Pleno. Sentencia 76/2019, de 22 de mayo de 2019. Recurso de inconstitucionalidad 1405-2019. Interpuesto por el Defensor del Pueblo respecto del apartado primero del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general, incorporado por la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Protección de datos personales, principio de seguridad jurídica, vertiente negativa de la libertad ideológica y derecho a la participación política: nulidad del precepto legal que posibilita la recopilación por los partidos políticos de datos personales relativos a las opiniones políticas de los ciudadanos.

• Marginal: BOE-A-2019-9548
• Sección: T.C. Suplemento del Tribunal Constitucional
• Emisor: Tribunal Constitucional
• Rango de Ley: Recurso de inconstitucionalidad

ECLI:ES:TC:2019:76.

El Pleno del Tribunal Constitucional, compuesto por el Magistrado don Juan José González Rivas, Presidente, la Magistrada doña Encarnación Roca Trías, los Magistrados don Andrés Ollero Tassara, don Fernando Valdés Dal-Ré, don Santiago Martínez-Vares García, don Juan Antonio Xiol Ríos, don Pedro José González-Trevijano Sánchez, don Antonio Narváez Rodríguez, don Alfredo Montoya Melgar, don Ricardo Enríquez Sancho, don Cándido Conde-Pumpido Tourón y la Magistrada doña María Luisa Balaguer Callejón, ha pronunciado

EN NOMBRE DEL REY

la siguiente

SENTENCIA

En el recurso de inconstitucionalidad núm. 1405-2019 interpuesto por el Defensor del Pueblo contra el apartado 1 del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, incorporado a esta por la disposición final tercera , apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Ha comparecido y formulado alegaciones el abogado del Estado. Ha sido ponente el magistrado don Cándido Conde-Pumpido Tourón.

I. Antecedentes

1. Mediante escrito presentado en este Tribunal el 5 de marzo de 2019, el Defensor del Pueblo en funciones interpuso recurso de inconstitucionalidad contra el apartado 1 del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general, incorporado a esta por la disposición final tercera , apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

Los motivos del recurso pueden resumirse como sigue:

a) El Defensor del Pueblo argumenta que el legislador no limita el tratamiento de datos personales que revelen opiniones políticas por parte de los partidos políticos en el marco de sus actividades electorales, y no establece cuáles son las garantías a las que se refiere el precepto impugnado, ni los criterios para determinarlas, ni el vehículo normativo que deba contenerlas, ni la autoridad o poder público que deba establecerlas, y ni siquiera realiza referencia alguna a los derechos de los titulares de los datos ni al modo y condiciones en que estos pueden ejercitarlos. De este modo, cualquier dato personal relativo a opiniones políticas, aun siendo un dato sensible especialmente protegido, puede ser objeto de tratamiento sin que hubiera sido aportado para este fin, o sin que su titular lo consienta, o sin que tenga noticia del tratamiento ni de su finalidad y sin que sepa en qué condiciones puede ejercer sus derechos de oposición y cancelación. Todo es posible, señala el recurso, al no haber precisado el legislador como debía, por mor del artículo 53.1 CE, en qué consisten y cuáles son esas «garantías adecuadas», con lo que los poderes de disposición y control sobre los datos personales que forman parte del contenido esencial del derecho del artículo 18.4 CE quedan en cuestión, propiciándose una situación evidente de inseguridad jurídica contraria a su artículo 9.3 que, en el contexto tecnológico actual, afecta también al derecho a la libertad ideológica del artículo 16 y al derecho a la participación política del artículo 23.1, todos ellos de la Constitución.

b) Argumenta también el recurso que el poder de disposición y control sobre los datos personales (STC 292/2000, FJ 7) adquiere una relevancia extraordinaria cuando los datos concernidos son, como ocurre en este caso, los relativos a las opiniones políticas, los cuales, por su vinculación con otros derechos y libertades, como la ideológica (artículo 16.1 CE) y las de expresión y comunicación [artículo 20.1.a) y d) CE], así como el principio de igualdad (artículo 14 CE), pertenecen a la categoría de datos especialmente protegidos.

