Diario La Ley, Nº 9643, Sección Tribuna, 1 de Junio de 2020, Wolters Kluwer
Resumen
El presente trabajo analiza la constitucionalidad de las medidas de geolocalización de los ciudadanos mediante aplicaciones instaladas en dispositivos móviles adoptadas por la Orden 297/2020, atendiendo a ese fin al contenido de los derechos fundamentales a la privacidad y a la libertad de movimientos en el marco de la situación jurídica creada por el estado de alarma, que se considera asimismo inconstitucional. Finalmente se analizan los problemas de privacidad que plantean las nuevas aplicaciones de rastreo que se están implantando con motivo de la emergencia sanitaria.
I. Introducción: Un presente distópico como resultado de la quiebra de los derechos individuales ocasionada por la legislación del estado de alarma
La crisis sanitaria ocasionada por el denominado Covid19 ha producido consecuencias socio-sanitarias, económicas y de todo tipo, que no han podido dejar a nadie indiferente. Naturalmente que las que adquieren mayor importancia son las pérdidas personales por todo lo que ello supone. No obstante, existen otras consecuencias que indudablemente también tienen su importancia a medio y largo plazo. Me estoy refiriendo a los efectos jurídicos notables producidos a partir de la declaración del estado de alarma por el RD 463/2020 de 14 de marzo (LA LEY 3343/2020) prorrogado y completado posteriormente por normas accesorias. Entre estas la Orden SND 297/2020 (LA LEY 4276/2020) que a mi juicio amenaza de forma clara nuestro sistema de derechos fundamentales y el principio de legalidad.
El estado de alarma regulado en la LO 4/1981 no permite acordar el «confinamiento» entendido como la restricción total de movimientos de la población con excepciones mínimas
La restricción de derechos declarada por el RD 463/2020 (LA LEY 3343/2020) ( y en lo que le corresponde por la Orden 297/2020) ha supuesto un sometimiento de la población española a unos niveles de restricción de libertades que no tiene parangón en el derecho comparado con la única excepción de la República Popular de China. Esta afirmación se realiza atendiendo a un simple examen de la legislación que ha regulado el presente escenario de emergencia sanitaria en otros países de Europa o América donde, por respeto a la libertad personal, se prevé (con algunas variaciones) la posibilidad que los ciudadanos conserven sus espacios de libertad personal, entre otras razones para conservar su propia salud física y mental. Sin embargo, el modelo español ha seguido el adoptado en China que ha aplicado normas draconianas, que no son de extrañar si se piensa en la extensión en ese país del denominado «social credit system» que, en pocas palabras, supone calificar el comportamiento «social» de sus ciudadanos en virtud de su grado de cumplimiento y diría de compromiso con el proyecto estatal (lo que supone decir el proyecto del partido único en el poder). No resulta fácil comprender cual es la intención del gobierno al implantar semejante grado de restricción de derechos en el RD 463/2020 (LA LEY 3343/2020) que ni siquiera respeta la regulación legal vigente de los estados de alarma, excepción y sitio. Efectivamente, el estado de alarma regulado en la LO 4/1981 (LA LEY 1157/1981) no permite acordar lo que ha venido a llamarse «confinamiento» entendido como la restricción total de movimientos de la población con excepciones mínimas. Confinamiento que ha sometido a los ciudadanos, desde hace más de un mes, a una suerte de privación de libertad. Especialmente afectados son los menores que no pueden hacer uso de su libertad de movimientos simplemente para conservar su salud. En cuanto al resto de los ciudadanos se ha impedido pasear o hacer deporte de modo individual durante un tiempo o en unas condiciones determinadas como sí se ha autorizado a hacer en cualquier otro país de Europa. Lo paradójico es que el RD 463/2020 (LA LEY 3343/2020), aun a pesar del claro exceso de las normas restrictivas que prevé, permitiría cualquiera de las conductas citadas de paseo de mayores y menores o realización de deporte individual siempre que no se pusiera en peligro la salud propia o la del resto de los ciudadanos. A este respecto el art. 7.1.h RD 463/2020 (LA LEY 