El día 22 de mayo de 2019, el pleno del Tribunal Constitucional declaró la inconstitucionalidad del apdo. 1 del art. 58
On 22 May 2019, the Constitutional Court declared unconstitutional Article 58 bis (1). This provision, incorporated into Organic Law 5/1985, of 19, June on the General Electoral System by Organic Law 3/2018 of 5 December on the Protection of Personal Data and Guarantee of Digital Rights was appealed by the Ombudsman. The unconstitutionality of article 58 bis is based on a triple violation of the right to data protection in connection with article 53.1 of the Constitution: the absence of a defined purpose that justifies interference in the right to data protection, the lack of clear limits and the legislator’s failure to regulate an adequate framework of guarantees.
El aforismo «el conocimiento es poder» alcanza nuevas dimensiones en la era digital. La cantidad de datos que hoy pueden recabarse, tratarse e interrelacionarse es abrumadora. La agregación y el cruce de datos facilitados por el
La consolidación de tecnologías basadas en el tratamiento masivo de datos y la solución algorítmica a problemas y decisiones de la vida diaria (algunas tan triviales como dónde comer y otras tan relevantes como determinar si una persona puede recibir un préstamo, contratar un seguro o recibir atención sanitaria privada) afectan al modo en que la sociedad se organiza y desarrolla. «La capacidad humana para decidir libremente está colapsando» (
La formación de la voluntad política, la competencia partidista por atraer y convencer al electorado acerca de las posiciones propias o, cuanto menos, la articulación de una estrategia que los aleje de las contrarias, también es objeto de las nuevas posibilidades surgidas con la era digital. Los análisis sobre las tendencias del voto procesan multitud de datos que permiten cuantificar y estratificar (por edades, por sexo o por preferencias) a los votantes y anticipar sus preocupaciones e intereses. Estos estudios aportan elementos especialmente anhelados en la arena política, cruciales para el diseño de la estrategia electoral. Las encuestas, los grupos de control, el conocimiento del censo electoral o los resultados de las diferentes mesas son datos de gran valor para los partidos y las organizaciones políticas.
La tecnología ha ampliado el abanico de posibilidades y modos de conectar con el electorado y, sobre todo, de incidir en la conformación de su voluntad. Buena muestra de este nuevo escenario son el uso de técnicas como el
El
El panorama descrito refleja la confluencia de dos peligros diferentes que convergen en el ámbito de los datos personales. De una parte, las posibles vulneraciones del derecho fundamental que garantiza su protección. De otra, los peligros que, para la pervivencia del sistema democrático, puedan derivarse de determinados usos de las tecnologías de la información.
Esta última es una amenaza de contornos difusos, cuyo peligro real resulta difícil de cuantificar, porque ¿cuánto influyen en la decisión final?, ¿cuánto la condicionan?, ¿cuánto hacen variar el resultado respecto al que se obtendría si estas no existieran? La respuesta a estas preguntas es incierta, pero el riesgo que las justifica es muy real. La mera sospecha —no digamos la confirmación— acerca del uso de técnicas tendentes a falsear o alterar el resultado de unas elecciones provoca un efecto de desaliento (
Las amenazas y peligros aquí apuntados se han visto materializados en asuntos tan conocidos como el de
Ante este horizonte corchado de nubarrones, resulta crucial la adopción de nuevas medidas que aseguren la libre formación de la voluntad personal y protejan los derechos y libertades de la ciudadanía. En este contexto, la protección de datos desempeña un rol central, al establecer el modo y las condiciones en las que ha de operarse con el sustrato que alimenta este tipo de tecnologías. A pesar de ello, sería un error considerar que la simple adopción de prácticas respetuosas con este derecho es una suerte de panacea capaz de conjurar todos los peligros derivados del uso de esta tecnología.
