El Tribunal Constitucional acaba con la posibilidad de que los partidos políticos recaben sin consentimiento datos sobre opiniones políticas

Por José Luis Piñar Mañas, catedrático de Derecho Administrativo y abogado

Como es ya de sobra sabido la Ley Orgánica 3/2018, de protección de datos y garantía de los derechos digitales, introdujo un nuevo artículo 58.bis en la Ley Orgánica 5/1985 del régimen electoral general que en su apartado 1 disponía que “La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas”. Es decir, se permitía a los partidos políticos recabar datos personales de cualquier fuente (internet, redes sociales, páginas web, tratamientos no automatizados….) con el fin de perfilar a las personas en función de sus opiniones políticas, y todo ello sin el consentimiento de las personas afectadas. Dicha previsión no se encontraba en el proyecto de ley que el Gobierno remitió al Congreso en noviembre de 2017, sino que se introdujo a través de la enmienda nº 331 presentada por el Grupo Parlamentario Socialista en el Congreso de los Diputados durante la tramitación parlamentaria de la Ley. Hay que decir que el texto final fue aprobado por unanimidad de todos los diputados.

Tras la publicación de la Ley (BOE de 6 de diciembre de 2018) un grupo de particulares y de asociaciones de la sociedad civil, impulsados por Borja Adsuara y entre los que tuve el honor de encontrarme, propusimos al Defensor del Pueblo que presentase recurso de inconstitucionalidad contra el nuevo artículo 58 bis de la LOREG, algo que hizo en plazo. Fruto de tal recurso ha sido la Sentencia del Tribunal Constitucional de 22 de mayo de 2019 por el que se declara inconstitucional el transcrito apartado 1 del citado art. En lo que yo sé es la primera vez que se presenta y prospera un recurso de inconstitucionalidad contra una ley aprobada por unanimidad del Congreso.

El Defensor del Pueblo basa su recurso en varios motivos: el legislador no limita el tratamiento de datos personales que revelen opiniones políticas por parte de los partidos políticos en el marco de sus actividades electorales; tampoco establece cuáles son las “garantías adecuadas” que han de rodear el tratamiento de unos datos que son especialmente sensibles ni las razones de interés público que lo ampararían. Ello implica una violación de los artículos 18.4 y 53 de la Constitución, por cuanto no se respeta el contenido esencial del derecho a la protección de datos que el primero garantiza ni el principio de reserva de ley que exige el segundo. Además el artículo impugnado es contrario al Reglamento (UE) 2016/679, de Protección de datos (RGPD), y a la propia Ley Orgánica 3/2018 (LOPDGDD). En particular, no es posible admitir que el artículo impugnado pueda entenderse amparado por el Considerando 56 del RGPD según el cual “Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas”. También se viola la libertad ideológica que garantiza el artículo 16 de la Constitución ya que admitir la recopilación de datos referentes a opiniones políticas sin garantías adecuadas supone una injerencia indebida en la libertad ideológica, al posibilitar el tratamiento de las opiniones políticas para un fin distinto del que motivó su expresión o manifestación y sin que quepa predecir las consecuencias que puedan derivarse de dicho tratamiento, el cual, además, con la tecnología disponible para el tratamiento combinado y masivo de datos procedentes de fuentes diversas, es potencialmente revelador de la propia ideología y contrario a la garantía del art. 16.2 CE. Asimismo, en opinión del Defensor del Pueblo, se viola el derecho a la participación política en los asuntos públicos (art. 23 de la Constitución) que difícilmente puede darse en un entorno tecnológico en el que las modernas técnicas de análisis de la conducta sobre la base del tratamiento masivo de datos y la inteligencia artificial permiten procedimientos complejos orientados a modificar, forzar o desviar la voluntad de los electores y sin que estos sean conscientes de ello. En fin, se viola el principio de seguridad jurídica (art. 9.3 CE) debido a la total imprecisión del precepto impugnado. El Defensor concluye que “en el contexto tecnológico actual y frente a los riesgos evidentes que el tratamiento masivo de la información puede suponer para la intimidad personal, la protección de datos personales, la libertad ideológica y la libertad de participación política, resulta inexcusable -en términos propios del Tribunal- el esfuerzo del legislador por alumbrar una normativa abarcable y comprensible para la mayoría de los ciudadanos a los que va dirigida; puesto que una legislación confusa, oscura e incompleta dificulta su aplicación y, además de socavar la certeza del Derecho y la confianza de los ciudadanos en el mismo, puede terminar por empañar el valor de la justicia”.

