SENTENCIA DEL TRIBUNAL CONSTITUCIONAL 76/2019, DE 22 DE MAYO DE 2019

Recurso de inconstitucionalidad núm. 1405-2019 interpuesto por el Defensor del Pueblo contra el apartado 1 del art. 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general, incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales

El Pleno del Tribunal Constitucional, compuesto por el Magistrado don Juan José González Rivas, Presidente, la Magistrada doña Encarnación Roca Trías, los Magistrados don Andrés Ollero Tassara, don Fernando Valdés Dal-Ré, don Santiago Martínez-Vares García, don Juan Antonio Xiol Ríos, don Pedro José González-Trevijano Sánchez, don Antonio Narváez Rodríguez, don Alfredo Montoya Melgar, don Ricardo Enríquez Sancho, don Cándido Conde-Pumpido Tourón y la Magistrada doña María Luisa Balaguer Callejón, ha pronunciado

EN NOMBRE DEL REY

la siguiente

SENTENCIA

En el recurso de inconstitucionalidad núm. 1405-2019 interpuesto por el Defensor del Pueblo contra el apartado 1 del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Ha comparecido y formulado alegaciones el abogado del Estado. Ha sido ponente el magistrado don Cándido Conde-Pumpido Tourón.

I. Antecedentes

1. Mediante escrito presentado en este Tribunal el 5 de marzo de 2019, el Defensor del Pueblo en funciones interpuso recurso de inconstitucionalidad contra el apartado 1 del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general, incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

Los motivos del recurso pueden resumirse como sigue:

a) El Defensor del Pueblo argumenta que el legislador no limita el tratamiento de datos personales que revelen opiniones políticas por parte de los partidos políticos en el marco de sus actividades electorales, y no establece cuáles son las garantías a las que se refiere el precepto impugnado, ni los criterios para determinarlas, ni el vehículo normativo que deba contenerlas, ni la autoridad o poder público que deba establecerlas, y ni siquiera realiza referencia alguna a los derechos de los titulares de los datos ni al modo y condiciones en que estos pueden ejercitarlos. De este modo, cualquier dato personal relativo a opiniones políticas, aun siendo un dato sensible especialmente protegido, puede ser objeto de tratamiento sin que hubiera sido aportado para este fin, o sin que su titular lo consienta, o sin que tenga noticia del tratamiento ni de su finalidad y sin que sepa en qué condiciones puede ejercer sus derechos de oposición y cancelación. Todo es posible, señala el recurso, al no haber precisado el legislador como debía, por mor del artículo 53.1 CE, en qué consisten y cuáles son esas «garantías adecuadas», con lo que los poderes de disposición y control sobre los datos personales que forman parte del contenido esencial del derecho del artículo 18.4 CE quedan en cuestión, propiciándose una situación evidente de inseguridad jurídica contraria a su artículo 9.3 que, en el contexto tecnológico actual, afecta también al derecho a la libertad ideológica del artículo 16 y al derecho a la participación política del artículo 23.1, todos ellos de la Constitución.

b) Argumenta también el recurso que el poder de disposición y control sobre los datos personales (STC 292/2000, FJ 7) adquiere una relevancia extraordinaria cuando los datos concernidos son, como ocurre en este caso, los relativos a las opiniones políticas, los cuales, por su vinculación con otros derechos y libertades, como la ideológica (artículo 16.1 CE) y las de expresión y comunicación [artículo 20.1.a) y d) CE], así como el principio de igualdad (artículo 14 CE), pertenecen a la categoría de datos especialmente protegidos.

Ya el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 28 de enero de 1981, incluye en las «categorías particulares de datos» a los datos personales «que revelen […] las opiniones políticas» (artículo 6), los cuales «no podrán tratarse a menos que el derecho interno prevea las garantías apropiadas», admitiendo como única excepción a la regla anterior el supuesto de que «constituya una medida necesaria en una sociedad democrática» para la protección de la seguridad del Estado, de la seguridad pública, para los intereses monetarios del Estado, la represión de las infracciones penales o para la protección de la persona concernida y los derechos y libertades de otras personas. En términos similares se pronuncia el artículo 8 del Convenio Europeo de Derechos Humanos, relativo a la garantía de la intimidad individual y familiar, aplicable al tráfico de datos de carácter personal.

Por su parte, el Reglamento (UE) 2016/679, de 27 de abril de 2016, de protección de datos (RGPD), prohíbe el tratamiento de las que denomina categorías especiales de datos personales, entre las que se encuentran las que revelen opiniones políticas (artículo 9.1), prohibición que, no obstante, admite algunas excepciones. Así, el apartado g) del número 1 del mismo precepto autoriza el tratamiento cuando «es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado». Y el apartado a) autoriza el tratamiento en el supuesto de que el interesado hubiera dado su consentimiento explícito para ello, si bien esta excepción puede enervarse «cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado».

El Defensor del Pueblo señala que, precisamente en esta línea limitativa frente el tratamiento de datos sensibles y especialmente protegidos, el artículo 9.1 de la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales, dispone que «a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico», aunque en el párrafo segundo admite que «lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679 cuando así proceda».

c) Sin embargo, sostiene el Defensor del Pueblo, esta línea normativa acorde con la regulación internacional y europea se rompe con la tramitación de una enmienda de adición (núm. 331), que incorpora una nueva disposición final tercera que modifica la Ley Orgánica de régimen electoral general (LOREG) y le añade el nuevo artículo 58 bis, cuyo apartado primero, lejos de atender a la protección especial que en el contexto tecnológico actual debe proporcionarse a los datos que revelen opiniones políticas de las personas, abre la puerta a su tratamiento por los partidos políticos. El precepto ampara el tratamiento (la recopilación lo es), en principio prohibido, de datos personales relativos a opiniones políticas. Lo ampara genéricamente en el «interés público», no en un interés público esencial como pide la norma europea. Y para obtener este amparo basta con la oferta de unas inciertas e indeterminadas «garantías adecuadas» que ni el precepto ni la norma en la que se inserta la LOREG concretan en absoluto. Y lo hace a favor de los partidos políticos «en el marco de sus actividades electorales», otro concepto indeterminado que no tiene por qué coincidir con el periodo legalmente previsto en cada proceso de elecciones con la campaña electoral.

La mencionada enmienda se justificó en el contenido del considerando 56 del Reglamento Europeo 2016/679/UE, cuyo tenor literal es el siguiente: «Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas». Sin embargo, el mero valor interpretativo y no normativo del considerando no solo no proporciona amparo al precepto impugnado, sino que confirma las dudas que suscita, ya que la referencia al interés público al que genéricamente alude el artículo 58 bis.1 LOREG se vincula en el considerando citado al que se daría si lo «exige el funcionamiento del sistema democrático» y no cualquier otro.

A juicio del Defensor del Pueblo, la genérica mención al «interés público» sin especificarlo no basta para fundamentar la intromisión que en el derecho a la protección de datos de carácter personal implica el amparo que se otorga al tratamiento de los datos relativos a opiniones políticas a favor de los partidos políticos en el también impreciso marco de sus actividades electorales. Además, la determinación de las «garantías adecuadas» a las que alude el precepto sin concretarlas implica necesariamente la regulación de las facultades atribuidas a los sujetos concernidos, esto es, a los titulares de los datos, así como las posibilidades de actuación que les correspondan, en definitiva, las facultades de disposición y control respecto de esos datos cuya recopilación se autoriza, lo que sin duda es parte integrante del contenido esencial del derecho a la protección de datos del artículo 18.4 CE. Esa regulación debe contenerse en la ley por imperativo del artículo 53.1 CE, sin que quepa derivarla en ningún caso, ni explícita ni implícitamente, como aquí ocurre, a otro poder, operador o instancia, y sin que el legislador pueda abdicar de su deber de regular concreta y pormenorizadamente las restricciones al derecho fundamental que se derivan de la autorización concedida a los partidos políticos para recopilar datos personales relativos a las opiniones políticas. Así pues, de acuerdo con lo afirmado en el fundamento jurídico 10 de la STC 292/2000, el Defensor del Pueblo concluye que la mera mención al interés público y a la garantías adecuadas sin concretar ni cuál es aquel ni cuáles sean estas implica una intromisión directa en el derecho a la protección de datos personales, contraria, por tanto, a los artículos 18.4 y 53.1 CE. Dicho de otro modo, no se respeta el contenido esencial del derecho a la protección de datos cuando se ampara la recopilación de datos relativos a opiniones políticas sin fijar los límites de tal amparo; y no se respeta el principio de reserva de ley cuando el legislador abdica de su deber de concretar las condiciones y requisitos en las que ese tratamiento en principio prohibido deviene en legítimo.

d) La inconcreción de la norma respecto de las garantías que han de rodear la recopilación de datos personales relativos a las opiniones políticas por parte de los partidos políticos también produce una afectación indeseable respecto de la libertad ideológica garantizada por el artículo 16 CE, al que se han referido las SSTC 19/1985, de 13 de febrero, y 20/1990, de 15 de febrero. La redacción del artículo 58 bis.1, en cuanto ampara la recopilación por los partidos políticos de las opiniones políticas expresadas por los ciudadanos siempre que se «ofrezcan garantías adecuadas» pero sin establecer dichas garantías, supone una injerencia indebida en la libertad ideológica, al posibilitar el tratamiento de las opiniones políticas para un fin distinto del que motivó su expresión o manifestación y sin que quepa predecir las consecuencias que puedan derivarse de dicho tratamiento, el cual, además, con la tecnología disponible para el tratamiento combinado y masivo de datos procedentes de fuentes diversas, es potencialmente revelador de la propia ideología y contrario a la garantía del artículo 16.2 CE.

