REVISTA GALEGA DE ADMINISTRACIÓN PÚBLICA (REGAP)
Núm. 58 (julio-diciembre 2019)
Sección: Comentarios e Crónicas
DOI https://doi.org/10.36402/regap.v1i57
Protección de datos e elaboración de perfís: o novo artigo 58 bis da Lei orgánica 5/1985, do 19 de xuño, do réxime electoral xeral
Protección de datos y elaboración de perfiles: el nuevo artículo 58 bis de la Ley orgánica 5/1985, de 19 de junio, del régimen electoral general
Data protection and profiling: the new article 58 bis of the Organic Law 5/1985 of 19 June, on the General Electoral System
Andoni Polo Roca
Alumno de posgrado de la Universidad del País Vasco (UPV/EHU)
andpoloro@gmail.com
Recibido: 22/10/2019 | Aceptado: 19/12/2019
DOI: https://doi.org/10.36402/10.36402/regap.v1i58.46
Resumo: A nova Lei orgánica 3/2018, do 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais, modificou a Lei orgánica 5/1985, do 19 de xuño, do réxime electoral xeral e introduciu un novo artigo: o artigo 58 bis, sobre a utilización de medios tecnolóxicos e datos persoais nas actividades electorais. Este novo precepto podería posibilitar a elaboración de perfís ideolóxicos da cidadanía a partir dos seus datos persoais, con fins electorais, que lles permitiría aos partidos políticos facer propaganda electoral personalizada. Un precepto que podería non ser acorde coa normativa comunitaria de protección de datos, especialmente co Regulamento xeral de protección de datos da Unión de 2016, ou co establecido polo TEDH, TXUE ou TC, e cuxa constitucionalidade foi resolta pola Sentenza 76/2019, do 22 de maio.
Palabras clave: Protección de datos, elaboración de perfís, RXPD, LOREX, TXUE, TC.
Resumen: La nueva Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, modificó la Ley orgánica 5/1985, de 19 de junio, del régimen electoral general e introdujo un nuevo artículo: el artículo 58 bis, sobre la utilización de medios tecnológicos y datos personales en las actividades electorales. Este nuevo precepto podría posibilitar la elaboración de perfiles ideológicos de la ciudadanía a partir de sus datos personales, con fines electorales, que permitiría a los partidos políticos hacer propaganda electoral personalizada. Un precepto que podría no ser acorde con la normativa comunitaria de protección de datos, especialmente con el Reglamento general de protección de datos de la Unión de 2016, o con lo establecido por el TEDH, TJUE o TC, y cuya constitucionalidad fue resuelta por la Sentencia 76/2019, de 22 de mayo.
Palabras clave: Protección de datos, elaboración de perfiles, RGPD, LOREG, TJUE, TC.
Abstract: The new Organic Law 3/2018, of December 5, on the Protection of Personal Data and Guarantee of Digital Rights has amended the Organic Law 5/1985 of 19 June, on the General Electoral System and has introduced a new article: Article 58 bis, on the use of technological means and personal data in electoral sphere. This new precept could enable the elaboration of ideological profiles of the citizenry from their personal data, for electoral purposes, which would allow the political parties to make personalized electoral propaganda. A provision that may not be in accordance with the European Union data protection regulations, especially with the EU General Data Protection Regulation of 2016, or with the case law of the ECHR, CJEU or Constitutional Court of Spain, and whose constitutionality was resolved by judgment 76/2019, from May 22.
Key words: Data protection, profiling, GDPR, OLGES, CJEU, Constitutional Court of Spain.
Sumario: 1 Introducción. 2 La protección de datos como derecho fundamental y la doctrina del TC. 3 La elaboración de perfiles en la LOPDCP de 1999 y la Directiva 95/46/CE de 1995. 4 La elaboración de perfiles en el RGPD de 2016. 5 La LOPDGDD de 2018 y el nuevo artículo 58 bis de la LOREG. 5.1 El nuevo artículo 58 bis de la LOREG desde el punto de vista material: “interés público esencial” y “medidas adecuadas y específicas” del RGPD. 5.2 El nuevo artículo 58 bis de la LOREG desde el punto de vista formal: reserva de ley. 5.3 El nuevo artículo 58 bis de la LOREG: algunas cuestiones sobre el fondo. 6 Síntesis de la Sentencia 76/2019, de 22 de mayo de 2019, del Tribunal Constitucional. 7 Conclusiones.
1 Introducción
Los constantes avances tecnológicos nos han hecho darnos cuenta de que el derecho a la protección de datos es extremadamente frágil frente a las nuevas tecnologías y que puede ser fácilmente vulnerado. Los casos Facebook o WhatsApp, o el caso Cambridge Analytica –compañía encargada de elaborar estrategias y útiles de comunicación, basándose en perfiles ideológicos de electores elaborados a partir de sus datos personales–, fueron un aviso de esta circunstancia y se toparon con una legislación sobre protección de datos anticuada que no fue capaz de prever la situación y no contemplaba recursos y medidas para hacerle frente a tal vulneración del derecho a la protección de datos.
Ante todos estos cambios, la Unión Europea (UE) se vio obligada en 2016 a elaborar una nueva normativa de protección de datos y aprobó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGDP)1 para adaptarse a los nuevos retos. Ante esa situación, España, con una legislación ya anticuada a causa del nuevo reglamento, aprobó, a finales de 2018, una nueva ley: Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD).
La nueva ley ha querido renovar la legislación española en materia de protección de datos y garantizar, asimismo, los derechos digitales de la ciudadanía. Pero, además, esta nueva norma ha introducido, de una manera que ha pasado casi desapercibida, una modificación de la Ley orgánica 5/1985, de 19 de junio, del régimen electoral general (LOREG), relativa a la elaboración de perfiles ideológicos de la ciudadanía con fines electorales que permitirá a los partidos hacer propaganda electoral personalizada.
Esta modificación que posibilita la elaboración de perfiles ideológicos, contra la que se interpuso un recurso de inconstitucionalidad2 ante Tribunal Constitucional (TC) por el Defensor del Pueblo3 y cuya constitucionalidad fue resuelta, poco después, por el TC en la Sentencia 76/2019, de 22 de mayo de 2019, podría vulnerar no solo el derecho a la protección de datos, sino otros derechos fundamentales, como el de libertad ideológica, participación política, etc. Por ello, el objeto de este trabajo es analizar dicho precepto que habilita a hacer uso de datos personales de la ciudadanía (gustos, aficiones, origen étnico o racial, convicciones religiosas o filosóficas, orientación sexual, afiliación sindical, vida sexual, etc.) para fines electorales no solo desde una posible vulneración del derecho a la protección de datos o de la Constitución española (CE) –lo que ha sido resuelto por el TC–, sino además como posible vulneración del RGPD, LOPDGDD o los criterios marcados por el Tribunal de Justicia de la Unión Europea (TJUE), Tribunal Europeo de Derechos Humanos (TEDH) o TC.
2 La protección de datos como derecho fundamental y la doctrina del TC
El derecho fundamental a la protección de datos lo encontramos en el artículo 18.4 de la CE, derecho que ha estado en constante desarrollo desde que en 1993 el TC incluyó el término “libertad informática” en su doctrina4. En 1998 el tribunal dejó claro que el artículo 18.4 incorpora un nuevo derecho fundamental dotándolo de plena autonomía respecto del derecho a la intimidad5, corroborando plenamente la doctrina acerca de la autonomía del derecho a la protección de datos6. Para el año 2000 el TC acabó de construir su doctrina en torno a este derecho fundamental, declarando que este derecho consagra “en sí mismo un derecho o libertad fundamental” y que cuando hablamos de protección de datos nos encontramos fuera de la intimidad, ya que el derecho a la protección de datos, aparte de proteger datos íntimos, también protege los que no lo son, si no, solamente quedarían amparados por el derecho a la protección de datos aquellos datos de carácter personal que tuviesen una estrecha relación con la intimidad y vida personal, quedando fuera de ese amparo otros que no tuvieran esa relación7. Este derecho fundamental, además, a diferencia del derecho a la intimidad, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya regulación concreta debe establecer la ley8.
