Protección de datos: empresas y tribunales
10 de junio de 2019
Jose Antonio Castillo Parrilla
Jose Antonio Castillo es Doctor en Derecho digital (Universidad de Bolonia, Italia) y Dr. en Derecho Civil por la Universidad de Granada, donde imparte clases. Ha publicado en Dykinson (2018) la obra "Bienes digitales, una necesidad europea". Además, es el coordinador científico del Proyecto de Jóvenes Investigadores de la Universidad de Málaga sobre la Estrategia Europea del Mercado Único Digital. Como experto de reconocido prestigio en materia de derecho y economía digital, es miembro de diversas agrupaciones profesionales y ponente en numerosas conferencias internacionales.
En este artículo de El Ojo Clínico, el autor reflexiona sobre la protección de datos y la falta de garantías que suscita. Las empresas pueden distinguirse con mejores o peores prácticas ante algunos vacíos legales.
Los datos comienzan a ser aceptados cada vez de forma más amplia como un recurso patrimonial (riqueza digital) equiparable a cualesquiera otros. Sin embargo, por el momento no se ha desarrollado una normativa específica que como tal los contemple. La única presencia jurídica de los datos lo es desde una perspectiva personalista: si la protección de datos son personales, o no personales, pero no desde una perspectiva patrimonial (economía de los datos). Pese a esto, la Comisión Europea ha iniciado en el marco de la Estrategia para el Mercado Único Digital un impulso a la economía de los datos.
La libertad de consentimiento al tratamiento de datos y la elaboración de perfiles personalizados: dos brechas de seguridad (jurídica) en el RGDP
El pasado 25 de mayo se cumplió un año de la entrada en vigor del Reglamento General de Protección de Datos (RGDP). Algunos días antes, el 22 de mayo, casi como si se tratara de un regalo de cumpleaños, el Tribunal Constitucional publicó el fallo de la sentencia (que no la fundamentación) por la que se declara la inconstitucionalidad del primer punto del art. 58 bis de la LOREG introducido por la LOPDGDD, que desarrolla y adapta el RGPD al ordenamiento español. Justo ese mismo día se publicó en el Diario Oficial de la Unión Europea la Directiva 770/2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales.
El RGPD, como no podía ser de otro modo, está influenciado por la perspectiva personalista respecto de los datos. Sin embargo, lo está hasta un punto que podríamos considerar en ciertos aspectos excesivo en la medida en que el rigor en sus exigencias puede frenar el desarrollo de la vertiente jurídico-patrimonial de los datos (cuestión poco probable) o convertir dichos requisitos en papel mojado (opción más probable, pero muchísimo menos recomendable).
Dos situaciones de una importancia significativa a las que podemos calificar como “brechas de seguridad jurídica” dan muestra de este riesgo. Primero, la interpretación de la libertad de consentimiento para el tratamiento de datos. En segundo lugar, la posibilidad de elaboración de perfiles personalizados basados en la actividad en la red.
Protección de Datos ¿somos libres en el consentimiento?
De acuerdo con el artículo 2.11 RGPD, se entiende por consentimiento del interesado “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
De cara a la valoración de la libertad en la emisión del consentimiento habrá de tenerse en cuenta, de acuerdo con el art. 7.4 RGPD “si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato”.
Este artículo no dice expresamente que si la prestación de un servicio depende del consentimiento al tratamiento de datos el consentimiento no será libre, sino que esta circunstancia deberá ser tenida en cuenta a la hora de valorar la libertad en la emisión del consentimiento. ¿Cómo influye, pues, esta circunstancia a la hora de determinar si el consentimiento al tratamiento de datos ha sido emitido libremente o no?
Los Considerandos 42 y 43 del RGPD ofrecen los criterios que nos permiten dar respuesta, de acuerdo con la interpretación del RGPD a este respecto, a la cuestión. Según el Considerando 42 RGPD in fine: “El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno”.