A juicio del Defensor del Pueblo resulta indicativo que la enmienda núm. 331, origen del precepto, incluía un número 2 con las siguientes previsiones: «2. Cuando la difusión de propaganda electoral en redes sociales o medios equivalentes se base en la elaboración sistemática y exhaustiva de perfiles electorales de personas físicas, deberá realizarse una previa evaluación de impacto relativa a la protección de datos personales en los términos previstos en el artículo 35 del Reglamento (UE) 2016/679. Dicha difusión no podrá realizarse cuando se identifique un alto riesgo para los derechos y libertades de las personas y no se adopten las medidas necesarias para impedirlo.–Quedan prohibidas las actividades de propaganda electoral basadas en la elaboración de perfiles electorales en redes sociales o equivalentes cuando no se informe a sus destinatarios sobre su finalidad, la identidad del responsable, o la entidad contratada para su realización y los criterios de selección.» Este punto 2 de la enmienda, que no superó el trámite y no figura en el texto finalmente aprobado, evidencia la preocupación por las consecuencias que sobre los derechos de los electores puede tener la elaboración sistemática y exhaustiva de perfiles electorales. Pese a ello, el legislador, aun siendo consciente del riesgo que las nuevas tecnologías y el tratamiento masivo de datos puede suponer para los derechos y libertades de las personas y, en lo que aquí interesa, para la libertad ideológica y el derecho a no hacer pública la propia, ha abdicado de su deber de incluir detalladamente las garantías adecuadas para la recopilación de datos personales que revelen opiniones políticas. No solo se ampara la recopilación, sino también se autoriza a los partidos políticos, coaliciones y agrupaciones electorales a utilizar datos personales (incluidos los relativos a opiniones políticas) obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el período electoral (artículo 58 bis.2 LOREG). En razón de todo ello, se considera que el artículo 58 bis.1 LOREG resulta contrario al artículo 16 CE.

e) También está comprometido el derecho a la participación política en los asuntos públicos que garantiza el artículo 23 CE. Esta libertad difícilmente puede darse en un entorno tecnológico en el que las modernas técnicas de análisis de la conducta sobre la base del tratamiento masivo de datos y la inteligencia artificial permiten procedimientos complejos orientados a modificar, forzar o desviar la voluntad de los electores y sin que estos sean conscientes de ello. A los poderes públicos les corresponde «promover las condiciones para que la libertad y la igualdad del individuo y de los grupos en que se integra sean reales y efectivas; remover los obstáculos que impidan o dificulten su plenitud y facilitar la participación de todos los ciudadanos en la vida política, económica, cultural y social» (artículo 9 CE). Y si bien el Tribunal Constitucional tiene declarado que «en rigor, en el ámbito de los procesos electorales, solo en casos muy extremos cabrá admitir la posibilidad de que un mensaje tenga capacidad suficiente para forzar o desviar la voluntad de los electores, dado el carácter íntimo de la decisión del voto y los medios legales existentes para garantizar la libertad del sufragio» (STC 136/1999, de 20 de julio, FJ 16), en el contexto actual, muy diferente al de hace dos décadas, la garantía de la libertad de sufragio exigiría una acción positiva del legislador para que la misma no se viera comprometida. Nuevamente aquí la inconcreción del artículo 58 bis.1
LOREG respecto de los límites precisos en los que los partidos políticos pueden recopilar datos personales relativos a opiniones políticas de los ciudadanos y el uso que puedan darle a esa recopilación genera una afectación negativa de la libertad de sufragio, contraria al artículo 23.1 CE.

f) Por último, se fundamenta la vulneración del principio de seguridad jurídica (artículo 9.3 CE). El nuevo artículo 58 bis.1 LOREG declara amparada la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos con una total imprecisión. Un «interés público» genérico, las «actividades electorales» que los partidos pueden realizar en cualquier momento y no solo durante la campaña electoral y unas «garantías adecuadas» que, en el mejor de los casos, un operador jurídico avezado tendría serias dificultades para deducir de la interpretación conjunta de la normativa electoral y de la vigente en materia de protección de datos personales tanto nacional (de aplicación solo supletoria artículo 2.3 de la Ley Orgánica de protección de datos (LOPD), como proveniente del Derecho internacional y europeo derivado.

Hay que fiar al criterio del operador jurídico de turno la determinación de si los sujetos legitimados para realizar la recopilación de datos son exclusivamente los partidos políticos a los que literalmente alude el precepto o si también lo están los restantes sujetos que pueden concurrir al proceso electoral de acuerdo con la LOREG, esto es, federaciones, coaliciones y agrupaciones de electores. También hay que colegir si los datos recopilados pueden ser comunicados o transferidos a terceros, o si hay que entender prohibida tal práctica al tratarse de una habilitación de tratamiento excepcional.

Asimismo, hay que determinar el marco en el que se habilita el tratamiento y la finalidad del mismo, pues las actividades electorales pueden realizarlas los partidos durante el período electoral definido en la LOREG o en cualquier otro momento, y si se circunscriben o no a los actos de propaganda y de campaña, como podría parecer, dada la inserción del precepto en la sección quinta del capítulo VI del título I de la LOREG. También la determinación de las fuentes en las que pueden recogerse los datos personales que pueden ser objeto de tratamiento exige sopesar si estas son las páginas web y otras fuentes accesibles al público a las que hace referencia el número 2 del precepto aquí impugnado, o si pueden ser cualesquiera otras, ya que su tenor no establece límite alguno al respecto.

Finalmente, habrá de determinarse si ese amparo habilita o no a la realización de las restantes operaciones o conjunto de operaciones que a tenor del artículo 4.2 RGPD constituyen el tratamiento. La literalidad del precepto parece apuntar a ello, aunque la mera recopilación de los datos sin una ulterior operación de organización, estructuración, consulta o utilización, entre otras operaciones incluidas en el concepto de tratamiento (artículo 4.2 RGPD), carece de sentido.

Si a estas y otras dificultades habrá de enfrentarse el operador jurídico que aplique la norma o el que supervise su aplicación o el que la enjuicie, mayores serán las que padezca el titular de los datos personales afectados, a quien la norma y el ordenamiento en el que se inserta, el electoral, no proporciona indicación alguna respecto de sus poderes de disposición y control sobre los mismos, ni sobre las condiciones de su ejercicio.

Sin desconocer la doctrina del Tribunal Constitucional sobre la infracción del principio de seguridad jurídica (STC 150/1990, FJ 8), el Defensor del Pueblo entiende que, en el contexto tecnológico actual y frente a los riesgos evidentes que el tratamiento masivo de la información puede suponer para la intimidad personal, la protección de datos personales, la libertad ideológica y la libertad de participación política, resulta inexcusable –en términos propios del Tribunal– el esfuerzo del legislador por alumbrar una normativa abarcable y comprensible para la mayoría de los ciudadanos a los que va dirigida; puesto que una legislación confusa, oscura e incompleta dificulta su aplicación y, además de socavar la certeza del Derecho y la confianza de los ciudadanos en el mismo, puede terminar por empañar el valor de la justicia. En razón de todo ello, se considera que el artículo 58 bis.1 LOREG resulta contrario al artículo 9.3 CE.

2. Por providencia de 12 de marzo de 2019, el Pleno del Tribunal Constitucional, a propuesta de la sección primera, acordó admitir a trámite el recurso de inconstitucionalidad, dar traslado de la demanda y documentos presentados, conforme establece el artículo 34 Ley Orgánica del Tribunal Constitucional (LOTC), al Congreso de los Diputados y al Senado, por conducto de sus presidentes, y al Gobierno, a través del Ministerio de Justicia, al objeto de que en el plazo de quince días pudieran personarse en el proceso y formular las alegaciones que estimaren convenientes. También se ordenó publicar la incoación del recurso en el «Boletín Oficial del Estado», lo que se produjo en su núm. 64, de 15 de marzo de 2019.

3. Por escrito registrado en el Tribunal el 18 de marzo de 2019, el presidente del Senado comunicó el acuerdo de la mesa de la cámara de personarse en el proceso y ofrecer su colaboración a los efectos del artículo 88.1 LOTC. Idéntica comunicación realizó la presidenta del Congreso de los Diputados mediante escrito registrado el día 8 de abril de 2019.

4. Por escrito registrado en el Tribunal el 18 de marzo de 2019, el abogado del Estado, en la representación que legalmente ostenta, se personó en el procedimiento y solicitó prórroga del plazo para formular alegaciones por ocho días más, que le fue concedida por diligencia de ordenación de misma fecha.

5. El 10 de abril de 2019 se registró el escrito de alegaciones del abogado del Estado, que solicitó que se desestimara en su integridad el recurso interpuesto, con arreglo a los siguientes argumentos.

a) Para responder a la demanda altera el orden de las imputaciones de inconstitucionalidad, y comienza por la relativa a la inseguridad jurídica, pues considera que, de no existir esa vulneración, esto es, de cumplirse el requisito de la exigencia de «garantías adecuadas», decaerían las alegaciones sobre la supuesta vulneración de derechos fundamentales.

b) Para determinar las «garantías adecuadas» para la aplicación del precepto impugnado, afirma que debe acudirse a las previsiones del precepto impugnado y de la Ley Orgánica de protección de datos (LOPD), y que así lo ha entendido la Agencia Española de Protección de Datos (AEPD) en dos documentos de indudable trascendencia, que el abogado del Estado manifiesta que hace suyos. Es lógico, se dice, que la reforma de la LOREG, al incluir el apartado impugnado, no desarrolle las garantías adecuadas por la aplicación supletoria de la LOPD en la que se encuentran perfectamente previstas. Para explicar el fundamento de la previsión normativa impugnada es preciso conocer el contexto en que se adopta, que, frente a lo que afirma el Defensor del Pueblo, tiene por finalidad asegurar que la recopilación de este tipo de datos, en procesos electorales, es de indudable interés público y que la ley, al regularla, incrementa las garantías frente a situaciones de hecho en que se proceda a recopilar estos datos contraviniendo los derechos fundamentales implicados.