En su jurisprudencia, el TC ha seguido hablado de “derecho a la protección de datos” o “derecho a la protección de los datos de carácter personal”, como derecho reconocido en el artículo 18.4 de la CE9, también de “libertad informática”, “como derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y que comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención”10. En palabras del tribunal, “la finalidad de este derecho fundamental es garantizar a la persona un poder de disposición sobre el uso y destino de sus datos con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado, garantizando a los individuos un poder de disposición sobre esos datos”11.
A este derecho que recoge el artículo 18.4 de la CE, asimismo, le ha dado un doble carácter el TC, según el cual este derecho fundamental no solo consagra un derecho fundamental autónomo a controlar el flujo de informaciones que conciernen a cada persona12, “sino también, como se desprende de su último inciso («para garantizar […] el pleno ejercicio de sus derechos»), un derecho instrumental ordenado a la protección de otros derechos fundamentales, esto es, un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos”13. Ejemplo de ello son las ya citadas sentencias del caso Renfe, entre otras, donde se reconoció el carácter instrumental del derecho fundamental reconocido en el artículo 18.4 CE para la garantía de la libertad sindical14, o con respecto a la libertad ideológica15.
El objetivo de este derecho es proteger los datos personales, pero ¿cuáles serán los que gozarán de esa tutela? Según el RGPD, serán datos personales “toda información sobre una persona física identificada o identificable”16, información que será cualquiera que sea numérica, alfabética, gráfica, fotográfica, acústica17 o de cualquier otro tipo18. En cuanto al término persona física “identificable”, el reglamento ha establecido que esta será “toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
Los datos personales objeto de tutela, por lo tanto, serán todos aquellos datos sobre una persona física identificada o identificable19, es decir, todos aquellos que identifican o permitan identificar a cualquier persona20, datos que, combinados, pueden crear un perfil de cada persona y ser usados con diversos fines: publicitarios, comerciales, electorales, etc. Por este motivo, la elaboración de perfiles es uno de los temas más sensibles y relevantes en la protección de datos.
3 La elaboración de perfiles en la LOPDCP de 1999 y la Directiva 95/46/CE de 1995
La elaboración de perfiles basada en un tratamiento automatizado de datos ya tuvo su referencia en normativas anteriores sobre protección de datos, en particular en dos: en la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPDCP), y en la directiva que esta traspuso, la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos21.
En este sentido, la LOPDCP, en el ámbito de la impugnación de valoraciones, en su artículo 13 reguló el derecho a impugnar las valoraciones que se basan en datos personales, posibilidad que facilitan los ficheros automatizados, al disponer de elementos suficientes que permiten elaborar o adoptar una decisión sobre una persona22. Por tanto, una vez realizada la valoración (por ejemplo, una vez efectuada la elaboración del perfil ideológico basado en datos personales u opiniones personales), el artículo 13 facultaba a la persona para impugnarla.
La LOPDCP, mediante ese artículo, recogía el derecho de la ciudadanía a “no verse sometidos a una decisión […], sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad”. Es decir, el derecho a no verse sometidos a una decisión basada en datos personales y que “prejuzgue” aspectos de su personalidad23. Ese precepto fue una copia literal del artículo 15 (decisiones individuales automatizadas) de la Directiva 95/46/CE (más que transponer, fue una simple copia de la normativa europea).
Esos “aspectos de la personalidad” que mencionaba la LOPDCP los recogió el Real decreto 1720/2007, que desarrolló la LOPDCP24, y dicha norma aludía como “aspectos de personalidad basados en un tratamiento de datos” a “rendimiento laboral, crédito, fiabilidad o conducta”25, enumeración que no hemos de entender limitada26, pudiendo tener en cuenta cualquier otro aspecto de la persona que pueda servir para conformar un perfil de su personalidad27.
El precepto de dicha norma también fue una copia del artículo 15 de la Directiva 95/46/CE; sin embargo, en la redacción literal del real decreto encontramos “rendimiento laboral, crédito, fiabilidad o conducta” y en la de la Directiva, “rendimiento laboral, crédito, fiabilidad, conducta, etc.”. Esta distinción entre una lista que parece cerrada y una abierta carece de importancia, porque, como hemos mencionado, la del real decreto debemos considerarla también una lista abierta; en caso contrario, no recogería el espíritu del precepto de la directiva y dejaría fuera aspectos de la personalidad que sí lo serían de facto, pero no de iure.
El Real decreto 1720/2007 recogió como excepción lo mismo que recoge el actual RGPD, que, pese a la prohibición de verse sometidos a esa decisión basada en datos destinados a evaluar aspectos de su personalidad, sí que podremos encontrarnos ante esta situación cuando una norma con rango de ley así lo establezca28.
Esto nos es de interés porque la LOPDGDD de 2018 no ha recogido de forma expresa el contenido del artículo 13 de la LOPDCP de 1999 (artículo 15 de la Directiva 95/46/CE), al mismo tiempo que ha introducido el nuevo artículo 58 bis en la LOREG, seguramente porque, a diferencia de las directivas, los reglamentos tienen alcance general y son obligatorios en todos sus elementos y directamente aplicables en cada Estado miembro29, pero, habiendo introducido ese nuevo artículo en la LOREG, quizá hubiese sido mejor si el legislador le hubiese hecho una pequeña referencia a lo que recoge el RGPD de 2016, sin hacer una copia literal, ya que es directamente aplicable.
4 La elaboración de perfiles en el RGPD de 2016
El Reglamento general de protección de datos (RGDP), que renovó la normativa comunitaria en materia de protección de datos, prohíbe el tratamiento de datos personales que revelen las opiniones políticas30, en su artículo 9.1, pero, en su segundo apartado, el artículo 9 recoge diez circunstancias (diez excepciones) en las que no regirá esa prohibición [letras a) a j)]. Algunas de ellas tienen una aplicación limitada a un ámbito concreto (laboral, social, asociativo, sanitario, judicial, etc.) o responden a una finalidad determinada, por lo que, en sí mismas, delimitan los tratamientos específicos que autorizan como excepción a la regla general del artículo 9.1 del RGPD. Algunas circunstancias, además, están condicionadas a que el derecho de la Unión o el de los Estados miembros lo prevean y regulen expresamente en su ámbito de competencias. Asimismo, el propio RGPD recoge, en su considerando n. 10, que reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales («datos sensibles»).
La primera circunstancia habilitante para el tratamiento de los datos personales especialmente protegidos, tal como recoge el apartado a) del artículo 9.2 del RGPD, consiste en el consentimiento explícito del interesado: “cuando el interesado dé su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados”31. Pero el legislador español ha excluido plenamente la eficacia habilitante del consentimiento del afectado: “el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico”32. Además, el legislador ha establecido que para las circunstancias de las letras g), h) e i) del artículo 9.2 del RGPD deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad33.
Entre esas circunstancias o excepciones a la regla general (artículo 9 RGPD), encontramos la que habilita el tratamiento de datos personales que revelen las opiniones políticas cuando sea necesario por razones de un “interés público esencial”, debiendo ser “proporcional al objetivo perseguido”, respetar en lo esencial el derecho a la protección de datos y establecer “medidas adecuadas y específicas” para proteger los intereses y derechos fundamentales del interesado (letra g) del artículo 9.2 RGPD). Es una de las circunstancias que ha intentado “blindar” la LOPDGDD, según la cual esta circunstancia deberá estar recogida en una norma con rango de ley que podrá exigir requisitos adicionales de seguridad y confidencialidad34, por lo que para aplicar esta circunstancia habilitante nos encontramos con los presupuestos que recoge la misma circunstancia, más un requisito preceptivo (“deberán”) y un requisito facultativo (“podrá”) de la LOPDGDD.
En lo que respecta a la elaboración de perfiles, por otro lado, el RGPD ya lo ha previsto en sus considerandos: en su considerando n. 56 ha recogido que los partidos políticos podrán recopilar datos personales sobre las opiniones políticas de las personas “por razones de interés público” si así lo exige “el funcionamiento del sistema democrático”, debiendo ofrecerse, sin embargo, “garantías adecuadas”35.