Hay otros derechos y actuaciones que pueden contribuir a minimizar los efectos perturbadores del mal uso de los instrumentos digitales,
Descrito de forma muy sucinta, este es el contexto de referencia
Los partidos políticos, las asociaciones, las federaciones o las agrupaciones electorales que median en los procesos de participación política necesitan tratar información personal para desarrollar su actividad diaria. Datos de todo tipo, desde los más instrumentales, como pueden ser los necesarios para la gestión de sus empleados (
El ejemplo más paradigmático es el registro de los afiliados, que contiene una información especialmente sensible por cuanto revela la orientación ideológica de quienes figuran en él. Este registro es muy anterior a la era digital, ahora bien, la emergencia de esta y la consiguiente automatización del tratamiento de los datos personales han supuesto un aumento de los riesgos para los derechos fundamentales (
Para afrontar los peligros que el tratamiento automatizado de la información genera ha de atenderse a la naturaleza de los datos con los que se opera. En nuestro ordenamiento jurídico, las «opiniones políticas» son incluidas en una de las categorías de datos especiales
Retomando el ejemplo del registro de los afiliados, los partidos pueden tratar esas informaciones —cuando cuenten con la imprescindible base de legitimación para ello
El tratamiento de datos especiales demanda unas cautelas adicionales, además de estar jurídicamente acotado a supuestos muy concretos. De hecho, en la relación de circunstancias que habilitan el tratamiento de datos especiales se incluyen, expresamente, aquellas en las que «el tratamiento es necesario por razones de un interés público esencial»
Junto con la apuntada recopilación de datos personales (cuestión a la que se prestará especial atención por ser el objeto de la sentencia comentada), la disposición final tercera de la LOPDGDD
Abundando en la misma dirección regulatoria, el apdo. tercero del art. 58
Finalmente, los apdos. cuarto y quinto imponen a los actores electorales dos obligaciones: informar «de modo destacado» sobre la naturaleza electoral de los envíos y actuaciones de propaganda (apdo. 4), y facilitar el ejercicio del derecho de oposición por los ciudadanos «de un modo sencillo y gratuito» (apdo. 5). Ante la falta de mayor precisión normativa, cabe entender que el ejercicio del derecho de oposición procederá no solo frente a los envíos de propaganda electoral, sino, también, ante el tratamiento de datos del apdo. 2 del art. 58
Por su parte, el apdo. primero del art. 58
Ahora bien, el legislador español no solo se apoyaba en lo dispuesto en el art. 9.2 del RGPD al reconocer esa atribución a los partidos políticos. También estaba acogiéndose a la habilitación que el RGPD hace a los legisladores nacionales en el considerando 56
El legislador español no es el único que ha regulado esta cuestión. En el Reino Unido —donde está acreditado que Cambridge Analytica realizó actuaciones tendentes a influir en el resultado final del
El elemento diferenciador da la regulación británica es que —a diferencia del apdo. uno del art. 58
El precepto objeto de estudio, singularmente su apdo. primero, dio lugar a una importante polémica y fue motivo de preocupación, incluso, antes de su aprobación definitiva en el Senado. En los días previos, especialistas en privacidad
La Agencia Española de Protección de Datos (en adelante, AEPD) publicó, el mismo día en que se votaba la LOPDGDD
Para tratar de despejar las inseguridades jurídicas del precepto
La AEPD no trataba de realizar algo que, como es obvio, le está vedado —solventar la constitucionalidad de la ley—, sino que buscaba ofrecer seguridad y garantías en su aplicación. Para ello estableció los criterios que iba a seguir en sus actuaciones, de manera tal que los tratamientos de los partidos políticos que no se acomodasen a lo dispuesto en la circular serían objeto de fiscalización por la AEPD. No podía resolver el entuerto generado por el legislador en el art. 58
En aras de lograr este objetivo, la circular define qué ha de entenderse por «actividades electorales», acotándolas a las llevadas a cabo «durante el período electoral y respecto de las actividades de propaganda y actos de campaña electoral» (art. 4.1 de la circular). Por lo tanto, considera que ambos momentos son coincidentes en cuanto a su extensión
A estas matizaciones ha de adicionarse la incorporación de un completo catálogo de garantías (art. 7 de la circular) y un conjunto de indicaciones acerca de cómo y cuándo procede adoptar cada una de las medidas dirigidas a asegurar un tratamiento de datos personales respetuoso con los derechos y libertades constitucionales (art. 9 de la circular). La disposición comentada también refuerza las exigencias de información (art. 8 de la circular) y excluye la opción de tratar «otro tipo de datos personales» cuando el objetivo último del tratamiento sea «inferir
