El pasado mes de febrero varias asociaciones de internautas, instituciones académicas y juristas interpusieron ante el Defensor del Pueblo un recurso de inconstitucionalidad contra la nueva ley de Protección de Datos y Derechos Digitales (LOPD). En concreto protestaban contra la introducción del artículo 58 bis, un apartado añadido a posteriori que modifica la ley electoral. En la práctica, este artículo permite a los partidos políticos recabar información ideológica sobre los usuarios de la red o enviar propaganda electoral a través de WhatsApp o correos electrónicos sin permiso del destinatario. Los demandantes publicaron un formulario e impulsaron una campaña en change.org donde solicitaban la colaboración ciudadana para suprimir dicha ley.
Por el momento, el Tribunal Constitucional ha admitido a trámite el recurso presentado. Ante la alarma generada en diferentes sectores tras la aprobación de la LOPD el pasado noviembre, la Agencia Española de Protección de Datos ha modificado su postura inicial y ha pasado de justificar el artículo 58 bis a ponerle coto. En esta circular publicada en el Boletín Oficial del Estado se especifica que la ley "en ningún caso podrá amparar tratamientos como el microtargeting, que pueden ser contrarios a los principios de transparencia y libre participación que caracterizan a un sistema democrático".
La circular incide en que las únicas fuentes por las que los políticos podrían obtener información sobre la ideología de los usuarios serían webs abiertas (blogs públicos, etc). En ellas, aclara, hemos ejercido nuestro derecho a la libertad ideológica y de expresión de manera pública. No es el caso de nuestro perfil privado de Facebook o Instagram, por ejemplo, y así lo indica: "Quedan excluidas otro tipo de fuentes en las que el acceso está restringido a un círculo determinado de personas".
En noviembre se aprobaba la ley de Protección de Datos y Derechos Digitales en el Senado. De esta forma, la legislación española se adaptaba a los cambios que la Unión Europea introdujo en mayo de 2018 respecto a esta materia: la General Data Protection Regulation (GDPR) o el Reglamento General de Protección de Datos. El texto español adaptado a la normativa europea se tramitó con normalidad en el Congreso de los Diputados sin que apenas trascendiese en la agenda político-mediática. Sin embargo, poco antes de su tramitación en la Cámara Alta, el Partido Socialista introdujo una modificación en la legislación: el artículo 58 bis.
El cambio se pactó en verano con otras formaciones políticas. Permitía a los partidos la recopilación de datos "amparada en el interés público"; el uso de los mismos para "la realización de actividades políticas durante el período electoral"; o el envío de propaganda por redes sociales "sin consideración de actividad comercial". El portavoz socialista en las negociaciones, Artemi Rallo, aseguró a eldiario.es que "pretendían dar seguridad jurídica" a una realidad ya existente.
La Agencia Española de Protección de Datos -encargada de velar por la antigua legislación de 1999 y la nueva normativa europea- también se defendió. En el siguiente hilo de Twitter justificó la aprobación de la LOPD y afirmó que los partidos solo buscaban "pulsar las inquietudes de los ciudadanos" para adaptar sus programas electorales.
La LOPD se aprobó con los cambios introducidos con 220 votos a favor (PSOE, PP, Ciudadanos, Foro, PdeCat, PNV y ERC) y 21 en contra (Unidos Podemos, Compromís, Bildu y Nueva Canarias). La disposición final tercera puede consultarse en la página 63 de este PDF del Boletín Oficial del Estado.
El Reglamento General de Protección de Datos de la Unión Europea en el que se basa la LOPD es una de las legislaciones más ambiciosas del mundo en esta materia. Efectiva en España desde el pasado 6 de diciembre, garantiza numerosas protecciones al ciudadano comunitario. Por ejemplo, introduce el derecho al olvido, mediante el cual el usuario podrá reclamar la eliminación de datos personales. También obliga a las empresas a mostrar de manera clara y sencilla la información que se sustraerá del usuario, o a avisarle en caso de que sufran una brecha de seguridad que pudiera comprometer dichos datos. Las multas por incumplir esta normativa alcanzan los 20 millones de euros.