A ello debemos añadir que el RGPD en el apartado primero de su artículo 22 recoge el derecho del interesado a no ser objeto de una decisión basada únicamente en el tratamiento automatizado y a no ser objeto de elaboración de perfiles, pero, al mismo tiempo, establece que no será evocable ese derecho cuando esté autorizado por el derecho de la Unión o de los Estados miembros, siempre que se establezcan “medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado”36. De las tres excepciones que hacen que el apartado primero del artículo 22 no sea de aplicación, entre las que se encuentra la que acabamos de mencionar, solo dos de ellas llevan consigo “como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión”37, especialidad que no le es de aplicación a la excepción de la autorización por el derecho de la Unión o de los Estados miembros (en este caso preciso, la LOREG).
Debemos recordar que el requisito de consentimiento, como manifestación de voluntad, libre, inequívoca, específica e informada38, junto con los derechos del interesado, es la piedra angular de la protección de datos y su tratamiento39, formando este parte del contenido esencial del derecho40. Y, así, en el RGPD de 2016, el consentimiento y los derechos de interesado forman el contenido esencial del reglamento; y así lo recoge el RGPD41. Pero en este caso concreto de elaboración de perfiles el reglamento recoge las excepciones que quedan por encima del consentimiento, estableciendo una excepción a ese pilar del derecho fundamental, una excepción que debe ser siempre proporcional y sujeta a una interpretación restrictiva.
5 La LOPDGDD de 2018 y el nuevo artículo 58 bis de la LOREG
Habida cuenta del RGPD de 2016 y que a consecuencia de ello la LOPDCP de 1999 quedó obsoleta, el legislador español elaboró a finales del año 2018 la nueva LOPDGDD, que, además de recoger un nuevo régimen de protección relativo a los datos personales, recoger y amparar derechos digitales, adecuó la legislación española al RGPD de 2016, completándolo en la medida que el reglamento les da margen para ello a los Estados miembros.
Esta nueva ley está compuesta por 10 títulos, 97 artículos, 22 disposiciones adicionales, 6 disposiciones transitorias, una disposición derogatoria y 16 disposiciones finales. Debemos tener en cuenta, por otro lado, que, si bien la LOPDGDD ha derogado en gran medida la LOPDCP de 1999, no la ha derogado entera42.
Además de la regulación recogida en el ámbito de la protección de datos y derechos digitales, la LOPDGDD, en su disposición final tercera, modificó el apartado tercero del artículo 39 de la Ley orgánica 5/1985, de 19 de junio, del régimen electoral general (LOREG), e introdujo un nuevo artículo: el artículo 58 bis, sobre la utilización de medios tecnológicos y datos personales en las actividades electorales.
Este precepto no lo recogía el primer proyecto de la LOPDGDD, fue introducido como enmienda en su tramitación en el Congreso de los Diputados (Comisión de Justicia)43, con objeto de “establecer salvaguardas para impedir casos como el que vincula a Cambridge Analytica con el uso ilícito de datos de 50 millones de usuarios de Facebook para mercadotecnia electoral”, enmienda que no tuvo mucha discusión en el debate de totalidad del Pleno del Congreso de los Diputados44, pero sí estuvo presente en el del Senado45.
Conforme a este nuevo artículo 58 bis de la LOREG, “la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos [...] se encontrará amparada en el interés público [...]” (art. 58 bis 1) y, además, “podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral” (art. 58 bis 2).
Esto significa que los partidos políticos, coaliciones o agrupaciones de electores podrán utilizar los datos personales y opiniones personales de la ciudadanía de distintas webs de acceso público (entre ellas, por ejemplo, redes sociales como Twitter o Facebook) y usarlas a voluntad con fines electorales, sin necesidad de obtener el consentimiento del afectado. Es decir, que esto ampara la elaboración de perfiles ideológicos y hacer propaganda electoral a medida de cada persona.
En su apartado quinto, por otro lado, el artículo 58 bis ha regulado que “se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición”, dando cumplimiento, de este modo, al derecho de oposición reconocido por el RGPD (art. 21) y perfilado por la LOPDGDD (art. 18), como derecho del interesado a oponerse al tratamiento de sus datos personales46, intentando así mantener el debido respeto a los derechos que el RGPD otorga al interesado47, derechos que debemos recordar que son personalísimos48.
En lo referente a la tramitación, al haber sido este precepto que modifica la LOREG fruto de una enmienda, ello supone que no ha sido sometido al trámite de consulta e información pública49 (no siendo conocido por la sociedad) y tampoco ha podido ser informado por las administraciones, organismos públicos y órganos constitucionales, ni tan siquiera por la Agencia Española de Protección de Datos (AEPD)50, ni por los órganos constitucionales como son el Consejo General del Poder Judicial y el Consejo de Estado.
También es curioso que el legislador ni se preocupó por modificar directamente la LOREG, en vez de hacerlo de una manera indirecta por una disposición de la LOPDGDD, cuando el mismo día que el BOE publicó la LOPDGDD también publicó, curiosamente, la Ley orgánica 2/2018, de 5 de diciembre, que modifica la LOREG para garantizar el derecho de sufragio de todas las personas con discapacidad51, oportunidad que podría haber aprovechado el legislador para hacer una modificación directa, y, sin embargo, no lo hizo.
En pleno debate en el Senado, la Agencia Española de Protección de Datos (AEPD) publicó una nota de prensa declarando que el precepto no permitía el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas, ni el envío de información personalizada basada en perfiles ideológicos o políticos; solamente permite “la recopilación por parte de los partidos políticos de datos personales relativos a opiniones políticas para obtener información que les permita pulsar las inquietudes de los ciudadanos con el fin de poder darles respuesta en sus propuestas electorales”52.
Teniendo en cuenta la importancia del precepto, la AEPD elaboró un informe jurídico53 donde razonó que el nuevo artículo no posibilitaba la elaboración de perfiles ideológicos, puesto que se había suprimido el término “tratamiento” recogido en la enmienda 331 inicialmente presentada en el Congreso de los Diputados, misma línea que se siguió en el debate en el Senado54. Una vez aprobada la LOPDGDD, la AEPD emitió una circular el 7 de marzo de 201955, dándole continuidad a dicho informe, con objeto de interpretar este nuevo artículo introducido en la LOREG y fijar los criterios del mismo, compuesta por una exposición de motivos (que recoge parte de lo expuesto en el informe jurídico de 2018), once artículos, una disposición transitoria y una disposición final.
Según la AEPD, este nuevo artículo debe ser interpretado “de forma restrictiva y conforme a lo establecido en la Constitución española, de modo que no conculque derechos fundamentales”. Las opiniones políticas deberán ser libremente expresadas (art. 5.1), el tratamiento que se realice deberá ser “proporcional al objetivo perseguido” (art. 6.1) y se establecen garantías (art. 7) como, entre otras, que los partidos adopten medidas apropiadas, designar un delegado de protección de datos, realizar evaluaciones de impacto, etc. También recoge un deber de información que deberá realizarse en forma “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo” (art. 8).
Al fin y al cabo, lo que supone el artículo 58 bis de la LOREG y la habilitación para ello del RGPD es una injerencia sobre nuestros derechos fundamentales, con base legal, por ello lo que requiere el análisis es si se han dado todos los presupuestos para que esa injerencia sea una condición permitida por el derecho o una injerencia desproporcionada sobre nuestros derechos fundamentales.
Para ello, podemos tener en cuenta también el triple análisis de proporcionalidad del TEDH, análisis que se basa en tres requisitos: prevista por la ley, atender a un fin legítimo y ser necesaria en una sociedad democrática56. Dentro del primer requisito, prevista por la ley, debe haber una existencia de una base legal en el derecho interno y el tribunal analiza también la calidad de la ley, la cual desglosa en accesibilidad y en previsibilidad de dicha ley57. Deberemos por todo ello analizar si se dan los presupuestos planteados por el RGPD y la legislación española y si la medida resulta proporcional.
