En una campaña realizada en redes sociales y plagada de proclamas antiinmigración y antifeministas, el agitador y recién elegido eurodiputado, Alvise Pérez, hizo una promesa: En el momento de llegar al cargo sortearía su sueldo entre sus seguidores. Pasaron meses desde las elecciones sin ninguna noticia del tema, hasta que el pasado 11 de agosto el ‘influencer’ publicó un mensaje en sus redes sociales.
“Este vídeo es para anunciaros el inicio oficial del sorteo del 100% de mi sueldo como eurodiputado, porque no soy un maldito parásito como todos los demás políticos que viven a costa de un sistema criminal que lleva ya más de 45 años saqueando a este país”, aseguraba. Junto a la comunicación facilitó un enlace en el que todo el que quisiera podía unirse para participar en el sorteo.
En una página web llamada alvisecumpliendo, todos los interesados -por el momento van casi 200.000 personas- pueden rellenar un formulario y así convertirse en posibles ganadores del sueldo del eurodiputado que llega a los 8.000 euros. Sin embargo, casi desde el primer momento han sido muchos los que han denunciado que las bases de este sorteo tienen demasiada ‘letra pequeña’.
El principio de minimización
Lo primero que salta a la vista es la gran cantidad de datos que se solicitan: a parte de tener que seguirle en su canal de Telegram, hay que dar nombre, apellidos, email, número de teléfono, DNI, provincia y el usuario de X (antes Twitter), Instagram y TikTok. Según explica Antonio Heredia, consultor de OZONIA Consultores, expertos en protección de datos, a Infobae España esto iría “en contra del principio de minimización de datos”.
“La explicación de la minimización de datos es tratar los menos datos personales posibles para la finalidad concreta”, por lo que en el caso de ser un sorteo, datos como el DNI “no interesan”. “Cuando hemos visto otros sorteos por redes sociales, lo que se ha requerido ha sido comentar la publicación. Todo lo que sea salirse de ahí puede ir en contra del principio de minimización”.
Sin embargo, aquí no termina la recopilación de datos. En los Términos y Condiciones para la donación del sueldo se añade que la persona ganadora deberá remitir “por correo electrónico una fotocopia de su DNI y un certificado de titularidad bancaria para comprobar que efectivamente el dinero se le destina a ella y no a terceras personas”.
“El DNI no te lo puede fotocopiar ni tan siquiera un hotel cuando vamos a hacer un check-in”, denuncia Heredia, ya que explica que la Agencia Española de Protección de Datos (AEPD) en “más de una ocasión ha sancionado a empresas por fotocopiar estos documentos, porque se entiende que traspasa la finalidad y atenta contra el principio de minimización de los datos”.
“Entonces, que este señor me llame, me pida el contacto y me pida la fotocopia del DNI, ¿Para qué? Ya tienes mi número de DNI, empecemos por ahí, ¿Para qué necesitar ahora la fotocopia?”, añade. Por otra parte el certificado de titularidad bancaria tampoco debería ser necesario: “Te puedo dar un número de cuenta y que no sea yo el titular de la misma. ¿Para qué te tengo que demostrar si me ha tocado?”.
¿Para qué se van a usar los datos?
Por otra parte, el Reglamento General de Protección de Datos (RGPD) recoge en su artículo 5 el concepto de ‘limitación de la finalidad’, que explica “que si tú quieres tratar mis datos personales, me tienes que decir expresamente para qué es”.
“La política de privacidad del sorteo la he revisado y no veo que estén todos los fines con los que se dice que se va a tratar. Ahí sí que entraría en un conflicto importante, ya que el consentimiento aquí es dudoso”, dice Heredia. En concreto, habla de que los datos personales proporcionados pueden ser utilizados para “interactuar a través de los perfiles oficiales de Alvise Pérez Fernández”.
“Alvise quiere hacer muchas cosas, pero con interactuar no se engloban todas y menos cuando la normativa te dice, que si hay varios fines, tienen que estar especificados” y, en el caso de demostrarse que realmente se está vulnerando los principios, el artículo 72 del RGPD recoge que se estaría cometiendo “una falta muy grave”.
Otro de los usos que se va a dar los datos es la publicación en las redes sociales del propio Alvise. En concreto, se publicará el nombre y las comunicaciones que mantenga el organizador con el ganador para “dotar así una mayor transparencia y posibilidad de escrutinio público al sistema de la elección del donatario y la realización efectiva de la donación”.
Heredia también advierte sobre este tema. Aunque es verdad que el propio Reglamento si permite la publicación de datos “ya sea por transparencia, por interés público o interés general”, hay que tener en cuenta que hay que “anonimizar todos los datos personales”. “Ya sea el nombre y apellidos, que se pone con las iniciales, o el DNI, que tiene que ir simplemente mostrando los cuatro últimos dígitos”.
Alvise y Luis Pérez Fernández
“Cuando una persona va a tratarnos los datos personales, el reglamento de protección de datos lo califica como responsable del tratamiento. Eso es lo que vemos en la política de privacidad” y en el caso del sorteo se explica que es el propio Alvise Pérez Fernández el único responsable del tratamiento de los mismos “exonerando totalmente la responsabilidad a la agrupación a la que pertenece”.
Esta es una práctica habitual y no habría ningún problema con ello, “lo que si puede chocar un poco es que no se está identificando a una persona física real”. Esto se debe a que ‘Alvise’ es solo un pseudónimo y el nombre real del eurodiputado es Luis Pérez Fernández, que no aparece escrito así en las políticas de privacidad. “Tú pones Alvise Pérez y te sale en Google, pero luego en cualquier institución no te va a aparecer, te va a salir como Luis”.
Esto al final “entra en contradicción con la normativa”, ya que tienes que identificarte. “Si acaba existiendo algún problema con los datos, se está limitando el poder del afectado de pedir explicaciones”, ya que en cualquier denuncia hay que poner “el nombre real de la persona”. “Yo no tengo el nombre real de la persona, no puedo identificar al responsable del tratamiento y por tanto la Agencia Española de Protección de Datos lo que me diría es que por falta de identificación del responsable del tratamiento no podemos proceder”, asegura Heredia.