Butlletí Oficial de l'Estat

Comentario

Se trata de la primera sentencia en la que se suscita una cuestión relacionada con la protección de datos personales que obran en poder de las Administraciones Públicas. Lo más llamativo del caso es que dicha Sentencia se dictó en ausencia, aún, de desarrollo legislativo del derecho fundamental invocado. Así, la Resolución se origina en un recurso de amparo presentado antes de la aprobación de la LO 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de datos de carácter personal (LORTAD), que entró vigor un tiempo después. Así, en aplicación directa de la Constitución y apelando a lo establecido en el Convenio Europeo sobre Protección de Datos Personales, el Tribunal Constitucional determinó autónomamente el contenido esencial del derecho declarado en el art. 18.4 CE, el cual se configura como "una nueva garantía constitucional, como forma de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de la persona". Se concibe así "como garantía de otros derechos, fundamentalmente el honor y la intimidad, pero también como un instituto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama la informática" (Fundamento Jurídico 6º). Así, en lo que a su contenido respecta, se indica que la llamada "libertad informática" comporta el "derecho de control sobre los datos relativos a la propia persona" ("habeas data"). Se insiste así en que "la protección de la intimidad de los ciudadanos requiere que éstos puedan conocer la existencia y los rasgos de aquellos ficheros automatizados donde las Administraciones Públicas conservan datos de carácter personal que les conciernen, así como cuáles son esos datos en poder de las autoridades" (Fundamento Jurídico 7º). En razón a lo expuesto el Tribunal Constitucional resolvió otorgar el amparo al recurrente, lo que conllevó el reconocimiento de su derecho y el consiguiente mandato a las autoridades administrativas competentes para que le comuniquen, sin demora, la información por él solicitada, en los términos establecidos en la Sentencia. Un Voto Particular discrepante (Magistrado Rodríguez-Piñero) se añade a la misma, el cual considera legítima la actuación administrativa y consiguientemente no afectado lesivamente el derecho fundamental en cuestión.

Comentario

Mediante esta Sentencia el Tribunal Constitucional consigue determinar, con precisión, el régimen constitucional del derecho fundamental a la protección de datos personales. Así, declara que, en suma, tal derecho "comprende un conjunto de derechos que el ciudadano puede ejercer frente a quienes sean titulares, públicos o privados, de ficheros de datos personales, partiendo del conocimiento de tales ficheros y de su contenido, uso y destino, por el registro de los mismos. De suerte que es sobre dichos ficheros donde han de proyectarse, en última instancia, las medidas destinadas a la salvaguardia del derecho fundamental aquí considerado por parte de las Administraciones Públicas competentes". (FJ 7º). No en vano, el derecho de referencia "confiere a su titular un haz de facultades que son elementos esenciales del derecho fundamental a la protección de datos personales, integrado por los derechos que corresponden al afectado a consentir la recogida y el uso de sus datos personales y a conocer los mismos. Y para hacer efectivo ese contenido, el derecho a ser informado de quién posee sus datos personales y con qué finalidad, así como el derecho a oponerse a esa posesión y uso exigiendo a quien corresponda que ponga fin a la posesión y empleo de tales datos" (FJ7º). La Sentencia añade, en relación a la Agencia de Protección de Datos, que ésta refleja la dimensión institucional del derecho. Su función es claramente preventiva y tuitiva. De ahí que sus potestades se orienten a la protección de datos y al control de su aplicación, previniendo las violaciones que de los mismos se puedan producir (FJ 8º y 9º). El fallo de la Sentencia desestima los recursos interpuestos.