5.1 El nuevo artículo 58 bis de la LOREG desde el punto de vista material: “interés público esencial” y “medidas adecuadas y específicas” del RGPD
Para empezar, debemos apuntar que la base jurídica del artículo 58 bis de la LOREG lo encontramos en la habilitación de la letra g) del artículo 9.2 del RGPD, por lo que, ya que se ha basado en esa habilitación, debemos analizar si se han cumplido los presupuestos que recoge la misma: 1) basado en un “interés público esencial”, 2) proporcional al objetivo perseguido (respetando en lo esencial el derecho a la protección de datos) y 3) establecer “medidas adecuadas y específicas” (art. 9.2.g RGPD).
Debemos comenzar diferenciando el “interés público” que “el funcionamiento del sistema democrático exige” del considerando n. 56 y el “interés público esencial” del artículo 9.2.g del RGPD; así lo ha establecido el Supervisor Europeo de Protección de Datos58, diferenciando, del mismo modo, las “garantías adecuadas” (considerando n. 56) y las “medidas adecuadas y específicas” (art. 9.2.g RGPD).
Está claro, por otra parte, que el requisito básico será el “interés público esencial”, puesto que es este el que hace que no se aplique la prohibición de tratamiento de datos que releven opiniones políticas, si no, estaríamos aplicando la excepción de la prohibición del artículo 9.2.g, bajo un requisito que no es el aplicable y soslayando la condición sine qua non de dicho artículo que recoge la excepción a la que está directamente anudada. Es decir, que se estaría utilizando una excepción de un artículo, pero haciendo uso de la condición de otro, “burlando” el requisito de esa excepción.
Al hablar de ese “interés público esencial”59, trascendemos de la “razonabilidad” del tratamiento; según la autoridad inglesa de protección de datos, “la cuestión es si el tratamiento es objetivamente necesario para la finalidad indicada, no si es una parte necesaria del método de tratamiento elegido por el responsable”60.
El Grupo de Trabajo del Artículo 29 (GT29), en su Dictamen WP21761, declaró que “si el tratamiento conlleva una invasión de la privacidad, la base jurídica deberá ser lo suficientemente específica y precisa a la hora de definir el tipo de tratamiento de datos que puede permitirse”62. Además, se requiere una interpretación estricta y una clara identificación, caso por caso, del interés público en juego63.
El nuevo artículo 58 bis de la LOREG recoge que concurre “interés público”, pero no especifica dicho interés y, por supuesto, sin hacer referencia a la necesidad de un tipo de interés público “esencial”. Es muy visible que el legislador ha basado este nuevo precepto en el considerando n. 56, pues ha hecho referencia a ese “interés público” que “el funcionamiento del sistema democrático exige”, y no al “interés público esencial”, que es el requisito básico de la aplicación de la excepción de la prohibición del artículo 9.2.g del RGPD y mucho más restrictivo.
El artículo 58 bis no muestra ese nexo de necesidad, ni tampoco justifica la debida proporcionalidad que debe existir siempre entre la limitación de derechos y la medida adoptada, lo que supone la recopilación de sus datos personales obtenidos en páginas web con un interés público que no se cataloga de esencial y ni siquiera se especifica.
Por ello, el precepto vulnera el requisito de necesidad y de “interés público esencial” exigido y exigible por el RGPD.
Pero incluso si se recogiese un “interés público” o general, y no el debido “interés público esencial” –que ya hemos visto que no es posible, pero supongamos–, el artículo 58 bis seguiría sin cumplir los requisitos. Según la reiterada jurisprudencia del TJUE, debemos entender por “interés general” que hace que este prevalezca, entre otros la lucha contra el terrorismo internacional para el mantenimiento de la paz y la seguridad internacionales64, lucha contra la delincuencia grave para garantizar la seguridad pública65, etc. El TJUE, sin embargo, ha sido extremadamente restrictivo con esa prevalencia y, por ejemplo, en el caso Digital Rights Ireland y Seitlinger y otros, el tribunal anuló la Directiva 2006/24/CE66, porque posibilitaba la conservación de algunos datos, expresando que aunque sí se cumplía el requisito de “interés general” este no puede servir para justificar cualquier medida67. Así que esta modificación de la LOREG sería injustificable incluso en esta situación hipotética.
En cuanto a las garantías, por otro lado, otro de los requisitos del RGPD es que se deben adoptar “medidas adecuadas y específicas” (art. 9.2.g RGPD), no únicamente “garantías adecuadas” (considerando n. 56). En este sentido, el artículo 58 bis LOREG no incluye medidas y garantías específicas de ningún tipo, sino que, en cambio, hace una pequeña referencia a “garantías adecuadas”, término más genérico que entraña una menor protección que el de “medidas adecuadas y específicas” ligado a los tratamientos que puedan realizarse en nombre de un “interés general esencial”68.
La redacción literal de la disposición establece que: “se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas”. En esa redacción da por hecho que la medida está basada en un interés público (sin decir cuál) y lo une a las garantías (nos hace entender que habrá un interés público cuando haya esas garantías, es decir, que el hecho de haber garantías presupone un interés público), cuando son dos requisitos autónomos: que se dé un interés público esencial (razonado, motivado, justificado) y, por otro lado, que se establezcan unas garantías adecuadas. El artículo 58 bis LOREG, apartado 1, por lo tanto, contiene una redacción que modifica y burla la normativa comunitaria y la propia LOPDGDD para hacer posible un tratamiento de datos que estaría prohibido tanto por el derecho comunitario como por el español (9.1 RGPD y 9.2 LOPDGDD).
El artículo 23 del RGPD, asimismo, establece que se podrá limitar el derecho de la Unión o de los Estados miembros que se aplique al responsable o al encargado del tratamiento “cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática”, y establece, además, diez disposiciones específicas que, como mínimo, deberá recoger tal medida legislativa (entre ellas, finalidad, categoría, alcance, garantías, plazos, riesgos, etc.).
Conviene recordar, del mismo modo, que dentro del ya mencionado análisis de la proporcionalidad de la injerencia, según jurisprudencia reiterada del TJUE, el principio de proporcionalidad exige que los actos sean adecuados para lograr los objetivos legítimos perseguidos por la normativa de que se trate y no rebasen los límites de lo que resulta apropiado y necesario para el logro de dichos objetivos69, escogiendo siempre la menos restrictiva, cuando se ofrezca una elección entre varias medidas adecuadas, y los inconvenientes ocasionados, no debiendo ser desmesurados con respecto a los objetivos perseguidos70.
5.2 El nuevo artículo 58 bis de la LOREG desde el punto de vista formal: reserva de ley
El segundo punto que deberemos analizar será qué tipo de norma debe recoger la medida, el “interés público esencial” y las “medidas adecuadas y específicas”, teniendo en cuenta que nos encontramos ante una medida restrictiva de nuestros derechos fundamentales71. Como hemos mencionado, el legislador español ha establecido que la circunstancia de la letra g) del artículo 9.2 del RGPD, entre otras, deberá estar amparada en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad (art. 9.2 LOPDGDD). Pero, ¿solo la medida? La respuesta es clara: no. Lo que debe estar amparado con una norma con rango de ley es la medida y todos los presupuestos que hacen posible la medida (“interés público esencial” y las “medidas adecuadas y específicas”).
La siguiente pregunta sería: ¿cualquier norma con rango de ley? Para ello debemos tener en cuenta que el artículo 58 bis de la LOREG puede suponer una injerencia sobre el derecho a la protección de datos, derecho fundamental72 autónomo73 que consagra en sí mismo un derecho o libertad fundamental74, con sede en el artículo 18.4 de la CE75, por lo que, al tratarse de una medida restrictiva de nuestros derechos fundamentales, deberá ser ley orgánica (art. 53.1 CE), respetando siempre su contenido esencial. De lo cual deducimos que, según el RGPD, la LOPDGDD y la propia CE, la habilitación de la letra g) del artículo 9.2 del RGPD y sus presupuestos deben estar recogidos en una ley orgánica.