3343/2020) prevé que se puedan realizar salidas del domicilio por algún motivo análogo a los previstos en el RD que son los de fuerza mayor o situación de necesidad (art. 7.1.g) (además de los previstos en los apartados a) a f) del art. 7.1 referidos a la salida del domicilio para la adquisición de alimentos, asistencia a centros sanitarios, cuidado de mayores y otros concretos desplazamientos). Efectivamente, nada impide entender como un caso de necesidad el hecho que cualquier persona pueda/deba realizar un mínimo de ejercicio físico al aire libre. Y si alguien discute lo que acabo de afirmar que piense que el Gobierno ya ha interpretado la existencia de una situación análoga a una fuerza mayor o estado de necesidad en el caso del paseo diario de un perro. Pues bien lamento lo pedestre de la argumentación (nunca me hubiese imaginado acabar hablando de perros en un trabajo jurídico, pero así son las cosas), pero ese es el supuesto de hecho al que se ha llegado en este país en la primavera de 2020 cuando se entiende fuerza mayor o situación de necesidad sacar a pasear un perro pero no el paseo de un niño o de un adulto con independencia del necesario respeto y mantenimiento de la distancia social necesaria para evitar la propagación del virus. En realidad ninguna de estas interpretaciones es necesaria, ya que el estado de alarma, según se regula en la LO 4/1981 (LA LEY 1157/1981), no permite la restricción total de la libertad individual con excepciones, sino que al contrario el principio que rige es de la libertad individual con las restricciones específicas que se acuerden que, naturalmente, deben tener por finalidad atender al motivo de la alarma, que no es otro que afrontar la situación de emergencia sanitaria (art. 1 RD 463/2020 (LA LEY 3343/2020). Y si de evitar la propagación de la enfermedad se trata lo que no puede hacer el legislador es limitar la libertad personal absolutamente, salvo que concurra un motivo excepcional, con independencia de que no se produzca riesgo sanitario (el ciudadano que circula en bicicleta absolutamente en solitario, simplemente haciendo uso de su libertad de circulación consagrada en la Constitución guardando la distancia para evitar contagios) con la banal excusa de ser la única manera de tratar a unos ciudadanos que al parecer se considera de menor edad o limitados en su entendimiento.
Así como la LO 4/1981 (LA LEY 1157/1981) no permite adoptar medida alguna de confinamiento al amparo del estado de alarma tampoco puede autorizarse una injerencia en los derechos fundamentales sin la necesaria y preceptiva orden Judicial. Pues bien esto es lo que se ha hecho mediante la Orden 297/2020 que acuerda el desarrollo de aplicaciones de dispositivos móviles que permiten la geolocalización de los ciudadanos. Aplicaciones cuya necesidad se ampara en la necesidad de luchar contra situación actual lo cual puede resultar justificado siempre que se proceda de conformidad con el necesario respeto al principio de legalidad y los derechos fundamentales de los ciudadanos. El problema consiste en la forma de aprobación y en el contenido y finalidad de tales aplicaciones de rastreo de dispositivos móviles. Respecto a su aprobación resulta insólito que las citadas aplicaciones informáticas que permiten la geolocalización de los dispositivos móviles de los ciudadanos se haya regulado en una Orden Ministerial del Ministerio de Sanidad. Si digo bien una Orden Ministerial que no deja de ser un acto administrativo que como tal es recurrible ante la Sala de lo contencioso-administrativo del Tribunal Supremo. En segundo lugar, no cabe ninguna duda, conforme con el art. 18 CE (LA LEY 2500/1978), que cualquier injerencia en los derechos fundamentales a la privacidad y a las comunicaciones debe ser autorizada por un Juez lo que no se prevé en la Orden 297/2020, que uno sospecha que tiene vocación de permanencia. Ya sea en el modo que ahora se regula esta injerencia o en futuras evoluciones de aplicaciones similares de implantación generalizada y, tal vez, obligatoria para todos los ciudadanos. Lo que unido a la posibilidad de dilatar el estado de alarma por meses o años, como se ha manifestado desde la autoridad gubernativa, plantea una situación como mínimo preocupante.
