El Gran Hermano del Gobierno frente a la Constitución y las leyes
Ni el estado de alarma permite constitucional y legalmente vigilar los movimientos de los ciudadanos con datos de las operadoras; ni, por recoger en una norma que el contenido de esta acción no afecta al derecho vigente, implica que sea así
Que conste que lo escribo sin acritud. Solo como jurista. Pero me temo que la Orden SND/297/2020, de 27 de marzo, en vigor desde el día siguiente, es contraria a la Constitución; a la Ley orgánica de los estados de alarma, excepción y sitio (estados excepcionales); al Reglamento general de protección de datos (RGPD); y a la Ley orgánica de datos personales (LOPD).
Y lo es por mucho que declare que se dicta al amparo del Real Decreto del Estado de Alarma vigente y, en su punto cuarto, indique que se emite «sin perjuicio de la aplicación del régimen previsto» en el Derecho de la Unión Europea y de España sobre la protección de datos de carácter personal. Ni el estado de alarma permite constitucional y legalmente esta acción normativa; ni, por recoger en una norma que su contenido no afecta al derecho vigente, implica que sea así.
Desde el punto de vista de los estados excepcionales, el punto crítico de esta orden ministerial es que autoriza al Gobierno a localizar a los ciudadanos para asegurarse del sitio donde están y mantenerlos dentro de esos límites: «La aplicación permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar». La acotación «a los solos efectos de» no evita, ni mitiga la comisión de la infracción de las normas jurídicas indicadas.
La orden ministerial en cuestión viola el artículo 55 de la Constitución en relación con el artículo 19, por cuanto el marco que ampararía dicha medida son los estados de excepción o de sitio, no el estado de alarma. Infringe también de los artículos 11 y 20 de la Ley de los estados excepcionales. El primero, que forma parte de los que regulan el estado de alarma; porque no contiene entre sus supuestos ninguno que habilite al Gobierno para dictar una reglamentación como la que ha aprobado; y, el segundo, que contempla precisamente la posibilidad de esta intervención en la libertad de residencia y circulación por el territorio nacional con identificación de personas e indicación de zonas de permanencia; porque solo es eficaz en el estado de excepción, que no ha sido declarado.
Desde el punto de vista de los datos personales, infringe el artículo 18.4 de la Constitución. Localizar a alguien supone identificarlo, y se va a hacer sin una norma con rango de ley —ni, por supuesto, su consentimiento expreso—. Y es así, pese a que la orden ministerial proclame que el «cruce de datos de los operadores móviles» para «el análisis de la movilidad de las personas en los días previos y durante el confinamiento» se hará «de manera agregada y anonimizada».
Según el Diccionario de la Real Academia Española, anonimizar es «expresar un dato relativo a entidades o personas, eliminando la referencia a su identidad». Pero no pueden ser anónimos, puesto que se hace para controlar a la población; y, para saber dónde está ‘alguien’, hay que saber ‘quién’ es. Así como se atribuye a Rafael Guerra, «Guerrita», la ontológicamente inapelable sentencia de Talleyrand: «Lo que no puede ser, no puede ser, y, además, es imposible»; en este caso, corresponde el honor de una frase similar al coautor de «Alquimia o cómo los datos se están transformando en oro», el profesor López Zafra: «Es sencillamente imposible saber quién se mueve sin saberlo».
La regla general del tratamiento y cesión de los datos personales es el consentimiento expreso, que ha de ser libre, específico, informado, inequívoco, claro, distinguible y revocable; sin que se admita la autorización tácita en ningún caso. Si bien cabe la excepción por una serie de causas tasadas, que se contemplan en el artículo 6 del RGPD. En el presente supuesto, solo puede estimarse o porque se considera que se está ante el «cumplimiento de una obligación legal aplicable al responsable del tratamiento» (6.1.c) o ante el «cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento» (6.1.e).
En ambos casos, dicho responsable es el Ministerio de Sanidad y, en ambos casos, para que sean legales, deben tener la cobertura del «Derecho de la Unión» o del «Derecho de los Estados miembros que se aplique al responsable del tratamiento» por el artículo 6.3 del RGPD. Pues bien, el primer supuesto no se da y resulta que el artículo 8 de la LOPD (el Derecho español aplicable) exige que la norma de cobertura tenga rango de ley, y es claro que la orden ministerial carece de dicho valor normativo.
Me temo que esta legislación de naipes, al margen de especulaciones sobre su caótica adopción, verdadera intencionalidad o trasfondo político —examen que corresponde a la oposición parlamentaria, si existiera, y a la opinión pública nacional, si es que no ha sido destruida—, va a ser fuente de una avalancha de recursos de todo tipo.
Daniel Berzosa López es profesor de Derecho Constitucional y abogado