Debemos tener en cuenta que, según el TC, si bien la reserva de ley orgánica que se aplica al desarrollo de los derechos fundamentales, como parte de la especial protección que la CE dispensa a los derechos y libertades76, posee un cierto alcance, a fin de evitar petrificaciones del ordenamiento77, cuando se trate de disposiciones que sean restrictivas de derechos fundamentales –aun no siendo de “desarrollo” –, regirá la reserva de ley para fijar las garantías adecuadas y específicas frente a ellas78, cumpliendo siempre el principio de calidad de la ley que restringe derechos79.
Además de ser ley orgánica, asimismo, el apartado tercero del artículo segundo de la nueva LOPDGDD recoge expresamente que los tratamientos que estén fuera del ámbito de aplicación del RGPD (por no estar comprendidas en el ámbito de aplicación del derecho comunitario) se regirán por su legislación específica (si no la hubiere, por el RGPD y, supletoriamente, por la LOPDGDD) y menciona de forma expresa los “tratamientos realizados al amparo de la legislación orgánica del régimen electoral general”80. Esto quiere decir que la LOPDGDD ha recogido expresamente que el tratamiento de datos en ámbito electoral, donde encontramos la elaboración de perfiles que es objeto de análisis, requiere que esté regulado por esa normativa específica: la LOREG.
En suma, que la LOREG (ley orgánica específica de la materia) recoja la medida cumple con el RGPD, la LOPDGDD y la CE; pero ¿y los presupuestos de la habilitación?, ¿dónde hemos mencionado que se han recogido las medidas adecuadas y específicas? En la Circular 1/2019, de 7 de marzo, de la AEPD, es decir, una norma con rango reglamentario. Se ha intentado validar la injerencia en nuestros derechos fundamentales con un reglamento, lo que es un despropósito absoluto. No “existen”, por lo tanto, esas medidas adecuadas y específicas, porque, aunque estén recogidas en la Circular 1/2019, no podemos tenerlas en cuenta porque vulneran el artículo 9.2 LOPDGDD y el artículo 53.1 CE, artículos que también resultan vulnerados, puesto que la misma disposición no ha establecido cuál es el interés público esencial, como hemos apuntado en el anterior apartado.
El Consejo de Estado, en su dictamen, también declaró sobre esa reserva de ley: “El anteproyecto hace un primer uso de esta habilitación con la finalidad de establecer una reserva de ley para la regulación de los tratamientos de datos fundados en las citadas causas. No se trata, por tanto, de una mera reiteración del contenido del reglamento, sino de una previsión dirigida a garantizar que el desarrollo del mismo se realice con respeto a las exigencias de la Constitución española, en particular de su artículo 53.1”81.
5.3 El nuevo artículo 58 bis de la LOREG: algunas cuestiones sobre el fondo
Ya hemos visto que el nuevo artículo 58 bis de la LOREG incumple el RGPD en su vertiente material y formal. Sin embargo, nos conviene mencionar también, de manera sucinta, algunas cuestiones sobre el fondo en lo que respecta a este asunto.
Este nuevo precepto podría vulnerar el derecho a la libertad ideológica, y debemos recordar que sin libertad ideológica no serían posibles los valores superiores del ordenamiento jurídico que se propugnan en el artículo 1.1 de la CE para constituir el Estado social y democrático de derecho que en dicho precepto se instaura82.
La libertad de expresión e información puede resultar también lesionada, en relación con la libertad ideológica, libertad que comprende una dimensión externa de agere licere, con arreglo a las propias ideas sin sufrir por ello sanción o demérito ni padecer la compulsión o la injerencia de los poderes públicos83. A la libertad ideológica que consagra el artículo 16.1 CE le corresponde «el correlativo derecho a expresarla que garantiza el artículo 20.1 a)»84 a comunicarla públicamente, indisolublemente unida al pluralismo político y, por ello, fundamento del funcionamiento de un Estado democrático85. Entonces, si los partidos políticos pueden recopilar opiniones personales de páginas web, como redes sociales, entre otras, ¿dónde queda el derecho a comunicar libremente las ideas propias?
También encontraremos en esta colisión el derecho a la participación política, derecho a participar “libremente”, libertad que es “valor superior” del ordenamiento jurídico español, y reconoce, como principio general inspirador del mismo, la autonomía del individuo para elegir entre las diversas opciones vitales que se le presenten, de acuerdo con sus propios intereses y preferencias86.
En este sentido, por último, la AEPD ya ha dejado claro que constituye una vulneración de la protección de datos realizar una encuesta en la que se soliciten datos de ideología y religión sin recabar el consentimiento expreso, escrito e informado de los afectados87.
6 Síntesis de la Sentencia 76/2019, de 22 de mayo de 2019, del Tribunal Constitucional
La constitucionalidad de este artículo fue analizada por el TC en su Sentencia 76/2019, de 22 de mayo, la cual resolvió el recurso de inconstitucionalidad promovido por el Defensor del Pueblo y se pronunció sobre la constitucionalidad del apartado 1 del artículo 58 bis. La impugnación central del recurso se refería al artículo 18.4 CE en conexión con el artículo 53.1 CE. A juicio del tribunal, ya que las alegaciones de las partes no lo controvierten, el artículo 58 bis de la LOREG (apartado 1.º) constituye una injerencia en el derecho fundamental a la protección de datos personales garantizado por el artículo 18.4 CE, por lo que lo que debe decidir el TC es si la citada disposición legal (la que habilita la injerencia) cumple con las exigencias que derivan de la CE y de la doctrina constitucional88.
El TC basa en tres elementos la impugnación central del recurso, los cuales podrían confluir en una doble vulneración de los artículos 18.4 y 53.1 CE89: a) que la disposición legal recurrida no haya determinado por sí misma la finalidad del tratamiento de datos personales que revelen opiniones políticas, más allá de la genérica mención al «interés público»; b) que no haya limitado el tratamiento regulando pormenorizadamente las restricciones al derecho fundamental; y c) que no haya establecido ella misma las garantías adecuadas para proteger los derechos fundamentales afectados. Así, el tribunal razona su decisión en los fundamentos jurídicos 4.º a 9.º, en los que analiza si se cumplen esos tres elementos siguiendo la CE, el RGPD, la LOPDGDD y la doctrina constitucional.
Para resolver el litigio principal, el TC comienza su fundamentación jurídica en el artículo 9 del RGPD90, la prohibición del tratamiento de datos personales que revelen las opiniones políticas. Si bien el TC tiene en cuenta la excepción del apartado segundo, como ya hemos mencionado en los anteriores apartados de este trabajo, alude al requisito de tomar «medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado» (art. 9.2.g) RGPD) y al de «estar amparados en una norma con rango de ley», así como al considerando n. 56 y a la necesidad de proteger la integridad del proceso democrático, haciendo referencia también al artículo 9.2 LOPDGDD y a su exigencia («deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad»)91. En suma, según el tribunal el artículo 58 bis (apartado 1) contiene una modificación normativa introducida por el legislador orgánico para hacer posible un tratamiento de datos que, de no existir dicha habilitación, estaría prohibido tanto por el derecho de la Unión como por nuestro ordenamiento jurídico, pues así lo establecen los artículos 9.1 del RGPD y 9.2 de la LOPDGDD92.
Continúa el tribunal declarando que los datos personales que pueden recopilarse integran una categoría especial de datos93 y, siguiendo su doctrina, declara que el derecho a la protección de datos es un derecho fundamental autónomo, pero, además, constituye un derecho instrumental ordenado a la protección de otros derechos fundamentales, esto es, «un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos», por lo que el derecho fundamental a la protección de datos resulta afectado desde una doble perspectiva: como derecho fundamental autónomo y como derecho instrumental, en este caso, ordenado a la protección del derecho fundamental a la libertad ideológica94.
El tribunal reconoce, sin embargo, que no es un derecho absoluto y puede ser restringido mediante ley, siempre que ello responda a un fin de interés general, y los requisitos y el alcance de la restricción estén suficientemente precisados en la ley y respeten el principio de proporcionalidad. A los efectos del presente proceso, deben destacarse dos requisitos de esos límites: 1) responder a un fin constitucionalmente legítimo o encaminarse a la protección o la salvaguarda de un bien constitucionalmente relevante, y, además, ser proporcionadas al fin perseguido con ellas y 2) precisar de una habilitación legal, ya incida directamente sobre su desarrollo (art. 81.1 CE), o limite o condicione su ejercicio (art. 53.1 CE)95.