Las garantías adecuadas constan en la literalidad del precepto, en la fundamentación de la enmienda en el reglamento y, supletoriamente en la
LOPD , como ha entendido la Circular 1/2019, de 7 de marzo, de la AEPD:

– En primer lugar, el precepto impugnado tiene por objeto acabar con la desregulación previa de la recopilación por los partidos políticos de datos relativos a las opiniones políticas. Establece claramente el interés público de esta recopilación, fundamentado en el mejor desarrollo de los procesos electorales, elemento básico en una democracia representativa; limita la posibilidad de recopilación de estos datos a los procesos electorales, es decir, en el estricto periodo electoral; y limita la habilitación a los partidos políticos concurrentes a unas elecciones, pues ninguna otra organización podrá proceder a recopilar este tipo de datos.

– Como se deduce de la motivación de la enmienda, el precepto pretende evitar situaciones como la que causó el caso denominado «Cambridge analytica» en el que se produjo una utilización indebida de datos de los ciudadanos. De la enmienda se deduce también que la base jurídica que determina los límites de recopilación de datos es el considerando 56 del Reglamento (UE) 2016/679 y normativa de desarrollo.

En consecuencia, no es correcta la afirmación de que el precepto legal no establece un mínimo suficiente de garantías adecuadas para poder llevar a cabo la recopilación de datos.

– En tercer lugar, el precepto impugnado no puede ser interpretado ni aplicado aisladamente sino en el ámbito de la LOPD y del Reglamento de protección de datos, dado su carácter expresamente supletorio. Una explicación exhaustiva a esta cuestión se encuentra en el informe elaborado por los servicios jurídicos de la AEPD que, como entidad independiente, tiene por finalidad asegurar que no se produce una vulneración del artículo 19.3 CE (sic). La AEPD ha emitido dos documentos de imprescindible análisis en los que, sin innovar la ley, que le está vedado, lleva a cabo una interpretación conforme de este precepto: el informe de la asesoría jurídica de la agencia núm. 210070/2018, publicado en la página webde la AEPD; y la Circular 1/2019, de 7 de marzo, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores al amparo del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, de régimen electoral general, publicada en el «Boletín Oficial del Estado» núm. 60, de 11 de marzo de 2019, y que reproduce parcialmente en su escrito.

Concluye que, por la aplicación directa del reglamento y supletoria de la LOPD, queda perfectamente concretada, frente a lo que se afirma de contrario, la constitucionalidad del precepto impugnado que, en lo que se refiere a las «garantías adecuadas», debe integrarse con lo expresado en las citadas normas tal y como ha sido interpretado por la AEPD en la circular mencionada. Por ello, no resulta de aplicación el fundamento jurídico 10 de la STC 292/2000. En ningún caso este precepto vulnera, como se afirma en el último fundamento jurídico de la demanda, las exigencias de la seguridad jurídica (artículo 9.3 CE), tal y como han sido interpretadas por el Tribunal, entre otras, en la STC 136/2011, de 13 de septiembre, citada en la demanda. Por el contrario, debe aplicarse la jurisprudencia constitucional que dispone que «cada norma singular no constituye un elemento aislado e incomunicado en el mundo del Derecho», de forma que solo en casos excepcionales de incertidumbre razonablemente insuperable podría concluirse que una norma infringe el principio de seguridad jurídica (STC 150/1990, FJ 8). El operador jurídico que debe aplicar la disposición impugnada puede conocer, mediante la aplicación directa del reglamento y la supletoria de la LOPD, el régimen de «garantías adecuadas» necesario para aplicar este precepto: lo contrario supondría tener que reiterar innecesariamente en la LOREG el contenido de las normas mencionadas, cuando, como ha entendido la AEPD, dichas garantías se encuentran perfectamente determinadas.

c) A la luz de las alegaciones anteriores, se señala que decaen el resto de los argumentos invocados en la demanda:

– El hecho de que las garantías, como concreta la AEPD, se encuentren desarrolladas en el reglamento y la propia LOPD, priva de fundamento a la impugnación según la cual la definición de las garantías adecuadas debe hacerse por ley, de acuerdo con el artículo 18.4 CE en conexión con el artículo 53 CE.

– El precepto en ningún caso vulnera la libertad ideológica (artículo 16 CE), puesto que no se obliga a ciudadano alguno a manifestar su opinión política conforme al fundamento jurídico 12 de la STC 20/1990, y en ningún caso el tratamiento de las opiniones políticas expresadas se podrá utilizar para un fin distinto del que motivó su expresión o manifestación.

– No se acierta a comprender cómo se vulnera el artículo 23 CE, pues la recopilación de datos por parte de los partidos políticos en nada afecta a este derecho, ni se persigue forzar una determinada voluntad. Al contrario, se persigue que sean los partidos políticos, todos ellos, justamente los garantes del pluralismo político, los que puedan llevar a cabo el legítimo fin en una democracia de conocer, exclusivamente en los procesos electorales, la opinión de los electores para conformar su estrategia electoral, lo que redunda en un mejor funcionamiento del sistema democrático.

6. Por providencia de 21 de mayo de 2019 se señaló para deliberación y votación de la presente sentencia el día 22 de mayo de 2019.

II. Fundamentos jurídicos

1. El Defensor del Pueblo ha interpuesto el presente recurso de inconstitucionalidad contra el apartado primero del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. El artículo 58 bis dispone lo siguiente:

«Artículo cincuenta y ocho bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.

1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.

2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.

4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.

5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.»

El recurso interpuesto por el Defensor del Pueblo impugna esa modificación normativa por lo que respecta exclusivamente a su apartado 1, por considerar que vulnera diversos preceptos constitucionales, en concreto los artículos 9.3, 16, 18.4, 23 y 53.1 CE. Por su parte, el abogado del Estado solicita la desestimación integra del recurso.

2. Antes que nada debemos identificar el núcleo de la controversia, pues como correctamente aprecia el abogado del Estado, en la demanda del Defensor del Pueblo late una impugnación central, de las que las demás son más bien complementarias. No obstante, esa impugnación central no es, como afirma el abogado del Estado, la relativa al principio de seguridad jurídica (artículo 9.3 CE), sino la que se refiere al artículo 18.4 CE en conexión con el artículo 53.1 CE .

La disposición legal recurrida autoriza a los partidos políticos a recopilar datos personales relativos a las opiniones políticas de las personas en el marco de sus actividades electorales. Como ha quedado expuesto en los antecedentes, la demanda alega que dicha disposición es inconstitucional por las siguientes razones: (i) no ha determinado por sí misma la finalidad del tratamiento, más allá de la genérica mención al «interés público»; (ii) no ha limitado el tratamiento regulando pormenorizadamente las restricciones al derecho fundamental, indicando por ejemplo las fuentes de las que pueden recogerse los datos personales y las operaciones que pueden realizarse con ellos; y (iii) no ha establecido ella misma las garantías adecuadas para proteger los derechos fundamentales afectados. Debido a esas insuficiencias, el precepto impugnado habría incurrido en una doble y simultánea vulneración, la de los artículos 18.4 y 53.1 CE, por infringir la reserva de ley y por no respetar el contenido esencial del derecho fundamental a la protección de datos personales.

Alrededor de la impugnación referida a la posible vulneración del derecho fundamental a la protección de datos personales (artículo 18.4 en conexión con el artículo 53.1 CE) se articulan en el recurso de inconstitucionalidad otros motivos, unos relativos también a la infracción de otros derechos fundamentales sustantivos, como los derechos a la libertad ideológica (artículo 16 CE) y de participación política (artículo 23 CE), y otro referido al principio general de seguridad jurídica (artículo 9.3 CE).

Por su parte, el abogado del Estado rechaza esa impugnación argumentando en esencia que la finalidad del tratamiento es el mejor funcionamiento del sistema democrático, y que las garantías adecuadas se desprenden de la literalidad del precepto o bien están previstas en el marco regulatorio establecido por el Reglamento (UE) 2016/679, de 27 de abril de 2016, de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, tal como ha concretado la Circular 1/2019, de 7 de marzo, de la Agencia Española de Protección de Datos (en adelante, la Circular 1/2019).

El enjuiciamiento constitucional que nos demanda la impugnación central se circunscribe, pues, a resolver si el legislador ha vulnerado la reserva de ley y el contenido esencial del derecho fundamental a la protección de datos personales (artículo 18.4 CE en conexión con el artículo 53.1
CE ), por renunciar a establecer el marco en el que se habilita el tratamiento, la finalidad del mismo y las garantías adecuadas frente al concreto uso de la informática previsto en la norma impugnada.

Podemos asumir, por tanto, ya que no lo controvierten las alegaciones de las partes, que el apartado 1 del artículo 58 bis de la Ley Orgánica del régimen electoral general (LOREG) constituye una injerencia en el derecho fundamental a la protección de datos personales garantizado por el artículo 18.4 CE. Lo que está en discusión es si la citada disposición legal cumple con las exigencias que derivan de la Constitución y de nuestra doctrina constitucional.

3. En apoyo de su alegato, el Defensor del Pueblo cita nuestra jurisprudencia sobre el derecho fundamental a la protección de datos personales, y en concreto el pronunciamiento específico sobre las garantías adecuadas que a este respecto se contiene en el fundamento jurídico 10 de la STC 292/2000, de 30 de noviembre; el artículo 8 del Convenio Europeo para la protección de los Derechos Humanos y las Libertades Fundamentales, hecho en Roma el 14 de noviembre de 1950; el artículo 6 del Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981 y, por último, el «Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)», y en especial los apartados 1 y 2 del artículo 9.

Los diversos instrumentos jurídico-internacionales que alega el Defensor del Pueblo, si bien «no constituyen canon para el enjuiciamiento de la adecuación a la Constitución de normas dotadas de rango legal» (por todas, STC 140/2018, de 20 de diciembre, FJ 6), pueden tener relevancia a la hora de interpretar las disposiciones que sí integran el parámetro de constitucionalidad. Como hemos declarado reiteradamente a lo largo de nuestra jurisprudencia, las disposiciones de los acuerdos internacionales sobre derechos humanos válidamente celebrados y publicados oficialmente en España constituyen, a tenor del artículo 10.2 CE, valiosos criterios hermenéuticos del sentido y alcance mínimo de los derechos y libertades que la Constitución reconoce. De suerte que los mencionados instrumentos normativos pueden ser tenidos en cuenta, y lo serán más adelante, para corroborar el sentido y alcance del específico derecho fundamental que ha reconocido nuestra Constitución en orden a la protección de los datos personales.

