andoni-polo-roca-GL

REVISTA GALEGA DE ADMINISTRACIÓN PÚBLICA (REGAP)
Núm. 58 (xullo-decembro 2019)
Sección: Comentarios e Crónicas
DOI https://doi.org/10.36402/regap.v1i58

Protección de datos e elaboración de perfís: o novo artigo 58 bis da Lei orgánica 5/1985, do 19 de xuño, do réxime electoral xeral

Protección de datos y elaboración de perfiles: el nuevo artículo 58 bis de la Ley orgánica 5/1985, de 19 de junio, del régimen electoral general

Data protection and profiling: the new article 58 bis of the Organic Law 5/1985 of 19 June, on the General Electoral System

Andoni Polo Roca

Alumno de posgrao da Universidade do País Vasco (UPV/EHU)

andpoloro@gmail.com

Recibido: 22/10/2019 | Aceptado: 19/12/2019

DOI: https://doi.org/10.36402/10.36402/regap.v1i58.46

Resumo: A nova Lei orgánica 3/2018, do 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais, modificou a Lei orgánica 5/1985, do 19 de xuño, do réxime electoral xeral e introduciu un novo artigo: o artigo 58 bis, sobre a utilización de medios tecnolóxicos e datos persoais nas actividades electorais. Este novo precepto podería posibilitar a elaboración de perfís ideolóxicos da cidadanía a partir dos seus datos persoais, con fins electorais, que lles permitiría aos partidos políticos facer propaganda electoral personalizada. Un precepto que podería non ser acorde coa normativa comunitaria de protección de datos, especialmente co Regulamento xeral de protección de datos da Unión de 2016, ou co establecido polo TEDH, TXUE ou TC, e cuxa constitucionalidade foi resolta pola Sentenza 76/2019, do 22 de maio.

Palabras clave: Protección de datos, elaboración de perfís, RXPD, LOREX, TXUE, TC.

Resumen: La nueva Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, modificó la Ley orgánica 5/1985, de 19 de junio, del régimen electoral general e introdujo un nuevo artículo: el artículo 58 bis, sobre la utilización de medios tecnológicos y datos personales en las actividades electorales. Este nuevo precepto podría posibilitar la elaboración de perfiles ideológicos de la ciudadanía a partir de sus datos personales, con fines electorales, que permitiría a los partidos políticos hacer propaganda electoral personalizada. Un precepto que podría no ser acorde con la normativa comunitaria de protección de datos, especialmente con el Reglamento general de protección de datos de la Unión de 2016, o con lo establecido por el TEDH, TJUE o TC, y cuya constitucionalidad fue resuelta por la Sentencia 76/2019, de 22 de mayo.

Palabras clave: Protección de datos, elaboración de perfiles, RGPD, LOREG, TJUE, TC.

Abstract: The new Organic Law 3/2018, of December 5, on the Protection of Personal Data and Guarantee of Digital Rights has amended the Organic Law 5/1985 of 19 June, on the General Electoral System and has introduced a new article: Article 58 bis, on the use of technological means and personal data in electoral sphere. This new precept could enable the elaboration of ideological profiles of the citizenry from their personal data, for electoral purposes, which would allow the political parties to make personalized electoral propaganda. A provision that may not be in accordance with the European Union data protection regulations, especially with the EU General Data Protection Regulation of 2016, or with the case law of the ECHR, CJEU or Constitutional Court of Spain, and whose constitutionality was resolved by judgment 76/2019, from May 22.

Key words: Data protection, profiling, GDPR, OLGES, CJEU, Constitutional Court of Spain.

Sumario: 1 Introdución. 2 A protección de datos como dereito fundamental e a doutrina do TC. 3 A elaboración de perfís na LOPDCP de 1999 e a Directiva 95/46/CE de 1995. 4 A elaboración de perfís no RXPD de 2016. 5 A LOPDGDD de 2018 e o novo artigo 58 bis da LOREX. 5.1 O novo artigo 58 bis da LOREX desde o punto de vista material: “interese público esencial” e “medidas axeitadas e específicas” do RXPD. 5.2 O novo artigo 58 bis da LOREX desde o punto de vista formal: reserva de lei. 5.3 O novo artigo 58 bis da LOREX: algunhas cuestións sobre o fondo. 6 Sínteses da Sentenza 76/2019, do 22 de maio de 2019, do Tribunal Constitucional. 7 Conclusións.

1 Introdución

Os constantes avances tecnolóxicos fixeron que nos decatásemos de que o dereito á protección de datos é extremadamente fráxil fronte ás novas tecnoloxías e que pode ser doadamente vulnerado. Os casos Facebook ou WhatsApp, ou o caso Cambridge Analytica –compañía encargada de elaborar estratexias e útiles de comunicación, baseándose en perfís ideolóxicos de electores elaborados a partir dos seus datos persoais–, foron un aviso desta circunstancia e topáronse cunha lexislación sobre protección de datos anticuada que non foi capaz de prever a situación e non contemplaba recursos e medidas para facerlle fronte a tal vulneración do dereito á protección de datos.

Ante todos estes cambios, a Unión Europea (UE) viuse obrigada en 2016 a elaborar unha nova normativa de protección de datos e aprobou o Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos e polo que se derroga a Directiva 95/46/CE (Regulamento xeral de protección de datos, RXDP)1 para adaptarse aos novos retos. Ante esa situación, España, cunha lexislación xa anticuada a causa do novo regulamento, aprobou, a finais de 2018, unha nova lei: Lei orgánica 3/2018, do 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais (LOPDGDD).

A nova lei quixo renovar a lexislación española en materia de protección de datos e garantir, así mesmo, os dereitos dixitais da cidadanía. Pero, ademais, esta nova norma introduciu, dun xeito que pasou case desapercibido, unha modificación da Lei orgánica 5/1985, do 19 de xuño, do réxime electoral xeral (LOREX), relativa á elaboración de perfís ideolóxicos da cidadanía con fins electorais que lles permitirá aos partidos facer propaganda electoral personalizada.

Esta modificación que posibilita a elaboración de perfís ideolóxicos, contra a que se interpuxo un recurso de inconstitucionalidade2 ante Tribunal Constitucional (TC) polo Defensor do Pobo3 e cuxa constitucionalidade foi resolta, pouco despois, polo TC na Sentenza 76/2019, do 22 de maio de 2019, podería vulnerar non só o dereito á protección de datos, senón outros dereitos fundamentais, como o de liberdade ideolóxica, participación política, etc. Por iso, o obxecto deste traballo é analizar ese precepto que habilita a facer uso de datos persoais da cidadanía (gustos, afeccións, orixe étnica ou racial, conviccións relixiosas ou filosóficas, orientación sexual, afiliación sindical, vida sexual, etc.) para fins electorais non só desde unha posible vulneración do dereito á protección de datos ou da Constitución española (CE) –o que foi resolto polo TC–, senón ademais como posible vulneración do RXPD, LOPDGDD ou os criterios marcados polo Tribunal de Xustiza da Unión Europea (TXUE), Tribunal Europeo de Dereitos Humanos (TEDH) ou TC.

2 A protección de datos como dereito fundamental e a doutrina do TC

O dereito fundamental á protección de datos atopámolo no artigo 18.4 da CE, dereito que estivo en constante desenvolvemento desde que en 1993 o TC incluíu o termo “liberdade informática” na súa doutrina4. En 1998 o tribunal deixou claro que o artigo 18.4 incorpora un novo dereito fundamental dotándoo de plena autonomía respecto do dereito á intimidade5, corroborando plenamente a doutrina acerca da autonomía do dereito á protección de datos6. Para o ano 2000 o TC acabou de construír a súa doutrina arredor deste dereito fundamental, declarando que este dereito consagra “en si mesmo un dereito ou liberdade fundamental” e que cando falamos de protección de datos nos atopamos fóra da intimidade, xa que o dereito á protección de datos, á parte de protexer datos íntimos, tamén protexe os que non o son, se non soamente quedarían amparados polo dereito á protección de datos aqueles datos de carácter persoal que tivesen unha estreita relación coa intimidade e vida persoal, quedando fóra dese amparo outros que non tivesen esa relación7. Este dereito fundamental, ademais, a diferenza do dereito á intimidade, atribúelle ao seu titular un feixe de facultades que consiste na súa maior parte no poder xurídico de impor a terceiros a realización ou omisión de determinados comportamentos cuxa regulación concreta debe establecer a lei8.