Al descartar la posibilidad de colegir, a través de técnicas de tratamiento masivo de datos e inteligencia artificial, la tendencia ideológica de una persona, el propósito de la AEPD es meridiano: cortar de raíz uno de los peligros más relevantes del
Por muy oportunas que pudieran ser las medidas adoptadas, por reseñables que sean las salvaguardas que la circular establece, ello no cambia su naturaleza infralegal. Ni la circular, ni ninguna disposición de la AEPD pueden, como es obvio, sanar los vicios de inconstitucionalidad de una ley. Con todo, no puede negarse que es un complemento útil. En la actualidad, y declarada la inconstitucionalidad del apdo. primero del art. 58
Las dudas surgidas en torno a la constitucionalidad de la disposición final tercera (mediante la que se añade el art. 58
No obstante, no fueron ni diputados ni senadores quienes, al amparo de la legitimación que constitucionalmente se les confiere (art. 162.1.a CE), impugnaron el precepto ante el Tribunal Constitucional
El recurso de inconstitucionalidad fue resuelto con una inusual celeridad
El art. 58
Para el Tribunal Constitucional, que, en este punto, asumió la tesis del demandante
La transcendencia de este motivo de impugnación se evidencia en el hecho de que, una vez constatada la inconstitucionalidad del precepto por esta causa, el TC consideró innecesario analizar el resto de los argumentos alegados por el Defensor del Pueblo
La eventual vulneración de estos dos derechos fundamentales derivaría de la naturaleza de los datos tratados. El tratamiento de informaciones relativas a las tendencias ideológicas de los ciudadanos, con vulneración del derecho a la protección de datos, pone de manifiesto uno de sus elementos definitorios: su carácter instrumental (
El núcleo de la pretensión actora lo constituye la alegada vulneración del 18.4 de la CE en conexión con el 53.1 CE. La respuesta ofrecida por el Tribunal es tan rotunda como inequívoca. El 58
Según el Tribunal, el precepto no concreta el interés público esencial que se salvaguardaría y que justificaría la injerencia en el derecho fundamental; tampoco «limita el tratamiento regulando pormenorizadamente las restricciones al derecho»
El consentimiento ha sido, desde la LORTAD, la base sobre la que, tradicionalmente, se ha construido el sistema de protección de datos en España
Este modelo de tratamiento cambia radicalmente con la aprobación del RGPD, que configura, de manera indiscutible y para todos los países de la Unión Europea, un sistema de protección con seis bases diferenciadas de legitimación y el mismo nivel de preeminencia. La normativa española va un paso más allá y establece, en el art. 9.1 LOPDGDD, que «el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar […] [la] ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico». La otrora condición privilegiada del consentimiento como base de legitimación es un recuerdo del pasado.
Siendo ello así, no debe sorprender que se pueda aducir como base legal del tratamiento la existencia de un interés público que salvaguardar (art. 6.1.e RGPD). En este sentido, cabe recordar que la LOPDGDD ha incorporado un requisito adicional para apoyarse en esta base de legitimación, al exigir que el tratamiento «derive de una competencia atribuida por una norma con rango de ley» (art. 8.2 LOPDGDD). No obstante, si el tratamiento que se pretende realizar requiere de la utilización de datos especiales, no será suficiente la mera existencia de un genérico interés público, sino que ha de acreditarse que se está en presencia de un «interés público esencial» (9.2.g del RGPD).
El escenario final resulta, por tanto, bastante complejo. En primer lugar, el aplicador de la norma ha de lidiar con el elevado grado de indeterminación del concepto interés público
Lo que sí parece claro es que habrá de tratarse de un interés inequívocamente público y, además, debe revestir una entidad suficiente para justificar que la exclusión de la citada prohibición resulte proporcionada y adecuada. Para García Sanz, las finalidades que avalarían la existencia de un interés público esencial, en el caso que nos ocupa, son «depurar y formar la opinión pública electoral, para que el derecho de participación despliegue sus efectos en los procesos democráticos y en la campaña electoral» (
Si se analiza el apdo. primero del art. 58
En la sentencia objeto de este comentario, el TC mantiene la doctrina establecida en la STC 292/2000 y, en coherencia con ella, niega la posibilidad de restringir el derecho a la protección de datos amparándose en «la identificación de los fines legítimos […] mediante conceptos genéricos o fórmulas vagas» (FJ 7). La carencia de concreción y certidumbre se convierte, para el Tribunal, en un escollo infranqueable, máxime cuando se toman en consideración las especiales exigencias del tratamiento, que solo resulta procedente cuando concurre un interés público esencial.