Comentario

La importancia de esta Sentencia estriba en que completa la definición del carácter autónomo que posee el derecho fundamental. Así, señala que "el constituyente quiso garantizar, mediante el actual art. 18.4, no sólo un ámbito de protección específico sino también más idóneo que el que pudieran ofrecer por sí mismos los derechos fundamentales  mencionados en el apartado 1 del precepto", esto es, fundamentalmente el derecho a la intimidad. (Fundamento Jurídico 4º). Así, insiste en que el derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del artículo 18.1, con quien comparte el objetivo de ofrecer una eficaz protección de la vida personal y familiar, atribuye a su titular "el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley, aquélla que conforme al art. 18.4 debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos, bien regulando su ejercicio". Así pues, "la peculiaridad de este derecho...respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues,  en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran" (Fundamento Jurídico 5º).  Por tanto, la Sentencia procede a distinguir ambos derechos afirmando que "el derecho a la intimidad tiene como función la de "proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad"; mientras que el derecho a la protección de datos "persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado" (Fundamento Jurídico 6º). En consecuencia, su objeto es más amplio que el del derecho a la intimidad, ya que extiende su garantía no sólo a la intimidad sino a bienes de la personalidad que pertenecen al ámbito de la vida privada, sean o no íntimos, cuyo conocimiento o empleo por terceros puede afectar a sus derechos. Quiere con ello indicarse que  alcanza a datos personales públicos. Por ello, los datos amparados son "todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole", o cuyo empleo pueda constituir una amenaza para el individuo (Fundamento Jurídico 6º). En suma, este derecho consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos pueden proporcionarse a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, al tiempo que también permite al individuo saber quién posee esos datos personales y para qué los ha obtenido o utiliza, pudiendo oponerse a esa posesión o a su uso (Fundamento Jurídico 7º). Dado que todos estos elementos han de ser fijados reservadamente por ley, el Tribunal Constitucional declaró, por medio de esta Sentencia, la inconstitucionalidad de aquellos preceptos contenidos en la LOPD que establecían, a esos fines, una remisión a normas de rango inferior a la ley.

Comentario

           En esta sentencia se enjuicia la constitucionalidad del apartado 1 del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general, incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. La norma impugnada dispone que la recopilación por los partidos políticos de datos personales relativos a opiniones políticas de los ciudadanos está amparada en el interés público cuando se ofrezcan garantías adecuadas.

              En primer lugar, el Tribunal Constitucional destaca que alrededor de la impugnación referida a la posible vulneración del derecho fundamental a la protección de datos personales (art. 18.4 en conexión con el art. 53.1 CE) se articulan en el recurso de inconstitucionalidad otros motivos, unos relativos también a la infracción de otros derechos fundamentales sustantivos, como los derechos a la libertad ideológica (art. 16 CE) y de participación política (art. 23 CE), y otro referido al principio general de seguridad jurídica (art. 9.3 CE). No obstante, el núcleo de central de la controversia e impugnación se refiere al art. 18.4 CE en conexión con el art. 53.1 CE.

Se trata de resolver si el legislador ha vulnerado la reserva de ley y el contenido esencial del derecho fundamental a la protección de datos personales (art. 18.4 CE en conexión con el art. 53.1 CE), por renunciar a establecer el marco en el que se habilita el tratamiento, la finalidad del mismo y las garantías adecuadas frente al concreto uso de la informática previsto en la norma impugnada.

Para enjuiciar si la citada disposición legal cumple con las exigencias que derivan de la Constitución y de nuestra doctrina constitucional, el Tribunal comienza exponiendo el régimen jurídico del tratamiento de datos personales relativos a las opiniones políticas de las personas. Al tratarse de un derecho fundamental que en la actualidad se halla parcialmente determinado por el Derecho de la Unión Europea (Reglamento (UE) 2016/679, que entró en vigor el 25 de mayo de 2018 ), ello implica que, además de este Reglamento (en adelante, RGPD), se aluda a la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en adelante, LOPDyGDD), “pues en la actualidad ambas fuentes configuran conjuntamente, de forma directa o supletoria, el desarrollo del derecho fundamental a la protección de datos de carácter personal que exigen los artículos 18.4 y 81.1 CE, dado que el artículo 2.3 LOPDyGDD declara la supletoriedad del reglamento general y de la Ley Orgánica 3/2018, a falta de legislación específica, también para los tratamientos a los que el reglamento general no resulte directamente aplicable por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea”. (FJ 4).