En ese ámbito formal de la reserva de ley, continúa el TC, existe una doble exigencia: por un lado, la necesaria intervención de la ley para habilitar la injerencia; y, por otro lado, esa norma legal «ha de reunir todas aquellas características indispensables como garantía de la seguridad jurídica», esto es, «ha de expresar todos y cada uno de los presupuestos y condiciones de la intervención», ya que, aun teniendo un fundamento constitucional, las limitaciones del derecho fundamental establecidas por una ley «pueden vulnerar la Constitución si adolecen de falta de certeza y previsibilidad en los propios límites que imponen y su modo de aplicación», pues «la falta de precisión de la ley en los presupuestos materiales de la limitación de un derecho fundamental es susceptible de generar una indeterminación sobre los casos a los que se aplica tal restricción»; «al producirse este resultado, más allá de toda interpretación razonable, la ley ya no cumple su función de garantía del propio derecho fundamental que restringe, pues deja que en su lugar opere simplemente la voluntad de quien ha de aplicarla»96.
En opinión del tribunal, la mera inexistencia de «garantías adecuadas» o de las «mínimas exigibles a la ley» constituye de por sí una injerencia en el derecho fundamental, de gravedad similar a la que causarían intromisiones directas en su contenido nuclear. La exigencia de «garantías adecuadas» se fundamenta, por tanto, en el respeto del contenido esencial del derecho fundamental97. La necesidad de disponer de garantías adecuadas es especialmente importante cuando el tratamiento afecta a categorías especiales de datos (datos sensibles), pues el uso de estos últimos es susceptible de comprometer más directamente la dignidad, la libertad y el libre desarrollo de la personalidad; garantías adecuadas que deben velar por que el tratamiento de datos se realice en condiciones que aseguren la transparencia, la supervisión y la tutela judicial efectiva, y deben procurar que los datos no se recojan de forma desproporcionada y no se utilicen para fines distintos de los que justificaron su obtención98.
Las opiniones políticas, según sentencia el TC, son datos personales sensibles cuya necesidad de protección es, en esa medida, superior a la de otros datos personales. Por tanto, el legislador está constitucionalmente obligado a adecuar la protección que dispensa a dichos datos personales, en su caso, imponiendo mayores exigencias a fin de que puedan ser objeto de tratamiento y previendo garantías específicas en su tratamiento, además de las que puedan ser comunes o generales99.
Por todo lo razonado, el TC expresa que la disposición legal impugnada:
a) No especifica el interés público esencial que fundamenta la restricción del derecho fundamental; presupone que ha de existir, pero no llega a especificarlo, lo que supone que la disposición legal recurrida no ha determinado por sí misma la finalidad del tratamiento de datos personales que revelen opiniones políticas, más allá de la genérica mención al «interés público»100.
b) No limita el tratamiento regulando pormenorizadamente las restricciones al derecho fundamental, solo recoge una condición limitativa: la recopilación solo podrá llevarse a cabo «en el marco de sus actividades electorales». Se trata de una condición que apenas contribuye a constreñir el uso de la habilitación conferida. Es decir, no se ha limitado el tratamiento regulando pormenorizadamente las restricciones al derecho fundamental101.
c) Su redacción literal ni contiene ni especifica en forma alguna las garantías y se limita a reconocer que deben ofrecerse «garantías adecuadas», sin más precisiones. No ha establecido ella misma las garantías adecuadas para proteger los derechos fundamentales afectados102.
Concluye el tribunal que todo ello supone que el artículo 58 bis apartado 1 de la LOREG no ha identificado la finalidad de la injerencia para cuya realización se habilita a los partidos políticos, ni ha delimitado los presupuestos ni las condiciones de esa injerencia, ni ha establecido las garantías adecuadas que para la debida protección del derecho fundamental a la protección de datos personales reclama la doctrina constitucional. Esto produce, de esta forma, tres vulneraciones del artículo 18.4 CE en conexión con el artículo 53.1 CE, autónomas e independientes entre sí, todas ellas vinculadas a la insuficiencia de la ley, redundando las tres en la infracción del mandato de preservación del contenido esencial del derecho fundamental (art. 53.1 CE): por una parte, la insuficiente adecuación de la norma legal impugnada a los requerimientos de certeza crea un peligro, en el que reside precisamente dicha vulneración y, por otra parte, la indeterminación de la finalidad del tratamiento y la inexistencia de «garantías adecuadas» o las «mínimas exigibles a la Ley» constituyen en sí mismas injerencias en el derecho fundamental de gravedad similar a la que causaría una intromisión directa en su contenido nuclear103.
Por todo ello, el TC falla estimando el recurso y declara inconstitucional el artículo 58 bis de la LOREG señalando que las opiniones políticas son datos personales sensibles cuya necesidad de protección es superior a la de otros datos personales y que la disposición legal impugnada no ha identificado la finalidad de la injerencia para cuya realización se habilita a los partidos políticos, ni ha delimitado los presupuestos ni las condiciones de esa injerencia ni ha establecido las garantías adecuadas.
7 Conclusiones
Debemos concluir que, analizado el nuevo artículo 58 bis de la LOREG, este incumple tanto el RGPD como la LOPDGDD y la CE. La disposición no ha recogido los presupuestos que habilitan el tratamiento de los datos personales que revelen opiniones políticas y supone una injerencia desproporcionada en nuestros derechos fundamentales, una injerencia que se ha intentado justificar con una norma reglamentaria. Vulnera, de este modo, el derecho fundamental a la protección de datos y el derecho a la libertad ideológica, y podría vulnerar, del mismo modo, el derecho a la libertad de expresión y el derecho a la participación política. El precepto obvia toda medida que pueda garantizar el derecho a la protección de datos, permitiendo un uso discriminado y sin legitimación para ello por parte de los partidos políticos, y no resulta proporcional al objetivo perseguido.
La enmienda que introdujo el nuevo precepto de la LOREG se razonó defendiendo que era necesaria para evitar casos como el de Cambridge Analytica, pero parece que con este nuevo artículo estaríamos más cerca de un “Cambridge Analytica español” que sin ella. El legislador debería, por lo tanto, de lege ferenda, reformular el artículo 58 bis de la LOREG (actualmente inconstitucional), en un proyecto independiente de reforma de la ley orgánica específica que recoja de un modo concreto todos los requisitos del RGPD y criterios del TJUE, TEDH y TC, para proteger a la ciudadanía y evitar vulneraciones de derechos fundamentales y libertades públicas.
Bibliografía
ARZOZ SANTIESTEBAN, X., Videovigilancia, seguridad ciudadana y derechos fundamentales, Thomson Reuters Civitas, Cizur Menor, 2010.
HOWARD, P. N., y JONES, S. (eds.), Sociedad on-line: Internet en contexto, Editorial UDOC, Barcelona, 2005.
LUCAS MURILLO DE LA CUEVA, P. L., El Derecho a la Autodeterminación Informativa. La Protección de los Datos Personales Frente al Uso de la Informática, Tecnos, Madrid, 1990.
PÉREZ LUÑO, A. E., Derechos Humanos, Estado de Derecho y Constitución, Tecnos, Madrid, 1991.
REBOLLO DELGADO, L., y SERRANO PÉREZ, M. M., Manual de Protección de Datos, Dykinson, Madrid, 2018.
RUIZ MIGUEL, C., El derecho a la protección de la vida privada en la jurisprudencia del Tribunal Europeo de Derechos Humanos, Civitas, Madrid, 1994.
SÁNCHEZ BRAVO, Á. A., La protección del derecho a la libertad informática en la Unión Europea, Universidad de Sevilla, Secretariado de Publicaciones, Sevilla, 1998.
