¿El fin de los perfiles ideológicos en la propaganda electoral? (Versión extendida)

Como ya comentamos en nuestro post de 16 de enero de 2019 la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos digitales, mediante la que se adapta el ordenamiento español al Reglamento general de protección de datos (RGPD) aprobado por la UE, introducía un nuevo artículo 58 bis en la Ley Orgánica del Régimen Electoral General (LOREG) mediante el que se pasaba a autorizar a los partidos políticos a recopilar datos personales sobre las opiniones políticas de las personas en el marco de sus actividades electorales sin ningún tipo de autorización previa.

Se planteaba, por tanto, la polémica de si la nueva disposición permitía a los partidos políticos crear bases de datos y perfiles ideológicos de los ciudadanos con los datos obtenidos o si, simplemente, se trataba de una reproducción del considerando 56 del RGPD que en ningún caso permitía crear dichas bases de datos y perfiles.

La polémica generada y la falta de precisión del artículo hizo que la Agencia de protección de datos (AEPD) no solo avanzase una interpretación del artículo antes de la aprobación de la nueva Ley, sino que publicase asimismo un informe exhaustivo elaborado por su asesoría jurídica analizando el mismo y la Circular 1/2019, de 7 de marzo, en la que fijaba los criterios para dicho tratamiento. Documentos con los que, ha de señalarse, la AEPD se colocaba en la posición del legislador precisando y fijando los criterios que éste debería haber establecido, tal y como deja claro el Tribunal Constitucional en la sentencia que examinamos en el presente post (y al contrario de lo que argumenta el Abogado del Estado en las alegaciones al recurso que ha dado lugar a la misma, que entendía que mediante ellos no se está innovando la Ley).

Pese a ello, paralelamente el Defensor del Pueblo en funciones interponía un recurso de inconstitucionalidad contra el apartado 1 del citado artículo 58 bis, al entender que mediante el mismo se producía una vulneración del derecho a la protección de datos personales consagrado en el artículo 18.4 de la Constitución en conexión con el artículo 53.1 de la misma (así como la infracción de otros derechos fundamentales sustantivos como el derecho a la libertad ideológica del artículo 16 CE y el derecho de participación política del artículo 23, junto con la infracción del principio de seguridad jurídica que consagra el artículo 9.3). Recurso presentado a raíz de distintos escritos recibidos por parte de distintas asociaciones, activistas y juristas especializados en protección de datos y que es una muestra del carácter político de la introducción de esta disposición, que no ha sido recurrida por ningún partido de la oposición.

En concreto, la demanda alegaba la inconstitucionalidad de dicha disposición por tres razones: en primer lugar, por no determinar por sí misma la finalidad del tratamiento, más allá de una mención genérica al “interés público”; en segundo lugar, por no limitar el tratamiento regulando pormenorizadamente las restricciones al derecho fundamental; y, por último, por no establecer las garantías adecuadas para proteger los derechos fundamentales afectados.

El pasado mayo el Tribunal Constitucional avanzaba la parte dispositiva de su sentencia, en la que el Pleno estima por unanimidad el recurso de inconstitucionalidad presentado por el Defensor del Pueblo y, en consecuencia, declara contrario a la Constitución y nulo el apartado 1 del artículo 58 bis de la LOREG.

Como se ha adelantado, el Defensor del Pueblo interponía el recurso al considerar que la reforma introducida vulneraba los artículos 18.4 CE en conexión con el 53.1 CE, así como los artículos 9.3, 16 y 23 CE. En las alegaciones presentadas, comienza el Defensor del Pueblo recordando que los datos relativos a las opiniones políticas pertenecen a la categoría de datos especialmente protegidos, por su estrecha vinculación con otros derechos y libertades como la ideológica del artículo 16 CE, las de expresión y comunicación del artículo 20.1.a) y d) CE y el principio de igualdad del artículo 14 CE. Por ello, tal y como requiere el artículo 53.1 CE, señala que el legislador debía haber limitado el tratamiento de dichos datos y establecer cuáles eran las garantías adecuadas (a las que el propio artículo 58 bis hace referencia) para permitir la recopilación de los mismos. Sin embargo, para el Defensor del Pueblo el nuevo precepto no determina la finalidad del tratamiento, no limita el mismo regulando pormenorizadamente las restricciones al derecho fundamental, y no establece las garantías adecuadas para proteger los derechos fundamentales afectados. Por el contrario, se ampara el tratamiento en base a conceptos genéricos e indeterminados: el “interés público” (no un interés público esencial como establece el Reglamento europeo), el ofrecimiento de “garantías adecuadas” (que no se concretan), y a favor de los partidos políticos “en el marco de sus actividades electorales” (que no tiene por qué coincidir con el período de campaña electoral). Así, destaca, queda al criterio del operador jurídico de turno la interpretación de la normativa aplicable y la determinación de una serie de cuestiones relevantes como, por ejemplo, si los sujetos legitimados para recopilar los datos son sólo los partidos políticos o también las federaciones, agrupaciones o coaliciones de electores; si las actividades electorales hacen referencia solo al período electoral definido en la LOREG o a cualquier otro momento, y si se circunscriben solo a los actos de propaganda y campaña; o si aparte de la recopilación se ampara el resto de operaciones contempladas por el art. 4.2 del RGPD pues, como ya señalamos en nuestro anterior post, la “recopilación” implica un tratamiento y, como señala el Defensor del Pueblo, la mera recopilación sin una ulterior organización, estructuración, consulta o utilización no tiene sentido.