En concreto, el artículo 9 del RGPD, en su apartado 1, prohíbe el tratamiento de datos personales que revelen las opiniones políticas, salvo que se autorice el tratamiento de esos datos cuando concurra alguna de las diez circunstancias previstas (apartado 2). El RGPD no excluye de antemano que los Estados miembros puedan autorizar la recopilación de datos personales sobre las opiniones políticas en el marco de actividades electorales, si bien esa autorización está expresamente condicionada al establecimiento de «garantías adecuadas» que el artículo 9.2 LOPDyGDD señala que «deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad».

El artículo 58 bis de la LOREG, cuyo apartado 1 es el objeto del recurso de inconstitucionalidad, “contiene una modificación normativa introducida por el legislador orgánico para hacer posible un tratamiento de datos que, de no existir dicha habilitación, estaría prohibido tanto por el Derecho de la Unión como por nuestro ordenamiento jurídico, tal como se refleja en los artículos 9.1 RGPD y 9.2 LOPDyGDD” (FJ 4). No obstante, el TC constata que, pese a la existencia de dicha habilitación,  “la ley no ha identificado la finalidad de la injerencia para cuya realización se habilita a los partidos políticos, ni ha delimitado los presupuestos ni las condiciones de esa injerencia, ni ha establecido las garantías adecuadas que para la debida protección del derecho fundamental a la protección de datos personales reclama nuestra doctrina, por lo que se refiere a la recopilación de datos personales relativos a las opiniones políticas por los partidos políticos en el marco de sus actividades electorales” (FJ 9).

Por tanto, la sentencia estima la declaración de inconstitucionalidad y nulidad del apartado 1 del artículo 58 bis de la LOREG basándose en que “la Ley Orgánica 3/2018 no ha fijado por sí misma, como le impone el artículo 53.1 CE, las garantías adecuadas por lo que respecta específicamente a la recopilación de datos personales relativos a las opiniones políticas por los partidos políticos en el marco de sus actividades electorales. Ello constituye una injerencia en el derecho fundamental a la protección de datos personales de gravedad similar a la que causaría una intromisión directa en su contenido nuclear” (FJ 10).

Para llegar a esa conclusión, el TC advierte que “se han producido tres vulneraciones del artículo 18.4 CE en conexión con el artículo 53.1 CE, autónomas e independientes entre sí, todas ellas vinculadas a la insuficiencia de la ley y que solo el legislador puede remediar, y redundando las tres en la infracción del mandato de preservación del contenido esencial del derecho fundamental que impone el artículo 53.1 CE, en la medida en que, por una parte, la insuficiente adecuación de la norma legal impugnada a los requerimientos de certeza crea, para todos aquellos a los que recopilación de datos personales pudiera aplicarse, un peligro, en el que reside precisamente dicha vulneración y, por otra parte, la indeterminación de la finalidad del tratamiento y la inexistencia de «garantías adecuadas» o las «mínimas exigibles a la Ley» constituyen en sí mismas injerencias en el derecho fundamental (…)” (FJ 9).

