Empresas a sueldo de partidos políticos para espiarte en la red: así sabrán todo sobre ti

"Yo me dedico a esto y lo que acaba de ocurrir, la verdad, me asusta. Como empresa nos beneficia, nos va a permitir ser brutalmente precisos, pero a nivel legal es muy preocupante". Así de crudo y sincero es un directivo que trabaja con los principales partidos políticos españoles realizando campañas 'online' y detallados perfiles de usuarios con un único objetivo: ganar votos. Pide mantener el anonimato para no perjudicar a su compañía, "ahora se nos ve como el mismísimo diablo, y la culpa no es nuestra, es de los legisladores". Lo dice en referencia a la nueva Ley de Protección de Datos (LOPD) aprobada esta semana en el Senado que da luz verde a algo sin precedentes en la democracia española: que los partidos políticos puedan crear perfiles ideológicos de ciudadanos y contactar con ellos por WhatsApp (o por teléfono) sin su consentimiento para enviar propaganda electoral.

La nueva LOPD se aprobó este jueves con el apoyo del PP, PSOE y Ciudadanos y el resto de partidos salvo Podemos, que a última hora decidió votar en contra. Salió adelante sin ninguna enmienda, lo que significa que entrará en vigor en cuanto aparezca publicada en el BOE en los próximos días. Cuando eso ocurra, se aplicará uno de sus artículos más polémicos, el 58 bis, que permite a los partidos recopilar "datos personales relativos a las opiniones políticas de las personas", usar "datos personales obtenidos en páginas web y otras fuentes de acceso público" y enviar "propaganda electoral por medios electrónicos o sistemas de mensajería", ya que esta actividad no tendrá la consideración de comunicación comercial. En otras palabras: vía libre para crear bases de datos con perfiles ideológicos de potenciales votantes y 'spamearte' con propaganda electoral sin tu consentimiento.

Múltiples juristas especializados en privacidad e internet han cargado contra la ley asegurando que es anticonstitucional. "Es un atropello telemático y una enorme torpeza. Los partidos políticos tienen ahora carta blanca para recopilar datos sobre tu ideología, algo prohibido en la Constitución y en el reglamento europeo de privacidad", explica a Teknautas el abogado especializado en internet Carlos Sánchez-Alemida, miembro de la Plataforma en Defensa de la Libertad de Información (PDLI), colectivo que ha calificado la normativa de "escandalosa".

El abogado David Bravo describe como "espeluznante" la posibilidad de crear perfiles ideológicos; el jurista Jorge Morell asegura a Teknautas que la LOPD "abre un melón muy peligroso al servicio de los partidos políticos". La lista de voces críticas es casi infinita.

El malestar se ha extendido hasta llegar a los miembros de la Junta Electoral Central. Fuentes cercanas a varios vocales de la Junta aseguran a este diario que en el seno del organismo, responsable de garantizar la transparencia del proceso electoral, se ha instalado la preocupación tras la aprobación de la ley por considerarla anticonstitucional. "Hay mucha inquietud, por no decir enfado, respecto a cómo afectará esta nueva situación jurídica a la propia Junta y al proceso electoral en sí", explican estas fuentes. El desasosiego también se palpa en el Parlamento Europeo.

La ley española va "totalmente en contra de lo establecido en el Reglamento Europeo de Protección de Datos [GDPR, en sus siglas en inglés] aprobado en mayo", explica a Teknautas el eurodiputado de Equo Florent Marcellesi. Como él, varios europarlamentarios consultados creen que España se ha pasado de frenada. "Es muy difícil de entender que tras aprobarse el GDPR, que tiene rango superior, ahora salgan con esta ley. En Bruselas nos hemos quedado perplejos", añade Marcellesi.

¡Esto es un maldito CRM!

La preocupación se entiende al instante al conocer cómo funcionan las consultoras contratadas por los partidos políticos para ayudarles en sus campañas 'online'. Las posibilidades que abre la normativa son tan poderosas que su conclusión es clara. "Esto es un Cambridge Analytica legalizado", reconoce un directivo de una empresa española de 'targeting' político en referencia al escándalo de la consultora británica que usó datos de millones de usuarios de Facebook para venderlos luego al equipo de campaña de Donald Trump.