Por su parte, de acuerdo con el Considerando 43, “para garantizar que el consentimiento se haya dado libremente éste no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibrio claro entre el interesado y el responsable del tratamiento (…). Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aún cuando éste no sea necesario para dicho cumplimiento”.
Este último criterio ha sido incorporado a la LOPDGDD a través del art. 6.3, según el cual “no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual”.
Por lo tanto, de acuerdo con los Considerandos 42 y 43 del RGPD debe entenderse que el consentimiento no ha sido libremente emitido si (1) su posterior retirada comporta consecuencias perjudiciales para el titular de los datos; o si (2) el tratamiento de datos para el que se solicita el consentimiento no es técnicamente necesario y, sin embargo, el cumplimiento del contrato y/o la prestación del servicio se hacen depender de la emisión del consentimiento al tratamiento de estos datos no necesarios técnicamente.
Qué opciones quedan…
Para no hacer perder tiempo a los que hayan tenido la bondad de llegar hasta este punto, adelanto la posición que sostengo respecto del concepto que defiende el RGPD en relación con la libertad de consentimiento. Tanto una como otra interpretación de la misma (Cons. 42 y 43) no responden a la práctica habitual ni tampoco se corresponden con la idea que la teoría general de obligaciones y contratos (al menos en España) tiene de la libertad de consentimiento.
Esto conduce a dos opciones muy poco recomendables. La primera sería sancionar sistemáticamente a una inmensa mayoría de contratos donde de un modo u otro se paga con los propios datos. La segunda sería ignorar la interpretación rigorista del RGPD en esta materia, convirtiéndolo a este respecto en papel mojado.
Una tercera vía menos radical que las dos anteriores sería proponer una interpretación de la libertad de consentimiento menos literal, que acogiera la práctica habitual en esta materia y respecto de la cual pudiera lograrse un mejor cumplimiento y, por tanto, una mayor capacidad de control respecto de este cumplimiento. Ello sería posible si el contenido de los Considerandos 42 y 43 no fuese tan claro como es.
Examinemos la primera de las situaciones. No habrá libertad de consentimiento respecto del tratamiento de datos cuando su posterior retirada comporte consecuencias perjudiciales para el titular de los datos (Cons. 42). Esta interpretación de la libertad de consentimiento dificultaría (si se vigilase estrictamente su cumplimiento literal) la aplicación del artículo 3 en relación con el Considerando 24, ambos de la Directiva 770/2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales.
Según el mentado artículo 3, “la presente Directiva se aplicará cuando el empresario suministre o se comprometa a suministrar contenidos digitales al consumidor y éste facilite o se comprometa a facilitar datos personales al empresario, salvo cuando los datos personales facilitados por el consumidor sean tratados exclusivamente por el empresario con el fin de suministrar los contenidos o servicios digitales con arreglo a la presente Directiva o para permitir que el empresario cumpla los requisitos legales a los que está sujeto, y el empresario no trate esos datos para ningún otro fin”.
En otras palabras, de acuerdo con la Directiva 770/2019 es posible que la contraprestación en contratos de suministro de contenidos o servicios digitales sean datos del cliente en lugar de dinero, siempre que dichos datos no sean necesarios técnicamente para el correcto cumplimiento del contrato (cfr. art. 1258 CC, según el cual el contrato obliga no sólo al cumplimiento de lo expresamente pactado, de lo que se deduce un mutuo deber de colaboración de las partes en aras del correcto cumplimiento del contrato).
A pesar de destacar el Considerando 24 que “los datos personales no pueden considerarse una mercancía”, reconoce que “a menudo los contenidos o servicios digitales se suministran también cuando el consumidor no paga un precio, pero facilita datos personales al empresario”. Si quien esté leyendo estas reflexiones no entiende tal contradicción de la Directiva en menos de cuatro líneas, he de confesar que yo tampoco: si los datos sirven al consumidor (y no sólo al consumidor, pero ciñámonos a la literalidad del Considerando) como medio de pago, son de facto una mercancía.