Frente a las alegaciones del Defensor del Pueblo, la Abogacía del Estado señala que la disposición recurrida respeta el principio de seguridad jurídica, pues las garantías adecuadas constan en la literalidad del precepto, en la fundamentación de la enmienda en el Reglamento y, supletoriamente, en la LOPD tal y como señala la Circular 1/2019 de la AEPD; motivo por el cual entiende que el resto de alegaciones sobre la supuesta vulneración de derechos fundamentales decae, señalando en concreto que no es necesario que las garantías sean definidas por Ley y que tampoco se vulnera la libertad ideológica pues no se obliga al ciudadano a manifestar sus opiniones políticas ni el tratamiento dado a las mismas puede utilizarse para un fin distinto del que motivó su expresión o manifestación.

Tras examinar las alegaciones del Defensor del Pueblo y del Ministerio Fiscal, el Tribunal Constitucional pasa a identificar el núcleo de la controversia señalando que la impugnación central es la vulneración de los artículos 18.4 y 53.1 de la Constitución, por lo que el enjuiciamiento constitucional se circunscribe a resolver si el legislador ha vulnerado el contenido esencial del derecho a la protección de datos personales consagrado por el art. 18.4 CE y la reserva de ley requerida por el artículo 53.1 CE, al no haber establecido el marco en que se habilita el tratamiento de dichos datos, la finalidad del mismo y las garantías adecuadas frente al concreto uso de la informática previsto en la norma impugnada.

Para ello, con carácter previo formula el parámetro de constitucionalidad aplicable, recordando los requisitos que su jurisprudencia ya asentada ha establecido por lo que respecta al contenido esencial del derecho a la protección de datos personales y las posibles restricciones al mismo. De esta forma, partiendo de que los datos personales son una categoría especial de datos que son especialmente sensibles y que requieren una especial protección, recuerda el TC que el artículo 18.4 consagra no solo un derecho fundamental autónomo a controlar el flujo de informaciones que conciernen a la persona (tal y como ya ha señalado en sus sentencias 11/98, FJ 5; 96/2012, FJ 6; y 151/2014, FJ 7), sino también un derecho instrumental ordenado a la protección de otros derechos fundamentales, incluido el derecho fundamental a la libertad ideológica. Derecho fundamental que, no obstante, no tiene carácter absoluto, sino que puede ser restringido por medio de la ley “siempre que ello responda a un fin de interés general, y los requisitos y alcance de la restricción estén suficientemente precisados en la ley y respeten el principio de proporcionalidad” (FJ 5).

Por lo tanto, recuerda el TC que toda injerencia o limitación ha de estar justificada en la protección de otros derechos o bienes constitucionales, ha de ser proporcionada al fin perseguido con ellas (STC 292/2000, FJ 15), y requiere de una habilitación legal por expreso mandato constitucional. La norma legal “ha de expresar todos y cada uno de los presupuestos y condiciones de la intervención” (STC 49/1999, FJ 4). Las limitaciones establecidas por la ley deben cumplir con las exigencias de previsibilidad y certeza pues, como ya señalara el Tribunal en su STC 292/2000, su falta puede vulnerar la Constitución y ser susceptible de generar una indeterminación sobre los casos a los que se aplican las restricciones, por lo que la ley ya no cumpliría su función de garantía del derecho fundamental que restringe ya que estaría dejando que en su lugar opere simplemente la voluntad de quien ha de aplicarla.

