El artículo 58 bis de la LOREG y su constitucionalidad- Andoni Polo Roca

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) ha querido renovar la legislación española en materia de protección de datos y garantizar los derechos digitales, pero, además, ha introducido una modificación en la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (en adelante, LOREG): el artículo 58 bis. Este artículo posibilita la elaboración de perfiles ideológicos con fines electorales que permitirá a los partidos hacer propaganda electoral personalizada. Este nuevo precepto fue objeto de recurso por parte del Defensor del Pueblo y su constitucionalidad fue resuelta por el Tribunal Constitucional (en adelante, TC) en la Sentencia 76/2019, de 22 de mayo. Esta nueva disposición legal podría vulnerar tanto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), como la propia LOPDGDD (con la que fue introducida) o la Constitución española (en adelante, CE), por lo que debemos preguntarnos: ¿cumple los requisitos necesarios de constitucionalidad y proporcionalidad?

Veamos primero qué dice el recién creado artículo 58 bis de la LOREG: “1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas. 2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral”.

La controvertida disposición tuvo por objeto “establecer salvaguardas para impedir casos como el que vincula a Cambridge Analytica”, según se recogió en la enmienda que la introdujo, y habilita a recoger los datos personales de la ciudadanía de distintas webs de acceso público (por ejemplo, redes sociales como Twitter o Facebook), sin necesidad de consentimiento. La Agencia Española de Protección de Datos (AEPD) elaboró un informe en el que declaró que el nuevo artículo no posibilitaba la elaboración de perfiles ideológicos, puesto que se había suprimido el término “tratamiento” y, una vez aprobada la LOPDGG, emitió la Circular 1/2019, de 7 de marzo, en la que interpretó el nuevo artículo, fijó los criterios del mismo y estableció algunas garantías.

La habilitación del RGPD

El artículo 9.1 del RGPD prohíbe el tratamiento de datos personales que revelen las opiniones políticas, entre otros, pero, al mismo tiempo, el artículo 9.2 recoge diez excepciones que rompen esa norma general y habilitan el tratamiento de dichos datos. Entre esas circunstancias que rompen con la prohibición del artículo 9.1 del RGPD encontramos la que habilita el tratamiento “cuando es necesario por razones de un interés público esencial, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado”. Esta circunstancia tiene dos aspectos curiosos: 1) es la habilitación en la que se ha intentado basar el artículo 58 bis de la LOREG y 2) es una de esas diez circunstancias que, junto con otras dos, tienen una protección especial en la LOPDGDD, debiendo estar amparadas en una norma con rango de ley que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad (art. 9.2 LOPDGDD).

Para habilitar el tratamiento de datos personales que revelen las opiniones políticas esta excepción reúne los siguientes presupuestos: 1) debe estar basado en un “interés público esencial”, 2) ser proporcional al objetivo perseguido (respetando en lo esencial el derecho a la protección de datos) y 3) establecer “medidas adecuadas y específicas” para proteger los intereses y derechos fundamentales del interesado (art. 9.2.g RGPD).

Una vez conocida la habilitación en la que se basa el nuevo artículo 58 bis de la LOREG, debemos analizar si cumple los presupuestos que recoge la norma en la que se basa o si se da una injerencia en el derecho fundamental a la protección de datos personales garantizado por el artículo 18.4 CE, derecho autónomo (STC 292/2000, FJ 5.), que consagra “en sí mismo un derecho o libertad fundamental” (STC 96/2012, FJ 6), pero que, además, tiene un segundo carácter, como derecho instrumental, “un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos” (STC 76/2019, FJ 5).

El interés público esencial

La redacción literal de la disposición establece: “se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas”. Esa redacción da por hecho que la medida está basada en un interés público (sin decir cuál) y lo une a las garantías (nos hace entender que habrá un interés público cuando haya esas garantías, es decir, que el hecho de haber garantías presupone un interés público), cuando son dos presupuestos autónomos: que se dé un interés público esencial (razonado, motivado, justificado) y, por otro lado, que se establezcan unas garantías adecuadas. Interés público que debería estar concretado y desarrollado en el mismo precepto, ya que como el Grupo de Trabajo del artículo 29 (GT29) ha declarado, cuando el tratamiento conlleva una invasión de la privacidad, la base jurídica deberá ser lo suficientemente específica y precisa (Dictamen 06/2014, WP 217).