Los datos personales son, de facto, una mercancía en la economía digital.
Dr. Jose Antonio Castillo Parrilla
El artículo 3 y el Considerando 24 de la Directiva 770/2019 no hacen sino reconocer una realidad cotidiana en los contratos del mercado digital: los consumidores ofrecemos a menudo nuestros datos como contraprestación alternativa o complementaria al dinero. De acuerdo con este razonamiento, muchos de los contratos que denominamos gratuitos como cuentas de correo electrónico o de redes sociales no lo son, ni lo han sido nunca (invito al lector a abrir la página principal de Facebook y leer su eslogan: “Regístrate, es gratis y siempre lo será”).
Cuenta «On» de Bankia: sin comisiones, sin protección de datos
Un caso que ha saltado a la prensa como es el de la Cuenta ON de Bankia resulta muy interesante. Nos puede servir para observar las dificultades de aplicación de un criterio tan rígido como el del Considerando 42 del RGPD. Sobre todo, cuando el consentimiento al tratamiento de datos personales es, además, un medio de pago por determinados servicios.
Tomaremos para la descripción del caso la información publicada por El Confidencial. La Cuenta ON se ofrece como una cuenta sin comisiones. Para darse de alta en esta cuenta el usuario debe abrir un perfil en la web de Bankia, y emitir una serie de consentimientos al tratamiento de datos clicando afirmativamente en ellos.
Destaco de entre todos los que deben emitirse el siguiente: “acepto compartir mis datos personales con sociedades y empresas participadas o colaboradores del grupo Bankia para que puedan ofrecerme sus productos o servicios”. En caso de no emitir los consentimientos requeridos, el futuro cliente deberá abonar una comisión de 5 euros.
Este consentimiento no sólo refleja la situación de recolección de datos que no son necesarios desde un punto de vista técnico para el cumplimiento del contrato, sino que, además, anuncia que dichos datos serán ofrecidos a otras empresas para que, a través de la elaboración de perfiles comerciales personalizados (cuestión que veremos en el siguiente punto) puedan ofrecer productos o servicios. Es decir, se trata del reflejo de una doble situación relacionada con la vertiente patrimonial de los datos: se paga con datos, y los datos son objeto de tráfico oneroso en mercados específicos (mercados de datos).
La mera situación previa que refleja la noticia (aceptación del tratamiento de datos vs pago de 5 euros) incumple tanto el Considerando 43 del RGPD como el art. 6.3 LOPDGDD, en la medida en que se está supeditando la ejecución del contrato a que el afectado consienta el tratamiento de sus datos personales cuando dicho tratamiento no guarde relación con el propio cumplimiento del contrato.
Supongamos que como cliente de Bankia decido, no obstante, abrir una cuenta ON y aceptar el tratamiento de mis datos personales de acuerdo con los consentimientos que me requieren (o recolectan) en la web. Pasado un tiempo, decido retirar el consentimiento, cuestión que me permite el art. 7.3 RGPD, según el cual “el interesado tendrá derecho a retirar su consentimiento en cualquier momento”, debiendo ser “tan fácil retirar el consentimiento como darlo”. ¿Podría en ese caso Bankia exigirme el pago de 5 euros? Si nos atenemos al Considerando 42 RGPD in fine, la respuesta parece clara: no, ya que “el consentimiento no debe considerarse libremente prestado cuando (…) no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno”. Y, desde luego, tener que pagar 5 euros por retirar mi consentimiento es un perjuicio patrimonial.
Miremos, no obstante, más allá del RGPD. El artículo 1256 del Código Civil establece que la validez y el cumplimiento de los contratos no pueden dejarse al arbitrio de uno de los contratantes. El contrato de cuenta bancaria ante el que estamos puede expresarse a través del siguiente sinalagma: apertura de cuenta bancaria a cambio del pago de 5 euros, o apertura de cuenta bancaria a cambio del pago con datos personales (de lo que se deduce, además, que mis datos personales en este caso valen 5 euros).