Por lo que respecta al Reglamento (UE) 2016/679, que entró en vigor el 25 de mayo de 2018 y al que ya se ha referido la STC 58/2018, de 4 de junio, FJ 5, debemos señalar que si bien tiene también valor interpretativo a los efectos del artículo 10.2 CE, de la misma forma que en el pasado se lo atribuimos a la Directiva 95/46/CE que ha sido sustituida por aquel (SSTC 94/1998, de 4 de mayo, FJ 4; 144/1999, de 22 de julio, FJ 8; 202/1999, de 8 de noviembre, FJ 5; 70/2009, de 23 de marzo, FJ 2, y 29/2013, de 11 de febrero, FJ 5). No obstante, la eficacia jurídica del Reglamento (UE) 2016/679 que alega el Defensor del Pueblo no se agota, desde luego, en el valor hermenéutico que despliega a los efectos del artículo 10.2 CE, esto es, en el plano de la constitucionalidad, pues en el seno de nuestro ordenamiento jurídico representa sobre todo un acto jurídico «obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro», como luce al final del texto, con las características inherentes al Derecho de la Unión Europea.

A este Tribunal le corresponde aplicar la Constitución. Cuando, como ocurre en este proceso, se le demanda el enjuiciamiento constitucional del desarrollo legislativo de un derecho fundamental que se halla en la actualidad parcialmente determinado por el Derecho de la Unión Europea, como es la protección de datos personales, «[l]as exigencias derivadas del Derecho de la Unión no pueden ser irrelevantes a la hora de establecer los márgenes constitucionalmente admisibles de libertad de apreciación política» (STC 1/2012, de 13 de enero, FJ 9). Sin que ello implique de forma alguna que el análisis de constitucionalidad pueda o deba incluir un examen sobre la compatibilidad entre el reglamento europeo y la ley interna, ni que un eventual juicio de incompatibilidad pueda derivar en la declaración de inconstitucionalidad de una ley interna por oposición a una disposición de Derecho de la Unión, pues cualquier análisis de compatibilidad entre el Derecho de la Unión Europea y la Ley Orgánica 3/2018 se dirimirá en términos de legalidad ordinaria y selección del derecho aplicable en un primer término, y no en clave de contradicción con la Constitución de la norma interna eventualmente contraria al Derecho de la Unión («mutatis mutandis», STC 140/2018, FJ 6).

4. Para un correcto enjuiciamiento constitucional de la impugnación central, antes de formular en el fundamento jurídico siguiente el parámetro de constitucionalidad aplicable, debemos exponer sucintamente el régimen jurídico del tratamiento de datos personales relativos a las opiniones políticas de las personas. Ello implica aludir al contenido tanto del Reglamento (UE) 2016/679 o Reglamento general de protección de datos (en adelante, RGPD) como de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en adelante, LOPDyGDD), pues en la actualidad ambas fuentes configuran conjuntamente, de forma directa o supletoria, el desarrollo del derecho fundamental a la protección de datos de carácter personal que exigen los artículos 18.4 y 81.1 CE, dado que el artículo 2.3 LOPDyGDD declara la supletoriedad del reglamento general y de la Ley Orgánica 3/2018, a falta de legislación específica, también para los tratamientos a los que el reglamento general no resulte directamente aplicable por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea.

De acuerdo con el apartado 1 del artículo 9 RGPD, está prohibido el tratamiento de datos personales que revelen las opiniones políticas, del mismo modo que lo está el tratamiento de datos personales que revelen el origen étnico o racial, las convicciones religiosas o filosóficas o la afiliación sindical y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. No obstante, el apartado 2 del mismo precepto autoriza el tratamiento de todos esos datos cuando concurra alguna de las diez circunstancias allí previstas [letras a) a j)]. Algunas de esas circunstancias tienen un ámbito de aplicación acotado (laboral, social, asociativo, sanitario, judicial, etc.) o responden a una finalidad determinada, por lo que, en sí mismas, delimitan los tratamientos específicos que autorizan como excepción a la regla general. Además, la eficacia habilitante de varios de los supuestos allí previstos está condicionada a que el Derecho de la Unión o el de los Estados miembros los prevean y regulen expresamente en su ámbito de competencias: es el caso de las circunstancias recogidas en las letras a), b), g), h), i) y j).

El tratamiento de las categorías especiales de datos personales es uno de los ámbitos en los que de manera expresa el Reglamento general de protección de datos ha reconocido a los Estados miembros «margen de maniobra» a la hora de «especificar sus normas», tal como lo califica su considerando 10. Este margen de configuración legislativa se extiende tanto a la determinación de las causas habilitantes para el tratamiento de datos personales especialmente protegidos –es decir, a la identificación de los fines de interés público esencial y la apreciación de la proporcionalidad del tratamiento al fin perseguido, respetando en lo esencial el derecho a la protección de datos– como al establecimiento de «medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado» [artículo 9.2.g) RGPD]. El reglamento contiene, por tanto, una obligación concreta de los Estados miembros de establecer tales garantías, en el caso de que habiliten para tratar los datos personales especialmente protegidos.

Así, la primera circunstancia habilitante para el tratamiento de los datos personales especialmente protegidos, recogida en la letra a) del apartado 2 del artículo 9 RGPD, consiste en el consentimiento explícito del interesado: cuando «el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado». Sin embargo, el legislador español ha optado por excluir plenamente la eficacia habilitante del consentimiento del afectado. Con arreglo al artículo 9.1 LOPDyGDD, «el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico».

Y para «los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español», el artículo 9.2 LOPDyGDD señala que «deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad».

El Reglamento general de protección de datos no excluye de antemano que los Estados miembros puedan autorizar la recopilación de datos personales sobre las opiniones políticas en el marco de actividades electorales, si bien esa autorización está expresamente condicionada al establecimiento de «garantías adecuadas», como se desprende de su considerando 56: «Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas».

Finalmente, debe mencionarse que la finalidad de proteger la integridad del proceso democrático europeo ha llevado a las instituciones de la Unión Europea a establecer sanciones financieras para afrontar las situaciones en las que los partidos políticos europeos o las fundaciones políticas europeas, que se financian con cargo al presupuesto general de la Unión, se aprovechen de infracciones de las normas de protección de datos personales con el fin de influir en el resultado de las elecciones al Parlamento Europeo. El Reglamento (UE, Euratom) 2019/493 del Parlamento Europeo y del Consejo, de 25 de marzo de 2019, establece a tal fin un procedimiento de verificación relativo a las infracciones de las normas de protección de los datos personales en el contexto de las elecciones al Parlamento Europeo.

En suma, el artículo 58 bis LOREG, cuyo apartado 1 es el objeto del presente recurso de inconstitucionalidad, contiene una modificación normativa introducida por el legislador orgánico para hacer posible un tratamiento de datos que, de no existir dicha habilitación, estaría prohibido tanto por el Derecho de la Unión como por nuestro ordenamiento jurídico, tal como se refleja en los artículos 9.1 RGPD y 9.2 LOPDyGDD.

5. La impugnación tiene por objeto un precepto legal, cuya doble singularidad estriba en el destinatario y el objeto de la habilitación. Por un lado, los sujetos habilitados para recopilar los datos personales no pueden considerarse «meras personas jurídico-privadas titulares del derecho de asociación contemplado en el artículo 22 CE» (STC 226/2016, de 22 de diciembre, FJ 6), pues son instrumento fundamental para la participación política (artículo 6 CE) y ejercen «cierta función pública» (STC 3/1981, de 2 de febrero, FJ 2) en su condición de «organizaciones sociales de relevancia constitucional» (STC 18/1984, de 7 de febrero, FJ 3). Por ello, este Tribunal debe velar por que, en este como en otros ámbitos, la actuación de los partidos políticos tenga bajo sus pies un suelo firme de Estado de Derecho, ajeno a la incertidumbre y la arbitrariedad. Por otro lado, los datos personales que pueden recopilarse integran una categoría especial de datos, que, como la información relativa a la salud (STC 70/2009, FJ 2), son especialmente sensibles y, por tanto, dignos de especial protección para la garantía de los derechos fundamentales.

Teniendo presente tanto la especial sensibilidad de los datos personales afectados como la especial posición constitucional de los sujetos autorizados a recopilarlos, debemos precisar a continuación los parámetros de enjuiciamiento que permitan resolver el contenido central de la impugnación: la vulneración por el legislador de la reserva de ley y el contenido esencial del derecho fundamental a la protección de datos personales (artículo 18.4 CE en conexión con el artículo 53.1 CE).

a) Como ya se indicó, en la presente impugnación no está en discusión cuál es el derecho fundamental principalmente afectado, el derecho fundamental a la protección de datos personales; ni tampoco lo están la definición de su contenido, su alcance o sus límites, aspectos que fueron abordados en detalle en los fundamentos jurídicos 5 a 9 de la ya citada STC 292/2000, a los que ahora nos remitimos íntegramente.

A los efectos del presente proceso bastará recordar que «el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso», y que estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos, «se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular». A su vez, «ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos», «exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que los rectifique o los cancele» (STC 292/2000, FJ 7).

b) El artículo 18.4 CE no solo «consagra un derecho fundamental autónomo a controlar el flujo de informaciones que conciernen a cada persona» (SSTC 11/1998, de 13 de enero, FJ 5; 96/2012, FJ 6, y 151/2014, de 25 de septiembre, FJ 7), sino también, como se desprende de su último inciso («para garantizar […] el pleno ejercicio de sus derechos»), un derecho instrumental ordenado a la protección de otros derechos fundamentales, esto es, «un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos» (STC 292/2000, de 30 de septiembre, FJ 5). Así, hemos afirmado el carácter instrumental del derecho fundamental reconocido en el artículo 18.4 CE para la garantía de la libertad sindical (SSTC 11/1998, de 13 de enero, FJ 5; 60/1998, de 16 de marzo, FJ 1; 124/1998, de 15 de junio, FJ 2; y 126/1998, de 15 de junio, FJ 2), y así también debemos entenderlo, desde luego, con respecto a la libertad ideológica.

