Tras el rechazo en el Pleno del Congreso de los Diputados a las 32 enmiendas planteadas en el Senado al Proyecto de Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (PLOPD), el pasado 20 de noviembre el Pleno del Senado aprobó por mayoría absoluta la que pasará a ser nuestra nueva Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPD), que sustituirá a la ya desfasada LOPD 15/1999.
La nueva LOPD se prevé que entre en vigor en los próximos días y muchas han sido las modificaciones que ha sufrido el Proyecto desde su publicación en el BOE en noviembre del pasado año hasta su actual redacción, siendo la más sugerente el propio encabezado de la Ley, reconociendo y vinculando la Garantía de los Derechos Digitales a la Protección de Datos de Carácter Personal.
La configuración final del articulado de la nueva LOPD es el mismo que se preveía en el informe de la ponencia del PLOPD y Garantía de los Derechos Digitales publicado en el BOE el 9 de octubre del presente año, al no haber sido aceptada ninguna de las enmiendas planteadas en el Senado. La estructura de nuestra nueva LOPD, por tanto, va a ser la siguiente:
– Un total de 96 artículos, divididos en 10 títulos, 22 disposiciones adicionales, 6 disposiciones transitorias y 16 disposiciones finales.
Ya hemos comentado en otras publicaciones de nuestro Blog las principales diferencias entre la primera versión del PLOPD publicado en noviembre del año pasado respecto a la última versión definitiva publicada el 9 de octubre, que será la que finalmente entre en vigor en los próximos días.
Una de las principales novedades que introduce la nueva LOPD es su Título X, donde se reconocen una serie de derechos digitales, que tampoco se han visto exentos de enmiendas por el Senado, así como de críticas por parte de expertos en la materia, quienes no consideran del todo acertado el incorporar los derechos digitales relativos al ámbito laboral en una ley de protección de datos, y no así en legislaciones que regulen de manera específica las relaciones laborales de los trabajadores, como en la negociación colectiva, o en los propios procedimientos internos de las empresas. Entre dichos artículos se reconocen el derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral, el derecho a la desconexión digital, derecho a la intimidad frente al uso de dispositivos de videovigilancia, grabación en el lugar de trabajo y el uso de sistemas de geolocalización. Aún es pronto para que podamos prever los efectos jurídicos derivados de la incorporación de estos derechos en una normativa de protección de datos, pero lo que sí debemos tener claro es que todos ellos deberán tenerse en consideración en el resto de los ámbitos de nuestro Ordenamiento Jurídico.
Para finalizar, debemos hacer referencia a la disposición final tercera de la nueva LOPD que no ha dejado indiferente a nadie. El pasado 18 de abril el Grupo Parlamentario Socialista realizó una enmienda de adición a la nueva LOPD del artículo 58 bis a la L.O 15/1985, de 19 de junio, del Régimen Electoral General (LOREG), que contempla el uso de medios tecnológicos y datos personales en las actividades electorales.
La enmienda, que ha sido adherida el texto definitivo de la nueva LOPD y contaba en un principio con la aprobación de todos los grupos parlamentarios al no haberse realizado ninguna enmienda al respecto, parece contar ahora con más detractores que defensores.
La incorporación del artículo 58 bis a la LOREG prevé que los partidos políticos puedan recabar datos personales relativos a opiniones políticas obtenidos en páginas de internet y fuentes de acceso público con el fin de llevar a cabo actividades políticas durante el periodo electoral:
«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.
- La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
- Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
- El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
- Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
- Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.»
Este precepto ha sido objeto de numerosos artículos en prensa y críticas por parte de ciudadanos, organizaciones de consumidores, e incluso por algunos partidos políticos.
Una vez analizadas las posibles injerencias que los tratamientos del artículo 58 bis podrían llegar a tener en la protección de datos de carácter personal de los ciudadanos, hay quienes consideran que se estaría permitiendo que los partidos políticos pudieran realizar perfilados ideológicos de los ciudadanos con el fin enviarles informaciones y publicidad individualizadas. Además, afirman que se estaría vulnerando uno de los principales derechos que se consagran en nuestra Constitución sobre la prohibición de obligar a los ciudadanos a declarar sobre su ideología, religión o creencias, así como el reconocimiento a la protección especial de los datos de carácter personal de los ciudadanos.
Si dejamos por un momento de lado la polémica y nos centramos en lo que indica de forma literal el precepto, lo que estaría considerando sería el uso de los datos para la realización de actividades políticas exclusivamente en periodo electoral, sin contemplar la opción de la creación de perfiles basados en opiniones políticas individualizadas.
Por otro lado, voces han apuntado que de la lectura del apartado 2 del citado artículo, se podría llegar a interpretar que está abriendo la puerta a considerar Internet como fuente accesible al público. Debemos recordar que únicamente la LOPD 15/1999 establecía una definición de fuente accesible al público, donde evidentemente no se incluye internet, y donde exclusivamente se consideraban fuentes accesibles al público: (…)“el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación”(…).
Como sabemos, la nueva LOPD no hace remisión al concepto de fuente accesible al público, por lo que para que un tratamiento de datos de carácter personal sea lícito, deberá cumplir en todo caso con los requisitos de legitimación exigidos por el RGPD.
Ante el aluvión de críticas habidas al respecto, la directora de la Agencia Española de Protección de Datos (AEPD), Mar España, ha salido en defensa de toda esta polémica, asegurando que se trata de una ley garantista con los derechos de los ciudadanos.
Además, la AEPD se ha visto obligada a publicar varios comunicados en los que aclarara e interpreta la modificación del artículo de la LOREG, así como todas la informaciones conferidas en los medios de comunicación, destacando que la nueva LOPD no permitirá bajo ningún concepto a los partidos políticos el tratamiento de datos ideológicos ni el envío de informaciones personalizadas basadas en una previa elaboración de perfiles políticos, garantizando en todo momento el derecho de oposición que les asiste a los ciudadanos, así como el deber de los partidos políticos de cumplir con las exigencias del RGPD. A este respecto, la AEPD manifiesta que se coordinará con la Junta Electoral Central para vigilar con especial atención y diligencia el cumplimiento de la normativa.
En atención al artículo 35.4 RGPD, que dispone que deberá ser la autoridad de control quien publique y remita al Comité Europeo de Protección de Datos un listado acerca de los tipos de tratamientos que por su naturaleza requieran la realización de una evaluación de impacto en materia de protección de datos, la propia AEPD, ha precisado que en dicho listado estarán incluidos los realizados por partidos políticos que vayan a utilizar datos de las redes sociales u otros servicios de internet amparándose en la modificación de la LOREG.
Por último, la AEPD estima que, ateniéndonos al Considerando 56 del RGPD, los partidos políticos solo podrán recabar datos personales de los ciudadanos para poder dar respuesta a sus pretensiones electorales, pero si nos ceñimos a la literalidad del precepto, observamos que no es exactamente eso lo que determina el propio Considerando, que señala que, siempre dentro del marco de las actividades electorales y cuando así lo exija el funcionamiento del sistema democrático de los estados miembros “los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se orezcan garantías adecuadas.”
Sólo nos tocas esperar para poder comprobar si efectivamente y ante ulteriores problemas la Agencia Española de Protección de datos aplica el criterio restrictivo manifestado del, en la actualidad, controvertido artículo 58 bis de la LOREG.