Na súa xurisprudencia, o TC seguiu falado de “dereito á protección de datos” ou “dereito á protección dos datos de carácter persoal”, como dereito recoñecido no artigo 18.4 da CE9, tamén de “liberdade informática”, “como dereito a controlar o uso dos mesmos datos insertos nun programa informático (habeas data) e que comprende, entre outros aspectos, a oposición do cidadán a que determinados datos persoais sexan utilizados para fins distintos daquel lexítimo que xustificou a súa obtención”10. En palabras do tribunal, “a finalidade deste dereito fundamental é garantirlle á persoa un poder de disposición sobre o uso e destino dos seus datos co propósito de impedir o seu tráfico ilícito e lesivo para a dignidade e dereito do afectado, garantíndolles aos individuos un poder de disposición sobre eses datos”11.

A este dereito que recolle o artigo 18.4 da CE, así mesmo, deulle un dobre carácter o TC, segundo o cal este dereito fundamental non só consagra un dereito fundamental autónomo a controlar o fluxo de informacións que concirnen a cada persoa12, “senón tamén, como se desprende do seu último inciso («para garantir [...] o pleno exercicio dos seus dereitos»), un dereito instrumental ordenado á protección doutros dereitos fundamentais, isto é, un instituto de garantía dos dereitos á intimidade e á honra e do pleno desfrute dos restantes dereitos dos cidadáns”13. Exemplo diso son as xa citadas sentenzas do caso Renfe, entre outras, onde se recoñeceu o carácter instrumental de dereito fundamental recoñecido no artigo 18.4 CE para a garantía de liberdade sindical14, ou con respecto á liberdade ideolóxica15.

O obxectivo deste dereito é protexer os datos persoais, pero cales serán os que gozarán desa tutela? Segundo o RXPD, serán datos persoais “toda información sobre unha persoa física identificada ou identificable”16, información que será calquera que sexa numérica, alfabética, gráfica, fotográfica, acústica17 ou de calquera outro tipo18. En canto ao termo persoa física “identificable”, o regulamento estableceu que esta será “toda persoa cuxa identidade poida determinarse, directa ou indirectamente, en particular mediante un identificador, como por exemplo un nome, un número de identificación, datos de localización, un identificador en liña ou un ou varios elementos propios da identidade física, fisiolóxica, xenética, psíquica, económica, cultural ou social da dita persoa”.

Os datos persoais obxecto de tutela, polo tanto, serán todos aqueles datos sobre unha persoa física identificada ou identificable19, é dicir, todos aqueles que identifican ou permitan identificar calquera persoa20, datos que, combinados, poden crear un perfil de cada persoa e ser usados con diversos fins: publicitarios, comerciais, electorais, etc. Por este motivo, a elaboración de perfís é un dos temas máis sensibles e relevantes na protección de datos.

3 A elaboración de perfís na LOPDCP de 1999 e a Directiva 95/46/CE de 1995

A elaboración de perfís baseada nun tratamento automatizado de datos xa tivo a súa referencia en normativas anteriores sobre protección de datos, en particular en dúas: na Lei orgánica 15/1999, do 13 de decembro, de protección de datos de carácter persoal (LOPDCP), e na directiva que esta traspuxo, a Directiva 95/46/CE do Parlamento Europeo e do Consello, do 24 de outubro de 1995, relativa á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos21.

Neste sentido, a LOPDCP, no ámbito da impugnación de valoracións, no seu artigo 13 regulou o dereito a impugnar as valoracións que se basean en datos persoais, posibilidade que facilitan os ficheiros automatizados, ao dispor de elementos suficientes que permiten elaborar ou adoptar unha decisión sobre unha persoa22. Polo tanto, unha vez realizada a valoración (por exemplo, unha vez efectuada a elaboración do perfil ideolóxico baseado en datos persoais ou opinións persoais), o artigo 13 facultaba a persoa para impugnala.

A LOPDCP, mediante ese artigo, recollía o dereito da cidadanía a “non verse sometidos a unha decisión [...], sobre eles ou que lles afecte de xeito significativo, que se basee unicamente nun tratamento de datos destinados a avaliar determinados aspectos da súa personalidade”. É dicir, o dereito a non verse sometidos a unha decisión baseada en datos persoais e que “prexulgue” aspectos da súa personalidade23. Ese precepto foi unha copia literal do artigo 15 (decisións individuais automatizadas) da Directiva 95/46/CE (máis que traspor, foi unha simple copia da normativa europea).

Eses “aspectos da personalidade” que mencionaba a LOPDCP recolleunos o Real decreto 1720/2007, que desenvolveu a LOPDCP24, e a dita norma aludía como “aspectos de personalidade baseados nun tratamento de datos” a “rendemento laboral, crédito, fiabilidade ou conduta”25, enumeración que non debemos entender limitada26, podendo ter en conta calquera outro aspecto da persoa que poida servir para conformar un perfil da súa personalidade27.

O precepto desa norma tamén foi unha copia do artigo 15 da Directiva 95/46/CE; non obstante, na redacción literal do real decreto atopamos “rendemento laboral, crédito, fiabilidade ou conduta” e na da Directiva, “rendemento laboral, crédito, fiabilidade, conduta, etc.”. Esta distinción entre unha lista que parece pechada e unha aberta carece de importancia, porque, como mencionamos, a do real decreto debemos considerala tamén unha lista aberta; no caso contrario, non recollería o espírito do precepto da directiva e deixaría fóra aspectos da personalidade que si o serían de facto, pero non de iure.

O Real decreto 1720/2007 recolleu como excepción o mesmo que recolle o actual RXPD, que, malia a prohibición de verse sometidos a esa decisión baseada en datos destinados a avaliar aspectos da súa personalidade, si que poderemos atoparnos ante esta situación cando unha norma con rango de lei así o estableza28.

Isto énos de interese porque a LOPDGDD de 2018 non recolleu de forma expresa o contido do artigo 13 da LOPDCP de 1999 (artigo 15 da Directiva 95/46/CE), ao mesmo tempo que introduciu o novo artigo 58 bis na LOREX, seguramente porque, a diferenza das directivas, os regulamentos teñen alcance xeral e son obrigatorios en todos os seus elementos e directamente aplicables en cada Estado membro29, pero, tendo introducido ese novo artigo na LOREX, quizais tería sido mellor se o lexislador tivese feito unha pequena referencia ao que recolle o RXPD de 2016, sen facer unha copia literal, xa que é directamente aplicable.

4 A elaboración de perfís no RXPD de 2016

O Regulamento xeral de protección de datos (RXDP), que renovou a normativa comunitaria en materia de protección de datos, prohibe o tratamento de datos persoais que revelen as opinións políticas30, no seu artigo 9.1, pero, no seu segundo apartado, o artigo 9 recolle dez circunstancias (dez excepcións) en que non rexerá esa prohibición [letras a) a j)]. Algunhas delas teñen unha aplicación limitada a un ámbito concreto (laboral, social, asociativo, sanitario, xudicial, etc.) ou responden a unha finalidade determinada, polo que, en si mesmas, delimitan os tratamentos específicos que autorizan como excepción á regra xeral do artigo 9.1 do RXPD. Algunhas circunstancias, ademais, están condicionadas a que o dereito da Unión ou o dos Estados membros o prevexan e regulen expresamente no seu ámbito de competencias. Así mesmo, o propio RXPD recolle, no seu considerando n.10, que recoñece tamén unha marxe de manobra para que os Estados membros especifiquen as súas normas, mesmo para o tratamento de categorías especiais de datos persoais («datos sensibles»).

A primeira circunstancia habilitante para o tratamento dos datos persoais especialmente protexidos, tal como recolle o apartado a) do artigo 9.2 do RXPD, consiste no consentimento explícito do interesado: “cando o interesado dea o seu consentimento explícito para o tratamento dos ditos datos persoais cun ou máis dos fins especificados”31. Pero o lexislador español excluíu plenamente a eficacia habilitante do consentimento do afectado: “o só consentimento do afectado non bastará para levantar a prohibición do tratamento de datos cuxa finalidade principal sexa identificar a súa ideoloxía, afiliación sindical, relixión, orientación sexual, crenzas ou orixe racial ou étnica”32. Ademais, o lexislador estableceu que para as circunstancias das letras g), h) e i) do artigo 9.2 do RXPD deberán estar amparados nunha norma con rango de lei, que poderá establecer requisitos adicionais relativos á súa seguridade e confidencialidade33.