Finalmente quiero hacer dos reflexiones complementarias. En primer lugar, es obvio que cualquier ciudadano debe observar la regulación legal y, más allá de eso, ser leal a la sociedad a la que pertenece. Desde ese punto de vista es claro que la sociedad española, y mundial, está encarando una situación difícil que naturalmente requiere de medidas extraordinarias. Ahora bien, y en segundo lugar, también resulta obvio que el estado de derecho, y su correspondiente sistema de derechos y garantías individuales, no puede quedar soslayado bajo ningún concepto con la excusa de una situación de crisis. Yo diría que, más al contrario, es precisamente en los momentos de crisis cuando los poderes públicos deben actuar con especial cuidado con la finalidad de fortalecerlo y no, por el contrario, aprovechar la circunstancia para debilitarlo bajo el pretexto de la existencia de un enemigo interior, exterior o, en este caso, un virus. Muestras de una regresión social y política tenemos cada día en nuestro país. Así asistimos atónitos al espectáculo de ver a partidos políticos, medios de comunicación e incluso la propia policía rastreando las redes a fin de localizar lo que se viene a llamar «bulo» que parece ser todo aquello que es ajeno a la verdad oficial. De hecho en conferencia de prensa de fecha 19 de abril de 2020 el Jefe del Estado mayor de la Guardia Civil declaraba que una línea de trabajo del Servicio de Información de la Guardia Civil consistía en: «minimizar … ese clima contrario a la gestión de la crisis por parte del Gobierno» (recogido tal cual del documento audiovisual disponible mediante una simple búsqueda en Internet). Hasta ahora uno pensaba que la labor de las fuerzas de seguridad del estado era otra bien distinta, pero en fin puede ser que lo que está sucediendo sea una suerte de nuevo síndrome de China, por aquello de copiar modos de hacer. También estamos asistiendo a la degradación y fragmentación del principio de autoridad, precisamente en tiempo de estado de alarma, cuando se observa como actúan fuerzas de policía, alcaldes y toda clase de autoridades utilizando criterios propios y dispares respecto a los límites a la libertad personal de los ciudadanos. Ello propiciado por el pecado original de un RD 463/2020 (LA LEY 3343/2020) y siguientes que ha traspuesto el orden de los factores para regular una situación en la que se parte de la reclusión de los ciudadanos que únicamente pueden acceder a la libertad personal en los contados supuestos previstos en el RD 463/2020 (LA LEY 3343/2020). Y por si alguien tuviera duda de la voluntad represiva y regresiva de la regulación aprobada esta quedará disipada cuando pueda ver cualquiera de las conferencias de prensa diarias en las que aparecen nada menos que tres altos mandos del ejército, la policía nacional y la guardia civil dando cuenta de una suerte de «parte de guerra» de la jornada refiriéndose al caso del señor que condujo cinco kilómetros hasta un lugar apartado para pasear a su mascota o del señor que se hallaba en una playa desierta y fue interceptado por un helicóptero que, naturalmente aterrizo a fin de sancionar y, en su caso detener al infractor. Todas estas noticias se ofrecen en un tono y entorno absolutamente predeterminado de heroísmo y verdad absoluta respecto al desprecio que tales individuos muestran respecto a la Ley. Sin embargo, más allá del caso individual resulta que la auténtica infracción con pleno desprecio a la Constitución y a la Ley se produce desde la denominada autoridad gubernativa, que es en lo que parece haberse convertido-reducido nuestro sistema de gobierno y de libertades, que como se ha dicho, y se verá con más extensión más adelante, ha regulado un estado de alarma con infracción de la LO 4/1981 (LA LEY 1157/1981) que no permite la limitación de los derechos individuales en la forma y el grado que se ha hecho en España con el Decreto 463/2020. Gobierno que además ha regulado un sistema de geolocalización de los ciudadanos mediante el uso de aplicaciones móviles sin atender al carácter de derecho fundamental de la privacidad y la libertad de movimientos. A todo ello me refiero a continuación.
II. Análisis de la Orden SND/297/2020, de 27 de marzo que prevé la creación de una Aplicación informática que permita la geolocalización de los usuarios
Dentro del conjunto de disposiciones legales relacionadas con el estado de alarma el Ministerio de Sanidad dictó la Orden 297/2020 de 27 de marzo por la que: «se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19». A partir del título, así como del rango de la norma, pudiera pensarse que se trata de una Orden ministerial que se limita a regular aspectos relativos a las medidas sanitarias relacionadas con la pandemia. Sin embargo, no es así por cuanto la Orden Ministerial básicamente se refiere a la obtención de datos procedentes de los dispositivos móviles de los ciudadanos. Datos que sirven a varios efectos que se analizan a continuación. Se trata de normas que sin ninguna duda afectan a derechos fundamentales de los ciudadanos y que, sin embargo, se regulan en una simple Orden del Ministerio de Sanidad infringiendo, de ese modo, el principio de legalidad. Finalmente, además de los problemas apuntados, la Orden es confusa y de difícil entendimiento.