El cumplimiento del contrato consiste por mi parte, pues, en pagar un precio por la apertura de la cuenta bancaria, sea éste monetario o de otro tipo. Si yo puedo decidir retirar el pago de 5 euros en cualquier momento sin sufrir ningún tipo de consecuencias perjudiciales (sean patrimoniales o contractuales, como por ejemplo el cierre de la cuenta), el cumplimiento del contrato quedaría a mi arbitrio y, por otra parte, estaría beneficiándome de un enriquecimiento sin causa en la medida en que la ventaja patrimonial que para mi representa la apertura de una cuenta bancaria no viene seguida de una correlativa contraprestación por mi parte estimada como equivalente en el contrato (el pago de 5 euros). Entiendo que este razonamiento debe ofrecer pocas dudas.
Sin embargo, si en lugar de pagar 5 euros pago con el consentimiento al tratamiento comercial de mis datos, puedo retirar el consentimiento en cualquier momento sin sufrir consecuencia patrimonial alguna (sea que me exijan los 5 euros o que me cierren la cuenta), ya que de tenerla se entendería que mi consentimiento no es libre y se produciría una infracción del RGPD.
Humildemente, considero que esta situación no es sostenible si, como anteriormente expresaba la entonces Propuesta de Directiva 634/2015, los datos se conciben cada vez más como un valor comparable al dinero. Sencillamente, el RGPD en este punto ignora por completo la realidad. El exceso de protección del titular de los datos puede ser en este caso tremendamente contraproducente, pues de nada sirve una norma perfecta que es mayoritariamente ignorada por la población a la que se aplica.
Las cookies de nuestros navegadores
Algo parecido ocurre en el caso de la recolección de datos de navegación a través de cookies comerciales en las páginas web. Estos datos son muy valiosos de cara a la construcción de perfiles personalizados (por el momento y que se sepa, fundamentalmente comerciales), por lo que puede decirse que las webs tienen o pueden tener un doble modelo de negocio: el que les es propio (diarios digitales, venta de productos, oferta de hoteles y un largo etcétera) y el de la recolección de datos.
Personalmente, considero especialmente relevante el modelo de negocio de la recolección de datos en el caso de los diarios digitales, pues aquellos que son de acceso gratuito deben nutrirse económicamente, y sus fuentes son la publicidad (principalmente), las suscripciones y la recolección de datos. Otro sector de webs donde la recolección de datos forma parte del modelo de negocio son las plataformas de contenidos de las grupos audiovisuales.
En la web de Mediaset podemos leer el siguiente aviso de cookies: “A través de este sitio web utilizamos cookies propias y de terceros para mejorar los servicios prestados, realizar mediciones del uso que se hace del sitio web o realizar análisis estadísticos. Ello nos permite personalizar el contenido que ofrecemos y mostrarle publicidad relacionada con sus preferencias. Tanto si continúa navegando a través de nuestro sitio web, como si hace click en “aceptar” está aceptando su uso y consintiendo su instalación”.
El modo de emisión del consentimiento es lícito de acuerdo con el RGPD, ya que éste puede ser explícito o tácito (“mediante una declaración o una clara acción afirmativa”). A través de una clara acción afirmativa como es no irnos inmediatamente de la web estamos aceptando que se nos instalen cookies comerciales. Alternativamente, si clicamos en “aceptar” estamos aceptando explícitamente dichas cookies comerciales.
Pero, ¿se trata de un consentimiento libremente emitido? Cuando entramos en una página web estamos celebrando un contrato de acceso.