Entre esas circunstancias ou excepcións á regra xeral (artigo 9 RXPD), atopamos a que habilita o tratamento de datos persoais que revelen as opinións políticas cando sexa necesario por razóns dun “interese público esencial”, debendo ser “proporcional ao obxectivo perseguido”, respectar no esencial o dereito á protección de datos e establecer “medidas axeitadas e específicas” para protexer os intereses e dereitos fundamentais do interesado (letra g) do artigo 9.2 RXPD). É unha das circunstancias que intentou “blindar” a LOPDGDD, segundo a cal esta circunstancia deberá estar recollida nunha norma con rango de lei que poderá exixir requisitos adicionais de seguridade e confidencialidade34, polo que para aplicar esta circunstancia habilitante nos atopamos cos presupostos que recolle a mesma circunstancia, máis un requisito preceptivo (“deberán”) e un requisito facultativo (“poderá”) da LOPDGDD.

No que respecta á elaboración de perfís, por outro lado, o RXPD xa o previu nos seus considerandos: no seu considerando n. 56 recolleu que os partidos políticos poderán recompilar datos persoais sobre as opinións políticas das persoas “por razóns de interese público” se así o exixe “o funcionamento do sistema democrático”, debendo ofrecerse, non obstante, “garantías axeitadas”35.

A iso debemos engadir que o RXPD no apartado primeiro do seu artigo 22 recolle o dereito do interesado a non ser obxecto dunha decisión baseada unicamente no tratamento automatizado e a non ser obxecto de elaboración de perfís, pero, ao mesmo tempo, establece que non será evocable ese dereito cando estea autorizado polo dereito da Unión ou dos Estados membros, sempre que se establezan “medidas adecuadas para salvagardar os dereitos e liberdades e os intereses lexítimos do interesado”36. Das tres excepcións que fan que o apartado primeiro do artigo 22 non sexa de aplicación, entre as que se atopa a que acabamos de mencionar, só dúas delas levan consigo “como mínimo o dereito a obter intervención humana por parte do responsable, a expresar o seu punto de vista e a impugnar a decisión”37, especialidade que non lle é de aplicación á excepción da autorización polo dereito da Unión ou dos Estados membros (neste caso preciso, a LOREX).

Debemos recordar que o requisito de consentimento, como manifestación de vontade, libre, inequívoca, específica e informada38, xunto cos dereitos do interesado, é a pedra angular da protección de datos e o seu tratamento39, formando este parte do contido esencial do dereito40. E, así, no RXPD de 2016, o consentimento e os dereitos do interesado forman o contido esencial do regulamento; e así o recolle o RXPD41. Pero neste caso concreto de elaboración de perfís o regulamento recolle as excepcións que quedan por enriba do consentimento, establecendo unha excepción a ese piar do dereito fundamental, unha excepción que debe ser sempre proporcional e suxeita a unha interpretación restritiva.

5 A LOPDGDD de 2018 e o novo artigo 58 bis da LOREX

Tendo en conta o RXPD de 2016 e que, a consecuencia diso, a LOPDCP de 1999 quedou obsoleta, o lexislador español elaborou a finais do ano 2018 a nova LOPDGDD, que, ademais de recoller un novo réxime de protección relativo aos datos persoais, recoller e amparar dereitos dixitais, adecuou a lexislación española ao RXPD de 2016, completándoo na medida en que o regulamento lles dá marxe para iso aos Estados membros.

Esta nova lei está composta por 10 títulos, 97 artigos, 22 disposicións adicionais, 6 disposicións transitorias, unha disposición derrogatoria e 16 disposicións derradeiras. Debemos ter en conta, por outro lado, que, a pesar de que a LOPDGDD derrogou en gran medida a LOPDCP de 1999, non a derrogou enteira42.

Ademais da regulación recollida no ámbito da protección de datos e dereitos dixitais, a LOPDGDD, na súa disposición derradeira terceira, modificou o apartado terceiro do artigo 39 da Lei orgánica 5/1985, do 19 de xuño, do réxime electoral xeral (LOREX), e introduciu un novo artigo: o artigo 58 bis, sobre a utilización de medios tecnolóxicos e datos persoais nas actividades electorais.

Este precepto non o recollía o primeiro proxecto da LOPDGDD, foi introducido como emenda na súa tramitación no Congreso dos Deputados (Comisión de Xustiza)43, co obxecto de “establecer salvagardas para impedir casos como o que vincula a Cambridge Analytica co uso ilícito de datos de 50 millóns de usuarios de Facebook para mercadotecnia electoral”, emenda que non tivo moita discusión no debate de totalidade do Pleno do Congreso dos Deputados44, pero si estivo presente no do Senado45.

De conformidade con este novo artigo 58 bis da LOREX, “a recompilación de datos persoais relativos ás opinións políticas das persoas que leven a cabo os partidos políticos [...] atoparase amparada no interese público [...]” (art. 58 bis 1) e, ademais, “poderán utilizar datos persoais obtidos en páxinas web e outras fontes de acceso público” para a realización de actividades políticas durante o período electoral” (art. 58 bis 2).

Isto significa que os partidos políticos, coalicións ou agrupacións de electores poderán empregar os datos persoais e opinións persoais da cidadanía de distintas webs de acceso público (entre elas, por exemplo, redes sociais como Twitter ou Facebook) e usalas por vontade con fins electorais, sen necesidade de obter o consentimento do afectado. É dicir, que isto ampara a elaboración de perfís ideolóxicos e facer propaganda electoral á medida de cada persoa.

No seu apartado quinto, por outro lado, o artigo 58 bis regulou que “se lle facilitará ao destinatario un modo sinxelo e gratuíto de exercicio do dereito de oposición”, dando cumprimento, deste xeito, ao dereito de oposición recoñecido polo RXPD (art. 21) e perfilado pola LOPDGDD (art. 18), como dereito do interesado a oporse ao tratamento dos seus datos persoais46, intentando así manter o debido respecto aos dereitos que o RXPD lle outorga ao interesado47, dereitos que debemos lembrar que son persoalísimos48.

No referente á tramitación, ao ter sido este precepto que modifica a LOREX froito dunha emenda, iso supón que non foi sometido ao trámite de consulta e información pública49 (non sendo coñecido pola sociedade) e tampouco puido ser sometido a informe polas administracións, organismos públicos e órganos constitucionais, nin tan sequera pola Axencia Española de Protección de Datos (AEPD)50, nin polos órganos constitucionais como son o Consello Xeral do Poder Xudicial e o Consello de Estado.

Tamén é curioso que o lexislador nin se preocupou por modificar directamente a LOREX, en vez de facelo dun xeito indirecto por unha disposición da LOPDGDD, cando o mesmo día que o BOE publicou a LOPDGDD tamén publicou, curiosamente, a Lei orgánica 2/2018, do 5 de decembro, que modifica a LOREX para garantir o dereito de sufraxio de todas as persoas con discapacidade51, oportunidade que podería ter aproveitado o lexislador para facer unha modificación directa, e, non obstante, non o fixo.

En pleno debate no Senado, a Axencia Española de Protección de Datos (AEPD) publicou unha nota de prensa declarando que o precepto non permitía o tratamento de datos persoais para a elaboración de perfís baseados en opinións políticas, nin o envío de información personalizada baseada en perfís ideolóxicos ou políticos; soamente permite “a recompilación por parte dos partidos políticos de datos persoais relativos a opinións políticas para obter información que lles permita pulsar as inquietudes dos cidadáns co fin de poder darlles resposta nas súas propostas electorais”52.

Tendo en conta a importancia do precepto, a AEPD elaborou un informe xurídico53 onde razoou que o novo artigo non posibilitaba a elaboración de perfís ideolóxicos, posto que se suprimira o termo “tratamento” recollido na emenda 331 inicialmente presentada no Congreso dos Deputados, mesma liña que se seguiu no debate no Senado54. Unha vez aprobada a LOPDGDD, a AEPD emitiu unha circular o 7 de marzo de 201955, dándolle continuidade ao dito informe, co obxecto de interpretar este novo artigo introducido na LOREX e fixar os seus criterios, composta por unha exposición de motivos (que recolle parte do exposto no informe xurídico de 2018), once artigos, unha disposición transitoria e unha disposición derradeira.

Segundo a AEPD, este novo artigo debe ser interpretado “de forma restritiva e conforme o establecido na Constitución española, de xeito que non conculque dereitos fundamentais”. As opinións políticas deberán ser libremente expresadas (art. 5.1), o tratamento que se realice deberá ser “proporcional ao obxectivo perseguido” (art. 6.1) e establécense garantías (art. 7) como, entre outras, que os partidos adopten medidas apropiadas, designar un delegado de protección de datos, realizar avaliacións de impacto, etc. Tamén recolle un deber de información que deberá realizarse en forma “concisa, transparente, intelixible e de doado acceso, cunha linguaxe clara e sinxela” (art. 8).

