Cómo cargarse una ley injusta in three easy lessons

Como la AEPD nos ha concedido el premio a las Buenas Prácticas en materia de protección de datos personales 2019, (junto con más gente, claro) nos hemos puesto tan contentos que Calva Brillante y Ex-pink Data Lady hemos escrito un post a dos manos, y en primera persona del singular, «because why not»

 

Como documento de cabecera para los más listos de la clase, recomiendo aquí el documento que utilizamos para hacer un planteamiento válido -creo yo- frente al párrafo primero del art. 58 bis LOREG, sin haber tocado un manual de Derecho Constitucional en 30 años (bueno, algunos menos para la autora que aún conserva su melena).

Es el documento al que siempre vuelvo cuando tengo dudas o problemas en una ponderación de intereses de interés legítimo.

El injustamente olvidado y nunca suficientemente valorado “neccessity toolkit” del inmortal Giovanni Buttarelli, un documento pensado para que nuestros legisladores identifiquen cuándo planean limitar nuestro derecho fundamental a la protección de datos a través de nuevas normas, cuál es el impacto de ello y cuándo dicha limitación es “necesaria” (la palabra mágica). Es decir, para evitar que nuestros legisladores se lleven por delante nuestros derechos fundamentales con cada nueva idea que pretendan convertir en ley.

Por ejemplo, una ley como la LOREG, que fue modificada para incluir el ya por todos conocido art. 58 bis que, entre otras cosas, permitiría la recogida de datos para hacer un perfilado ideológico. Todo ello para enviarnos mensajes como torpedos teledirigidos, de esos que impactan directos en su objetivo, con algunas verdades, o medias verdades, o mentiras enteras (quién sabe, aquí yo no acuso de nada), para ganar tu voto. Si tú, que te piensas que no te pueden manipular porque estás muy informado y lees y todo eso. Sí, tú. Y yo, vamos. Todos.

Y no es que -ejem- sean “torpes ni malos”, el problema es que son -cof, cof- “buenos y listos”, pero esto ya se ha explicado en otro sitio.

Ciertamente nuestros representantes son lo mejor de cada casa, guían sus iniciativas por nuestros intereses, nunca los suyos, y destacan por sus sólidas estrategias a largo plazo.

Pero claro, Buttarelli es ya leyenda jurídica, mientras que nuestros estadistas patrios… no tanto.

 

Y es que muchas veces la atención de los listos no está donde debería estar, la “herramienta” de Buttarelli plantea una serie de pasos eminentemente prácticos que se deben cumplimentar con carácter progresivo y acumulativo para testear la adecuación de cualquier tratamiento de espectro amplio y consecuencias potencialmente importantes: si fallas uno, tienes que volver a empezar.

Porque si pasas de todo y continúas a pesar de todo, la vas a liar pardusca.

El neccessity toolkit nos vale a todos. A los listos como ellos y a los pobres desgraciaos como nosotros.

El neccessity toolkit es como un cachopo jurídico: es tan intenso que no te lo terminas a la primera. Ni a la segunda.

Es esa peli que te gusta más cuantas más veces la ves. Ese jersey impresentable de viejo que no te da la gana tirar y que ya solo te pones en casa.

Quiéranlo como se quieren a sí mismos.

Los enlaces al toolkit y a mi presentación para la Fundación Democracia y Gobierno Local en la que hablaba de todo esto, al final del post.

¿Por qué es tan útil?

El necessity toolkit es tu amigo. ¿Por qué? Porque te da instrucciones basadas en el sentido común, pero que hunden sus raíces en los derechos y valores constitucionales de Europa.

Y esos derechos y valores son hoy, pero veremos por cuánto tiempo, lo único en lo que Europa gana por goleada al resto del planeta.

Ese toolkit plantea que, para que una norma pueda limitar nuestra protección de datos tiene que cumplirse que:

  • Esté previsto por ley. El art. 58 bis pasaba la prueba.
  • Respete la esencia del derecho de protección de datos. Para ello, sería necesario que hubiera un elenco de garantías adecuadas. No había ni una sola en el art. 58 bis. Cof cof.
  • Genuinamente responda a los objetivos de interés general de la Unión o a la necesidad de proteger otros derechos. Algo así como decir que tus derechos acaban donde empiezan los de otro. En este caso, debieron pensar que nuestros derechos terminaban donde comenzaban los de los partidos políticos. Los partidos decían que querían proteger la democracia, que el considerando 56 RGPD les amparaba y que ajo y agua.
  • La limitación del derecho sea necesaria. COF COF COF!! Nos contaron que el 58 bis era necesario para proteger no-sé´qué interés público. Y no es que no lo sepa yo, es que no decía cuál era. No fuera a ser que se viera de lejos que no era necesario. De hecho, el flamante art. 9.1.g) RGPD (el que podría haber salvado los muebles), exigía que ese interés fuese esencial. En resumen, otro requisito incumplido acumulado.
  • La limitación sea proporcional. De hecho, para valorar esto, el sucesor de Buttarelli acaba de publicar una nueva guía justo mientras escribimos estas líneas, que ya es casualidad (link al final). Y, chorprecha, el art. 9.1.g) RGPD también exigía que una norma como el 58 big LOREG fuese proporcional. Otro COF COF.