El abogado del Estado, por su parte, considera el precepto plenamente constitucional pues en su opinión sí define las “garantías adecuadas” que el tratamiento de datos de opiniones políticas requiere, pues constan en la literalidad del impugnado art. 58bis, se deducen de la propia motivación de la enmienda de la que trae causa y se deducen de la remisión que, siquiera sea de forma tácita, contiene el precepto al RGPD y a la LOPDGDD, cuya aplicación directa en el primer caso y supletoria en el segundo permiten concretar tales garantías adecuadas, tal como, por lo demás, ha señalado la propia Agencia Española de Protección de Datos (AEPD) en su Informe 210070/2018 y en su Circular 1/2019. Además, y como consecuencia de lo anterior, el precepto impugnado ni viola la libertad ideológica ni el derecho a la participación política en los asuntos públicos. “Al contrario –señala el abogado del Estado- se persigue que sean los partidos políticos, todos ellos, justamente los garantes del pluralismo político, los que puedan llevar a cabo el legítimo fin en una democracia de conocer, exclusivamente en los procesos electorales, la opinión de los electores para conformar su estrategia electoral, lo que redunda en un mejor funcionamiento del sistema democrático”.

NÚCLEO DE LA CONTROVERSIA

Planteados así los términos del debate, el Tribunal Constitucional comienza identificando “el núcleo de la controversia” que no es otro que el relativo a la violación de los artículos 18.4 y 53.1 de la Constitución, es decir, la violación del derecho constitucional a la protección de datos y la del principio de reserva de ley. En palabras del Tribunal (Fundamento Jurídico –FJ- segundo): “El enjuiciamiento constitucional que nos demanda la impugnación central se circunscribe, pues, a resolver si el legislador ha vulnerado la reserva de ley y el contenido esencial del derecho fundamental a la protección de datos personales (art. 18.4 CE en conexión con el art. 53. l CE), por renunciar a establecer el marco en el que se habilita el tratamiento, la finalidad del mismo y las garantías adecuadas frente al concreto uso de la informática previsto en la norma impugnada”.

En mi opinión, lo que seguramente busca el Tribunal al concretar  desde el principio cuál es el “núcleo de la controversia” o “impugnación central” es dejar claro que no va a basar su valoración en contrastar el artículo 58bis de la LOOREG con el RGPD sino con la propia Constitución. Y así debe ser. Pues de otro modo el Tribunal se habría enfrentado a una cuestión relativa a la relación entre el derecho nacional y el de la Unión Europea, cuyo análisis no le corresponde y que en su caso habría dado lugar a que el artículo impugnado sería desplazado por el RGPD. Como dice tajantemente el Tribunal (FJ 3): “A este Tribunal le corresponde aplicar la Constitución. Cuando, como ocurre en este proceso, se le demanda el enjuiciamiento constitucional del desarrollo legislativo de un derecho fundamental que se halla en la actualidad parcialmente determinado por el Derecho de la Unión Europea, como es la protección de datos personales, “[l]as exigencias derivadas del Derecho de la Unión no pueden ser irrelevantes a la hora de establecer los márgenes constitucionalmente admisibles de libertad de apreciación política” (STC 1/2012, de 13 de enero, FJ 9). Sin que ello implique de forma alguna que el análisis de constitucionalidad pueda o deba incluir un examen sobre la compatibilidad entre el Reglamento europeo y la ley interna, ni que un eventual juicio de incompatibilidad pueda derivar en la declaración de inconstitucionalidad de una ley interna por oposición a una disposición de Derecho de la Unión, pues cualquier análisis de compatibilidad entre el Derecho de la Unión Europea y la Ley Orgánica 3/2018 se dirimirá en términos de legalidad ordinaria y selección del derecho aplicable en un primer término, y no en clave de contradicción con la Constitución de la norma interna eventualmente contraria al Derecho de la Unión (mutatis mutandis, STC 140/2018, FJ 6)”.