Á fin e ao cabo, o que supón o artigo 58 bis da LOREX e a habilitación para iso do RXPD é unha inxerencia sobre os nosos dereitos fundamentais, con base legal, por iso o que require a análise é se se deron todos presupostos para que esa inxerencia sexa unha condición permitida polo dereito ou unha inxerencia desproporcionada sobre os nosos dereitos fundamentais.

Para iso, podemos ter en conta tamén a tripla análise de proporcionalidade do TEDH, análise que se basea en tres requisitos: prevista pola lei, atender a un fin lexítimo e ser necesaria nunha sociedade democrática56. Dentro do primeiro requisito, prevista pola lei, debe haber unha existencia dunha base legal no dereito interno e o tribunal analiza tamén a calidade da lei, a cal desagrega en accesibilidade e en previsibilidade da dita lei57. Deberemos por todo iso analizar se se dan os presupostos formulados polo RXPD e a lexislación española e se a medida resulta proporcional.

5.1 O novo artigo 58 bis da LOREX desde o punto de vista material: “interese público esencial” e “medidas axeitadas e específicas” do RXPD

Para empezar, debemos apuntar que a base xurídica do artigo 58 bis da LOREX a atopamos na habilitación da letra g) do artigo 9.2 do RXPD, polo que, xa que se baseou nesa habilitación, debemos analizar se se cumpriron os presupostos que esta recolle: 1) baseado nun “interese público esencial”, 2) proporcional ao obxectivo perseguido (respectando no esencial o dereito á protección de datos) e 3) establecer “medidas axeitadas e específicas” (art. 9.2.g RXPD).

Debemos comezar diferenciando o “interese público” que “o funcionamento do sistema democrático exixe” do considerando n. 56 e o “interese público esencial” do artigo 9.2.g do RXPD; así o estableceu o Supervisor Europeo de Protección de Datos58, diferenciando, do mesmo modo, as “garantías axeitadas” (considerando n. 56) e as “medidas axeitadas e específicas” (art. 9.2.g RXPD).

Está claro, por outra parte, que o requisito básico será o “interese público esencial”, xa que é este o que fai que non se aplique a prohibición de tratamento de datos que releven opinións políticas, se non, estariamos a aplicar a excepción da prohibición do artigo 9.2.g, baixo un requisito que non é o aplicable e sorteando a condición sine qua non dese artigo que recolle a excepción á cal está directamente unida. É dicir, que se estaría a utilizar unha excepción dun artigo, pero facendo uso da condición doutro, “burlando” o requisito desa excepción.

Ao falarmos dese “interese público esencial”59, transcendemos da “razoabilidade” do tratamento; segundo a autoridade inglesa de protección de datos, “a cuestión é se o tratamento é obxectivamente necesario para a finalidade indicada, non se é unha parte necesaria do método de tratamento elixido polo responsable”60.

O Grupo de Traballo do Artigo 29 (GT29), no seu Ditame WP21761, declarou que “se o tratamento comporta unha invasión da privacidade, a base xurídica deberá ser o suficientemente específica e precisa á hora de definir o tipo de tratamento de datos que pode permitirse”62. Ademais, requírese unha interpretación estrita e unha clara identificación, caso por caso, do interese público en xogo63.

O novo artigo 58 bis da LOREX recolle que concorre “interese público”, pero non especifica ese interese e, por suposto, sen facer referencia á necesidade dun tipo de interese público “esencial”. É moi visible que o lexislador baseou este novo precepto no considerando n. 56, pois fixo referencia a ese “interese público” que “o funcionamento do sistema democrático exixe”, e non ao “interese público esencial”, que é o requisito básico da aplicación da excepción da prohibición do artigo 9.2.g do RXPD e moito máis restritivo.

O artigo 58 bis non mostra ese nexo de necesidade, nin tampouco xustifica a debida proporcionalidade que debe existir sempre entre a limitación de dereitos e a medida adoptada, o que supón a recompilación dos seus datos persoais obtidos en páxinas web cun interese público que non se cataloga de esencial e nin sequera se especifica.

Por iso, o precepto vulnera o requisito de necesidade e de “interese público esencial” exixido e exixible polo RXPD.

Pero mesmo se se recollese un “interese público” ou xeral, e non o debido “interese público esencial” –que xa vimos que non é posible, pero supoñamos–, o artigo 58 bis seguiría sen cumprir os requisitos. Segundo a reiterada xurisprudencia do TXUE, debemos entender por “interese xeral” que fai que este prevaleza, entre outros a loita contra o terrorismo internacional para o mantemento da paz e a seguridade internacionais64, loita contra a delincuencia grave para garantir a seguridade pública65, etc. O TXUE, non obstante, foi extremadamente restritivo con esa prevalencia e, por exemplo, no caso Digital Rights Ireland e Seitlinger e outros, o tribunal anulou a Directiva 2006/24/CE66, porque posibilitaba a conservación dalgúns datos, expresando que aínda que si se cumpría o requisito de “interese xeral” este non pode servir para xustificar calquera medida67. Así que esta modificación da LOREX sería inxustificable mesmo nesta situación hipotética.

En canto ás garantías, por outro lado, outro dos requisitos do RXPD é que cómpre adoptar “medidas axeitadas e específicas” (art. 9.2.g RXPD), non unicamente “garantías axeitadas” (considerando n. 56). Neste sentido, o artigo 58 bis LOREX non inclúe medidas e garantías específicas de ningún tipo, senón que, en cambio, fai unha pequena referencia a “garantías axeitadas”, termo máis xenérico que entraña unha menor protección que o de “medidas axeitadas e específicas” ligado aos tratamentos que poidan realizarse en nome dun “interese xeral esencial”68.

A redacción literal da disposición establece que “se atopará amparada no interese público unicamente cando se ofrezan garantías axeitadas”. Nesa redacción dá por feito que a medida está baseada nun interese público (sen dicir cal) e úneo ás garantías (fainos entender que haberá un interese público cando haxa esas garantías, é dicir, que o feito de haber garantías presupón un interese público), cando son dous requisitos autónomos: que se dea un interese público esencial (razoado motivado xustificado) e, por outro lado, que se establezan unhas garantías axeitadas. O artigo 58 bis LOREX, apartado 1, polo tanto, contén unha redacción que modifica e burla a normativa comunitaria e a propia LOPDGDD para facer posible un tratamento de datos que estaría prohibido tanto polo dereito comunitario como polo español (9.1 RXPD e 9.2 LOPDGDD).

O artigo 23 do RXPD, así mesmo, establece que se poderá limitar o dereito da Unión ou dos Estados membros que se lle aplique ao responsable ou ao encargado do tratamento “cando tal limitación respecte no esencial os dereitos e liberdades fundamentais e sexa unha medida necesaria e proporcionada nunha sociedade democrática”, e establece, ademais, dez disposicións específicas que, como mínimo, deberá recoller tal medida lexislativa (entre elas, finalidade, categoría, alcance, garantías, prazos, riscos, etc.).

Convén lembrar, do mesmo xeito, que dentro da xa mencionada análise da proporcionalidade da inxerencia, segundo xurisprudencia reiterada do TXUE, o principio de proporcionalidade exixe que os actos sexan adecuados para lograr os obxectivos lexítimos perseguidos pola normativa de que se trate e non superen os límites do que resulta apropiado e necesario para o logro dos ditos obxectivos69, escollendo sempre a menos restritiva, cando se ofreza unha elección entre varias medidas axeitadas, e os inconvenientes ocasionados, non debendo ser desmesurados con respecto aos obxectivos perseguidos70.

5.2 O novo artigo 58 bis da LOREX desde o punto de vista formal: reserva de lei

O segundo punto que deberemos analizar será que tipo de norma debe recoller a medida, o “interese público esencial” e as “medidas axeitadas e específicas”, tendo en conta que nos atopamos ante unha medida restritiva dos nosos dereitos fundamentais71. Como mencionamos, o lexislador español estableceu que a circunstancia da letra g) do artigo 9.2 do RXPD, entre outras, deberá estar amparada nunha norma con rango de lei, que poderá establecer requisitos adicionais relativos á súa seguridade e confidencialidade (art. 9.2 LOPDGDD). Pero, só a medida? A resposta é clara: non. O que debe estar amparado cunha norma con rango de lei é a medida e todos os presupostos que fan posible a medida (“interese público esencial” e as “medidas axeitadas e específicas”).

A seguinte pregunta sería: calquera norma con rango de lei? Para iso debemos ter en conta que o artigo 58 bis da LOREX pode supor unha inxerencia sobre o dereito á protección de datos, dereito fundamental72 autónomo73 que consagra en si mesmo un dereito ou liberdade fundamental74, con sede no artigo 18.4 da CE75, polo que, ao tratarse dunha medida restritiva dos nosos dereitos fundamentais, deberá ser lei orgánica (art. 53.1 CE), respectando sempre o seu contido esencial, do cal deducimos que, segundo o RXPD, a LOPDGDD e a propia CE, a habilitación da letra g) do artigo 9.2 do RXPD e os seus presupostos deben estar recollidos nunha lei orgánica.