Las medidas adecuadas y específicas

Debemos mencionar que la circunstancia letra h del artículo 9.2 del RGPD debe estar amparada en una norma con rango de ley (art. 9.2 LOPDGDD), pero, además, al tratarse de una medida restrictiva de nuestros derechos fundamentales, deberá ser ley orgánica (art. 53.1 CE) y, además, los tratamientos que estén fuera del ámbito de aplicación del RGPD se regirán por su legislación específica (art. 2.3 de la LOPDGDD), por la legislación electoral, en este caso. Hasta aquí el proceder del legislador ha sido correcto, al haber recogido la medida en una ley orgánica específica: la LOREG. Pero el problema es que lo que debe estar en esa norma con rango de ley (orgánica) es la medida y todos los presupuestos que la habilitan y que recoge el artículo 9.2.g del RGPD, es decir, que esa ley orgánica debe: 1) recoger la medida que se trate, 2) justificar y motivar el “interés público esencial” y 3) “establecer medidas adecuadas y específicas”, siendo proporcional, al mismo tiempo, al objetivo perseguido. Y, ¿dónde se han recogido las medidas adecuadas y específicas? En la Circular 1/2019, de 7 de marzo, de la AEPD, es decir, una norma con rango reglamentario. Se ha intentado validar la injerencia en nuestros derechos fundamentales con un reglamento, lo que es un despropósito absoluto. En suma, no “existen” esas medidas adecuadas y específicas, porque aunque estén recogidas en la Circular 1/2019, no podemos tenerlas en cuenta porque vulneran el artículo 9.2 LOPDGDD y el artículo 53.1 CE.

En el ámbito formal de la reserva de ley, asimismo, además de la intervención de la ley para habilitar la injerencia, esa norma con rango de ley (orgánica, en nuestro caso) ha de expresar todos y cada uno de los presupuestos y condiciones de la intervención, si no pueden suponer una falta de certeza y previsibilidad en los propios límites que imponen y su modo de aplicación, por lo que la ley ya no cumple su función de garantía del propio derecho fundamental que restringe (STC 76/2019, FJ 5).

Ser proporcional al objetivo perseguido

La proporcionalidad exige que los actos sean adecuados para lograr los objetivos legítimos perseguidos por la normativa de que se trate y no rebasen los límites de lo que resulta apropiado y necesario para el logro de dichos objetivos (STJUE, asunto C-581/10, caso Nelson y otros, ap. 71). El artículo 58 bis no muestra ese nexo de necesidad, ni tampoco justifica la debida proporcionalidad que debe existir siempre entre la limitación de derechos y la medida adoptada, lo que supone la recopilación de sus datos personales obtenidos en páginas web con un interés público que no se cataloga de esencial y ni siquiera se especifica.

Conclusión

El artículo 58 bis LOREG, apartado 1, por lo tanto contiene una redacción que modifica y burla la normativa comunitaria y la propia LOPDGDD para hacer posible un tratamiento de datos que estaría prohibido tanto por el derecho comunitario como por el español (9.1 RGPD y 9.2 LOPDGDD).

Podemos concluir diciendo que el artículo 58 bis (apartado 1) de la LOREG:

1. No especifica el interés público esencial que fundamenta la restricción del derecho fundamental y no determina por sí mismo la finalidad del tratamiento, esto es: no ha identificado la finalidad de la injerencia para cuya realización se habilita a los partidos políticos.

2. No limita el tratamiento regulando pormenorizadamente las restricciones al derecho fundamental, ni los presupuestos ni las condiciones de esa injerencia, únicamente ha recogido “en el marco de sus actividades electorales”, no siendo una limitación válida.

3. No establece él mismo las garantías adecuadas para proteger los derechos fundamentales afectados.

Por todo ello, este precepto supone una vulneración de derecho a la protección de datos (art. 18.4 CE) en su doble vertiente, como derecho autónomo y como derecho instrumental (como garantía de la libertad ideológica, en este caso), y, además una vulneración del artículo 53.1 CE, aparte de contrariar el RGPD y la propia LOPDGDD.

Como era de esperar, el Tribunal Constitucional, en su sentencia 76/2019, de 22 de mayo, declaró inconstitucional el artículo 58 bis de la LOREG y concluyó que: “produce […] tres vulneraciones del artículo 18.4 CE en conexión con el artículo 53.1 CE, autónomas e independientes entre sí, todas ellas vinculadas a la insuficiencia de la ley, redundando las tres en la infracción del mandato de preservación del contenido esencial del derecho fundamental (art. 53.1 CE): por una parte, la insuficiente adecuación de la norma legal impugnada a los requerimientos de certeza crea un peligro, en el que reside precisamente dicha vulneración y, por otra parte, la indeterminación de la finalidad del tratamiento y la inexistencia de ‘garantías adecuadas’ o las ‘mínimas exigibles a la Ley’ constituyen en sí mismas injerencias en el derecho fundamental de gravedad similar a la que causaría una intromisión directa en su contenido nuclear”.

Concluimos el análisis remarcando la ironía que supone que el legislador crease este precepto para evitar un Cambridge Analytica,pero parece que con esta disposición estaríamos más cerca de un caso parecido a ese que sin ella.

Andoni Polo Roca
Graduado en derecho y estudiante de posgrado en la Universidad del País Vasco / Euskal Herriko Unibertsitatea (UPV/EHU)

Deixa un comentari