Vamos, que este artículo solo cumplía el requisito de ser un artículo. Por lo demás hizo pleno en todo lo que no debía ser.

¿Dónde he visto yo esto antes? The “aha” moment

Y yo, pobrecico roedor, no me di cuenta de esto -bastante evidente por otro lado- hasta que no estudié detenidamente la sentencia 76/2019 del Tribunal Constitucional (es decir, la del 58 bis -ver aquí-). Confieso que cuando salió, solo la leí en diagonal dos veces. Demasiada contentura.

Y entonces tuve un flashback. Y luego un dejà vu. Que tuve dos, vaya.

El primero:

La verdad es que escrito ahora parece una ridiculez y una obviedad, pero HOYGAN, yo estoy aquí para compartir con usías lo mucho que aprendo con cada trancazo que me llevo en la calva:

Resulta que poniéndolos costado a costado, los defectos señalados por el Constitucional para practicar el medievo con el 58 bis 1 coinciden esencialmente con los pasos que Buttarelli “sugiere” cumplir y documentar a nuestros estadistas cuando preparen una ley destinada a limitar el alcance de nuestros derechos fundamentales.

Lo cual tiene toda la lógica del mundo porque, el neccessity toolkit y la sentencia del Tribunal Constitucional beben de (y aplican) el mismo material: la jurisprudencia nacional y comunitaria que interpreta el contenido de los derechos fundamentales, hispánicos y europeos.

El segundo tiene que ver con ese chicle infinito que vale para todo, lo puede todo y no obliga a prácticamente nada al responsable de tratamiento: el interés público como base de legitimación.

 

Las (sentencias) gemelas de El Resplandor

Esas dos sentencias del constitucional del año 2000 que estamos acostumbrados a ver referenciadas en casi cualquier libro, informe o escrito mínimamente sesudo sobre protección de datos.

Son las sentencias 290 y 292/2000.

Las mellizas al final del pasillo del Hotel Overlook de la protección de datos.

Te vas a topar con ellas a la vuelta de cualquier esquina mientras pedaleas con tu triciclo por el buscador de resoluciones de la AEPD.

Y lo sabes.

Estas son las famosas sentencias en las que se explica por qué el derecho de protección de datos personales, no exactamente recogido tal cual en el art 18 de la Constitución, goza del mismo rango y protección que el resto de la famosa sección primera del Título segundo del capítulo primero de nuestra Carta Magna.

 

 

La STC 290/2000 tiene -IMHO- su parte más recomendable en las afueras, en el voto particular de Jiménez de Parga.

Pero la 292/2000 esculpió en España el “core” del derecho de protección de datos personales, cortando el cordón umbilical respecto del de intimidad y otras hierbas.

Lo llamativo de la STC 292/2000, de la que siempre leemos esos mismos pasajes… es que… nunca lo adivinaríais…

¡¡¡declaraba inconstitucionales un par de fragmentos de la LOPD de 1999 !!!

¡¡¡ a consecuencia de un recurso interpuesto por el Defensor del Pueblo !!!

Y encima:

¡¡¡POR LAS MISMAS RAZONES que las del 58 bis 1!!!:

Hacer el legislador de su capa un sayo con el interés público…

Sustancialmente: permitir el acceso genérico de la administración a datos de ciudadanos captados con otra finalidad, para el ejercicio de facultades genéricas de “control e inspección” en nombre de un génerico e indeterminado “interés público”.

De hecho, uno de los párrafos más contundentes y significativos de la 292/2000, está literalmente copiado en la 76/2019. Este:

“Iguales reproches merece, asimismo, el empleo (en el art. 24.2 LOPD 1999) de la expresión «interés público» como fundamento de la imposición de límites a los derechos fundamentales del art. 18.1 y 4 CE, pues encierra un grado de incertidumbre aún mayor. Basta reparar en que toda actividad administrativa, en último término, persigue la salvaguardia de intereses generales, cuya consecución constituye la finalidad a la que debe servir con objetividad la Administración con arreglo al art. 103.1 CE.”

Toda una llamada de atención para las muchas perrerías que (¡ay!) se cometen a diario en nombre del interés público con nuestros datos.

Como me contaba un simpático funcionario de la Casa del Defensor del Pueblo en febrero mientras esperábamos a José Luís Piñar para presentar nuestro borrador de recurso de inconstitucionalidad:

“Todo esto ya ocurrió con la anterior LOPD de 1999.”

“Pero es que esta vez es mucho más gordo”.

 

El neccessity toolkit aquí.

La guía sobre proporcionalidad aquí.

La presentación para la Fundación Democracia y Gobierno Local, aquí.

 

¡Feliz Navidad!

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos.

 

Elena Gil González.

Abogada y Doctoranda, big data y protección de datos.