Por tanto, el derecho fundamental afectado es el de protección de datos personales, desde una doble perspectiva, como derecho fundamental autónomo dirigido a controlar el flujo de informaciones que concierne a cada persona, y como derecho fundamental instrumental ordenado a la protección del también derecho fundamental a la libertad ideológica.

c) La libertad ideológica consagrada en el artículo 16 CE tiene una dimensión positiva, pues se protege «sin más limitación, en sus manifestaciones, que la necesaria para el mantenimiento del orden público protegido por la ley» (apartado 1), y también una dimensión negativa, pues incluye el derecho de toda persona a no «ser obligado a declarar sobre su ideología» (apartado 2).

En síntesis, la libertad ideológica comprende «la proclamación de ideas o posiciones políticas propias o adhesión a las ajenas» (STC 235/2007, de 7 de noviembre, FJ 9), tanto individual como colectivamente, así como la posibilidad de abandonarlas o cambiarlas por otras en todo momento, pero también el secreto o silencio sobre las ideas o posiciones políticas propias, sin ser objeto de coacción o perturbación alguna antes o después de su proclamación o modificación, ni derivada del silencio libremente elegido.

Este Tribunal ha tenido ocasión de destacar la importancia del derecho consagrado en el artículo 16.1 CE. Como afirmamos en la STC 20/1990, de 20 de febrero, FJ 3: «sin la libertad ideológica consagrada en el artículo 16.1 CE, no serían posibles los valores superiores de nuestro ordenamiento jurídico que se propugnan en el artículo 1.1 de la misma para constituir el Estado social y democrático de derecho que en dicho precepto se instaura».

Asimismo, en la STC 120/1992, de 27 de junio, FJ 8, aludimos a la faceta externa de ese derecho en los siguientes términos: «la libertad ideológica […] no se agota en una dimensión interna del derecho a adoptar una determinada posición intelectual ante la vida y cuanto le concierne y a representar o enjuiciar la realidad según personales convicciones. Comprende, además, una dimensión externa de agere licere, con arreglo a las propias ideas sin sufrir por ello sanción o demérito ni padecer la compulsión o la injerencia de los poderes públicos».

d) Como los demás derechos, el derecho fundamental a la protección de datos personales no tiene carácter absoluto. Puede ser restringido por medio de la ley, siempre que ello responda a un fin de interés general, y los requisitos y el alcance de la restricción estén suficientemente precisados en la ley y respeten el principio de proporcionalidad. A los efectos del presente proceso deben destacarse dos requisitos de esos límites:

– En primer lugar, toda injerencia estatal en el ámbito de los derechos fundamentales y las libertades públicas debe responder a un fin constitucionalmente legítimo o encaminarse a la protección o la salvaguarda de un bien constitucionalmente relevante, pues «si bien este Tribunal ha declarado que la Constitución no impide al Estado proteger derechos o bienes jurídicos a costa del sacrificio de otros igualmente reconocidos y, por tanto, que el legislador pueda imponer limitaciones al contenido de los derechos fundamentales o a su ejercicio, también hemos precisado que, en tales supuestos, esas limitaciones han de estar justificadas en la protección de otros derechos o bienes constitucionales (SSTC 104/2000, de 13 de abril, FJ 8 y las allí citadas) y, además, han de ser proporcionadas al fin perseguido con ellas (SSTC 11/1981, FJ 5, y 196/1987, FJ 6)» (STC 292/2000, FJ 15).

– En segundo lugar, por mandato expreso de la Constitución, toda injerencia estatal en el ámbito de los derechos fundamentales y las libertades públicas, ora incida directamente sobre su desarrollo (artículo 81.1 CE), ora limite o condicione su ejercicio (artículo 53.1 CE), precisa una habilitación legal (por todas, STC 49/1999, de 5 de abril, FJ 4). En la STC 49/1999, FJ 4, definimos la función constitucional de esa reserva de ley en los siguientes términos:

«Esa reserva de ley a que, con carácter general, somete la Constitución española la regulación de los derechos fundamentales y libertades públicas reconocidos en su Título I, desempeña una doble función, a saber: de una parte, asegura que los derechos que la Constitución atribuye a los ciudadanos no se vean afectados por ninguna injerencia estatal no autorizada por sus representantes; y, de otra, en un Ordenamiento jurídico como el nuestro en el que los Jueces y Magistrados se hallan sometidos «únicamente al imperio de la Ley» y no existe, en puridad, la vinculación al precedente (SSTC 8/1981, 34/1995, 47/1995 y 96/1996) constituye, en definitiva, el único modo efectivo de garantizar las exigencias de seguridad jurídica en el ámbito de los derechos fundamentales y las libertades públicas. Por eso, en lo que a nuestro Ordenamiento se refiere, hemos caracterizado la seguridad jurídica como una suma de legalidad y certeza del Derecho (STC 27/1981, fundamento jurídico 10).»

Esta doble función de la reserva de ley se traduce en una doble exigencia: por un lado, la necesaria intervención de la ley para habilitar la injerencia; y, por otro lado, esa norma legal «ha de reunir todas aquellas características indispensables como garantía de la seguridad jurídica», esto es, «ha de expresar todos y cada uno de los presupuestos y condiciones de la intervención» (STC 49/1999, FJ 4). En otras palabras, «no sólo excluye apoderamientos a favor de las normas reglamentarias […], sino que también implica otras exigencias respecto al contenido de la Ley que establece tales límites» (STC 292/2000, FJ 15).

La segunda exigencia mencionada constituye la dimensión cualitativa de la reserva de ley, y se concreta en las exigencias de previsibilidad y certeza de las medidas restrictivas en el ámbito de los derechos fundamentales. En la STC 292/2000, FJ 15, señalamos que, aun teniendo un fundamento constitucional, las limitaciones del derecho fundamental establecidas por una ley «pueden vulnerar la Constitución si adolecen de falta de certeza y previsibilidad en los propios límites que imponen y su modo de aplicación», pues «la falta de precisión de la ley en los presupuestos materiales de la limitación de un derecho fundamental es susceptible de generar una indeterminación sobre los casos a los que se aplica tal restricción»; «al producirse este resultado, más allá de toda interpretación razonable, la ley ya no cumple su función de garantía del propio derecho fundamental que restringe, pues deja que en su lugar opere simplemente la voluntad de quien ha de aplicarla». En la misma sentencia y fundamento jurídico precisamos también el tipo de vulneración que acarrea la falta de certeza y previsibilidad en los propios límites: «no sólo lesionaría el principio de seguridad jurídica (artículo 9.3 CE), concebida como certeza sobre el ordenamiento aplicable y expectativa razonablemente fundada de la persona sobre cuál ha de ser la actuación del poder aplicando el Derecho (STC 104/2000, FJ 7, por todas), sino que al mismo tiempo dicha ley estaría lesionando el contenido esencial del derecho fundamental así restringido, dado que la forma en que se han fijado sus límites lo hacen irreconocible e imposibilitan, en la práctica, su ejercicio (SSTC 11/1981, FJ 15; 142/1993, de 22 de abril, FJ 4, y 341/1993, de 18 de noviembre, FJ 7)».

6. A la vista de los potenciales efectos intrusivos en el derecho fundamental afectado que resultan del tratamiento de datos personales, la jurisprudencia de este Tribunal le exige al legislador que, además de cumplir los requisitos anteriormente mencionados, también establezca garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos, pues solo así se puede procurar el respeto del contenido esencial del propio derecho fundamental. En este fundamento jurídico precisaremos la naturaleza y el alcance de este específico requisito constitucional.

a) La necesidad de establecer las garantías adecuadas para procurar el respeto del contenido esencial del derecho fundamental a la protección de datos personales fue señalada específicamente en el fundamento jurídico 10 de la STC 292/2000, que ha sido correctamente invocado por el Defensor del Pueblo. Del mencionado fundamento jurídico se extraen las siguientes conclusiones:

– La previsión legal y la legitimidad del fin perseguido son requisitos necesarios pero no suficientes para fundamentar la validez constitucional de una regulación del tratamiento de datos personales, pues para ello se requieren también «garantías adecuadas frente al uso potencialmente invasor de la vida privada del ciudadano a través de su tratamiento informático».

– Esas garantías son necesarias «para el reconocimiento e identidad constitucionales del derecho fundamental a la protección de datos» y «para que los intereses jurídicamente protegibles, que constituyen la razón de ser del aludido derecho fundamental, resulten real, concreta y efectivamente protegidos».

– La mera inexistencia de «garantías adecuadas» o de las «mínimas exigibles a la Ley» constituye de por sí una injerencia en el derecho fundamental, de gravedad similar a la que causarían intromisiones directas en su contenido nuclear.

– La exigencia de «garantías adecuadas» se fundamenta, por tanto, en el respeto del contenido esencial del derecho fundamental.

Asimismo, del examen conjunto de los fundamentos jurídicos 7 y 10 de la STC 292/2000 se deduce que las «garantías adecuadas» o «garantías mínimas exigibles a una ley sometida al insoslayable respeto al contenido esencial del derecho fundamental cuyo ejercicio regula» deben diferenciarse también del «haz de facultades que componen el contenido del derecho fundamental a la protección de datos de carácter personal», que, como se indicó antes, son aquellas que otorgan al titular del derecho fundamental «un poder de disposición y de control sobre los datos personales».

b) Esta doctrina sobre las garantías adecuadas es también la que sigue la jurisprudencia del Tribunal de Justicia de la Unión Europea. En la sentencia de la Gran Sala de 8 de abril de 2014, asuntos acumulados C-293/12 y C-594/12, Digital Rights Ireland Ltd, apartado 54, el Tribunal de Justicia señaló lo siguiente: «la normativa de la Unión de que se trate debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión y establezcan unas exigencias mínimas de modo que las personas cuyos datos se hayan conservado dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos de carácter personal contra los riesgos de abuso y contra cualquier acceso o utilización ilícitos respecto de tales datos (véanse, por analogía, en lo que respecta al artículo 8 del Convenio Europeo de Derechos Humanos, las sentencias del Tribunal Europeo de Derechos Humanos, Liberty y otros c. Reino Unido de 1 de julio de 2008, núm. 58243/00, §§62 y 63; Rotaru c. Rumanía, antes citada, §§ 57 a 59, y S y Marper c. Reino Unido, antes citada, §99).»