SERRANO LÓPEZ, M. M., “El derecho fundamental a la Protección de Datos. Su contenido esencial”, Nuevas Políticas Públicas: Anuario multidisciplinar para la modernización de las Administraciones Públicas, n. 1, 2005.
TRONCOSO REIGADA, A., Comentario a la Ley Orgánica de Protección de Datos de Carácter Personal, Civitas, Madrid, 2010.
1 Diario Oficial de la Unión Europea n. 119, de 14 de mayo de 2016.
2 Recurso de inconstitucionalidad n. 1405-2019, contra el artículo 58 bis 1 de la Ley orgánica 5/1985, de 19 de junio, del régimen electoral general, incorporado a esta por la disposición final tercera, punto dos, de la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (BOE n. 64, de 15 de marzo de 2019, p. 25384). Admitido a trámite a principios de marzo de 2019: TC. Providencia de admisión, 12 de marzo de 2019, n. de asunto 1405-2019. Recurso de inconstitucionalidad promovido por el Defensor del Pueblo.
3 Art. 162.1.a) de la CE, art. 32.1 de la Ley orgánica 2/1979, de 3 de octubre, del Tribunal Constitucional, y art. 29 de la Ley orgánica 3/1981, de 6 de abril, del Defensor del Pueblo.
4 Cfr. STC 254/1993, de 20 de julio.
5 SSTC 11/1998, de 13 de enero, FFJJ 4.º y 5.º; 33/1998, de 11 de febrero; 35/1998, de 11 de febrero; 45/1998, de 24 de febrero; 60/1998, de 16 de febrero; 77/1998, de 31 de marzo; 94/1998, de 4 de mayo; 104/1998, de 18 de mayo; 105/1998, de 18 de mayo; 106/1998, de 18 de mayo; 123/ 1998, de 15 de junio; 124/1998, de 15 de junio; 126/1998, de 15 de junio; 158/1998, de 13 de julio; 198/1998, de 13 de octubre; 223/1998, de 24 de noviembre; 30/1999, de 8 de marzo; 44/1999, de 22 de marzo, y 45/1999, de 22 de marzo.
6 LUCAS MURILLO DE LA CUEVA, P. L., El Derecho a la Autodeterminación Informativa. La Protección de los Datos Personales Frente al Uso de la Informática, Tecnos, Madrid, 1990, p. 23, y PÉREZ LUÑO, A. E., Derechos Humanos, Estado de Derecho y Constitución, Tecnos, Madrid, 1991, p. 37.
7 STC 292/2000, de 30 de noviembre, FJ 5.º
8 STC 292/2000, de 30 de noviembre, FJ 5.º
9 STC 96/2012, de 7 de mayo, FJ 6.º
10 STC 96/2012, de 7 de mayo, FJ 6.º
11 STC 17/2013, de 31 de enero, FJ 4.º
12 SSTC 11/1998, de 13 de enero, FJ 5.º; 96/2012, de 7 de mayo, FJ 6.º, y 151/2014, de 25 de septiembre, FJ 7.º
13 STC 76/2019, de 22 de mayo de 2019, FJ 5.º
14 SSTC 11/1998, de 13 de enero, FJ 5.º; 60/1998, de 16 de marzo, FJ 1.º; 124/1998, de 15 de junio, FJ 2.º; y 126/1998, de 15 de junio, FJ 2.º
15 STC 76/2019, de 22 de mayo de 2019, FJ 5.º
16 Art. 4, apartado 1, RGPD
17 ARZOZ SANTIESTEBAN, X., Videovigilancia, seguridad ciudadana y derechos fundamentales, Thomson Reuters Civitas, Cizur Menor, 2010, p. 149.
18 Art. 5.1, apartado f), del Real decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. BOE n. 17, de 19/01/2008.
19 Art. 4, apartado 1, RGPD.
20 STEDH 27798/1995, de 16 de febrero de 2000, Amann contra Suiza, ap. 65; y STC 292/2000, de 30 de noviembre, FJ 6.º También SAN de 24 de enero de 2003, n. rec. 400/2001, FJ 5.º
21 Diario Oficial de la Unión Europea n. 281, de 23 de noviembre de 1995.
22 REBOLLO DELGADO, L., y SERRANO PÉREZ, M. M., Manual de Protección de Datos, Dykinson, Madrid, 2018, pp. 209 y 210.
23 REBOLLO DELGADO, L., y SERRANO PÉREZ, M. M., Manual de Protección de Datos, cit., p. 210.
24 Real decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
25 Art. 36.1 del Real decreto 1720/2007, de 21 de diciembre.
26 REBOLLO DELGADO, L., y SERRANO PÉREZ, M. M., Manual de Protección de Datos, cit., p. 210.
27 TRONCOSO REIGADA, A., Comentario a la Ley Orgánica de Protección de Datos de Carácter Personal, Civitas, Madrid, 2010, p. 1.132. También “estabilidad emocional, tolerancia a la frustración, sensibilidad ante determinadas realidades de la sociedad actual, etc.”.
28 Art. 36.2.b del Real decreto 1720/2007, de 21 de diciembre.
29 Art. 288 TFUE.
30 También datos personales que revelen el origen étnico o racial, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos y datos relativos a la salud, a la vida sexual o la orientación sexual.
31 Art. 9.2.a) RGPD.
32 Art. 9.1 LOPDGDD.
33 Art. 9.2 LOPDGDD.
34 Art. 9.2 LOPDGDD.
35 RGPD, considerando n. 56.
36 Art. 22.2.b RGPD.
37 Art. 22.3 RGPD.
38 Art. 3.h LOPDCP de 1999.
39 HOWARD, P. N., y JONES, S. (eds.), Sociedad on-line: Internet en contexto, Editorial UDOC, Barcelona, 2005, p. 323.
40 SERRANO LÓPEZ, M. M., “El derecho fundamental a la Protección de Datos. Su contenido esencial”, Nuevas Políticas Públicas: Anuario multidisciplinar para la modernización de las Administraciones Públicas, n. 1, 2005, pp. 245-265, p. 255.
41 Art. 4.11 y 7 RGPD.
42 En su disposición derogatoria única, la LOPDGDD ha establecido que queda derogada la LOPDCP de 1999, sin perjuicio de lo previsto en la disposición adicional decimocuarta y en la disposición transitoria cuarta. De este modo, la ley ha recogido expresamente que los artículos 23 y 24 de la LOPDCP de 1999 seguirán en vigor, en tanto no sean expresamente modificadas, sustituidas o derogadas (disposición adicional decimocuarta) y también seguirá en vigor el artículo 22 de la LOPDCP de 1999, pero este último con carácter transitorio, en tanto no entre en vigor la norma que trasponga al derecho español lo dispuesto en la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión marco 2008/977/JAI del Consejo. Es decir, los artículos en relación a ficheros de las fuerzas y cuerpos de seguridad (art. 22), excepciones a los derechos de acceso, rectificación y cancelación (art. 23) y otras excepciones a los derechos de los afectados (art. 24).
43 Enmienda n. 332 al Proyecto 121/000013 de Ley orgánica de protección de datos de carácter personal. BOCG. Congreso de los Diputados, n. A-13-2, de 18 de abril de 2018, pp. 209 y 210.
44 Diario de Sesiones. Congreso de los Diputados, n. 104, de 15 de febrero de 2018, pp. 28-39.
45 Diario de Sesiones. Senado, n. 90, de 21 de noviembre de 2018, pp. 203-217.
46 SÁNCHEZ BRAVO, Á. A., La protección del derecho a la libertad informática en la Unión Europea, Universidad de Sevilla, Secretariado de Publicaciones, Sevilla, 1998, p. 97.
47 Los llamados derechos “ARSLOP”: derecho de acceso (art. 15 RGPD y art. 13 LOPDGDD), derecho de rectificación (art. 16 RGPD y art. 14 LOPDGDD), derecho de cancelación (art. 17 RGPD y art. 15 LOPDGDD), derecho de limitación (art. 18 RGPD y art. 16 LOPDGDD), derecho de oposición (art. 21 RGPD y art. 18 LOPDGDD) y derecho de portabilidad (art. 20 RGPD y art. 17 LOPDGDD).