Debemos ter en conta que, segundo o TC, aínda que a reserva de lei orgánica que se aplica ao desenvolvemento dos dereitos fundamentais, como parte da especial protección que a CE dispensa aos dereitos e liberdades76, posúe certo alcance, co fin de evitar petrificacións do ordenamento77, cando se trate de disposicións que sexan restritivas de dereitos fundamentais –mesmo non sendo de “desenvolvemento”–, rexerá a reserva de lei para fixar as garantías axeitadas e específicas fronte a elas78, cumprindo sempre o principio de calidade da lei que restrinxe dereitos79.

Ademais de ser lei orgánica, así mesmo, o apartado terceiro do artigo segundo da nova LOPDGDD recolle expresamente que os tratamentos que estean fóra do ámbito de aplicación do RXPD (por non estaren comprendidas no ámbito de aplicación do dereito comunitario) se rexerán pola súa lexislación específica (se non a houbese, polo RXPD e, supletoriamente, pola LOPDGDD) e menciona de forma expresa os “tratamentos realizados ao abeiro da lexislación orgánica do réxime electoral xeral”80. Isto quere dicir que a LOPDGDD recolleu expresamente que o tratamento de datos en ámbito electoral, onde atopamos a elaboración de perfís que é obxecto de análise, require que estea regulado por esa normativa específica: a LOREX.

En suma, que a LOREX (lei orgánica específica da materia) recolla a medida cumpre co RXPD, a LOPDGDD e a CE; pero, e os presupostos da habilitación?, onde mencionamos que se recolleron as medidas axeitadas e específicas? Na Circular 1/2019, do 7 de marzo, da AEPD, é dicir, unha norma con rango regulamentario. Intentouse validar a inxerencia nos nosos dereitos fundamentais cun regulamento, o que é un despropósito absoluto. “Non existen”, polo tanto, esas medidas axeitadas e específicas, porque, aínda que estean recollidas na Circular ١/٢٠١٩, non podemos telas en conta porque vulneran o artigo 9.2 LOPDGDD e o artigo 53.1 CE, artigos que tamén resultan vulnerados, posto que a mesma disposición non estableceu cal é o interese público esencial, como apuntamos no anterior apartado.

O Consello de Estado, no seu ditame, tamén declarou sobre esa reserva de lei: “O anteproxecto fai un primeiro uso desta habilitación coa finalidade de establecer unha reserva de lei para a regulación dos tratamentos de datos fundados nas citadas causas. Non se trata, polo tanto, dunha mera reiteración do contido do regulamento, senón dunha previsión dirixida a garantir que o seu desenvolvemento se realice con respecto ás exixencias da Constitución española, en particular do seu artigo 53.1”81.

5.3 O novo artigo 58 bis da LOREX: algunhas cuestións sobre o fondo

Xa vimos que o novo artigo 58 bis da LOREX incumpre o RXPD na súa vertente material e formal. Non obstante, convennos mencionar tamén, de xeito sucinto, algunhas cuestións sobre o fondo no que respecta a este asunto.

Este novo precepto podería vulnerar o dereito á liberdade ideolóxica, e debemos recordar que sen liberdade ideolóxica non serían posibles os valores superiores do ordenamento xurídico que se propugnan no artigo 1.1 da CE para constituír o Estado social e democrático de dereito que nese precepto se instaura82.

A liberdade de expresión e información pode resultar tamén lesionada, en relación coa liberdade ideolóxica, liberdade que comprende unha dimensión externa de agere licere, conforme as propias ideas sen sufrir por iso sanción ou demérito nin padecer a compulsión ou a inxerencia dos poderes públicos83. Á liberdade ideolóxica que consagra o artigo 16.1 CE correspóndelle «o correlativo dereito a expresala que garante o artigo 20.1 a)»84 a comunicala publicamente, indisolublemente unida ao pluralismo político e, por iso, fundamento do funcionamento dun Estado democrático85. Entón, se os partidos políticos poden recompilar opinións persoais de páxinas web, como redes sociais, entre outras, onde queda o dereito a comunicar libremente as ideas propias?

Tamén atoparemos nesta colisión o dereito á participación política, dereito a participar “libremente”, liberdade que é “valor superior” do ordenamento xurídico español, e recoñece, como principio xeral inspirador deste, a autonomía do individuo para elixir entre as diversas opcións vitais que se lle presenten, de acordo cos seus propios intereses e preferencias86.

Neste sentido, por último, a AEPD xa deixou claro que constitúe unha vulneración da protección de datos realizar unha enquisa en que se pidan datos de ideoloxía e relixión sen solicitar o consentimento expreso, escrito e informado dos afectados87.

6 Síntese da Sentenza 76/2019, do 22 de maio de 2019, do Tribunal Constitucional

A constitucionalidade deste artigo foi analizada polo TC na súa Sentenza 76/2019, do 22 de maio, a cal resolveu o recurso de inconstitucionalidade promovido polo Defensor do Pobo e se pronunciou sobre a constitucionalidade do apartado 1 do artigo 58 bis. A impugnación central do recurso referíase ao artigo 18.4 CE en conexión co artigo 53.1 CE. A xuízo do tribunal, xa que as alegacións das partes non o controverten, o artigo 58 bis da LOREX (apartado 1.º) constitúe unha inxerencia no dereito fundamental á protección de datos persoais garantido polo artigo ١٨.٤ CE, polo que o que debe decidir o TC é se a citada disposición legal (a que habilita a inxerencia) cumpre coas exixencias que derivan da CE e da doutrina constitucional88.

O TC basea en tres elementos a impugnación central do recurso, os cales poderían confluír nunha dobre vulneración dos artigos 18.4 e 53.1 CE89: a) que a disposición legal impugnada non determinase por si mesma a finalidade do tratamento de datos persoais que revelen opinións políticas, máis alá da xenérica mención ao «interese público»; b) que non limitase o tratamento regulando pormenorizadamente as restricións ao dereito fundamental; e c) que non establecese ela mesma as garantías axeitadas para protexer os dereitos fundamentais afectados. Así, o tribunal razoa a súa decisión nos fundamentos xurídicos 4.º a 9.º, nos cales analiza se se cumpren eses tres elementos seguindo a CE, o RXPD, a LOPDGDD e a doutrina constitucional.

Para resolver o litixio principal, o TC comeza a súa fundamentación xurídica no artigo 9 do RXPD90, a prohibición do tratamento de datos persoais que revelen as opinións políticas. Aínda que o TC ten en conta a excepción do apartado segundo, como xa mencionamos nos anteriores apartados deste traballo, alude ao requisito de tomar «medidas axeitadas e específicas para protexer os intereses e dereitos fundamentais do interesado» (art. 9.2.g) RXPD) e ao de «estar amparados nunha norma con rango de lei», así como ao considerando n. 56 e á necesidade de protexer a integridade do proceso democrático, facendo referencia tamén ao artigo 9.2 LOPDGDD e á súa exixencia («deberán estar amparados nunha norma con rango de lei, que poderá establecer requisitos adicionais relativos á súa seguridade e confidencialidade»)91. En suma, segundo o tribunal o artigo 58 bis (apartado 1), contén unha modificación normativa introducida polo lexislador orgánico para facer posible un tratamento de datos que, de non existir a esa habilitación, estaría prohibido tanto polo dereito da Unión como polo noso ordenamento xurídico, pois así o establecen os artigos 9.1 do RXPD e 9.2 da LOPDGDD92.

Continúa o tribunal declarando que os datos persoais que poden recompilarse integran unha categoría especial de datos93 e, seguindo a súa doutrina, declara que o dereito á protección de datos é un dereito fundamental autónomo, pero, ademais, constitúe un dereito instrumental ordenado á protección doutros dereitos fundamentais, isto é, «un instituto de garantía dos dereitos á intimidade e ao honor e do pleno desfrute dos restantes dereitos dos cidadáns», polo que o dereito fundamental á protección de datos resulta afectado desde unha dobre perspectiva: como dereito fundamental autónomo e como dereito instrumental, neste caso, ordenado á protección do dereito fundamental á liberdade ideolóxica94.