Dr. Jose Antonio Castillo Parrilla
Resulta que la ejecución de este contrato de acceso se hace depender de nuestro consentimiento a la instalación de cookies que van a servir para la recolección y tratamiento de ciertos datos personales como son los datos de navegación. De acuerdo con el Considerando 43 RGPD y el art. 6.3 LOPDGDD, esta práctica es contraria a la normativa de protección de datos. ¿Significa esto que la AEPD debería iniciar una campaña de control (algo parecido a las de la Guardia Civil, pero en el ciberespacio) para sancionar a la inmensa mayoría de webs que utilizan cookies comerciales? No parece, tampoco en este caso, una opción viable.
¿Cómo se elaboran los perfiles personalizados?
La siguiente cuestión es, desde mi punto de vista, bastante más preocupante. Como he dicho al principio, el Tribunal Constitucional ha emitido el 22 de mayo (el mismo día que se publicó en el DOUE la Directiva 770/2019) una importante Sentencia por la que se declara inconstitucional el punto 1 del art. 58 bis de la LOREG, introducido por la LOPDGDD, que amparaba la elaboración y utilización de perfiles personalizados de sensibilidad electoral basados en la actividad en la red por parte de partidos políticos y coaliciones electorales amparado en un supuesto “interés general”, siempre que se cumpliera con ciertas “garantías adecuadas” que no especificaba.
La sentencia del Tribunal Constitucional
La Sentencia, y su origen, suscitan varias reflexiones iniciales:
(1) se produjo no ya el consenso, sino la unanimidad de todos los Diputados para aprobar un precepto del que no había necesidad alguna;
(2) fue un tiro en el pie si tenemos en cuenta que permitió al Tribunal Constitucional pronunciarse acerca de un asunto (la creación de perfiles ideológicos o electorales basados en la actividad en la red) que habría permanecido en una zona gris durante algún tiempo si no se hubiera incluido la introducción del controvertido 58 bis LOREG en la LOPDGDD;
(3) el RGPD permite la creación de perfiles personales basados en la actividad en redes y de navegación con “fines de mercadotecnia directa”, si bien prohíbe que se tomen decisiones individuales basados en la elaboración de perfiles personales (art. 21 RGPD);
(4) el fallo de la Sentencia (ciertamente rápido el TC en esta ocasión) se produjo a dos días de que terminara un largo ciclo de elecciones y campañas electorales (durante el cual ha estado en vigor);
(5) cabe desear que todos los perfiles personales elaborados hasta la fecha en que se ha producido la sentencia se eliminen y en la práctica podamos asumir que este artículo y la producción de perfiles electorales personales nunca existió;
(6) tristemente, me temo que la anterior reflexión es un mero desiderátum que difícilmente se podrá lograr; y, sobre todo, comprobar en la práctica.
Perfiles personales y protección de datos
La elaboración de perfiles personales es una muestra muy significativa del objeto de estas reflexiones. Los datos han pasado a convertirse en un activo patrimonial con una importancia indiscutible (perspectiva patrimonial de los datos o “economía de datos”). No obstante, la concepción social y su protección jurídica actuales los conciben exclusivamente como una proyección de la personalidad de su titular (perspectiva jurídico-personalista de los datos). Es necesario que ambas perspectivas convivan y se entiendan.
En el momento actual, sin embargo, podemos afirmar que el RGPD y, en general, la perspectiva personalista respecto de los datos (protección de datos personales) ignoran las fortísimas implicaciones económicas que tienen los datos en tanto que nueva manifestación de riqueza (riqueza digital). Cierto es que algunos Considerandos del RGPD y preceptos de la LOPDGDD reconocen tímidamente manifestaciones del valor económico de los datos, pero no lo es menos que la práctica totalidad de su contenido observan los datos exclusivamente desde una perspectiva personalista.
Esta falta de sintonía entre las dos vertientes jurídicas de los datos puede llevar a dos situaciones igualmente perjudiciales a las que ya nos hemos referido: (1) el desarrollo de la economía de los datos se verá frenado por las trabas que supone el cumplimiento de ciertas normas del RGPD y normas nacionales de desarrollo y adaptación; o (2) aquellas normas de protección de datos que dificulten el desarrollo de la economía de datos se convertirán en papel mojado.