Como recuerda el TC, el legislador no ha detallado cuáles son las necesidades y los problemas de funcionamiento del sistema democrático que se solventarían mediante la recopilación de datos por los partidos políticos. Esta omisión no puede suplirse apelando al considerando 56 del RGPD
Las disposiciones con un contenido indeterminado y las apelaciones a intereses generales que no se acompañen de razones concretas y garantías específicas no son aceptables. Seguridad y precisión son requisitos ineludibles si se va a establecer, mediante ley, una habilitación para tratar datos personales.
Más allá de las ausencias reseñadas, en el caso que nos ocupa, es difícil identificar —incluso en abstracto— cuáles pudieran ser los problemas de funcionamiento del sistema electoral español que, por su naturaleza, requieren «la recopilación de datos personales relativos a las opiniones políticas» (art. 58.1
La segunda tacha de inconstitucionalidad que aprecia el Tribunal deriva de la falta de previsión de las condiciones y limitaciones del tratamiento. La habilitación a los partidos políticos para recabar datos personales referentes a las convicciones políticas supone una restricción del derecho a la protección de datos. Por consiguiente, la delimitación de esta injerencia es un mandato insoslayable para el legislador, en la medida en que, como ya se advertía en la STC 292/2000, de 30 de noviembre (FJ 11), «regular esos límites es una forma de desarrollo del derecho fundamental». En efecto, el derecho a la protección de datos también demanda del legislador —y no solo de los particulares y de la Administración— una actitud proactiva que, en su caso, debe proyectarse en su tarea normativa. En su actuación ha de procurar ser lo más preciso y concreto posible, evitando vacíos que puedan permitir prácticas o interpretaciones que pongan en peligro la protección del derecho fundamental del art. 18.4 CE, o de aquellos otros que pudiesen verse concernidos.
El precepto impugnado preveía una única limitación: la recopilación de datos por los partidos políticos solo puede llevarse a cabo «en el marco de sus actividades electorales». El concepto «actividades electorales» resulta notoriamente difuso e indeterminado y no parece que pueda identificarse con el término «período electoral» —mucho más preciso—, que se utiliza en el apdo. 2 del 58
El requerimiento de claridad y previsibilidad es inherente a toda injerencia en un derecho fundamental
Este mandato se convierte en un imperativo cuando se trata del derecho a la protección de datos, sobre todo en aquellas situaciones en las que actúa con un marcado carácter instrumental, al servicio de la salvaguarda de otros derechos. Un ejemplo claro sería cuando opera en consonancia con el derecho a la intimidad. En esos supuestos, «la protección del derecho fundamental a la intimidad exige que las excepciones a la protección de los datos personales y las restricciones a dicha protección se establezcan sin sobrepasar los límites de lo estrictamente necesario»
En nuestro caso, serían el derecho a la libertad ideológica y los derechos de participación política los que demandarían esa diligencia adicional. En el precepto objeto de recurso, las lagunas son tan patentes que el vacío legal es motivo suficiente para apreciar la vulneración del derecho a la protección de datos. Por ello, el Tribunal Constitucional concluye que el apdo. 1 del 58
No obstante, si el legislador decidiera abordar en el futuro esta cuestión, al perfilar y delimitar qué tratamientos se van a permitir, durante cuánto tiempo y para qué finalidades, ha de tener en cuenta que, en este caso, además del derecho a la protección de datos, hay otros derechos fundamentales en concurso susceptibles de ser vulnerados. Un riesgo adicional que no puede obviarse.
Es doctrina reiterada del Tribunal Constitucional
El TEDH, en el asunto
El apdo. 1 del 58
El art. 58
Es la reserva de ley la razón que lleva al Tribunal Constitucional a declarar, aun reconociendo su valor hermenéutico, que las enmiendas presentadas en la tramitación parlamentaria del art. 58
Finalmente, la posibilidad de colmar la ausencia de garantías del precepto acudiendo a las previsiones del RGPD y de la LOPDGDD también ha de ser descartada. Tanto la remisión a dichas normas, como la identificación de los artículos concretos que contendrían dichas garantías se realizaron por el legislador de manera implícita, con la consiguiente inseguridad e indeterminación, inasumibles cuando lo que está en juego es la protección de un derecho fundamental.