48 REBOLLO DELGADO, L., y SERRANO PÉREZ, M. M., Manual de Protección de Datos, cit., p. 183.
49 Art. 133 de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas.
50 La disposición final duodécima de la LOPDGDD, por ejemplo, que modifica los apartados 2 y 3 del artículo 28 de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas (LPAC), contenía el denominado “consentimiento tácito”, no permitido por el RGPD, y la AEPD, antes de la aprobación de la LOPDGDD, se pronunció en el sentido de que su contenido no era conforme al reglamento europeo.
51 BOE n. 294, de 6 de diciembre de 2018, BOE-A-2018-16672.
52 Agencia Española de Protección de Datos (2018). Nota de Prensa. Criterio de la Agencia Española de Protección de Datos sobre cuestiones electorales en el proyecto de nueva LOPD (Madrid, 21 de noviembre de 2018), https://www.aepd.es/prensa/2018-11-21.html.
53 Informe del Gabinete Jurídico de la AEPD 2018.
54 Diario de Sesiones. Senado, n. 90, de 21 de noviembre de 2018, pp. 203-217, p. 209.
55 Circular 1/2019, de 7 de marzo, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores al amparo del artículo 58 bis de la Ley orgánica 5/1985, de 19 de junio, del régimen electoral general (Disposición 3423 del BOE n. 60, de 11 de marzo de 2019).
56 TEDH (Pleno), 26 de noviembre de 1991, caso Observer y Guardian c. Reino Unido, ap. 49.
57 RUÍZ MIGUEL, C., El derecho a la protección de la vida privada en la jurisprudencia del Tribunal Europeo de Derechos Humanos, Civitas, Madrid, 1994, pp. 91 y ss.
58 Supervisor Europeo de Protección de Datos. Developing a toolkit for assessing the necessity of measures that interfere with fundamental rights, 2016. https://edps.europa.eu/sites/ edp/files/publication/16-06-16_necessity_paper_for_consultation_en.pdf.
59 Art. 9.2.g RGPD.
60 “The question is whether the processing is objectively necessary for the stated purpose, not whether it is a necessary part of your chosen methods.” Information Commissioner’s Office, Overview of the General Data Protection Regulation. https://ico.org.uk/media/for-organisations/data-protection-reform/overview-of-the-gdpr-1-13.pdf.
61 GT29. Dictamen (WP 217) 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE. Adoptado el 9 de abril de 2014.
62 GT29. Dictamen (WP 217) 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE. Adoptado el 9 de abril de 2014, p. 26.
63 GT29. Dictamen (WP 217) 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE. Adoptado el 9 de abril de 2014, p. 27.
64 STJUE (Gran Sala) de 3 de septiembre de 2008, asuntos C-402/05 P y C-415/05 Kadi y Al Barakaat International Foundation/Consejo y Comisión, ap. 363. STJUE (Sala Tercera) de 15 de noviembre de 2012, asuntos C-539/10 P y C-550/10 P Al- Aqsa/Consejo, ap. 130.
65 STJUE (Gran Sala) de 23 de noviembre de 2010, asunto C-145/09 Land Baden-Württemberg contra Panagiotis Tsakouridis, ap. 46 y 47.
66 Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE. Diario Oficial de la Unión Europea n. 105, de 13 de abril de 2006.
67 STJUE (Gran Sala) de 8 de abril de 2014, asuntos acumulados C-293/12 y C-594/12 Digital Rights Ireland y Seitlinger y otros, ap. 45 y ss.
68 Este problema se nos agrava al seguir su evolución parlamentaria, puesto que la redacción original de la enmienda 331 sí establecía, en un segundo apartado, un tipo de garantías específicas, o más específicas, al menos (tales como evaluación de impacto, deber de información, etc.), pero en la publicación del BOE desaparecieron. También es curioso que en la disposición adicional 17.ª de la LOPDGDD que regula el uso de datos de salud, recoge el tratamiento realizado sobre la base de un interés público, mencionándose expresamente la habilitación del artículo 9.2.g RGPD y algunas medidas de garantía específicas.
69 STJUE (Gran Sala) de 9 de noviembre de 2010, asuntos acumulados C-92/09 and C-93/09, Volker und Markus Schecke GbR y Hartmut Eifert/Land Hessen, ap. 46. STJUE (Cámara Cuarta) de 8 de julio de 2010, asunto C-343/09 Afton Chemical, ap. 45. STJUE (Gran Sala) de 9 de noviembre de 2010, asunto C-92/09 Volker und Markus Schecke y Eifert, ap. 74. STJUE (Gran Sala) de 23 de octubre de 2012, C-581/10 Nelson y otros, ap. 71. STJUE (Sala Quinta) de 17 de octubre de 2013, asunto C-101/12 Schaible, ap. 29.
70 STJUE (Gran Sala) de 22 de enero de 2013, asunto C-283/11 Sky Österreich GmbH y Österreichischer Rundfunk, ap. 50.
71 El RGPD solamente establece “cuando esté autorizado por el Derecho [...] de los Estados miembros”, pero no lo limita a ley.
72 STC 254/1993, de 20 de julio, FJ 6.
73 SSTC 94/1998, de 4 de mayo, FJ 6, y 292/2000, de 30 de noviembre, FJ 5.
74 SSTC 96/2012, de 7 de mayo, FJ 6, y 17/2013, de 31 de enero, FJ 4.
75 SSTC 254/1993, de 20 de julio, FJ 6, y 96/2012, de 7 de mayo, FJ 6.
76 SSTC 101/1991, de 13 de mayo, FJ 2; 5/1981, de 13 de febrero; 167/1987, de 27 de octubre; 142/1993, de 22 de abril.
77 SSTC 173/1998, de 23 de julio, FJ 7; 129/1999, de 1 de julio, FJ 2;53/2002, de 27 de febrero, FJ 12; 135/2006, de 27 de abril, FJ 2.
78 STC 290/2000, de 30 de noviembre, FFJJ 11 y 14.
79 STC 17/2013, de 31 de enero, FJ 8.
80 Art. 2.3 LOPDGDD.
81 Dictamen del Consejo de Estado sobre el Anteproyecto de Ley orgánica de protección de datos de carácter personal, de 26 de octubre de 2017, n. de expediente 757/2017 (JUSTICIA).
82 SSTC 20/1990, de 15 de febrero, FJ 3, y 19/1985, de 13 de febrero, FJ 2.
83 STC 120/1990, de 27 de junio, FJ 10.
84 SSTC 20/1990, de 15 de febrero, FJ 5.
85 SSTC 6/1981, de 16 de marzo, FJ 3, 12/1982, de 21 de marzo, FJ 3, 104/1986, de 17 de julio, FJ 5, 172/1990, de 12 de noviembre, FJ 3, y 240/1992, de 21 de diciembre, FJ 3.
86 STC 132/1989, de 18 de julio, FJ 6.
87 AEPD. Resolución R/03532/2017, procedimiento n. AP/00036/2017.
88 STC 76/2019, de 22 de mayo, FJ 2.º
89 STC 76/2019, de 22 de mayo, FJ 7.º, I.
90 STC 76/2019, de 22 de mayo, FJ 4.º, II.
91 STC 76/2019, de 22 de mayo, FJ 4.º
92 STC 76/2019, de 22 de mayo, FJ 4.º
93 STC 76/2019, de 22 de mayo, FJ 5.º
94 STC 76/2019, de 22 de mayo, FJ 5.º
95 STC 76/2019, de 22 de mayo, FJ 5.º
96 STC 76/2019, de 22 de mayo, FJ 5.º
97 STC 76/2019, de 22 de mayo, FJ 6.º
98 STC 76/2019, de 22 de mayo, FJ 6.º
99 STC 76/2019, de 22 de mayo, FJ 6.º
100 STC 76/2019, de 22 de mayo, FJ 7.º
101 STC 76/2019, de 22 de mayo, FJ 7.º
102 STC 76/2019, de 22 de mayo, FJ 8.º
103 STC 76/2019, de 22 de mayo, FJ 9.º