Resumen de una controvertida sentencia
La Sentencia del Tribunal Constitucional de 22 de mayo de 2019 declara inconstitucional el apartado primero del artículo 58 bis de la LOREG introducido por la Disposición Final Tercera de la LOPDGDD. El artículo 58 bis de la LOREG introducido por la LOPDGDD se expresa en los siguientes términos:
- La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
- Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el período electoral.
- El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
- Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
- Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.
El papel del defensor del pueblo
La Sentencia trae causa de un recurso de inconstitucionalidad interpuesto por el Defensor del Pueblo contra el apartado 1 del art. 58 bis de la LOREG. Es importante destacar esto, pues la Sentencia no se pronuncia sobre nada más, en la medida en que sobre nada más se le pregunta.
De acuerdo con el escrito presentado por el Defensor del pueblo, el precepto cuestionado “ampara el tratamiento (la recopilación lo es), en principio prohibido, de datos personales relativos a opiniones políticas”. Este tratamiento está, siempre a juicio del Defensor del Pueblo, amparado por tres conceptos jurídicos excesivamente indeterminados como son el “interés público” ampara estas actividades, así como las “garantías adecuadas” que sin embargo no se especifican, y siempre que todo ello se realice “en el marco de sus actividades electorales”, que tampoco se dice cuáles son. Todo ello incumpliría los artículos 9.3 (seguridad jurídica), 18.4 (intimidad y limitación de la informática), 16 (libertad ideológica), 23.1 (sufragio y participación política) y 53 (reserva de ley de los derechos fundamentales) de la Constitución Española, además del art. 9 de la LOPDGDD, en la medida en que de acuerdo con este último “el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología…”.
No pretendo entrar en este momento en la aparente contradicción que se produce entre el art. 9 de la LOPDGDD y su homólogo en el RGPD, el art. 9, en la medida en que éste último permite burlar la prohibición del tratamiento de datos de “categorías especiales” (entre ellos las opiniones políticas) a través del consentimiento explícito del interesado. Esta contradicción aparente se resuelve en el propio art. 9.2.a, cuando permite que el Derecho de los Estados miembros “establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado”, como ocurre en el caso de la LOPDGDD.
De acuerdo con el parecer del Defensor del Pueblo, se vulneran la seguridad jurídica y la reserva de ley en la medida en que el art. 58.1 LOREG es excesivamente genérico. Se vulnera, además, el derecho de participación política en la medida en que “en un entorno tecnológico en el que las modernas técnicas de análisis de la conducta sobre la base del tratamiento masivo de datos y la inteligencia artificial permiten procedimientos complejos orientados a modificar, forzar o desviar la voluntad de los electores y sin que éstos sean conscientes de ello”.
…y una reflexión más general
En relación con este argumento, resulta muy recomendable la lectura del artículo del historiador Yuval Noah Harari titulado “Los cerebros hackeados votan”, publicado en El País el 6 de enero de este año.
Afirma, entre otras muchas cuestiones de interés, que “para piratear a los seres humanos, hacen falta tres cosas: sólidos conocimientos de biología, muchos datos y una gran capacidad informática”, y que, en la medida en que la sociedad tecnológica actual (a la que podemos denominar “sociedad de cristal”) permite cumplir con los dos últimos requisitos, “es posible que tanto las empresas como los Gobiernos cuenten pronto con todo ello y, cuando logren piratearnos, no sólo podrán predecir nuestras decisiones, sino también manipular nuestros sentimientos”.