Con todo, y con el propósito de despejar toda duda, el Tribunal se adentra en esta cuestión, «a efectos dialécticos»
Profundizando en la cuestión, el Tribunal constata que el RGPD solo «establece las garantías mínimas comunes o generales para el tratamiento de datos personales que no son especiales». Por su parte, la LOPDGDD ni siquiera cuenta con un precepto en el que, de manera singularizada y específica, se discipline el tratamiento de los datos ideológicos. Tampoco figura en dicha ley pauta normativa alguna, a diferencia de lo que acontece, por ejemplo, en la normativa alemana sobre la materia, en la que se dispone de un marco general de garantías específico para las categorías especiales de datos
De este pronunciamiento del TC pueden extraerse, al menos, tres elementos definitorios del derecho a la protección de datos personales. En primer lugar, es un derecho dotado de un alto nivel de formalidad, lo que se refleja en la exigencia constitucional de una actuación positiva y proactiva por parte del legislador (fijando el marco de garantías, pero también los límites y la finalidad del tratamiento).
En segundo lugar, la necesidad de adecuar el marco de garantías a las particularidades del tratamiento y la naturaleza de los datos supone, en última instancia, que una parte del contenido del derecho siempre tendrá un componente funcionalmente variable, conformando una especie de contenido esencial de contexto. Una circunstancia muy particular y a la que deberá prestar especial atención el legislador, pues solo así podrá mantener unos niveles de garantía y protección del derecho adecuados. Tendrá que fijar, para cada caso, la regulación más apropiada para lograr los fines del tratamiento sin incurrir en la vulneración de este.
Finalmente, el acomodamiento de las garantías —y los límites— a las circunstancias específicas del tratamiento es una labor que, por afectar a la delimitación de los elementos nucleares del derecho, solo puede ser ejecutada por el legislador. Por lo tanto, cualquier eventual omisión no podrá ser ulterior y hermenéuticamente integrada mediante la técnica de la interpretación conforme.
En un panorama como el descrito, que descarta cualquier posibilidad de interpretación conforme (incompatible con la apuntada naturaleza formal y prescriptiva del derecho), la conclusión del Tribunal no podía ser otra: el precepto impugnado es contrario a la Constitución, ya que vulnera el derecho a la protección de datos. En palabras del Tribunal: «[La] ley no ha identificado la finalidad de la injerencia para cuya realización se habilita a los partidos políticos, ni ha delimitado los presupuestos ni las condiciones de esa injerencia, ni ha establecido las garantías adecuadas que para la debida protección del derecho fundamental a la protección de datos personales reclama» (FJ 9).
En definitiva, el precepto objeto de recurso supone una injerencia injustificada (por no identificarse la finalidad), desproporcionada (por la ausencia de límites claros) y carente de las mínimas garantías en la regulación de un derecho fundamental, de la que solo se puede inferir (art. 18.4 en su conexión con el 53.1, ambos de la CE) la inconstitucionalidad y, por tanto, nulidad del apdo. 1 del art. 58
Un artículo que, a tenor de lo que indica la enmienda de la que trae causa, pretendía enfrentar los riesgos que determinados usos y prácticas suponen para los procesos electorales. Sin embargo, si ese era el objetivo real, habría «requerido una mayor reflexión […] para redactar el precepto de una manera plenamente respetuosa con los intereses en juego. […] [Especialmente, si se tiene] en cuenta […] el conflicto de interés concurrente en la elaboración de la disposición» (
El Tribunal Constitucional ha resuelto, con celeridad, la problemática suscitada en torno al tratamiento de las convicciones políticas de los electores por parte de las formaciones políticas. En su pronunciamiento aplica, de manera sistemática y coherente, tanto su doctrina sobre el contenido esencial del derecho a la protección de datos
En la fundamentación de la sentencia se hace una importante advertencia, que no ha de ser soslayada, respecto del régimen jurídico aplicable a los datos especiales. Recuerda el Alto Tribunal que, el RGPD, no configura un régimen específico para los datos especiales y, «por ende, tampoco fija las garantías que deben observar los diversos tratamientos posibles de datos sensibles»
Con esta afirmación, el Tribunal está poniendo sobre la mesa un delicado asunto no resuelto por el legislador nacional de forma completa. Es cierto que, en la LOPDGDD, se desarrollan algunas garantías y exigencias adicionales para el tratamiento de los datos especiales. La más reseñable es la, ya apuntada, invalidez del consentimiento como base de legitimación en aquellos tratamientos «cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico» (art. 9.1 LOPDGDD). Además de esa previsión general, en la disposición adicional decimoséptima consta un régimen más detallado para aquellos tratamientos en los que se utilizan datos de salud (y los genéticos cuando sean utilizados en investigación y prevención de la salud). Ahora bien, dejando a salvo lo previsto en esos preceptos —importante, aunque insuficiente—, el problema que se atisba a futuro se antoja, ciertamente, complejo.
