciertas cuentas.
El reclamante consideró que estas conductas constituían un tratamiento de categorías especiales de datos conforme al artículo 10.1 del Reglamento, sin que se diera ninguna de las excepciones contempladas en el apartado 2 del mismo precepto legal que permitieran dicho tratamiento.
Contraargumentos de la Comisión Europea
i) La campaña no estaba dirigida al tratamiento de categorías especiales de datos.
La Comisión argumenta que el empleo de una estrategia de focalización, basada en la selección y exclusión de determinados segmentos, tenía como objetivo maximizar el impacto del limitado presupuesto disponible y garantizar un uso eficiente de los recursos financieros. En este sentido, sostiene que el objetivo de la campaña no era el tratamiento de categorías especiales de datos y que, si tales datos fueron tratados durante la ejecución de la campaña, no debería haber sucedido.
ii) En todo caso, el tratamiento de categorías especiales de datos estaba justificado por razones de interés público, ya que se destinaba a dar promoción al nuevo reglamento para combatir y prevenir el abuso sexual infantil.
La Comisión explica que, aunque el SEPD llegase a la conclusión de que sí hubo tratamiento de categorías especiales de datos, este quedaría justificado por razones de interés público con base en el artículo 5.1.a) del Reglamento: «El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el tratamiento es necesario para el cumplimiento de una función realizada en interés público (..)».
Análisis del SEPD
El SEPD determinó que la Comisión actuó como responsable del tratamiento al definir los objetivos y los medios del tratamiento de datos personales en la campaña publicitaria e identificó las siguientes infracciones del Reglamento por parte de la Comisión:
i) Artículos 4.1.a) y 5: tratamiento de datos personales sin una base jurídica válida.
La Comisión no pudo demostrar una base jurídica válida para el tratamiento de datos personales, incluidos los de categorías especiales, en el contexto de la campaña publicitaria en la red social X. A pesar de los esfuerzos de la Comisión por defender que el tratamiento fue lícito conforme al apartado 1.a) del artículo 5 del Reglamento, el SEPD señaló que, para que esto ocurra, la base del tratamiento debe haberse recogido previamente en el Derecho de la Unión.
En este caso, la disposición que la Comisión trajo a colación, el artículo 17.2 del Tratado de la Unión Europea (TUE), no mencionaba nada sobre las actividades de promoción de la Comisión para informar al público sobre propuestas legislativas. El SEPD determinó que el artículo 17.2 TUE es de naturaleza general y no proporciona una base legal clara y precisa para el tratamiento de datos personales en el contexto de campañas publicitarias. Por lo tanto, la Comisión no pudo justificar el tratamiento de estos datos personales bajo esta disposición.
ii) Artículo 10.1: tratamiento de categorías especiales de datos personales sin disponer de una de las excepciones contempladas en el artículo 10.2.
El SEPD ha determinado que efectivamente se llevó a cabo un tratamiento de categorías especiales de datos personales. La asignación de una opinión política a un usuario constituye un tratamiento de categorías especiales de datos, que en este caso fue llevado a cabo por la plataforma X siguiendo las instrucciones de la Comisión Europea.
Con respecto al argumento de la Comisión de que no solicitó ni tenía la intención de realizar un tratamiento de categorías especiales de datos personales, el SEPD observa que, como responsable del tratamiento, la Comisión asume la responsabilidad, independientemente de si lo llevó a cabo o no de manera intencionada. Además, conforme a la jurisprudencia del TJUE, la intención del responsable del tratamiento es irrelevante para determinar si se ha llevado a cabo el tratamiento de categorías especiales de datos.
Por último, la Comisión no alegó la concurrencia de ninguna de las excepciones recogidas en el apartado 2 del artículo 10 del Reglamento. A pesar de ello, el SEPD analizó la posibilidad de que alguna de estas excepciones pudiera ser aplicable, pero concluyó que no se cumplían los requisitos necesarios para ninguna de ellas.
Consecuencias y conclusiones
Como medida correctiva por las infracciones anteriores, el SEPD impuso una sanción de apercibimiento a la Comisión. Aunque no se impuso una sanción económica a la institución europea, esta medida subraya la gravedad de la gestión indebida de categorías especiales de datos personales. Esta resolución refuerza la importancia de que las instituciones de la UE cumplan estrictamente la normativa de protección de datos y adopten medidas adecuadas para protegerlos.
Autores: Albert Agustinoy y Ramon Baradat, en colaboración con Paula Baidez.
No te pierdas nuestros contenidos
Suscribirme