Además de estos requisitos, recuerda también el TC que su jurisprudencia exige al legislador que “establezca las garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos” (FJ 6) pues solo así se procura el respeto del contenido esencial del derecho fundamental. Garantías adecuadas respecto de las que también se había pronunciado ya con anterioridad el Alto tribunal en la mencionada STC 292/2000 de la que extrae las siguientes conclusiones:

• Para fundamentar la validez constitucional de una regulación del tratamiento de datos personales no basta la previsión legal y la legitimidad del fin perseguido, sino que son necesarias unas garantías adecuadas “frente al uso potencialmente invasor de la vida privada del ciudadano a través de su tratamiento informático”.
• Esas garantías son necesarias para que los intereses jurídicamente protegibles resulten real, concreta y efectivamente protegidos.
• Su mera inexistencia o de las “mínimas exigibles a la Ley” constituye de por sí una injerencia en el derecho fundamental.
• Su existencia se fundamenta en el respeto del contenido esencial del derecho fundamental.

Doctrina que, destaca, se extrae también de la jurisprudencia del TJUE, de la que también se puede constatar que es necesario que la normativa establezca reglas claras y precisas que regulen el alcance de la injerencia, y garantías suficientes que permitan una protección eficaz (STJUE de 8 de abril de 2014, asuntos acumulados C-293/12 y C-594/12, Digital Righst Ireland Ltd, ap. 54)

Garantías adecuadas que son especialmente importantes en el caso de que el tratamiento afecte a datos sensibles, y que deben velar porque su tratamiento se realice en condiciones que “aseguren la transparencia, la supervisión y la tutela judicial efectiva” y procurar que los mismos “no se recojan de forma desproporcionada y no se utilicen para fines distintos de los que justifican su obtención” (FJ 6).

De esta forma, concluye el TC que las opiniones políticas son datos personales sensibles con una necesidad de protección superior a otros datos personales y que el legislador está constitucionalmente obligado a adecuar la protección que dispensa a este tipo de datos, imponiendo en su caso mayores exigencias para que puedan ser objeto de tratamiento y previendo garantías específicas para el mismo (FJ 6, d).

Sentado lo anterior, procede finalmente el Alto tribunal a responder a la impugnación central del recurso y los tres elementos que aglutina la misma (FFJJ 7 y 8), en concreto:

• Por lo que respecta a la falta de determinación de la finalidad del tratamiento, es decir, al “interés público” que sería el que fundamenta la restricción del derecho fundamental, destaca que “constituye una constatación elemental” que la disposición impugnada no lo identifica en ningún momento. Y, a este respecto, nuevamente recuerda el criterio ya establecido en su sentencia 292/2000 en la que ya se rechazaba que la identificación de los fines legítimos de la restricción pudiese realizarse mediante conceptos genéricos o fórmulas vagas. Es el legislador, en virtud de la reserva de ley del art. 53.1 CE, quien debe determinar cuándo concurre ese otro bien o derecho que permita restringir el derecho fundamental a la protección de datos y fijar mediante reglas precisas las circunstancias en que puede limitarse. La invocación genérica de un indeterminado “interés público” no basta para el TC para legitimar la restricción del derecho fundamental, pues de dicha forma el legislador estaría trasladando a los partidos políticos una función que sólo le compete a él en virtud de la mencionada reserva de ley.
• En cuanto a la falta de limitación del tratamiento regulando pormenorizadamente las restricciones al derecho fundamental, la única limitación que recoge la disposición impugnada es que la recopilación por parte de los partidos políticos solo se podrá llevar a cabo “en el marco de sus actividades electorales”, lo que para el TC “apenas contribuye a constreñir el uso de la habilitación conferida”. Las mismas, señala, no tienen por qué contraerse al proceso electoral. Y, además, más allá de dicha condición la disposición impugnada tampoco contiene reglas sobre el alcance y contenido de los tratamientos de datos que autoriza (algo requerido por las exigencias de certeza que han de presidir cualquier tipo de inferencia en un derecho fundamental, como recuerda el TC en esta sentencia).

Por ello, concluye que el legislador “no ha precisado que finalidad o bien constitucional justifica la restricción del derecho a la protección de datos personales ni ha determinado en qué supuestos y condiciones puede limitarse, mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias”.