Ni el legislador europeo, ni tampoco el nacional, han afrontado el tratamiento de las categorías especiales con el debido nivel de detalle. En efecto, estando previstas en el art. 9.2 RGPD las circunstancias en que los datos especiales pueden tratarse —existencia de base de legitimación para ello mediante—, sin embargo, no se han regulado las garantías específicas que demanda el contenido esencial del derecho.
Como puede constatarse, no todos los tratamientos en los que se utilizan datos de las categorías especiales cuentan con una ley sectorial que los regule y, menos aún, que incorpore garantías específicas. Por otra parte, las leyes existentes se limitan a hacer referencias generales a la necesidad de observancia de la normativa de protección de datos, sin establecer mayores cautelas o precisiones, salvo alguna notable excepción como la Ley 20/2011, de 21 de julio, del Registro Civil
Ante esta situación heterogénea, parece apropiado que, conforme se vayan detectando carencias en las diferentes normativas sectoriales, que, de un modo u otro, disciplinen algún tipo de tratamiento de datos, se proceda a incorporar a su articulado previsiones que aseguren el nivel de garantía y de detalle que la reserva de ley requiere. Esta necesidad de actualización, por otra parte, casi es un imperativo derivado de la constante evolución de los avances tecnológicos en la materia.
Todo ello conduce a pensar que, en un futuro, la elaboración de leyes relativas a datos personales debería acompañarse de un estudio de impacto del tipo de datos que puedan llegar a tratarse, así como de un régimen de garantías adecuado a los tratamientos que puedan producirse.
Cumple no olvidar que el legislador debe ofrecer, en relación con este derecho, un plus de seguridad jurídica a los ciudadanos, habilitando un marco de garantías mucho más sólido y al que las normas sectoriales pudieran remitirse. De este modo, se colmarían las eventuales lagunas que pudiesen existir en la regulación sectorial en vigor y, a la vez, se reforzarían las previsiones que, de manera específica, dispusiese el legislador. En definitiva, se dotaría al modelo de mayor certeza y previsibilidad.
Adicionalmente, sería conveniente incorporar ciertas garantías generales para el tratamiento de datos especiales en la LOPDGDD —aunque resulte un tanto extraño modificar una ley que no tiene ni tres años de vida—. El modelo alemán, con un régimen de garantías singularizado para las categorías especiales de datos —sin perjuicio de las específicas sectoriales— puede ser una buena referencia
Sería un error considerar que los problemas de fondo abordados por la sentencia quedan resueltos con la declaración de inconstitucionalidad del precepto enjuiciado. Regular los tratamientos de datos personales por parte de los partidos políticos, singularmente los referidos a las opiniones políticas, es una imperiosa necesidad. Como advirtiera García Mahamut años antes de este conflicto, «la realidad se muestra tozuda y habrá que prepararse para afrontar la existencia de bases de datos por parte de los partidos que capturarán información sobre los votantes de una variedad de fuentes importantes. Ello se pondrá a disposición de campañas personalizadas y dirigidas a concretos segmentos del electorado» (
Por tal motivo, una futura regulación del tratamiento de las opiniones políticas por los partidos debería tomar en consideración las lecciones que se desprenden de la sentencia que se comenta. Si a esas enseñanzas les sumamos los muchos elementos aprovechables de la Circular 1/2019 de la AEPD, las recomendaciones realizadas en el Dictamen 3/2018 del Supervisor Europeo de Protección de Datos
No quisiera concluir este análisis sin incidir en lo apremiante de abordar, de manera decidida, las carencias de la normativa de protección de datos en lo referente a la regulación de los datos especiales. El constante aumento de la capacidad para generar nuevas informaciones y datos personales, mediante la combinación de algoritmos, inteligencia artificial y
El nivel de precisión tiene, como variables más destacadas, la cantidad y la calidad de los datos. No obstante, habrá informaciones que no se conozcan, o sean imposibles de incorporar a los sistemas algorítmicos, y cuya transcendencia puede afectar a la fiabilidad del resultado final. Un ejemplo del carácter predictivo, no siempre acertado, de estos sistemas puede verse en Lazer
Sobre cómo operaba Cambridge Analytica, véase Villalobos Guízar (
Sobre el papel que desarrolla la tecnología a la hora de interferir en los procesos electorales de otros países, véase Torres Soriano (
La LOPDGDD incorpora, en el art. 83 el derecho a la educación digital; sin duda es una medida oportuna y pertinente, aunque necesita de una apuesta política decidida para lograr todo su potencial.