Finalmente, se menciona el incumplimiento del artículo 18.4 CE, de acuerdo con el cual “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Se menciona el incumplimiento de este precepto constitucional en la medida en que sirve de fundamento a la protección de datos personales, pero, y esto es lo preocupante, no se va más allá en el razonamiento de por qué la elaboración de perfiles personales referidos a opciones políticas vulnera la obligación de limitar el uso de la informática (por ejemplo, el tratamiento masivo de datos) para garantizar el pleno ejercicio de los derechos fundamentales y, especialmente, el derecho al honor y a la intimidad personal y familiar.
Ejemplo de Cambridge Analytica y Disney
Antes de entrar a comentar el razonamiento del TC, no puedo pasar por alto destacar la ingeniosa defensa que hace del precepto cuestionado el Abogado del Estado. De acuerdo con su razonamiento el precepto cuestionado “pretende evitar situaciones como la que causó el caso denominado “Cambridge Analytica”, en el que se produjo una utilización indebida de datos de los ciudadanos”.
El razonamiento indica que no se vulnera el art. 23 CE porque “se persigue que sean los partidos políticos, todos ellos, justamente los garantes del pluralismo político, los que puedan llevar a cabo el legítimo fin en una democracia de conocer, exclusivamente en los procesos electorales, la opinión de los electores para conformar su estrategia electoral, lo que redunda en un mejor funcionamiento del sistema democrático”, y porque la recopilación de datos no afecta al derecho de participación política ni fuerza una determinada voluntad.
Me remito a las reflexiones de Harari al respecto del “hackeo de cerebros” en relación con la manipulación a través del análisis masivo de datos. Cabe hacer, además, algunas reflexiones adicionales. La empresa Cambridge Analytica utilizó datos de usuarios de Facebook para elaborar perfiles políticos con los que orientar la estrategia de campaña de un partido concreto en las elecciones de Estados Unidos. Dicho en otras palabras, justo lo que describen tanto el punto 1 como el punto 2 del art. 58 bis de la LOREG.
¿Se pretende evitar que puedan darse situaciones como las del caso Cambridge Analytica o que esas situaciones puedan dar lugar a sanciones contra los partidos políticos que las lleven a cabo? Una última precisión: los partidos políticos son, de acuerdo con la Constitución, expresión del pluralismo político e instrumento fundamental para la participación política; no “garantes del pluralismo político” como expresa el Abogado del Estado.
Los derechos fundamentales ante el uso comercial de la informática
¿Qué opina el Tribunal Constitucional (TC) respecto del artículo 58 bis de la LOREG? Como hemos dicho al principio de este punto, se limita únicamente a juzgar la constitucionalidad del punto primero, único cuya constitucionalidad cuestiona el Defensor del Pueblo. Puede afirmarse que comparte la práctica totalidad de los argumentos esgrimidos por el Defensor del Pueblo y que rechaza la “ingeniosa” argumentación del Abogado del Estado. Sin embargo, muchos de los planteamientos de los que se hace eco lo son a modo de obiter dicta.
La ratio decidendi se encuentra en los Fundamentos Jurídicos 7 a 9 y se centra en tres cuestiones que resume el inicio del FJ-7. El art. 58 bis.1 LOREG incumple los artículos 18.4 y 53.1 CE por tres motivos: (1) no se determina la finalidad del tratamiento de datos personales que revelen opiniones políticas más allá de la genérica mención al interés público; (2) no se establece limitación del tratamiento regulando pormenorizadamente restricciones al mismo; y (3) no se detallan las “garantías adecuadas” para proteger los derechos fundamentales afectados. Finalmente, en el FJ-10 el TC circunscribe el objeto de su pronunciamiento al precepto por el que se la ha preguntado, el art. 58 bis.1.
Sin ánimo de restar importancia a los motivos esgrimidos por el TC para declarar inconstitucional el art. 58 bis.1 LOREG, considero de mayor importancia (y motivo de preocupación) lo que no dice, y lo que parece decir.