Ya el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 28 de enero de 1981, incluye en las «categorías particulares de datos» a los datos personales «que revelen […] las opiniones políticas» (artículo 6), los cuales «no podrán tratarse a menos que el derecho interno prevea las garantías apropiadas», admitiendo como única excepción a la regla anterior el supuesto de que «constituya una medida necesaria en una sociedad democrática» para la protección de la seguridad del Estado, de la seguridad pública, para los intereses monetarios del Estado, la represión de las infracciones penales o para la protección de la persona concernida y los derechos y libertades de otras personas. En términos similares se pronuncia el artículo 8 del Convenio Europeo de Derechos Humanos, relativo a la garantía de la intimidad individual y familiar, aplicable al tráfico de datos de carácter personal.

Por su parte, el Reglamento (UE) 2016/679, de 27 de abril de 2016, de protección de datos (RGPD), prohíbe el tratamiento de las que denomina categorías especiales de datos personales, entre las que se encuentran las que revelen opiniones políticas (artículo 9.1), prohibición que, no obstante, admite algunas excepciones. Así, el apartado g) del número 1 del mismo precepto autoriza el tratamiento cuando «es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado». Y el apartado a) autoriza el tratamiento en el supuesto de que el interesado hubiera dado su consentimiento explícito para ello, si bien esta excepción puede enervarse «cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado».

El Defensor del Pueblo señala que, precisamente en esta línea limitativa frente el tratamiento de datos sensibles y especialmente protegidos, el artículo 9.1 de la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales, dispone que «a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico», aunque en el párrafo segundo admite que «lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679 cuando así proceda».

c) Sin embargo, sostiene el Defensor del Pueblo, esta línea normativa acorde con la regulación internacional y europea se rompe con la tramitación de una enmienda de adición (núm. 331), que incorpora una nueva disposición final tercera que modifica la Ley Orgánica de régimen electoral general (LOREG) y le añade el nuevo artículo 58 bis, cuyo apartado primero, lejos de atender a la protección especial que en el contexto tecnológico actual debe proporcionarse a los datos que revelen opiniones políticas de las personas, abre la puerta a su tratamiento por los partidos políticos. El precepto ampara el tratamiento (la recopilación lo es), en principio prohibido, de datos personales relativos a opiniones políticas. Lo ampara genéricamente en el «interés público», no en un interés público esencial como pide la norma europea. Y para obtener este amparo basta con la oferta de unas inciertas e indeterminadas «garantías adecuadas» que ni el precepto ni la norma en la que se inserta la LOREG concretan en absoluto. Y lo hace a favor de los partidos políticos «en el marco de sus actividades electorales», otro concepto indeterminado que no tiene por qué coincidir con el periodo legalmente previsto en cada proceso de elecciones con la campaña electoral.

La mencionada enmienda se justificó en el contenido del considerando 56 del Reglamento Europeo 2016/679/UE, cuyo tenor literal es el siguiente: «Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas». Sin embargo, el mero valor interpretativo y no normativo del considerando no solo no proporciona amparo al precepto impugnado, sino que confirma las dudas que suscita, ya que la referencia al interés público al que genéricamente alude el artículo 58 bis.1 LOREG se vincula en el considerando citado al que se daría si lo «exige el funcionamiento del sistema democrático» y no cualquier otro.

A juicio del Defensor del Pueblo, la genérica mención al «interés público» sin especificarlo no basta para fundamentar la intromisión que en el derecho a la protección de datos de carácter personal implica el amparo que se otorga al tratamiento de los datos relativos a opiniones políticas a favor de los partidos políticos en el también impreciso marco de sus actividades electorales. Además, la determinación de las «garantías adecuadas» a las que alude el precepto sin concretarlas implica necesariamente la regulación de las facultades atribuidas a los sujetos concernidos, esto es, a los titulares de los datos, así como las posibilidades de actuación que les correspondan, en definitiva, las facultades de disposición y control respecto de esos datos cuya recopilación se autoriza, lo que sin duda es parte integrante del contenido esencial del derecho a la protección de datos del artículo 18.4 CE. Esa regulación debe contenerse en la ley por imperativo del artículo 53.1 CE, sin que quepa derivarla en ningún caso, ni explícita ni implícitamente, como aquí ocurre, a otro poder, operador o instancia, y sin que el legislador pueda abdicar de su deber de regular concreta y pormenorizadamente las restricciones al derecho fundamental que se derivan de la...