PARÁMETROS DE ENJUICIAMIENTO

Las anteriores consideraciones son sumamente importantes, no sólo porque el Tribunal centra el debate en términos constitucionales y no de controversia entre el Derecho nacional y el de la Unión Europea, sino porque da por bueno que el derecho a la protección de datos esté regulado en un Reglamento europeo, que va a ser utilizado como parámetro interpretativo del alcance y contenido de dicho derecho tal cual está reconocido en el art. 18.4 de la Constitución. Por ello en el FJ 4 de la Sentencia se lleva a cabo un análisis pormenorizado de la regulación de las categorías especiales de datos (como son las elativas a las opiniones políticas) en el RGPD y en la LOPDGDD.

A partir de aquí el Tribunal Constitucional analiza “los parámetros de enjuiciamiento que permitan resolver el contenido central de la impugnación: la vulneración por el legislador de la reserva de ley y el contenido esencial del derecho fundamental a la protección de datos personales (art. 18.4 CE en conexión con el art. 53.1 CE)”.

En cuanto al contenido esencial del derecho a la protección de datos el TC, remitiéndose a la capital STC 292/2000, recuerda que consiste en un “poder de disposición y de control sobre los datos personales” y que tiene “una doble perspectiva”: “El art. 18.4 CE no solo “consagra un derecho fundamental autónomo a controlar el flujo de informaciones que conciernen a cada persona” (SSTC 11/1998, de 13 de enero, FJ 5; 96/2012, FJ 6; y 151/2014, de 25 de septiembre, FJ 7), sino también, como se desprende de su último inciso (“para garantizar [ … ] el pleno ejercicio de sus derechos”), un derecho instrumental ordenado a la protección de otros derechos fundamentales, esto es, “un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos” (STC  292/2000, de 30 de septiembre, FJ 5)”. El derecho así concebido no tiene carácter absoluto, claro está. Puede estar sujeto a límites, pero éstos han de respetar al menos dos requisitos: primero, toda injerencia estatal en el ámbito de los derechos fundamentales y las libertades públicas debe responder a un fin constitucionalmente legítimo o encaminarse a la protección o la salvaguarda de un bien constitucionalmente relevante; segundo, toda injerencia estatal en el ámbito de los derechos fundamentales y las libertades públicas, ora incida directamente sobre su desarrollo (art. 81.1 CE), ora limite o condicione su ejercicio (art. 53.1 CE), precisa una habilitación legal. Es pues necesario que una ley defina los límites de los derechos y en particular del derecho a la protección de datos. Pero esta ley, para cumplir con el principio de seguridad jurídica, debe cumplir al menos dos exigencias: previsibilidad y certeza de las medidas restrictivas en el ámbito de los derechos fundamentales. Es decir, la ley que limite un derecho fundamental ha de establecer las garantías mínimas exigibles y adecuadas que permitan dicho límite sin menoscabar el contenido esencial del derecho.

PLANTEAMIENTO CRÍTICO

Pues bien, el Tribunal Constitucional, desde un planteamiento sumamente crítico en relación con el precepto impugnado, considera que no cumple con las exigencias de seguridad y certeza y considera (FJ 7):

(i) que la disposición legal recurrida no ha determinado por sí misma la finalidad del tratamiento de datos personales que revelen opiniones políticas, más allá de la genérica mención al “interés público”. La sola invocación de un genérico interés público para intentar justificar la recopilación de datos de opiniones políticas no es en absoluto suficiente.

(ii) que no ha limitado el tratamiento regulando pormenorizadamente las restricciones al derecho fundamental. Permitir el antes citado tratamiento de datos “en el marco de las actividades electorales” de los partidos políticos no cumple con las exigencias de certeza y precisión que cabe exigir.

