La polémica sobre el tratamiento de datos personales por los partidos políticos: un riesgo sistémico para el país.

No resulta exagerado afirmar que la polémica despertada por el nuevo artículo 58 bis de la LOREG, ha sido feroz en los últimos días. También hay que confesar que nunca consideré que este precepto pudiera tener tan profundas implicaciones. E incluso que su interpretación era medianamente clara y razonable, para mí como profesional, y también para el regulador, la AEPD. No hay que negar que el derecho fundamental a la protección de datos opera siempre como una suerte de catalizador, incluso de agujero negro jurídico. Y, sin embargo, en estos días algo indefinible se ha roto en mi confianza y me obliga a revisitar la cuestionada norma desde la metodología RGPD, a repensar qué papel debemos jugar los expertos, y a concluir que por este camino vienen muy malos tiempos.

El fragor de la batalla ha sido tal, que permítame el lector avanzar conclusiones que retomo al final: cuando los profesionales despertamos alarma social con interpretaciones alarmistas podemos estar haciendo un enorme daño al país.

Partamos de otorgar toda la razón a quienes critican el precepto. Es decir nuestro supuesto de análisis sería el siguiente: el artículo 58 bis de la LOREG habilita para realizar actividades de profiling ordenadas a identificar la ideología política de una persona. Incluso consideremos que de acuerdo con el artículo 9 RGPD un Estado mediante una norma con rango de Ley ha regulado una regla que excepciona el consentimiento conforme al artículo 9.2.a) en relación con el tratamiento de datos personales que el interesado ha hecho manifiestamente públicos. Puesto que la excepción, no lo es al RGPD sino a una facultad que forma parte de su contenido esencial, realizada por ley orgánica, la daremos por “correcta” pero entendiendo que debe aplicarse el conjunto de la norma.

Cuando nuestro partido decida hacer un tratamiento de esta naturaleza en campaña electoral debería sin duda realizar una evaluación de impacto relativa a la protección de datos ya que el tratamiento encajaría incluso en dos supuestos del artículo 35 RGPD:

1.-Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar. Y podría decirse que revelar tus ideas en una campaña afecta a tu libertad ideológica.

2.-Pero en cualquier caso resulta transparente que sería un tratamiento a gran escala de las categorías especiales de datos.

Como es conocido esta evaluación de impacto relativa a la protección de datos debe evaluar los riesgos para los derechos y libertades de los interesados. Puesto que estamos de acuerdo en que el riesgo esencial se refiere a la libertad ideológica de las personas nuestro referente para establecer el riesgo sería sin duda el artículo 16.2 CE que establece que nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. En este sentido, caber recordar un aspecto nuclear del STC 292/2000 que al definir el alcance del derecho fundamental a la protección de datos señala que la tutela que otorga este derecho alcanza a todos aquellos datos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, que en determinadas circunstancias constituya una amenaza para el individuo.

En resumen, en términos interpretativos trazar sin consentimiento un perfil ideológico vinculado a una persona física lesionaría de modo irreversible la dimensión negativa de la libertad ideológica. Así que la conclusión de nuestra evaluación de impacto relativa a la protección de datos determinaría la imposibilidad de realizar el tratamiento. Y de acudir a una consulta previa ya sabemos que el regulador no autorizaría el tratamiento. Así que disponemos de una primera conclusión muy clara: incluso admitiendo que la norma lo permitiera, una evaluación realizada con la diligencia media de un buen profesional sería negativa. No hay que acudir ni siquiera al Tribunal Constitucional.

Llegados aquí, tal vez nos deberíamos plantear recuperar algunos elementos básicos de nuestra formación jurídica y optar por tratar de: a) buscar la interpretación más favorable a los derechos fundamentales; 2) acudir a metodologías de interpretación sistemática del ordenamiento jurídico; 3) interpretar las normas conforme a la realidad del tiempo en el que han de ser aplicadas; 4) resolver conflictos y antinomias de modo que se integre el Ordenamiento, se conserve la norma y se logren los objetivos perseguidos por el legislador.

