Los ataques a la privacidad de nuestros presuntos protectores

A raíz de la entrada en aplicación, el 25 de mayo de 2018, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (Reglamento General de Protección de Datos cuyo acrónimo es RGPD), durante este último año y medio hemos podido escuchar y leer, de un modo constante en diversos medios de comunicación y en análisis jurídicos sobre privacidad, el hecho de la importancia que tiene para las organizaciones el contar con una buena implantación de los programas de cumplimiento del RGPD que, en función de los riesgos detectados, deberán aplicar medidas de seguridad técnicas y organizativas adecuadas con la finalidad de mitigar y reducir al máximo los riesgos que puedan producirse en el tratamiento de los datos de las personas físicas que lleven a cabo.

Recordemos que, en virtud de aplicación del principio de responsabilidad proactiva o “accountability”, los esfuerzos de la normativa van encaminados a evitar que se produzcan brechas de seguridad que posibiliten fugas, sustracciones o pérdidas de datos de personas físicas y que, como consecuencia de ello por una utilización inadecuada o interesada de datos personales, puedan llegar a producir graves daños en la esfera personal, legal y patrimonial de los individuos.

Este intento de protección, sobre todo a la hora de utilizar medios técnicos, encuentra un refuerzo específico, por una parte, en el tratamiento de las categorías especiales de datos (datos sensibles) recogidas en el artículo 9 del RGPD, considerando las “opiniones políticas” como una categoría especial que requiere para su tratamiento del consentimiento expreso del individuo; y por otra parte en el artículo 22 del RGPD, que viene a amparar el derecho de los ciudadanos de no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, incluida la elaboración de perfiles, a no ser que exista un consentimiento explícito por parte del interesado.

Ese esfuerzo protector que ha supuesto el cambio de paradigma a la hora de concebir actualmente la esfera de privacidad del individuo se vio complementado con la entrada en vigor en España de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Sin embargo, el ansia y el anhelo de control por parte del aparato de la Administración Pública y de los Gobiernos, hace que en ocasiones pueda saltar en pedazos esa voluntad tuitiva y protectora que presuntamente la nueva normativa ha querido reforzar. Nada más lejos de la realidad, puesto que esa nueva Ley de Protección de Datos recoge en su disposición final tercera, apartado segundo, una modificación de la Ley Orgánica del Régimen Electoral General, añadiendo un artículo 58 bis a ese cuerpo legal que supone un vergonzante intento de control omnímodo de la privacidad de los individuos al servicio, en este caso, de los intereses de los partidos políticos, saltándose flagrantemente todos los esfuerzos protectores que el nuevo sistema ha bendecido, la protección de los datos sensibles y ese importante artículo 22 del RGPD que más arriba se ha mencionado.

Dicho artículo 58 bis se titula “Utilización de medios tecnológicos y datos personales en las actividades electorales” y aunque todo él resulta de más que dudosa legalidad, el párrafo primero supone un choque frontal con el consagrado derecho a no ser objeto de decisiones automatizadas, procediendo a la elaboración de perfiles sin el consentimiento expreso de los interesados.

Dicho párrafo primero recoge que: “La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas”.

Es decir, que con esta regulación se da a los partidos políticos luz verde para que, amparándose en un interés público indefinido, puedan llevar a cabo recopilaciones de datos personales especialmente protegidos en internet y en redes sociales, sin los consentimientos de los afectados, y pueda también llevar a cabo elaboraciones de perfiles ideológicos con la finalidad de poder enviar propaganda electoral “dirigida” y a la medida de los intereses de dichos partidos políticos, despojando a los ciudadanos de la posibilidad de controlar, siquiera mínimamente, el tratamiento de sus datos.

Pues bien, como resultado del recurso de inconstitucionalidad promovido por el Defensor del Pueblo contra ese párrafo primero, en un tiempo récord el Pleno del Tribunal Constitucional, mediante Sentencia de 22 de mayo de 2019, Rec. 1405/2019, ha declarado contrario a la Constitución y nulo dicho apartado 1 del artículo 58 bis, incorporado por la “nueva” Ley Orgánica de Protección de Datos. Al declararse inconstitucional este punto, el perfilado queda completamente prohibido, con lo que, a pesar de que los puntos siguientes no se han considerado inconstitucionales, hace muy difícil su efectividad sin que se pueda llevar a cabo un perfilado ideológico del ciudadano.

Podríamos decir que este intento de usurpación de la privacidad no ha tenido éxito pero, inasequibles al desaliento, la Administración, esta vez a través del Instituto Nacional de Estadística, nos asalta con un Gran Hermano a través de nuestros teléfonos móviles, puesto que comunicó en su momento que durante los días 18 a 21 de noviembre, el 24 de ese mismo mes y el 25 de diciembre, todos de 2019, se iban a analizar los desplazamientos, hecho que también está previsto para los días 20 de julio y 15 de agosto de 2020.

Aunque nos han “garantizado” que en ningún caso se accederá a información generada por los teléfonos, sino que los datos se obtendrán de la información de la red de telefonía móvil, lo que implica que los datos serán “anónimos”, lo cierto es que con el RGPD en la mano, el número de teléfono o cualquier identificador único, como el IMEI del teléfono, es un dato personal y, por tanto, se trata una vez más de una flagrante invasión de la privacidad de los ciudadanos. Actualmente, conforme al artículo 4.1 del RGPD, dato personal es toda información sobre una persona física identificada o identificable, es decir, todo sujeto cuya identidad pueda determinarse directa o indirectamente, en particular mediante un identificador, como pueden ser los datos de localización.

Nuestros presuntos protectores nos asaltan… estaremos atentos al siguiente episodio.

Si buscas ayuda en la resolución de este tipo de conflictos, nuestro departamento de Derecho de las Nuevas Tecnologías está especializado en estos y en otros ámbitos del derecho tecnológico y la seguridad. Podemos ayudarte.

Síguenos en Linkedln para estar al tanto de las últimas novedades en tecnología y derecho tecnológico.

También publicada en Medium.