En este sentido se pronuncia la motivación de la enmienda 331, de la que el art. 58
Si bien es cierto que el tratamiento de los datos del censo está restringido al período de campaña electoral, salvo consentimiento expreso del interesado, como recuerda García Mahamut (
Conforme a lo establecido en el art. 9.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (en adelante, RGPD), serán datos especiales aquellos «que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física».
Considerando 51 RGPD.
Las bases de legitimación están tasadas y son las previstas en el art. 6 del RGPD.
Art. 9.2.d) del RGPD.
Art. 9.2.g) del RGPD.
Art. 58
Puede consultarse un análisis detallado de las implicaciones y consecuencias jurídicas de este precepto en García Herrero (
Art. cincuenta y ocho
«1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el período electoral.
3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición».
Por lo tanto, no le será de aplicación el art. 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. Este precepto prohíbe los envíos publicitarios, salvo que medie solicitud, autorización expresa o relación contractual previa.
No se ha incluido el tratamiento de datos regulado en el apdo. 1 del art. 58
Art. 9.2.g) RGPD: «[…] el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado».
Considerando 56 del RGPD: «Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas».
Pueden consultarse los documentos que vinculan a Cambridge Analytica y Leave.EU en:
Deben destacarse las advertencias realizadas por Jorge García Herrero o Borja Adsuara. Pueden consultarse sus publicaciones durante los días previos y posteriores a la aprobación de la LOPDGDD en:
Quedando aprobada en el Senado con 221 votos a favor y 21 en contra de UP, Compromís, Nueva Canarias y Bildu, rompiéndose, así, la unanimidad que hasta el momento había presidido la tramitación de la LOPDGDD. El factor principal que justifica esos votos contrarios a la LOPDGDD fue, precisamente, la disposición final tercera de la LOPDGDD.
Disponible en:
Puede consultarse en:
En la exposición de motivos de la Circular 1/2019 se reconoce que el legislador no ha establecido garantías frente al «alto riesgo para los derechos y libertades de las personas físicas» que suponen los tratamientos de datos habilitados.
Véase la sección IV de la LOREG, relativa a las disposiciones generales sobre la campaña electoral.
Entendidas como «aquellas cuya consulta puede ser realizada por cualquier persona» (art. 5.3 de la circular).
Sobre la naturaleza jurídica de las informaciones obtenidas mediante inferencias, véase Wachter y Mittelstadt (
La mención específica de estas prácticas no es casual, sino que se trata de los mecanismos de los que se valió Cambridge Analytica para tratar de influir en los diferentes procesos electorales en que prestó sus servicios. Véase Villalobos Guízar (
UP, que había votado en contra en el Senado, y contaba con suficientes diputados para presentar el recurso, no llegó a presentarlo.
El recurso presentado por el Defensor del Pueblo, disponible en:
Sobre los antecedentes y la presentación de la petición al Defensor del Pueblo, así como las líneas básicas de la sentencia, véase Adsuara Varela (
El escrito de la solicitud de recurso al Defensor del Pueblo, así como quienes lo impulsaron, está disponible en:
El recurso fue resuelto en menos de tres meses, desde que el Defensor del Pueblo lo presenta en marzo hasta el 22 de mayo, fecha de la Sentencia 76/2019, con la que se resuelve.