En la citada sentencia, la constatación de la carencia de, por un lado, reglas claras y precisas que regulasen el alcance de la injerencia en los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta de derechos fundamentales y de, por otro lado, garantías suficientes que permitieran una protección eficaz de los datos conservados fundamentó la declaración de invalidez de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE.

c) La necesidad de disponer de garantías adecuadas es especialmente importante cuando el tratamiento afecta a categorías especiales de datos, también llamados datos sensibles, pues el uso de estos últimos es susceptible de comprometer más directamente la dignidad, la libertad y el libre desarrollo de la personalidad.

La exigencia de especial protección de esta categoría de datos está prevista en el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 28 de enero de 1981 (instrumento de ratificación publicado en el «Boletín Oficial del Estado» núm. 274, de 15 de noviembre de 1985), cuyo artículo 6 establece lo siguiente: «Los datos de carácter personal que revelen el origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual, no podrán tratarse automáticamente a menos que el derecho interno prevea garantías apropiadas. […].» Esa exigencia ha sido igualmente afirmada por la Agencia Española de Protección de Datos. De acuerdo con el preámbulo de su Circular 1/2019, esas garantías adecuadas y específicas para proteger los intereses y derechos fundamentales de los afectados «adquieren una especial relevancia tanto por la importancia de los datos personales objeto de tratamiento como por tratarse de tratamientos a gran escala de categorías especiales que entrañarán un alto riesgo para los derechos y libertades de las personas físicas difícilmente mitigable si no se toman medidas adecuadas». Asimismo, como ya se indicó en el fundamento jurídico 4 de esta sentencia, el Reglamento (UE) 2016/679 reitera la exigencia de que el legislador que regule el tratamiento de datos personales relativos a las opiniones políticas establezca dichas garantías adecuadas [artículo 9.2.g) y considerando 56].

Las garantías adecuadas deben velar por que el tratamiento de datos se realice en condiciones que aseguren la transparencia, la supervisión y la tutela judicial efectiva, y deben procurar que los datos no se recojan de forma desproporcionada y no se utilicen para fines distintos de los que justificaron su obtención. La naturaleza y el alcance de las garantías que resulten constitucionalmente exigibles en cada caso dependerán de tres factores esencialmente: el tipo de tratamiento de datos que se pretende llevar a cabo; la naturaleza de los datos; y la probabilidad y la gravedad de los riesgos de abuso y de utilización ilícita que, a su vez, están vinculadas al tipo de tratamiento y a la categoría de datos de que se trate. Así, no plantean los mismos problemas una recogida de datos con fines estadísticos que una recogida de datos con un fin concreto. Tampoco supone el mismo grado de injerencia la recopilación y el procesamiento de datos anónimos que la recopilación y el procesamiento de datos personales que se toman individualmente y no se anonimizan, como no es lo mismo el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, la salud, la vida sexual o la orientación sexual de una persona física, que el tratamiento de otro tipo de datos.

El nivel y la naturaleza de las garantías adecuadas no se pueden determinar de una vez para todas, pues, por un lado, deben revisarse y actualizarse cuando sea necesario y, por otro lado, el principio de proporcionalidad obliga a verificar si, con el desarrollo de la tecnología, aparecen posibilidades de tratamiento que resultan menos intrusivas o potencialmente menos peligrosas para los derechos fundamentales.

d) En conclusión, las opiniones políticas son datos personales sensibles cuya necesidad de protección es, en esa medida, superior a la de otros datos personales. Una protección adecuada y específica frente a su tratamiento constituye, en suma, una exigencia constitucional, sin perjuicio de que, como se ha visto, también represente una exigencia derivada del Derecho de la Unión Europea. Por tanto, el legislador está constitucionalmente obligado a adecuar la protección que dispensa a dichos datos personales, en su caso, imponiendo mayores exigencias a fin de que puedan ser objeto de tratamiento y previendo garantías específicas en su tratamiento, además de las que puedan ser comunes o generales.

7. Sentado lo anterior, estamos en situación de enjuiciar los tres elementos que aglutina la impugnación central del recurso de inconstitucionalidad y que confluyen en una doble vulneración de los artículos 18.4 y 53.1 CE: (i) que la disposición legal recurrida no haya determinado por sí misma la finalidad del tratamiento de datos personales que revelen opiniones políticas, más allá de la genérica mención al «interés público»; (ii) que no haya limitado el tratamiento regulando pormenorizadamente las restricciones al derecho fundamental; y (iii) que no haya establecido ella misma las garantías adecuadas para proteger los derechos fundamentales afectados.

a) La primera tacha de inconstitucionalidad que se dirige a la disposición legal impugnada es que no especifica el interés público esencial que fundamenta la restricción del derecho fundamental.

Constituye una constatación elemental la de que la disposición legal impugnada no identifica en ningún momento ese interés público esencial. Presupone que ha de existir, pero no llega a especificarlo («se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas»).

Tampoco se especifica en la justificación de la enmienda de la que la disposición legal trae causa. La enmienda de adición núm. 331 firmada por el grupo parlamentario socialista («Boletín Oficial de las Cortes Generales. Congreso de los Diputados», serie A, núm. 13-2, de 18 de abril de 2018, pág. 209) ofrece como motivación la siguiente escueta referencia: «Adecuar el Reglamento a las especificidades nacionales y establecer salvaguardas para impedir casos como el que vincula a Cambridge Analytica con el uso ilícito de datos de 50 millones de usuarios de facebook para mercadotecnia electoral».

Y, como ya se indicó, tampoco lo identifica el Reglamento general de protección de datos, pues su considerando 56 –que reproducimos en el fundamento jurídico 4– se limita a prever la posibilidad de que en algún Estado miembro se aprecie una finalidad legítima en la recogida de datos personales relativos a las opiniones personales de las personas, sin identificarla por sí misma para el conjunto de los Estados miembros.

Por su parte, el abogado del Estado, al final de su escrito, arguye que la habilitación que contiene el precepto legal impugnado persigue que los partidos políticos puedan llevar a cabo el legítimo fin en una democracia de conocer, exclusivamente en los procesos electorales, la opinión de los electores para conformar su estrategia electoral, lo que redundaría en un mejor funcionamiento del sistema democrático.

En la ya citada STC 292/2000, en la que también se enjuició una injerencia legislativa en el derecho a la protección de datos personales, rechazamos que la identificación de los fines legítimos de la restricción pudiera realizarse mediante conceptos genéricos o fórmulas vagas:

«16. […] De igual modo, respecto al derecho a la protección de datos personales cabe estimar que la legitimidad constitucional de la restricción de este derecho no puede estar basada, por sí sola, en la actividad de la Administración Pública. Ni es suficiente que la Ley apodere a ésta para que precise en cada caso sus límites, limitándose a indicar que deberá hacer tal precisión cuando concurra algún derecho o bien constitucionalmente protegido. Es el legislador quien debe determinar cuándo concurre ese bien o derecho que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse y, además, es él quien debe hacerlo mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias. Pues en otro caso el legislador habría trasladado a la administración el desempeño de una función que sólo a él compete en materia de derechos fundamentales en virtud de la reserva de Ley del artículo 53.1 CE, esto es, establecer claramente el límite y su regulación.

17. En el caso presente, el empleo por la LOPD en su artículo 24.1 de la expresión «funciones de control y verificación», abre un espacio de incertidumbre tan amplio que provoca una doble y perversa consecuencia. De un lado, al habilitar la LOPD a la administración para que restrinja derechos fundamentales invocando semejante expresión está renunciando a fijar ella misma los límites, apoderando a la administración para hacerlo. Y de un modo tal que, como señala el Defensor del Pueblo, permite reconducir a las mismas prácticamente toda actividad administrativa, ya que toda actividad administrativa que implique entablar una relación jurídica con un administrado, que así será prácticamente en todos los casos en los que la administración necesite de datos personales de alguien, conllevará de ordinario la potestad de la administración de verificar y controlar que ese administrado ha actuado conforme al régimen jurídico administrativo de la relación jurídica entablada con la administración. Lo que, a la vista del motivo de restricción del derecho a ser informado del artículo 5 LOPD, deja en la más absoluta incertidumbre al ciudadano sobre en qué casos concurrirá esa circunstancia (si no en todos) y sume en la ineficacia cualquier mecanismo de tutela jurisdiccional que deba enjuiciar semejante supuesto de restricción de derechos fundamentales sin otro criterio complementario que venga en ayuda de su control de la actuación administrativa en esta materia.

Iguales reproches merece, asimismo, el empleo en el artículo 24.2 LOPD de la expresión «interés público» como fundamento de la imposición de límites a los derechos fundamentales del artículo 18.1 y 4 CE, pues encierra un grado de incertidumbre aún mayor. Basta reparar en que toda actividad administrativa, en último término, persigue la salvaguardia de intereses generales, cuya consecución constituye la finalidad a la que debe servir con objetividad la administración con arreglo al artículo 103.1 CE

Esta argumentación es plenamente trasladable al presente enjuiciamiento. De igual modo, por tanto, debemos concluir que la legitimidad constitucional de la restricción del derecho fundamental a la protección de datos personales no puede estar basada, por sí sola, en la invocación genérica de un indeterminado «interés público». Pues en otro caso el legislador habría trasladado a los partidos políticos –a quienes la disposición impugnada habilita para recopilar datos personales relativos a las opiniones políticas de las personas en el marco de sus actividades electorales– el desempeño de una función que solo a él compete en materia de derechos fundamentales en virtud de la reserva de ley del artículo 53.1 CE, esto es, establecer claramente sus límites y su regulación.