O tribunal recoñece, non obstante, que non é un dereito absoluto e pode ser restrinxido mediante lei, sempre que iso responda a un fin de interese xeral, e os requisitos e o alcance da restrición estean suficientemente precisados na lei e respecten o principio de proporcionalidade. Para os efectos deste proceso, deben destacarse dous requisitos deses límites: 1) responder a un fin constitucionalmente lexítimo ou encamiñarse á protección ou a salvagarda dun ben constitucionalmente relevante, e, ademais, ser proporcionadas ao fin perseguido con elas e 2) precisar dunha habilitación legal, xa incida directamente sobre o seu desenvolvemento (art. 81.1 CE), ou limite ou condicione o seu exercicio (art. 53.1 CE)95.

Nese ámbito formal da reserva de lei, continúa o TC, existe unha dobre exixencia: por un lado, a necesaria intervención da lei para habilitar a inxerencia; e, por outro lado, esa norma legal «debe reunir todas aquelas características indispensables como garantía da seguridade xurídica», isto é, «debe expresar todos e cada un dos presupostos e condicións da intervención», xa que, mesmo tendo un fundamento constitucional, as limitacións do dereito fundamental establecidas por unha lei «poden vulnerar a Constitución se pecan de falta de certeza e previsibilidade nos propios límites que impoñen e o seu modo de aplicación», pois «a falta de precisión da lei nos presupostos materiais da limitación dun dereito fundamental é susceptible de xerar unha indeterminación sobre os casos aos cales se aplica tal restrición»; «ao producirse este resultado, máis alá de toda interpretación razoable, a lei xa non cumpre a súa función de garantía do propio dereito fundamental que restrinxe, pois deixa que no seu lugar opere simplemente a vontade de quen ten que aplicala»96.

En opinión do tribunal, a mera inexistencia de «garantías axeitadas» ou das «mínimas exixibles á lei» constitúe de seu unha inxerencia no dereito fundamental, de gravidade similar á que causarían intromisións directas no seu contido nuclear. A exixencia de «garantías axeitadas» fundaméntase, polo tanto, no respecto do contido esencial do dereito fundamental97. A necesidade de dispor de garantías axeitadas é especialmente importante cando o tratamento afecta a categorías especiais de datos (datos sensibles), pois o uso destes últimos é susceptible de comprometer máis directamente a dignidade, a liberdade e o libre desenvolvemento da personalidade; garantías axeitadas que deben velar por que o tratamento de datos se realice en condicións que aseguren a transparencia, a supervisión e a tutela xudicial efectiva, e deben procurar que os datos non se recollan de forma desproporcionada e non se utilicen para fins distintos dos que xustificaron a súa obtención98.

As opinións políticas, segundo sentencia o TC, son datos persoais sensibles cuxa necesidade de protección é, nesa medida, superior á doutros datos persoais. Polo tanto, o lexislador está constitucionalmente obrigado a adecuar a protección que dispensa aos ditos datos persoais, se é o caso, impondo maiores exixencias co fin de que poidan ser obxecto de tratamento e prevendo garantías específicas no seu tratamento, ademais das que poidan ser comúns ou xerais99.

Por todo o razoado, o TC expresa que a disposición legal impugnada:

a) Non especifica o interese público esencial que fundamenta a restrición do dereito fundamental; presupón que ha de existir, pero non chega a especificalo, o que supón que a disposición legal impugnada non determinou por si mesma a finalidade do tratamento de datos persoais que revelen opinións políticas, máis alá da xenérica mención ao «interese público»100.

b) Non limita o tratamento regulando pormenorizadamente as restricións ao dereito fundamental, só recolle unha condición limitativa: a recompilación só poderá levarse a cabo «no marco das súas actividades electorais». Trátase dunha condición que apenas contribúe a constrinxir o uso da habilitación conferida. É dicir, non se limitou o tratamento regulando pormenorizadamente as restricións ao dereito fundamental101.

c) A súa redacción literal nin contén nin especifica en forma ningunha as garantías e limítase a recoñecer que deben ofrecerse «garantías axeitadas», sen máis precisións. Non estableceu ela mesma as garantías axeitadas para protexer os dereitos fundamentais afectados102.

Conclúe o tribunal que todo iso supón que o artigo 58 bis apartado 1 da LOREX non identificou a finalidade da inxerencia para a realización da cal se habilita os partidos políticos, nin delimitou os presupostos nin as condicións desa inxerencia, nin estableceu as garantías axeitadas que para a debida protección do dereito fundamental á protección de datos persoais reclama a doutrina constitucional. Isto produce, desta forma, tres vulneracións do artigo 18.4 CE en conexión co artigo 53.1 CE, autónomas e independentes entre si, todas elas vinculadas á insuficiencia da lei, redundando as tres na infracción do mandato de preservación do contido esencial do dereito fundamental (art. 53.1 CE): por unha banda, a insuficiente adecuación da norma legal impugnada aos requirimentos de certeza crea un perigo, no que reside precisamente esa vulneración e, por outra banda, a indeterminación da finalidade do tratamento e a inexistencia de «garantías axeitadas» ou as «mínimas exixibles á Lei» constitúen en si mesmas inxerencias no dereito fundamental de gravidade similar á que causaría unha intromisión directa no seu contido nuclear103.

Por todo iso, o TC resolve estimando o recurso e declara inconstitucional o artigo 58 bis da LOREX sinalando que as opinións políticas son datos persoais sensibles cuxa necesidade de protección é superior á doutros datos persoais e que a disposición legal impugnada non identificou a finalidade da inxerencia para a realización da cal se habilita os partidos políticos, nin delimitou os presupostos nin as condicións desa inxerencia nin estableceu as garantías axeitadas.

7 Conclusións

Debemos concluír que, analizado o novo artigo 58 bis da LOREX, este incumpre tanto o RXPD como a LOPDGDD e a CE. A disposición non recolleu os presupostos que habilitan o tratamento dos datos persoais que revelen opinións políticas e supón unha inxerencia desproporcionada nos nosos dereitos fundamentais, unha inxerencia que se intentou xustificar cunha norma regulamentaria. Vulnera, deste xeito, o dereito fundamental á protección de datos e o dereito á liberdade ideolóxica, e podería vulnerar, do mesmo modo, o dereito á liberdade de expresión e o dereito á participación política. O precepto obvia toda medida que poida garantir o dereito á protección de datos, permitindo un uso discriminado e sen lexitimación para iso por parte dos partidos políticos, e non resulta proporcional ao obxectivo perseguido.

A emenda que introduciu o novo precepto da LOREX razoouse defendendo que era necesaria para evitar casos como o de Cambridge Analytica, pero parece que con este novo artigo estariamos máis preto dun “Cambridge Analytica español” que sen ela. O lexislador debería, polo tanto, de lege ferenda, reformular o artigo 58 bis da LOREX (actualmente inconstitucional), nun proxecto independente de reforma da lei orgánica específica que recolla dunha maneira concreta todos os requisitos do RXPD e criterios do TXUE, TEDH e TC, para protexer a cidadanía e evitar vulneracións de dereitos fundamentais e liberdades públicas.

Bibliografía

ARZOZ SANTIESTEBAN, X., Videovigilancia, seguridad ciudadana y derechos fundamentales, Thomson Reuters Civitas, Cizur Menor, 2010.

HOWARD, P. N., e JONES, S. (eds.), Sociedad on-line: Internet en contexto, Editorial UDOC, Barcelona, 2005.

LUCAS MURILLO DE LA CUEVA, P. L., El Derecho a la Autodeterminación Informativa. La Protección de los Datos Personales Frente al Uso de la Informática, Tecnos, Madrid, 1990.

PÉREZ LUÑO, A. E., Derechos Humanos, Estado de Derecho y Constitución, Tecnos, Madrid, 1991.

REBOLLO DELGADO, L., e SERRANO PÉREZ, M. M., Manual de Protección de Datos, Dykinson, Madrid, 2018.

RUIZ MIGUEL, C., El derecho a la protección de la vida privada en la jurisprudencia del Tribunal Europeo de Derechos Humanos, Civitas, Madrid, 1994.

SÁNCHEZ BRAVO, Á. A., La protección del derecho a la libertad informática en la Unión Europea, Universidad de Sevilla, Secretariado de Publicaciones, Sevilla, 1998.

SERRANO LÓPEZ, M. M., “El derecho fundamental a la Protección de Datos. Su contenido esencial”, Nuevas Políticas Públicas: Anuario multidisciplinar para la modernización de las Administraciones Públicas, n. 1, 2005.

TRONCOSO REIGADA, A., Comentario a la Ley Orgánica de Protección de Datos de Carácter Personal, Civitas, Madrid, 2010.