La Orden se refiere y regula básicamente dos cuestiones importantes en siete artículos, aunque lo esencial de la norma se contiene en los artículos primero y segundo. Preceptos provistos de unos títulos descriptivos de su contenido difíciles de entender, especialmente el del artículo primero que dice lo siguiente: «Desarrollo de soluciones tecnológicas y aplicaciones móviles para la recopilación de datos con el fin de mejorar la eficiencia operativa de los servicios sanitarios, así como la mejor atención y accesibilidad por parte de los ciudadanos». Redactado confuso y difuso que sólo se entiende si se atiende al redactado concreto del artículo, pero que, eso sí, contiene toda una serie de palabras que puede considerarse están de moda: desarrollo, solución, eficiencia, tecnología, atención, accesibilidad y ciudadanos. Todas ellas palabras que seguro son del completo agrado de cualquier publicista, más dudoso es si lo son para un jurista. Más ilustrativo es el título del artículo segundo de la Orden que clara y directamente se refiere a: «DataCOVID-19: estudio de la movilidad aplicada a la crisis sanitaria».
Puede obtenerse la situación geográfica de un individuo mediante el uso de balizas de posicionamiento que pueden adherirse a cualquier vehículo u objeto
El contenido de la Orden viene contenido por dos materias entrelazadas de las que la referida a la atención y prevención sanitarias parece ser la excusa para la regulación importante que no es otra que la obtención, análisis y tratamiento de datos de geolocalización de los dispositivos móviles mediante una aplicación informática que la Orden prevé que sea creada y utilizada por la administración. La geolocalización de un individuo es posible mediante el rastreo de su teléfono móvil que entrega datos de su situación geográfica al sistema de telecomunicaciones. También puede obtenerse la situación geográfica de un individuo mediante el uso de balizas de posicionamiento que pueden adherirse a cualquier vehículo u objeto. Pero, en ese caso se trataría de una injerencia en la libertad de movimientos de un ciudadano que conforme a la regulación legal precisa orden judicial (art. 588 quinquies b LECrim (LA LEY 1/1882)). En cualquier caso, los datos que se obtienen de geolocalización del dispositivo son en tiempo real. Aunque, también pueden ser obtenidos los referentes a movimiento realizados en el pasado mediante los datos que almacenan las operadoras de telecomunicaciones conforme con la Ley 25/2007 (LA LEY 10470/2007) a la que luego me refiero.
1. Finalidades preventivo-sanitarias de la Orden Ministerial
En el marco de la de las finalidades preventivo-sanitarias de la Orden Ministerial podemos hablar de dos acciones previstas y reguladas por la Orden.
En primer lugar la Orden prevé la creación de una aplicación informática que funcionará en dispositivos móviles y cuya creación el art. 1º de la Orden encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital. Se trata de una encomienda de desarrollo urgente a fin de servir de apoyo en la gestión de la crisis sanitaria ocasionada por el COVID-19.
En segundo lugar, la Orden se atiende a la finalidad y funcionalidad sanitario-preventiva de la aplicación informática: En este punto se prevé un uso informativo-preventivo de la aplicación que permitiría al usuario obtener información del Covid19, consejos prácticos y recomendaciones de acciones. A este fin se dispone el uso de herramientas de «chat» que permitan a los usuarios acceder al Ministerio de Sanidad (o al organismo o institución en quien delegue) con el fin de obtener información sobre la enfermedad. Además, la aplicación permitiría al usuario llevar a cabo una autoevaluación, con base en los síntomas médicos que comunique, acerca de la probabilidad de que esté infectado por el COVID-19. La norma se refiere a otras cuestiones atenientes a esta finalidad que carecen de interés a los efectos de este trabajo. Esta funcionalidad puede plantear algunas reservas respecto a la entrega de datos personales relativos a la salud de los ciudadanos, pero cabe entender que se trata de una finalidad amparada por el interés general. Cuestión distinta es la posibilidad que la aplicación pudiera obtener datos médicos directamente del ciudadano y que éstos pudieran ser conocidos en todo momento por la Administración. Si fuera ese el caso la precaución que debe adoptarse es de grado máximo en tanto que estaríamos autorizando la inmisión de la administración en el ámbito más privado del individuo. Es por ello que debe adoptarse ante esa posibilidad una posición crítica y exigente, negando la implantación de cualquier sistema de carácter general que lo prevea.
