El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con referencia 0262/2017 aborda la suspensión de la Ley 19/2017 del Referéndum de Autodeterminación de Cataluña y sus decretos complementarios por parte del Tribunal Constitucional. La AEPD analiza la selección de ciudadanos para formar parte de las mesas electorales del referéndum del 1 de octubre de 2017 y la utilización de datos censales en bases de datos de dudosa seguridad.
El informe destaca que la Ley 19/2017 y los decretos 139/2017 y 140/2017 fueron suspendidos por el Tribunal Constitucional el 7 de septiembre de 2017, lo que implica la suspensión de cualquier actuación relacionada con el referéndum. A pesar de esto, se tuvo conocimiento de la selección de ciudadanos para las mesas electorales y de la publicación de datos censales en páginas web y aplicaciones móviles habilitadas por la Generalitat de Cataluña.
La AEPD subraya que la utilización de datos obtenidos de ficheros públicos para la elaboración de un «censo electoral» implicaría un tratamiento ilícito de datos, vulnerando los artículos 4 y 6 de la Ley Orgánica 15/1999 de Protección de Datos. Además, la transmisión de estos datos a terceros estados sin el consentimiento expreso de los afectados y sin las garantías adecuadas de protección de datos constituiría una vulneración adicional de la legislación vigente.
El informe también analiza la estructura y formación de las mesas electorales según la Ley 19/2017, señalando que la formación de estas mesas se difiere a la administración electoral del Gobierno bajo la supervisión de la Sindicatura Electoral de Cataluña. Sin embargo, la renuncia de los miembros de la Sindicatura Electoral y la falta de supervisión formal hacen que la formación de las mesas electorales sea contraria a derecho.
La AEPD concluye que las conductas llevadas a cabo por quienes actuaron como miembros de las mesas electorales se realizaron a título particular, sin la legitimación necesaria para el tratamiento y cesión de datos de carácter personal. Estas acciones podrían incurrir en vulneraciones de los artículos 6 y 11 de la Ley Orgánica 15/1999, sancionables con multas de 40.000 a 300.000 euros.
En cuanto a la competencia, la AEPD señala que, dado que los tratamientos se llevaron a cabo a título particular y no en el ámbito de competencias de la Generalitat de Cataluña, la AEPD sería la competente para el control de dichos tratamientos. Además, cualquier transferencia internacional de datos requeriría la autorización previa del Director de la AEPD, salvo que se transfirieran a países con un nivel adecuado de protección de datos.
En resumen, el informe de la AEPD subraya la ilegalidad de la utilización de datos censales para el referéndum del 1 de octubre de 2017 y la falta de legitimación para el tratamiento y cesión de estos datos, destacando la necesidad de cumplir con la legislación de protección de datos vigente.