1 Diario Oficial da Unión Europea n. 119 do 14 de maio de 2016.

2 Recurso de inconstitucionalidade n. 1405-2019, contra o artigo 58 bis 1 da Lei orgánica 5/1985, do 19 de xuño, do réxime electoral xeral, incorporado a esta pola disposición derradeira terceira, punto dous, da Lei orgánica 3/2018, do 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais (BOE n. 64, do 15 de marzo de 2019, p. 25384). Admitido a trámite a principios de marzo de 2019: TC. Providencia de admisión, 12 de marzo de 2019, n. de asunto 1405-2019. Recurso de inconstitucionalidade promovido polo Defensor do Pobo.

3 Art. 162.1.a) da CE, art. 32.1 da Lei orgánica 2/1979, do 3 de outubro, do Tribunal Constitucional, e art. 29 da Lei orgánica 3/1981, do 6 de abril, do Defensor do Pobo.

4 Cfr. STC 254/1993, do 20 de xullo.

5 SSTC 11/1998, do 13 de xaneiro, FFXX 4.º e 5.º; 33/1998, do 11 de febreiro; 35/1998, do 11 de febreiro; 45/1998, do 24 de febreiro; 60/1998, do 16 de febreiro; 77/1998, do 31 de marzo; 94/1998, do 4 de maio; 104/1998, do 18 de maio; 105/1998, do 18 de maio; 106/1998, do 18 de maio; 123/ 1998, do 15 de xuño; 124/1998, do 15 de xuño; 126/1998, do 15 de xuño; 158/1998, do 13 de xullo; 198/1998, do 13 de outubro; 223/1998, do 24 de novembro; 30/1999, do 8 de marzo; 44/1999, do 22 de marzo, e 45/1999, do 22 de marzo.

6 LUCAS MURILLO DE LA CUEVA, P. L., El Derecho a la Autodeterminación Informativa. La Protección de los Datos Personales Frente al Uso de la Informática, Tecnos, Madrid, 1990, p. 23, e PÉREZ LUÑO, A. E., Derechos Humanos, Estado de Derecho y Constitución, Tecnos, Madrid, 1991, p. 37.

7 STC 292/2000, do 30 de novembro, FX 5.º

8 STC 292/2000, do 30 de novembro, FX 5.º

9 STC 96/2012, do 7 de maio, FX 6.º

10 STC 96/2012, do 7 de maio, FX 6.º

11 STC 17/2013, do 31 de xaneiro, FX 4.º

12 SSTC 11/1998, do 13 de xaneiro, FX 5.º; 96/2012, do 7 de maio, FX 6.º, e 151/2014, do 25 de setembro, FX 7.º

13 STC 76/2019, do 22 de maio de 2019, FX 5.º

14 SSTC 11/1998, do 13 de xaneiro, FX 5.º; 60/1998, do 16 de marzo, FX 1.º; 124/1998, do 15 de xuño, FX 2.º; e 126/1998, do 15 de xuño, FX 2.º

15 STC 76/2019, do 22 de maio de 2019, FX 5.º

16 Art. 4, apartado 1, RXPD.

17 ARZOZ SANTIESTEBAN, X., Videovigilancia, seguridad ciudadana y derechos fundamentales, Thomson Reuters Civitas, Cizur Menor, 2010, p. 149.

18 Art. 5.1, apartado f), do Real decreto 1720/2007, do 21 de decembro, polo que se aproba o Regulamento de desenvolvemento da Lei orgánica 15/1999, do 13 de decembro, de protección de datos de carácter persoal. BOE n. 17, do 19/01/2008.

19 Art. 4, apartado 1, RXPD.

20 STEDH 27798/1995, do 16 de febreiro de 2000, Amann contra Suíza, ap. 65; e STC 292/2000, do 30 de novembro, FX 6.º Tamén SAN do 24 de xaneiro de 2003, n. rec. 400/2001, FX 5.º

21 Diario Oficial da Unión Europea n. 281, do 23 de novembro de 1995.

22 REBOLLO DELGADO, L., e SERRANO PÉREZ, M. M., Manual de Protección de Datos, Dykinson, Madrid, 2018, pp. 209 e 210.

23 REBOLLO DELGADO, L., e SERRANO PÉREZ, M. M., Manual de Protección de Datos, cit., p. 210.

24 Real decreto 1720/2007, do 21 de decembro, polo que se aproba o Regulamento de desenvolvemento da Lei orgánica 15/1999, do 13 de decembro, de protección de datos de carácter persoal.

25 Art. 36.1 do Real decreto 1720/2007, do 21 de decembro.

26 REBOLLO DELGADO, L., e SERRANO PÉREZ, M. M., Manual de Protección de Datos, cit., p. 210.

27 TRONCOSO REIGADA, A., Comentario a la Ley Orgánica de Protección de Datos de Carácter Personal, Civitas, Madrid, 2010, p. 1.132. Tamén “estabilidad emocional, tolerancia a la frustración, sensibilidad ante determinadas realidades de la sociedad actual, etc.”.

28 Art. 36.2.b do Real decreto 1720/2007, do 21 de decembro.

29 Art. 288 TFUE.

30 Tamén datos persoais que revelen a orixe étnica ou racial, conviccións relixiosas ou filosóficas, afiliación sindical, datos xenéticos, datos biométricos e datos relativos á saúde, á vida sexual ou a orientación sexual.

31 Art. 9.2.a) RXPD.

32 Art. 9.1 LOPDGDD.

33 Art. 9.2 LOPDGDD.

34 Art. 9.2 LOPDGDD.

35 RXPD, considerando n. 56.

36 Art. 22.2.b RXPD.

37 Art. 22.3 RXPD.

38 Art. 3.h LOPDCP de 1999.

39 HOWARD, P. N., e JONES, S. (eds.), Sociedad on-line: Internet en contexto, Editorial UDOC, Barcelona, 2005, p. 323.

40 SERRANO LÓPEZ, M. M., “El derecho fundamental a la Protección de Datos. Su contenido esencial”, Nuevas Políticas Públicas: Anuario multidisciplinar para la modernización de las Administraciones Públicas, n. 1, 2005, pp. 245-265, p. 255.

41 Art. 4.11 e 7 RXPD.

42 Na súa disposición derrogatoria única, a LOPDGDD estableceu que queda derrogada a LOPDCP de 1999, sen prexuízo do previsto na disposición adicional décimo cuarta e na disposición transitoria cuarta. Deste xeito, a lei recolleu expresamente que os artigos 23 e 24 da LOPDCP de 1999 seguirán en vigor, mentres non sexan expresamente modificadas, substituídas ou derrogadas (disposición adicional décimo cuarta) e tamén seguirá en vigor o artigo 22 da LOPDCP de 1999, pero este último con carácter transitorio, mentres non entre en vigor a norma que traspoña ao dereito español o disposto na Directiva (UE) 2016/680 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativa á protección das persoas físicas no que respecta ao tratamento de datos persoais por parte das autoridades competentes para fins de prevención, investigación, detección ou axuizamento de infraccións penais ou de execución de sancións penais, e á libre circulación dos ditos datos e pola que se derroga a Decisión marco 2008/977/XAI do Consello. É dicir, os artigos en relación a ficheiros das forzas e corpos de seguridade (art. 22), excepcións aos dereitos de acceso, rectificación e cancelación (art. 23) e outras excepcións aos dereitos dos afectados (art. 24).

43 Emenda n. 332 ao Proxecto 121/000013 de Lei orgánica de protección de datos de carácter persoal. BOCG. Congreso dos Deputados. N. A-13-2, do 18 de abril de 2018, pp. 209 e 210.

44 Diario de Sesiones. Congreso dos Deputados, n. 104, do 15 de febreiro de 2018, pp. 28-39.

45 Diario de Sesiones. Senado, n. 90, do 21 de novembro de 2018, pp. 203-217.

46 SÁNCHEZ BRAVO, Á. A., La protección del derecho a la libertad informática en la Unión Europea, Universidad de Sevilla, Secretariado de Publicaciones, Sevilla, 1998, p. 97.

47 Os chamados dereitos “ARSLOP”: dereito de acceso (art. 15 RXPD e art. 13 LOPDGDD), dereito de rectificación (art. 16 RXPD e art. 14 LOPDGDD), dereito de cancelación (art. 17 RXPD e art. 15 LOPDGDD), dereito de limitación (art. 18 RXPD e art. 16 LOPDGDD), dereito de oposición (art. 21 RXPD e art. 18 LOPDGDD) e dereito de portabilidade (art. 20 RXPD e art. 17 LOPDGDD).