• Por último, por lo que respecta a la falta de establecimiento de las “garantías adecuadas” para proteger el derecho fundamental afectado, aclara el TC una duda con respecto al alcance de su doctrina al respecto, señalando que la reserva de ley del artículo 53.1 CE exige no sólo que la medida restrictiva esté habilitada mediante ley, sino que en la regulación el legislador predetermine “los supuestos, las condiciones y las garantías en que procede la adopción de medidas restrictivas”. Predeterminación que no puede quedar deferida a un ulterior desarrollo legal o reglamentario, ni dejarse en manos de los propios particulares, rechazando de esta manera las tres interpretaciones que planteaba el Abogado del Estado (que argumentaba que sí existían esas garantías y se podían deducir de la literalidad del precepto impugnado, del sentido de la enmienda de adición de la que traía causa el mismo, y de la propia LOPDGDD y el RGPD). La insuficiencia de la ley a este respecto, destaca el TC, no puede ser colmada por vía interpretativa, ni mediante una remisión implícita para su integración, ni por la AEPD en el ejercicio de sus potestades, pues todo ello vulneraría el principio de reserva de ley establecido por el art. 53.1 CE. Y tampoco por el RGPD, que por sí mismo no establece esas garantías para el tratamiento de este tipo de datos sensibles, sino que se limita a contemplar la posibilidad de que sean el legislador de la UE o el de los Estados miembros quienes lo hagan.

Por todo lo anteriormente expuesto, concluye el TC que el legislador no identifica la finalidad de la injerencia para cuya realización se habilita a los partidos políticos a recopilar este tipo de datos, tampoco delimita los presupuestos ni las condiciones de la misma, ni establece garantías adecuadas para la protección del derecho fundamental a la protección de datos, por lo que se han producido las tres vulneraciones del artículo 18.4 CE señaladas por el Defensor del Pueblo en conexión con el artículo 53.1 CE. Vulneraciones autónomas e independientes entre sí y vinculadas todas ellas a la insuficiencia de la ley (FJ 9). En consecuencia, estima el recurso de amparo y declara contrario a la Constitución y nulo el apartado 1 del artículo 58bis de la LOREG (FJ 10 y Fallo).

La indeterminación y falta de certeza de la regulación por lo que respeta a la finalidad del tratamiento y la falta de fijación de garantías adecuadas al respecto, por lo tanto, constituyen para el TC una injerencia en el derecho fundamental a la protección de datos “de similar gravedad a la que causaría una intromisión directa en su contenido nuclear” (FJ 9), y vulneran el principio de reserva de ley establecido en la Constitución. Atendiendo a la jurisprudencia ya sentada por el propio TC y por el TJUE, que se recalca en la propia sentencia, y a la rapidez con que ha resuelto el Alto tribunal era bastante claro que este apartado era inconstitucional, como señala López Garrido.

Es necesaria no sólo la regulación por ley, sino que la misma requiere un grado de precisión que garantice la seguridad jurídica, no siendo posible remitir al reglamento aspectos esenciales de la recogida y utilización de datos, como ya quedaba claro con la STC 292/2000. Regulación por ley que, además, ha de respetar el principio de proporcionalidad y no debe ir más allá de lo necesario para alcanzar el fin de que se trate; y como deja claro la sentencia examinada ha de fijar las garantías adecuadas para la protección del derecho fundamental.

Luego, a sensu contrario, si el legislador remedia estas carencias la regulación de la recopilación de este tipo de datos sería constitucional. Ahora bien, como ya señalamos en nuestro anterior post, seguimos planteándonos si verdaderamente es necesario regular esta posibilidad. Si verdaderamente es necesario crear bases de datos con opiniones políticas de los ciudadanos por parte de los partidos políticos. Casos como el de Cambridge Analytica demuestran que no parece que sea la mejor opción ni que su recopilación pueda contribuir a la formación de una opinión pública libre, pues al fin y al cabo el fin de los partidos es ganar las elecciones. Como ya concluimos en su momento, seguimos opinando que dada la gran sensibilidad de este tipo de datos lo más indicado es prohibir su recopilación y, como señala Adsuara, sancionar a quienes lo incumplan. La garantía que, en todo caso, debería recoger expresamente la legislación debería ser la prohibición de recopilar los datos relativos a las opiniones políticas de los ciudadanos, de realizar ningún tipo de tratamiento de las mismas. En definitiva, de crear ningún tipo de base de datos con dichas opiniones sin anonimizar las mismas.