"Estamos hablando de que no solo vamos a poder hacer perfiles ideológicos de potenciales votantes rastreándolos por internet, sino que además podremos ir a nivel individual y añadir su móvil. ¡Esto es un maldito CRM [sistema de gestión de clientes, en sus siglas en inglés] pero aplicado a las elecciones!".

En España hay un puñado de compañías especializadas en esta actividad. Son firmas como Target Point o Dog, dedicadas a la 'comunicación política', o Human Data Research, que no trabaja con partidos políticos pero sí con grandes marcas. "Es cierto que en los últimos meses nos han llamado varias agencias preguntándonos si podemos ayudarles con clientes en el terreno político, pero no nos dedicamos a eso. Se nota que hay movimiento, y va a haber más", explica Rafael Hernández, fundador de Human Data Research.

Además de las firmas especializadas, grandes agencias como Shackleton u Ogilvy han trabajado también con partidos en campañas de marketing 'online'. Pero estas empresas, las especializadas y las generalistas, se mueven en varios niveles: simple gestión de redes sociales y campañas digitales dirigidas a grupos de ciudadanos (no se identifica a ninguno a nivel individual) y campañas personalizadas capaces de decidir el signo de un escaño en unas elecciones generales. ¿Cómo se hace en realidad todo esto?

Puedes enviar mensajes hiperpersonalizados al móvil de cada persona para influir su voto. Ya no es propaganda, es manipulación

"Imagina que eres el responsable de campaña del PP y sabes que hay un municipio de 300 ciudadanos en Logroño que vota en su mayoría a Ciudadanos y del que depende un escaño. Nosotros lo que hemos hecho hasta ahora es hacer perfiles psicológicos y sociales para entender ese colectivo. ¿Qué rango de edad tienen? ¿A qué equipo de fútbol siguen? ¿Les preocupa la inmigración? ¿El desempleo? ¿La independencia de Cataluña? Una vez conocemos su perfil, lanzamos una campaña de anuncios en Facebook supersegmentada dirigida a este colectivo y esperamos las reacciones, sus respuestas, sus mensajes, con quién lo comparten, de qué se quejan, a qué le dan al me gusta. Ahí ya tienes nombres y apellidos, gente real. En función de cómo reaccionan, ajustamos el mensaje y les volvemos a contactar. Todo esto es legal, aunque tienes que ser muy cuidadoso. Lo que ahora cambia es que se abre una oportunidad gigantesca con la nueva ley: el móvil", explica otro directivo de una firma española de 'targeting' político.

La LOPD abre la puerta a que los partidos políticos contacten por WhatsApp, SMS o llamada telefónica a los ciudadanos en periodo electoral y, muy importante, sin su consentimiento. "Conseguir los números de móvil es lo más fácil que hay. Por ejemplo: lanzas una web en la que pides opinión sobre tu programa electoral a través de votaciones. Para validar los votos, pides su número de móvil. Ya está, lo tienes. Esto ya lo hizo el PP en el 2007. La gran diferencia ahora es que si cruzas los datos ideológicos que obtienes rastreando la actividad de la gente en redes sociales con su número de móvil, lo tienes todo. Puedes enviar mensajes hiperpersonalizados al teléfono de cada persona para influir y cambiar el voto. Ya no hablamos de propaganda, eso es manipulación", explican las fuentes consultadas en empresas españolas de 'targeting'.

Jorge Morell, abogado especializado en privacidad online, pone otro ejemplo de cómo funcionarían las cosas a partir de ahora. "Estas consultoras tienen libertad a partir de ahora para analizar con algoritmos, por ejemplo, los comentarios en los artículos de política de todos los diarios digitales en España. Algunos usarán el mismo nombre de usuario en varias webs, incluso en varias redes sociales; igual repiten un comentario similar en Facebook... rastreando su huella digital los identificas. Asociar toda esa actividad online a un nombre, apellido y un número de móvil es solo cuestión de tiempo. Una vez tienes eso, si la ley te permite contactar con ellos y sin su consentimiento, tienes una herramienta poderosísima entre manos", explica.