La Abogacía del Estado, por su parte, consideraba que la cuestión central que resolver era si existía vulneración del principio de seguridad jurídica (9.3 CE), pues, de garantizarse esta, por prever el precepto las garantías adecuadas, decaerían las demás impugnaciones de la defensoría del pueblo.
STC 76/2019, de 22 de mayo, FJ 9.
FF. JJ. quinto y sexto del recurso del Defensor del Pueblo.
Aunque resulta más claro el carácter instrumental cuando el tratamiento involucra datos especiales, ese valor es pregonable para todo tipo de datos y tratamientos, como certeramente apuntó el TC en la STC 292/2000, de 30 de noviembre, FJ 7: «El derecho fundamental a la protección de datos amplía la garantía constitucional a aquellos de esos datos que sean relevantes para o tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la ideología, la intimidad personal y familiar a cualquier otro bien constitucionalmente amparado».
STC 292/2000, de 30 de noviembre, FJ 7.
STC 76/2019, de 22 de mayo, FJ 9.
STC 76/2019, de 22 de mayo, FJ 7.
STC 76/2019, de 22 de mayo, FJ 8.
Arts. 6 y 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
STC 292/2000, de 30 de noviembre, FJ 7: «Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos».
En el caso del interés legítimo (art. 7.f), ni siquiera se contemplaba en la LOPD de 1999.
Sobre la complejidad de determinar qué ha de entenderse por interés público, véase Salas Carceller (
STC 76/2019, de 22 de mayo, FJ 7. La jurisprudencia está en consonancia con las exigencias del 52.1 de la CDFUE y del 8.2 del CEDH.
Considerando 56 del RGPD: «Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas».
STEDH, de 4 diciembre de 2008, asunto
STC 76/2019, de 22 de mayo, FJ 7.
STC 76/2019, de 22 de mayo, FJ 7.
STEDH, de 29 de junio de 2006, asunto
Apdo. 39 de la STJUE, de 7 de noviembre de 2013, asunto
SSTC 292/2000, de 30 de noviembre, FJ 10; STC 143/1994, de 9 de mayo, FJ 7, y 254/1993, de 20 de julio, FJ 4.
La ausencia de garantías es uno de los elementos clave que llevaron al TJUE a declarar la invalidez de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE. Véase STJUE (Gran Sala), de 8 de abril de 2014,
El TEDH, asumiendo que hay un cierto margen de actuación por parte de los Estados, advierte que hay garantías que son imprescindibles para la evitar abusos en los elementos esenciales de los derechos fundamentales. En este sentido, véase, la Sentencia TEDH, de 5 septiembre de 2017, asunto
STC 76/2019, de 22 de mayo, FJ 7.
STEDH, de 4 diciembre de 2008, asunto
Si bien en este caso los datos sensibles afectados serían los relativos a las opiniones políticas, es perfectamente trasladable la doctrina establecida por el TEDH para los datos relativos a la salud en la STEDH, de 25 de febrero de 1997, asunto
STC 76/2019, de 22 de mayo, FJ 8.
STC 76/2019, de 22 de mayo, FJ 8.
STC 76/2019, de 22 de mayo, FJ 8.
STC 76/2019, de 22 de mayo, FJ 8.
Sección 48 de la ley de protección de datos alemana. Pueden consultarse versiones en alemán e inglés de la
Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre.
Sentencias del Tribunal Constitucional 49/1999, de 5 de abril, FJ 4, y 154/2014, de 22 de septiembre, FJ 7.
STC 76/2019, de 22 de mayo, FJ 8.
Aunque el preámbulo hace referencia a la ya derogada Ley de Protección de Datos de 1999, no es menos cierto que regula previsiones específicas para los datos especiales.
Véase la sección 48 de la ley de protección de datos alemana. Pueden consultarse versiones en alemán e inglés de la
Reglamento destinado a «proteger la integridad del proceso democrático europeo estableciendo sanciones financieras en situaciones en las que los partidos políticos europeos o las fundaciones políticas europeas se aprovechen de infracciones de las normas de protección de datos personales con el fin de influir en el resultado de las elecciones al Parlamento Europeo» (considerando 3).