El TC enjuicia “los tres elementos que aglutina la impugnación central del recurso de inconstitucionalidad y que confluyen en una doble vulneración de los artículos 18.4 y 53.1 CE: (i) que la disposición legal recurrida no haya determinado por sí misma la finalidad del tratamiento de datos personales que revelen opiniones políticas, más allá de la genérica mención al «interés público»; (ii) que no haya limitado el tratamiento regulando pormenorizadamente las restricciones al derecho fundamental; y (iii) que no haya establecido ella misma las garantías adecuadas para proteger los derechos fundamentales afectados” (FJ 7). Respecto a la primera tacha de inconstitucionalidad, no se identifica ni especifica el interés público esencial que fundamenta la restricción del derecho fundamental y como en la “ya citada STC 292/2000, en la que también se enjuició una injerencia legislativa en el derecho a la protección de datos personales, rechazamos que la identificación de los fines legítimos de la restricción pudiera realizarse mediante conceptos genéricos o fórmulas vagas” (FJ7). En cuanto a la segunda tacha de inconstitucionalidad, la disposición legal impugnada solo recoge una condición limitativa del tratamiento de datos que autoriza: la recopilación de datos personales relativos a las opiniones políticas de las personas solo podrá llevarse a cabo «en el marco de sus actividades electorales». Se trata de una condición que apenas contribuye a constreñir el uso de la habilitación conferida y “desde las exigencias de certeza que han de presidir cualquier injerencia en un derecho fundamental, es también patente que el apartado 1 del artículo 58 bis LOREG, al no hacer referencia alguna a los presupuestos y condiciones del tratamiento de datos personales relativos a las opiniones políticas, resulta insuficiente para determinar si las operaciones que puedan llevar a cabo los partidos políticos serán o no «el fruto previsible de la razonable aplicación de lo decidido por el legislador» (SSTC 49/1999, de 5 de abril, FJ 4; y 154/2014, de 22 de septiembre, FJ 7)”.

En realidad, las dos primeras tachas de inconstitucionalidad dirigidas contra el precepto impugnado están íntimamente relacionadas y muestran como “el legislador no ha precisado qué finalidad o bien constitucional justifica la restricción del derecho a la protección de datos personales ni ha determinado en qué supuestos y condiciones puede limitarse, mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias” (FJ 7).

En tercer lugar, es especialmente relevante el análisis que se hace en esta sentencia sobre la exigencia de “garantías adecuadas” a la vista de los potenciales efectos intrusivos en el derecho fundamental afectado que resultan del tratamiento de datos personales. Para ello se reitera la jurisprudencia de este Tribunal (STC 292/2000, FF.JJ 7 y 10) y del Tribunal de Justicia de la Unión Europea (sentencia de la Gran Sala de 8 de abril de 2014, asuntos acumulados C-293/12 y C-594/12, Digital Rights Ireland Ltd) incidiendo en que el establecimiento de medidas adecuadas y específicas solo puede ser expreso. “Si la norma interna que regula el tratamiento de datos personales relativos a opiniones políticas no prevé esas garantías adecuadas, sino que, todo lo más, se remite implícitamente a las garantías generales contenidas en el Reglamento general de protección de datos, no puede considerarse que haya llevado a cabo la tarea normativa que aquel le exige” (FJ 8).

Tampoco la previsión de las garantías adecuadas puede deferirse a un momento posterior a la regulación legal del tratamiento de datos personales de que se trate. “Las garantías adecuadas deben estar incorporadas a la propia regulación legal del tratamiento, ya sea directamente o por remisión expresa y perfectamente delimitada a fuentes externas que posean el rango normativo adecuado. Solo ese entendimiento es compatible con la doble exigencia que dimana del artículo 53.1 CE para el legislador de los derechos fundamentales: la reserva de ley para la regulación del ejercicio de los derechos fundamentales reconocidos en el capítulo segundo del título primero de la Constitución y el respeto del contenido esencial de dichos derechos fundamentales” (FJ8). De ahí que, en este caso, el TC considere que ni de la literalidad del precepto impugnado, ni del sentido de la enmienda de adición de la que trae causa el precepto impugnado, así como de las dos normas que regulan la protección de datos personales en España, la LOPDyGDD y el RGPD, tal como las ha concretado la Circular 1/2019 puede entenderse que la norma impugnada haya previsto garantías adecuadas frente a la recopilación de datos personales que autoriza.

Por todo ello, y teniendo presente tanto la especial sensibilidad de los datos personales afectados como la especial posición constitucional de los sujetos autorizados a recopilarlos, esta sentencia constituye un notable ejemplo de precisión de los parámetros de enjuiciamiento que permiten resolver el contenido central de la impugnación: la vulneración por el legislador de la reserva de ley y el contenido esencial del derecho fundamental a la protección de datos personales (artículo 18.4 CE en conexión con el artículo 53.1 CE).