Una prueba de lo que puede ocurrir en España con la LOPD a nivel electoral es lo que ya está sucediendo en buena parte de Latinoamérica. "Bolsonaro compró bases de datos de grandes cadenas comerciales para hacer envíos masivos de propaganda y 'fake' news a través de WhatsApp. Ya sabemos lo que pasó luego. En Argentina está ocurriendo lo mismo. En México las bases de datos con móviles se venden al peso, no hay apenas regulación. Ahora toda la publicidad electoral está girando poco a poco de Facebook a WhatsApp, y eso es justo lo que hace esta ley: abre la veda a cosas como estas", señalan las fuentes consultadas en empresas de 'targeting' político.

Una ley sin garantías

¿Qué piensa de todo esto el principal organismo español encargado de proteger la privacidad de los ciudadanos? Tras la tormenta desatada esta semana, la Agencia Española de Protección de Datos, la AEPD, paradójicamente aseguró que todo estaba en orden. No hay nada de que preocuparse. Su argumento es que el polémico artículo 58 bis evita usar la palabra "tratamiento". Es decir, los partidos políticos solo pueden recopilar datos para "pulsar las inquietudes de los ciudadanos con el fin de darles respuesta en sus propuestas electorales", dice la AEPD, pero no pueden "tratarlos". O lo que es lo mismo: nada de cruzarlos con otros datos como el número de móvil ni crear bases de datos ideológicas con la información resultante.

El problema es que no hay forma de garantizar que ese tratamiento de datos no se va a realizar. Es una ley hecha para los partidos

"La interpretación de la ley no le corresponde a la AEPD, le corresponde a un juez. Y la realidad es que la LOPD no establece ninguna garantía ni criterio que permita comprobar que los partidos políticos y las consultoras contratadas por ellos no están haciendo tratamiento de datos. La única forma de comprobarlo es que entre la policía en sus sedes con una orden judicial y registre sus ordenadores. Eso no va a ocurrir. No sabemos qué pasará de puertas hacia dentro", explica el jurista Sánchez-Almeida, quien avanza la presentación de una oleada de recursos de anticonstitucionalidad contra la ley.

Almeida señala además el conflicto que se produce entre esta normativa y el GDPR europeo, que prohíbe en su artículo 9 "el tratamiento de datos personales que revelen el origen étnico o racial o las opiniones políticas". Este artículo establece varias excepciones a esa prohibición, una de ellas cuando "el interesado ha hecho manifiestamente públicos" sus datos personales. "Se agarran a esto para decir que pueden rastrear y tratar tus datos porque todo lo que publicas o haces en internet es público. Decir "voy a votar al PSOE" en Facebook es manifiestamente público, pero darle un 'like' en Twitter o Facebook a una noticia de Pablo Iglesias no lo es. Nadie sabe el significado real de ese 'like' salvo la persona que le ha dado. Ese rastreo y tratamiento sería ilegal", explica.

Lo preocupante es que los propios responsables de las compañías de 'targeting' político en España, los principales beneficiados por esta LOPD, tampoco entienden los argumentos de la AEPD. "No hay forma de garantizar que ese tratamiento de datos no se va a realizar. Para asegurar esto los partidos tendrían que hacer públicas sus bases de datos. Sería tan sencillo como revisar los registros informáticos. Pero esto es ciencia-ficción, nunca ocurrirá. Ese es el drama", señala uno de estos responsables.

La LOPD, según otro directivo consultado, también tiene un peligroso resquicio adicional: estipula que los partidos políticos solo podrán llamar o enviar WhatsApps a los ciudadanos durante el periodo de campaña electoral. Sin embargo, no hay restricciones al perfilado y tratamiento de datos. "Es una ley hecha a medida de los partidos. En 15 días de campaña electoral es imposible perfilar nada, eso lleva tiempo. Además, muchos estudios demuestran que la publicidad directa en elecciones solo cambia tu voto si la recibes durante las últimas 72 horas antes de las elecciones. Esto es lo que va a ocurrir: las empresas contratadas por los partidos estaremos dos o tres años perfilando, analizando y construyendo bases de datos ideológicas súper detalladas. Pero la batalla llegará durante los tres últimos días de campaña: ahí lanzaremos todos nuestra artillería".