En formato resumen, es probable que pudiéramos afirmar que:

1) La norma no contiene una habilitación general puede resultar necesario y funcional permitir el envío por medios electrónicos de información electoral con un derecho de oposición por cuanto es coherente con los tiempos e incluso más respetuoso con el medio ambiente que el soporte papel.

2) La utilización de datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral únicamente puede tener por finalidad el fomento del debate democrático para la formación de una opinión pública libre, reinterpretando el artículo 23 CE en términos adaptados a los recursos tecnológicos disponibles. La transparencia en la naturaleza del mensaje y el derecho de oposición facilitarían la autodeterminación individual.

3) Los partidos políticos en ningún caso podrían segmentar mediante perfilado ideológico este tipo de estrategias.

Como apreciará el lector, sería de necios negar la existencia de riesgos. La Ley es una criatura que siempre se independiza de su autor y toma a veces extraños caminos. Pero existen aproximaciones que nos pueden permitir corregir tales riesgos. Y esto conduce a un segundo escenario de reflexión. ¿Qué papel nos corresponde a los profesionales?

Supuestamente el artículo 37 RGPD requiere de conocimientos especializados del Derecho y la práctica en materia de protección de datos. Pero si hacemos caso de la reiterada jurisprudencia constitucional, e incluso si leemos una y mil veces el artículo 18.4 CE coincidiremos en que se nos exige una interpretación sistemática del Ordenamiento Jurídico. Los casos difíciles nunca se resuelven desde una visión monista, reducida o de túnel. Por otra parte, las funciones que se despliegan, -todas y cada una de ellas-, configuran un delegado de protección de datos con un perfil analítico, reposado, incluso frío.

Así que es obvio, que lo que con toda seguridad busca el RGPD no son hooligans sino profesionales de alta calidad capaces de desplegar la norma conciliando los intereses de las organizaciones y la garantía de los derechos. Y los medios, cuando se hacen eco del talibanismo en protección de datos hacen su trabajo. Alguien les dijo que peligraba nuestra libertad y este sin duda es el bien más preciado para un periodista. Así que, con todo mi respeto, aquí no hay más responsable que aquellos que trasladaron a la sociedad temores infundados, con los que en La SER y A Punt me he permitido discrepar.

Tenemos la oportunidad de promover una marca España para una transformación digital con seguridad y sin embargo provocando alarma social estamos cimentando es un talibanismo irredento que como bien dice @andres_pedreno repercute sobre la transformación digital al ofrecer la imagen de que en nuestro país la menor sospecha desata una cruzada. Y así en lugar de generar una marca de privacidad y seguridad para la digitalización lo que sucede es que damos la imagen de que no queda espacio para la innovación digital.

Los próximos años obligarán una apuesta de alto riesgo. Definirán cual va ser nuestro rol en el mundo digital. Mi conocimiento de la realidad universitaria me dice que tenemos unas enormes capacidades para generar y atraer talento. En Madrid, Barcelona, Ciudad Real, Cantabria, Sevilla, Alicante, Santiago, Granada, Córdoba dónde uno quiera mirar encuentra investigación, innovación y emprendimiento a raudales. Pero también miedo y desesperación con el Reglamento General de Protección de Datos. La sensación de que en este país todo es imposible.

Y da igual los esfuerzos que unos cuantos hacemos por promover el desarrollo con privacidad como una inversión segura y rentable. La imprudencia de algunos, el griterío mediático, la competición por los retuits se imponen a todo. Y, esto está haciendo un inmenso daño al país. Porque créanme, si consiguen un objetivo: alcanzan eco y son leídos. Son leídos por población que no les entiende, pero siente miedo. Son leídos por quienes deciden sin en la próxima ronda de inversión pondrán su dinero en España, son leídos por los que están decidiendo instalarse en Europa, son leídos por jóvenes emprendedores en masters de Big Data que deciden marchar. Triunfan en las redes ciertamente. Pero hacen un daño inmenso, también a la protección de datos.