Se reconoce en la STC (FJ-5) que el derecho a la protección de datos tiene tanto un carácter autónomo (en tanto que fin en sí mismo) como un carácter instrumental (de protección del resto de derechos fundamentales), y que la libertad ideológica comprende no sólo el derecho a no ser obligado a declarar sobre la propia ideología, sino también el de guardar secreto respecto de posiciones políticas propias. Difícilmente se puede estar en contra de este razonamiento. El problema es que no lo conecta con el contenido del art. 58 bis.1 de la LOREG, que no razona sobre cómo la elaboración de perfiles políticos personalizados vulnera el mandato de “limitar el uso de la informática” para garantizar el ejercicio de derechos fundamentales.
¿Cualquier perfil puede ser político?
Existe un segundo problema de similar gravedad, que no tiene que ver con la posibilidad de elaboración de perfiles políticos, sino con la posibilidad de elaboración de perfiles, a secas. Hace una década hizo fortuna la expresión “hombre de cristal” para hacer referencia a aquella persona de la que es posible saber todo. Hoy, podemos afirmar que la hiperconexión y la posibilidad de rastreo de la totalidad de nuestra actividad en internet (huella digital) han dado lugar no ya a concretas “personas de cristal”, sino a una “sociedad de cristal”. Es decir, poco importa que personas concretas no tengan actividad alguna en la red, ya que en la medida en que la inmensa mayoría sí la tiene es posible elaborar perfiles muy precisos aplicables a esas personas basados en el tratamiento de datos masivos de otras.
Esta situación permite que la inferencia y predicción basadas en datos masivos no deban utilizar necesariamente datos referidos a aquella información que buscan. En el caso que nos ocupa, para averiguar preferencias políticas no es necesario hacer perfiles políticos.
La empresa Cambridge Analytica se sirvió de un “inocente” test sobre Disney para clasificar en seis las preferencias ideológicas de quienes lo respondían. ¿Qué más da que la LOPDGDD prohíba, si es que se puede decir que prohíbe, la elaboración de perfiles políticos si puedo obtener la misma información que necesito de un perfil sobre gustos literarios y musicales que, en tanto que perfiles comerciales, están permitidos por el RGPD y sobre los que la LOPDGDD no dice nada?
Paradojas y des- protección de datos
Una última cuestión, no por ello menos importante, es que en la práctica lo que permitía el art. 58 bis LOREG antes de la STC de 22 de mayo de 2019 y lo que permite tras ella es lo mismo. De acuerdo con el punto 2 de este artículo “los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el período electoral”. Si pueden “utilizar datos personales obtenidos en páginas web y otras fuentes” pueden, evidentemente, recopilarlos y elaborar perfiles basados en tales datos.
Las únicas diferencias son que esta actividad no se encuentra ya amparada por “el interés público”, y que no existe obligación de ofrecer “garantías adecuadas”, pues todo esto quedaba recogido en el punto 1. Así que se elimina una mención simbólica de dudosa trascendencia práctica (“interés público”) asociada a la elaboración de perfiles políticos sin prohibir esta actividad, y sin que resulten ya exigibles “garantías adecuadas”.
Resulta paradójico que la declaración de inconstitucionalidad del art. 58 bis.1 LOREG haya supuesto simplemente la imposibilidad de afirmar que se trata de una actividad amparada por el interés público. Siendo una de las razones fundamentales la imprecisión del requisito de ofrecer “garantías adecuadas”, ahora es posible elaborar perfiles políticos sin tener en cuenta este requisito, por genérico que fuese.
Finalmente, considero muy preocupante la falsa sensación de seguridad jurídica y protección de la intimidad que la difusión de esta Sentencia puede generar en la población. En efecto, nada cambia las posibilidades de actuación amparadas por la Ley de los partidos políticos respecto de la elaboración de perfiles ideológicos a pesar de la apariencia de que han recibido un gran revés respecto de algo en lo que, aunque pueda parecer sorprendente, todos estaban de acuerdo.
Dejar una respuesta