(iii) que no ha establecido ella misma las garantías adecuadas para proteger los derechos fundamentales afectados. Y el Tribunal se encarga de aclarar (FJ 8) que “la previsión de las garantías adecuadas no puede deferirse a un momento posterior a la regulación legal del tratamiento de datos personales de que se trate. Las garantías adecuadas deben estar incorporadas a la propia regulación legal del tratamiento, ya sea directamente o por remisión expresa y perfectamente delimitada a fuentes externas que posean el rango normativo adecuado”. Cosa que tampoco ocurre con el artículo 58 bis de la LOREG. El Tribunal, además, se detiene en desmontar los argumentos del abogado del Estado. Éste afirma que “las garantías adecuadas sí existen, y se deducen por una triple vía: en concreto, de la literalidad del precepto impugnado, del sentido de la enmienda de adición de la que trae causa el precepto impugnado, así como de las dos normas que regulan la protección de datos personales en España, la LOPDGDD y el RGPD, tal como las ha concretado la Circular 1/2019”. Ninguno de esos planteamientos son admisibles, según el Tribunal: primero, la literalidad del precepto no se refiere a garantía alguna (el Tribunal se apoya para ello en la propia Circular 1/2019, cuyo preámbulo reconoce paladinamente que “[p]recisamente por la existencia de un alto riesgo para los derechos y libertades de las personas físicas dichas garantías, al no haberse establecido por el legislador, deben identificarse por esta Agencia Española de Protección de Datos”). Segundo, las justificaciones de las enmiendas son “importante elemento hermenéutico para desentrañar el alcance y el sentido de las normas, pero no pueden suplir o sanar las insuficiencias constitucionales de que adolezcan estas últimas”. Tercero, no es posible admitir que el precepto impugnado colma sus carencias mediante una suerte de remisión implícita al RGPD y a la LOPDGDD, y aún admitiendo a efectos dialécticos que así fuera, “la insuficiencia de la ley no puede ser colmada por vía interpretativa a partir de las pautas e indicaciones que se puedan extraer de los citados textos normativos (i). Tampoco puede ser colmada por el titular de una potestad normativa limitada como es la Agencia Española de Protección de Datos (ii) o mediante una interpretación conforme (iii). Finalmente, una remisión implícita como la pretendida tampoco resultaría coherente con el marco regulador europeo (iv)”. Veamos qué dice el Tribunal en relación con estos cuatro puntos, de gran importancia:

1) No puede admitirse una hipotética remisión al Reglamento Europeo y a la nueva Ley Orgánica de Protección de Datos, pues esto equivaldría a una suerte de “remisión en blanco” que dejaría en manos, no del legislador, sino exclusivamente a disposición de la determinación reglamentaria del Gobierno o bien, en ausencia de este último, del aplicador del derecho, la determinación de cuáles de las garantías previstas en ambas normas de remisión resultan aplicables al tratamiento en cuestión.

2) La aprobación de la Circular 1/2019 por parte de la AEPD en ningún caso puede colmar la insuficiencia legal del precepto impugnado.

3) La técnica de la “interpretación conforme” no es admisible pues no estamos ante “varias interpretaciones posibles igualmente razonables”, sino ante la insuficiencia de regulación detectada en una norma de desarrollo de un derecho fundamental.

4) El Reglamento General de Protección de Datos establece las garantías mínimas, comunes o generales para el tratamiento de datos personales que no son especiales. En cambio, no establece por sí mismo el régimen jurídico aplicable a los tratamientos de datos personales especiales, ni en el ámbito de los Estados miembros ni para el Derecho de la Unión. Por tanto, Si la norma interna que regula el tratamiento de datos personales relativos a opiniones políticas (el nuevo artículo 58 bis de la LOOREG), no prevé esas garantías adecuadas, sino que, todo lo más, se remite implícitamente a las garantías generales contenidas en el Reglamento General de Protección de Datos, no puede considerarse que haya llevado a cabo la tarea normativa que aquel le exige”.

En conclusión, tras el contundente análisis de constitucionalidad que lleva a cabo el Tribunal éste concluye que el nuevo artículo 58 bis.1) de la LOREG incurre en tres vulneraciones del artículo 18.4 de la CE en conexión con el 53.1: a) la insuficiente adecuación de la norma legal impugnada a los requerimientos de certeza que crea, para todos aquellos a los que recopilación de datos personales pudiera aplicarse, un peligro, en el que reside precisamente dicha vulneración; b) la indeterminación de la finalidad del tratamiento; y c)  la inexistencia de “garantías adecuadas” o las “mínimas exigibles a la Ley”.

La Sentencia del Tribunal es contundente. Resalta la trascendencia del derecho a la protección de datos para el desarrollo de la vida democrática y anula un precepto que fue aprobado por unanimidad en el Congreso de los Diputados. Ningún Grupo parlamentario o de diputados o senadores presentó recurso frente a un precepto tan claramente inconstitucional. Afortunadamente el Defensor del Pueblo apreció los claros indicios de inconstitucionalidad del nuevo artículo y no dudó en acudir ante el TC. Una victoria, sin duda, de los derechos fundamentales frente al uso claramente abusivo de datos personales especialmente sensibles que pretendían llevar a cabo los partidos políticos.