48 REBOLLO DELGADO, L., e SERRANO PÉREZ, M. M., Manual de Protección de Datos, cit., p. 183.

49 Art. 133 da Lei 39/2015, do 1 de outubro, do procedemento administrativo común das administracións públicas.

50 A disposición derradeira duodécima da LOPDGDD, por exemplo, que modifica os apartados 2 e 3 do artigo 28 da Lei 39/2015, do 1 de outubro, do procedemento administrativo común das administracións públicas (LPAC), contiña o denominado “consentimento tácito”, non permitido polo RXPD, e a AEPD, antes da aprobación da LOPDGDD, pronunciouse no sentido de que o seu contido non era conforme co regulamento europeo.

51 BOE n. 294, do 6 de decembro de 2018, BOE-a-2018-16672.

52 Axencia Española de Protección de Datos (2018). Nota de Prensa. Criterio da Axencia Española de Protección de Datos sobre cuestións electorais no proxecto de nova LOPD (Madrid, 21 de novembro de 2018), https://www.aepd.es/prensa/2018-11-21.html.

53 Informe do Gabinete Xurídico da AEPD 2018.

54 Diario de Sesiones. Senado, n. 90, do 21 de novembro de 2018, pp. 203-217, p. 209.

55 Circular 1/2019, do 7 de marzo, da Axencia Española de Protección de Datos, sobre o tratamento de datos persoais relativos a opinións políticas e envío de propaganda electoral por medios electrónicos ou sistemas de mensaxaría por parte de partidos políticos, federacións, coalicións e agrupacións de electores ao abeiro do artigo 58 bis da Lei orgánica 5/1985, do 19 de xuño, do réxime electoral xeral (Disposición 3423 do BOE n. 60, do 11 de marzo de 2019).

56 TEDH (Pleno), 26 de novembro de 1991, caso Observer e Guardian c. Reino Unido, ap. 49.

57 RUÍZ MIGUEL, C., El derecho a la protección de la vida privada en la jurisprudencia del Tribunal Europeo de Derechos Humanos, Civitas, Madrid, 1994, pp. 91 e ss.

58 Supervisor Europeo de Protección de Datos. Developing a toolkit for assessing the necessity of measures that interfere with fundamental rights, 2016. https://edps.europa.eu/sites/ edp/files/publication/16-06-16_necessity_paper_for_consultation_en.pdf.

59 Art. 9.2.g RXPD.

60 “The question is whether the processing is objectively necessary for the stated purpose, not whether it is a necessary part of your chosen methods.” Information Commissioner’s Office, Overview of the General Data Protection Regulation. https://ico.org.uk/media/for-organisations/data-protection-reform/overview-of-the-gdpr-1-13.pdf.

61 GT29. Ditame (WP 217) 06/2014 sobre o concepto de interese lexítimo do responsable do tratamento dos datos en virtude do artigo 7 da Directiva 95/46/CE. Adoptado o 9 de abril de 2014.

62 GT29. Ditame (WP 217) 06/2014 sobre o concepto de interese lexítimo do responsable do tratamento dos datos en virtude do artigo 7 da Directiva 95/46/CE. Adoptado o 9 de abril de 2014, p. 26.

63 GT29. Ditame (WP 217) 06/2014 sobre o concepto de interese lexítimo do responsable do tratamento dos datos en virtude do artigo 7 da Directiva 95/46/CE. Adoptado o 9 de abril de 2014, p. 27.

64 STXUE (Gran Sala) do 3 de setembro de 2008, asuntos C-402/05 P e C-415/05 Kadi e Al Barakaat International Foundation/Consello e Comisión, ap. 363. STXUE (Sala Terceira) do 15 de novembro de 2012, asuntos C-539/10 P e C-550/10 P Al-Aqsa/Consello, ap. 130.

65 STXUE (Gran Sala) do 23 de novembro de 2010, asunto C-145/09 Land Baden-Württemberg contra Panagiotis Tsakouridis, ap. 46 e 47.

66 Directiva 2006/24/CE do Parlamento Europeo e do Consello, do 15 de marzo de 2006, sobre a conservación de datos xerados ou tratados en relación coa prestación de servizos de comunicacións electrónicas de acceso público ou de redes públicas de comunicacións e pola que se modifica a Directiva 2002/58/CE. Diario Oficial da Unión Europea n. 105, do 13 de abril de 2006.

67 STXUE (Gran Sala) do 8 de abril de 2014, asuntos acumulados C-293/12 e C-594/12 Digital Rights Ireland e Seitlinger e outros, ap. 45 e ss.

68 Este problema agrávasenos ao seguir a súa evolución parlamentaria, posto que a redacción orixinal da emenda 331 si establecía, nun segundo apartado, un tipo de garantías específicas, ou máis específicas, polo menos (tales como avaliación de impacto, deber de información, etc.), pero na publicación do BOE desapareceron. Tamén é curioso que na disposición adicional 17.ª da LOPDGDD que regula o uso de datos de saúde, recolle o tratamento realizado sobre a base dun interese público, mencionándose expresamente a habilitación do artigo 9.2.g RXPD e algunhas medidas de garantía específicas.

69 STXUE (Gran Sala) de 9 de novembro de 2010, asuntos acumulados C-92/09 and C-93/09, Volker und Markus Schecke GbR e Hartmut Eifert/Land Hessen, ap. 46. STXUE (Cámara Cuarta) do 8 de xullo de 2010, asunto C-343/09 Afton Chemical, ap. 45. STXUE (Gran Sala) do 9 de novembro de 2010, asunto C-92/09 Volker und Markus Schecke e Eifert, ap. 74. STXUE (Gran Sala) do 23 de outubro de 2012, C-581/10 Nelson e outros, ap. 71. STXUE (Sala Quinta) do 17 de outubro de 2013, asunto C-101/12 Schaible, ap. 29.

70 STXUE (Gran Sala) do 22 de xaneiro de 2013, asunto C-283/11 Sky Österreich GmbH e Österreichischer Rundfunk, ap. 50.

71 O RXPD soamente establece “cando estea autorizado polo dereito [...] dos Estados membros”, pero non o limita a lei.

72 STC 254/1993, do 20 de xullo, FX 6.

73 SSTC 94/1998, do 4 de maio, FX 6, e 292/2000, do 30 de novembro, FX 5.

74 SSTC 96/2012, do 7 de maio, FX 6, e 17/2013, do 31 de xaneiro, FX 4.

75 SSTC 254/1993, do 20 de xullo, FX 6, e 96/2012, do 7 de maio, FX 6.

76 SSTC 101/1991, do 13 de maio, FX 2; 5/1981, do 13 de febreiro; 167/1987, do 27 de outubro; 142/1993, do 22 de abril.

77 SSTC 173/1998, do 23 de xullo, FX 7; 129/1999, do 1 de xullo, FX 2; 53/2002, do 27 de febreiro, FX 12; 135/2006, do 27 de abril, FX 2.

78 STC 290/2000, do 30 de novembro, FFXX 11 e 14.

79 STC 17/2013, do 31 de xaneiro, FX 8.

80 Art. 2.3 LOPDGDD.

81 Ditame do Consello de Estado sobre o Anteproxecto de Lei orgánica de protección de datos de carácter persoal, do 26 de outubro de 2017. N. de expediente 757/2017 (XUSTIZA).

82 SSTC 20/1990, do 15 de febreiro, FX 3, e 19/1985, do 13 de febreiro, FX 2.

83 STC 120/1990, do 27 de xuño, FX 10.

84 SSTC 20/1990, do 15 de febreiro, FX 5.

85 SSTC 6/1981, do 16 de marzo, FX 3, 12/1982, do 21 de marzo, FX 3, 104/1986, do 17 de xullo, FX 5, 172/1990, do 12 de novembro, FX 3, e 240/1992, do 21 de decembro, FX 3.

86 STC 132/1989, do 18 de xullo, FX 6.

87 AEPD. Resolución R/03532/2017, procedemento n. AP/00036/2017

88 STC 76/2019, do 22 de maio, FX 2.º

89 STC 76/2019, do 22 de maio, FX 7.º, I.

90 STC 76/2019, do 22 de maio, FX 4.º, II.

91 STC 76/2019, do 22 de maio, FX 4.º

92 STC 76/2019, do 22 de maio, FX 4.º

93 STC 76/2019, do 22 de maio, FX 5.º

94 STC 76/2019, do 22 de maio, FX 5.º

95 STC 76/2019, do 22 de maio, FX 5.º

96 STC 76/2019, do 22 de maio, FX 5.º

97 STC 76/2019, do 22 de maio, FX 6.º

98 STC 76/2019, do 22 de maio, FX 6.º

99 STC 76/2019, do 22 de maio, FX 6.º

100 STC 76/2019, do 22 de maio, FX 7.º

101 STC 76/2019, do 22 de maio, FX 7.º

102 STC 76/2019, do 22 de maio, FX 8.º

103 STC 76/2019, do 22 de maio, FX 9.º