Tampoco puede aceptarse, por igualmente imprecisa, la finalidad aducida por el abogado del Estado, que se refiere al funcionamiento del sistema democrático, pues también encierra un grado elevado de incertidumbre y puede suponer un razonamiento circular. Por un lado, los partidos políticos son de por sí «cauces necesarios para el funcionamiento del sistema democrático» (por todas, STC 48/2003, de 12 de marzo, FJ 5); y, por otro lado, todo el funcionamiento del sistema democrático persigue, en último término, la salvaguardia de los fines, valores y bienes constitucionales, pero ello no alcanza a identificar la razón por la cual haya de restringirse el derecho fundamental afectado.

Finalmente, debe precisarse que no es necesario que se pueda sospechar, con mayor o menor fundamento, que la restricción persiga una finalidad inconstitucional, o que los datos que se recopilen y procesen resultarán lesivos para la esfera privada y el ejercicio de los derechos de los particulares. Es suficiente con constatar que, al no poderse identificar con la suficiente precisión la finalidad del tratamiento de datos, tampoco puede enjuiciarse el carácter constitucionalmente legítimo de esa finalidad, ni, en su caso, la proporcionalidad de la medida prevista de acuerdo con los principios de idoneidad, necesidad y proporcionalidad en sentido estricto.

b) La segunda tacha de inconstitucionalidad que se dirige a la disposición legal impugnada es que no limita el tratamiento regulando pormenorizadamente las restricciones al derecho fundamental. La disposición legal impugnada solo recoge una condición limitativa del tratamiento de datos que autoriza: la recopilación de datos personales relativos a las opiniones políticas de las personas solo podrá llevarse a cabo «en el marco de sus actividades electorales». Se trata de una condición que apenas contribuye a constreñir el uso de la habilitación conferida. De una parte, el desarrollo de las actividades electorales no tiene por qué contraerse al proceso electoral, expresión que, en cambio, es la utilizada en el apartado 2 del artículo 58 bis LOREG. De otra, los procesos electorales son relativamente frecuentes en nuestro sistema político. Más allá de la citada condición («en el marco de sus actividades electorales»), la disposición legal impugnada carece de reglas sobre el alcance y contenido de los tratamientos de datos que autoriza.

En definitiva, desde las exigencias de certeza que han de presidir cualquier injerencia en un derecho fundamental, es también patente que el apartado 1 del artículo 58 bis LOREG, al no hacer referencia alguna a los presupuestos y condiciones del tratamiento de datos personales relativos a las opiniones políticas, resulta insuficiente para determinar si las operaciones que puedan llevar a cabo los partidos políticos serán o no «el fruto previsible de la razonable aplicación de lo decidido por el legislador» (SSTC 49/1999, de 5 de abril, FJ 4; y 154/2014, de 22 de septiembre, FJ 7).

En realidad, las dos primeras tachas de inconstitucionalidad dirigidas contra el precepto impugnado están íntimamente relacionadas. La falta de reglas precisas y claras sobre los presupuestos y condiciones del tratamiento de datos personales relativos a las opiniones políticas tampoco contribuye a identificar la finalidad de la restricción del derecho fundamental que se reconoce a los partidos políticos, y viceversa.

Por todo ello, debemos concluir que el legislador no ha precisado qué finalidad o bien constitucional justifica la restricción del derecho a la protección de datos personales ni ha determinado en qué supuestos y condiciones puede limitarse, mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias.

8. El tercer aspecto de la impugnación central, sobre el que versa la mayor parte de las alegaciones de las partes, gira en torno a la cuestión de si la norma impugnada ha previsto garantías adecuadas frente a la recopilación de datos personales que autoriza. El Defensor del Pueblo sostiene que no es el caso, argumentando que la propia ley habilitante debe prever tales garantías adecuadas, mientras que el abogado del Estado defiende lo contrario y sostiene que tales garantías adecuadas se deducen por una triple vía: la literalidad del precepto impugnado, el sentido de la enmienda de adición de la que trae causa el precepto impugnado, así como las dos normas que regulan la protección de datos personales en España, el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018.

Por tanto, la resolución de la presente impugnación exige que aclaremos una duda suscitada con respecto al alcance de nuestra doctrina sobre las garantías adecuadas, que consiste en determinar si las garantías adecuadas frente al uso de la informática deben contenerse en la propia ley que autoriza y regula ese uso o pueden encontrarse también en otras fuentes normativas.

La cuestión solo puede tener una respuesta constitucional. La previsión de las garantías adecuadas no puede deferirse a un momento posterior a la regulación legal del tratamiento de datos personales de que se trate. Las garantías adecuadas deben estar incorporadas a la propia regulación legal del tratamiento, ya sea directamente o por remisión expresa y perfectamente delimitada a fuentes externas que posean el rango normativo adecuado. Solo ese entendimiento es compatible con la doble exigencia que dimana del artículo 53.1 CE para el legislador de los derechos fundamentales: la reserva de ley para la regulación del ejercicio de los derechos fundamentales reconocidos en el capítulo segundo del título primero de la Constitución y el respeto del contenido esencial de dichos derechos fundamentales.

Según reiterada doctrina constitucional, la reserva de ley no se limita a exigir que una ley habilite la medida restrictiva de derechos fundamentales, sino que también es preciso, conforme tanto a exigencias denominadas –unas veces– de predeterminación normativa y –otras– de calidad de la ley como al respeto al contenido esencial del derecho, que en esa regulación el legislador, que viene obligado de forma primaria a ponderar los derechos o intereses en pugna, predetermine los supuestos, las condiciones y las garantías en que procede la adopción de medidas restrictivas de derechos fundamentales. Ese mandato de predeterminación respecto de elementos esenciales, vinculados también en último término al juicio de proporcionalidad de la limitación del derecho fundamental, no puede quedar deferido a un ulterior desarrollo legal o reglamentario, ni tampoco se puede dejar en manos de los propios particulares.

El análisis realizado hasta ahora apoya la impugnación presentada por el Defensor del Pueblo, pero no la resuelve por completo, pues el abogado del Estado rechaza la tercera queja mencionada argumentando que las garantías adecuadas sí existen, y se deducen por una triple vía: en concreto, de la literalidad del precepto impugnado, del sentido de la enmienda de adición de la que trae causa el precepto impugnado, así como de las dos normas que regulan la protección de datos personales en España, la LOPDyGDD y el RGPD, tal como las ha concretado la Circular 1/2019. Debemos, pues, dar contestación a cada uno de esos argumentos.

Ninguna de las tres interpretaciones puede ser compartida, como se razona a continuación:

a) La lectura del apartado impugnado o del precepto legal en su totalidad, reproducido en el fundamento jurídico primero, permite descartar la primera de las interpretaciones, pues su redacción literal ni contiene ni especifica en forma alguna las imprescindibles garantías y se limita a reconocer que deben ofrecerse «garantías adecuadas», sin más precisiones. Esa falta de regulación por el legislador se erige, de hecho, en el presupuesto, y en la razón de ser, de la aprobación de la Circular 1/2019, de 7 de marzo, de la Agencia Española de Protección de Datos, pues, como se indica en su preámbulo, «[p]recisamente por la existencia de un alto riesgo para los derechos y libertades de las personas físicas dichas garantías, al no haberse establecido por el legislador, deben identificarse por esta Agencia Española de Protección de Datos».

b) Tampoco se puede acoger la segunda interpretación avanzada por el abogado del Estado, pues convertiría el contenido o la justificación de las enmiendas de las que traen causa las disposiciones legales en parte integrante de su programa normativo a pesar de que ese contenido o esa justificación no se hubiera incorporado a su tenor literal.

El contenido y la justificación de las enmiendas presentadas, debatidas y, en su caso, aprobadas total o parcialmente durante la elaboración de un texto legislativo (SSTC 110/2017, de 19 de octubre, FJ 3; y 63/2018, de 7 de junio, FJ 9, por todas) constituyen, como los demás trabajos y debates parlamentarios (SSTC 108/1986, de 29 de julio, FJ 13; 109/1988, de 29 de mayo, FJ 2; 15/2000, de 20 de enero, FJ 7; y 90/2009, de 20 de abril, FJ 6, por todas), importante elemento hermenéutico para desentrañar el alcance y el sentido de las normas, pero no pueden suplir o sanar las insuficiencias constitucionales de que adolezcan estas últimas.

Por lo demás, el examen de la concreta enmienda núm. 331 de la que trae causa la disposición incorporada al ordenamiento jurídico como artículo 58 bis LOREG permite constatar, sin duda, que ofrece aspectos importantes para la interpretación del precepto. Pero su formulación y su justificación estaban desprovistas de indicación alguna sobre el contenido, la naturaleza y la extensión de las eventuales garantías adecuadas necesarias para respetar el contenido esencial del derecho fundamental.

La referencia que la propia enmienda realizaba al considerando 56 del Reglamento (UE) 2016/679, lejos de definir o aludir a las garantías adecuadas, perseguía poner de manifiesto su adecuación al marco normativo europeo. Cabe reiterar que el considerando 56 se limita a prever que «[s]i, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas». Ello es insuficiente desde el punto de vista del cumplimiento de las exigencias derivadas del marco constitucional que este Tribunal debe salvaguardar, que es de lo que aquí se trata.

c) Las garantías adecuadas frente a la recopilación de datos personales relativos a las opiniones políticas de las personas tampoco se encuentran establecidas en el doble marco normativo que resulta aplicable, el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018; garantías que, según el abogado del Estado, la Circular 1/2019 solo habría codificado, sin innovarlas en ningún momento.

Las premisas lógicas para esta interpretación son el entendimiento de que el artículo 58 bis LOREG suple la exigencia constitucional de establecer ella misma las garantías adecuadas, en primer lugar, con una remisión implícita a fuentes normativas externas, dado que resulta evidente que el precepto impugnado no contiene una cláusula de remisión expresa; y, en segundo lugar, que el citado precepto legal identifica implícitamente las normas a las que se remite, y tales normas son justamente el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018. Sin embargo, ambas premisas no pueden admitirse a la vista de los términos en los que está redactado el precepto impugnado. En cualquier caso, incluso de aceptar a efectos dialécticos las referidas premisas lógicas, su consecuencia, esto es, la interpretación de que el precepto impugnado contiene una remisión implícita al Reglamento (UE) 2016/679 y a la Ley Orgánica 3/2018 e integra su regulación incompleta con las garantías allí previstas, no sería compatible con nuestra doctrina constitucional sobre la reserva de ley que dimana del artículo 53.1 CE. En efecto, como expondremos a continuación, la insuficiencia de la ley no puede ser colmada por vía interpretativa a partir de las pautas e indicaciones que se puedan extraer de los citados textos normativos (i). Tampoco puede ser colmada por el titular de una potestad normativa limitada como es la Agencia Española de Protección de Datos (ii) o mediante una interpretación conforme (iii). Finalmente, una remisión implícita como la pretendida tampoco resultaría coherente con el marco regulador europeo (iv), perspectiva que, como se dijo, no puede ser irrelevante para nuestro enjuiciamiento constitucional.

(i) Es evidente que si la norma incluyera una remisión para la integración de la ley con las garantías adecuadas establecidas en normas de rango inferior a la ley, sería considerada como una deslegalización que sacrifica la reserva de ley ex artículo 53.1 CE, y, por este solo motivo, debería ser declarada inconstitucional y nula. La norma dispondría de una remisión en blanco para la determinación de un elemento, consistente en el nivel adecuado de garantías, que es imprescindible para mantener indemne el contenido esencial del derecho fundamental afectado y poder así controlar el respeto del principio de proporcionalidad.

Pero lo mismo ocurre si, como sostiene el abogado del Estado, la norma incluye una remisión para la integración de la ley con las garantías adecuadas establecidas en dos textos normativos sin mayores precisiones, esto es, sin reglas claras y precisas que delimiten efectiva y eficazmente las garantías adecuadas que se consideran aplicables; más aún, cuando tales textos normativos, por un lado, se componen de noventa y nueve artículos (el RGPD) y noventa y siete artículos, veintidós disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria única y dieciséis disposiciones finales (la LOPDyGDD), y, por otro lado, ninguna de ellas se refiere específicamente a las garantías adecuadas para la protección de la categoría especial de datos que son los relativos a las opiniones políticas de las personas. Eso dejaría la decisión en manos, no del legislador, sino exclusivamente a disposición de la determinación reglamentaria del Gobierno o bien, en ausencia de este último, del aplicador del derecho, el cual tendría que deducir por su cuenta cuáles de las garantías previstas en ambas normas de remisión resultan aplicables al tratamiento en cuestión. Todo ello supondría una insuficiencia manifiesta en el contenido mínimo exigible, en condiciones de certeza y previsibilidad, a la configuración legal del derecho fundamental a la protección de datos personales.

(ii) La insuficiencia legal que venimos analizando tampoco puede ser colmada, en ejercicio de sus potestades, por la Agencia Española de Protección de Datos. La agencia es la autoridad administrativa independiente a la que se encomienda la interpretación y aplicación de la normativa de protección de datos (arts. 57 y 58 RGPD y 44 y sigs. LOPDyGDD), y su potestad normativa, mediante la aprobación de circulares, está circunscrita al dictado de «disposiciones que fijen los criterios a que responderá la actuación de esta autoridad» en la aplicación de lo dispuesto en el Reglamento (UE) 2016/679 y en la Ley Orgánica 3/2018 (artículo 55.1 LOPDyGDD). Por tanto, la circunstancia de que, con posterioridad a la interposición del presente recurso contra la ley, la presidencia de la Agencia Española de Protección de Datos haya aprobado la Circular 1/2019, de 7 de marzo, para abordar esa laguna, tal como se indicó anteriormente, no puede subsanar la insuficiencia constitucional de la que adolece el artículo 58 bis LOREG introducido por la Ley Orgánica 3/2018 por lo que se refiere a la recopilación de datos personales relativos a las opiniones políticas en el marco de actividades electorales. Una interpretación distinta vaciaría de contenido el principio de reserva legal que consagra la Constitución y que de forma reiterada ha invocado nuestra jurisprudencia previa en materia de protección de datos personales.

(iii) La falta de previsión legal de un elemento cuya previsión es necesaria para que se pueda considerar que se respeta el contenido esencial, tampoco se puede superar con la técnica de la interpretación conforme, pues esta técnica, que viene impuesta por el principio de conservación de la ley, se aplica cuanto existen «varias interpretaciones posibles igualmente razonables» y permite descartar aquella o aquellas que darían lugar a que el precepto incurriera en inconstitucionalidad [SSTC 168/2016, de 6 de octubre, FJ 4.b); y 97/2018, de 19 de septiembre, FJ 7, por todas]. En el presente caso no estamos ante «varias interpretaciones posibles igualmente razonables», sino ante la insuficiencia de regulación detectada en una norma de desarrollo de un derecho fundamental.

(iv) Por último, debemos recordar que el Reglamento general de protección de datos establece las garantías mínimas, comunes o generales para el tratamiento de datos personales que no son especiales. En cambio, no establece por sí mismo el régimen jurídico aplicable a los tratamientos de datos personales especiales, ni en el ámbito de los Estados miembros ni para el Derecho de la Unión. Por ende, tampoco fija las garantías que deben observar los diversos tratamientos posibles de datos sensibles, adecuadas a los riesgos de diversa probabilidad y gravedad que existan en cada caso; tratamientos y categorías especiales de datos que son, o pueden ser, muy diversos entre sí. El reglamento se limita a contemplar la posibilidad de que el legislador de la Unión Europea o el de los Estados miembros, cada uno en su ámbito de competencias, prevean y regulen tales tratamientos, y a indicar las pautas que deben observar en su regulación. Una de esas pautas es que el Derecho del Estado miembro establezca «medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado» [artículo 9.2.g) RGPD] y que «se ofrezcan garantías adecuadas» (considerando 56 RGPD). Es patente que ese establecimiento de medidas adecuadas y específicas solo puede ser expreso. Si la norma interna que regula el tratamiento de datos personales relativos a opiniones políticas, no prevé esas garantías adecuadas, sino que, todo lo más, se remite implícitamente a las garantías generales contenidas en el Reglamento general de protección de datos, no puede considerarse que haya llevado a cabo la tarea normativa que aquel le exige.

9. De lo anterior se concluye que la ley no ha identificado la finalidad de la injerencia para cuya realización se habilita a los partidos políticos, ni ha delimitado los presupuestos ni las condiciones de esa injerencia, ni ha establecido las garantías adecuadas que para la debida protección del derecho fundamental a la protección de datos personales reclama nuestra doctrina, por lo que se refiere a la recopilación de datos personales relativos a las opiniones políticas por los partidos políticos en el marco de sus actividades electorales.

De esta forma, se han producido tres vulneraciones del artículo 18.4 CE en conexión con el artículo 53.1 CE, autónomas e independientes entre sí, todas ellas vinculadas a la insuficiencia de la ley y que solo el legislador puede remediar, y redundando las tres en la infracción del mandato de preservación del contenido esencial del derecho fundamental que impone el artículo 53.1 CE, en la medida en que, por una parte, la insuficiente adecuación de la norma legal impugnada a los requerimientos de certeza crea, para todos aquellos a los que recopilación de datos personales pudiera aplicarse, un peligro, en el que reside precisamente dicha vulneración y, por otra parte, la indeterminación de la finalidad del tratamiento y la inexistencia de «garantías adecuadas» o las «mínimas exigibles a la Ley» constituyen en sí mismas injerencias en el derecho fundamental de gravedad similar a la que causaría una intromisión directa en su contenido nuclear.

La estimación del presente recurso por este motivo hace innecesario que nos pronunciemos sobre los demás motivos de impugnación.

10. La necesidad de delimitar el objeto de nuestro pronunciamiento y su alcance nos impone precisar finalmente el contenido de nuestro fallo estimatorio del presente recurso de inconstitucionalidad, por cuanto las tachas formuladas por el Defensor del Pueblo se han limitado al apartado 1 del artículo 58 bis LOREG.

La declaración de inconstitucionalidad y nulidad se basa, como se ha dicho en el fundamento jurídico anterior, en que la Ley Orgánica 3/2018 no ha fijado por sí misma, como le impone el artículo 53.1 CE, las garantías adecuadas por lo que respecta específicamente a la recopilación de datos personales relativos a las opiniones políticas por los partidos políticos en el marco de sus actividades electorales. Ello constituye una injerencia en el derecho fundamental a la protección de datos personales de gravedad similar a la que causaría una intromisión directa en su contenido nuclear. Por lo que en coherencia con este fundamento, y con plena coincidencia con el suplico del recurso de inconstitucionalidad, la declaración de inconstitucionalidad y nulidad debe extenderse a la totalidad del apartado 1 del artículo 58 bis LOREG, incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

FALLO

En atención a todo lo expuesto, el Tribunal Constitucional, POR LA AUTORIDAD QUE LE CONFIERE LA CONSTITUCIÓN DE LA NACIÓN ESPAÑOLA,

Ha decidido

Estimar el presente recurso de inconstitucionalidad y, en consecuencia, declarar contrario a la Constitución y nulo el apartado 1 del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general, incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

Publíquese esta sentencia en el «Boletín Oficial del Estado».

Dada en Madrid, a veintidós de mayo de dos mil diecinueve.

Juan José González Rivas.

Encarnación Roca Trías.

Andrés Ollero Tassara.

Fernando Valdés Dal-Ré.

Santiago Martínez-Vares García.

Juan Antonio Xiol Ríos.

Pedro José González-Trevijano Sánchez.

Antonio Narváez Rodríguez.

Alfredo Montoya Melgar.

Ricardo Enríquez Sancho.

Cándido Conde-Pumpido Tourón

María Luisa Balaguer Callejón.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.