2. Finalidades y funcionalidades preventivas del orden público de la aplicación informática
La Orden 297/2020 también prevé normas de carácter preventivo del orden público confundidas entre las normas anteriores de carácter informativo y/o asistencial. Efectivamente, la Orden establece dos normas que producen inquietud, en tanto que por su naturaleza y la afectación de derechos fundamentales deberían haber sido objeto de una Ley Orgánica que a su vez debería haber respetado los principios en esta materia derivados de la Constitución, la legalidad vigente y los principios que la inspiran. A ambas normas me refiero a continuación
La primera norma se refiere a la geolocalización de los usuarios en los siguientes términos: «La aplicación permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar» (art. 1 Orden).
La segunda al uso de los datos de tráfico de las telecomunicaciones que podrán ser examinados, almacenados y tratados por la Administración. Concretamente, el art. 2 de la Orden dispone: «Encomendar a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, siguiendo el modelo emprendido por el Instituto Nacional de Estadística en su estudio de movilidad y a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, el análisis de la movilidad de las personas en los días previos y durante el confinamiento».
No resulta fácil distinguir entre la justificación de la norma, su finalidad y su puesta en práctica. En primer lugar, porque se está legislando, perdón ordenando, que se ponga a punto la tecnología a fin de hacer posible lo que se pretende que no resulta ser otra cosas que: 1º geolocalizar concreta y singularmente a los usuarios de la aplicación; y 2º tratar los datos de tráfico obrantes en los sistemas de las operadoras de telecomunicación de forma agregada y general atendiendo al conjunto de movimientos de los usuarios. Esta sería la finalidad de la norma que se justifica, como no, por la circunstancia excepcional de emergencia sanitaria. En cuanto a su puesta en práctica y entrada en vigor de los sistemas regulados en la Orden nada se dice, de modo que tratándose de un acto Administrativo su entrada en vigor es desde que se dicta. En realidad, al menos parte de lo previsto ya está funcionando, como se expone a continuación. Finalmente, tampoco establece expresamente la Orden cuál es el ámbito temporal durante el cual va ser efectiva la geolocalización y/o el análisis de los datos de los usuarios de dispositivos móviles. Así es con relación a la geolocalización norma en la que no se contiene referencia alguna al límite temporal durante el que sería de aplicación la norma. En el caso del tratamiento de datos de las telecomunicaciones el art. 2º de la Orden dispone que el llamado estudio de movilidad tendrá lugar respecto a: «los días previos y durante el confinamiento». Ciertamente la Orden concreta un antes y un durante, pero no un límite temporal final que dadas las circunstancias puede prolongarse durante un largo período de tiempo.
Esta clase de instrumentos técnicos puede servir al fin de un control social que resulta contrario a los derechos fundamentales, a la legalidad ordinaria y a toda la jurisprudencia que se ha dictado en esta materia (1) . El problema de esta Orden consiste en que regula el acceso general de la administración a los datos de tráfico de las comunicaciones de los ciudadanos con el simple aval de la aceptación del ciudadano al instalar la aplicación. Cómo se explica a continuación, y resulta por otra parte evidente, es muy claro que los derechos fundamentales lo son y se extienden a todos los ciudadanos con independencia de su propia consideración personal. Así es con relación, por ejemplo, al derecho a la libertad. Nadie puede ser esclavo voluntario de otra persona. O el derecho al secreto de las comunicaciones al que nadie puede renunciar de forma general e incondicionada. Más flexible es el derecho a la intimidad personal. Sin embargo, lo que resulta en cualquier caso claro es que la administración, convertida en autoridad gubernativa en tiempos de estado de alarma, no puede ampararse en el consentimiento de los ciudadanos para legitimar una injerencia en sus derechos fundamentales con la excusa de una emergencia sanitaria en el marco de un estado de alarma que, en ningún caso, permite acciones y/o actuaciones de esta naturaleza. Amén que personalmente no tengo ninguna duda de las tentaciones que se pueden albergar desde el poder político, sea del color que sea, para implantar sistemas obligatorios de localización y rastreo permanente de personas mediante aplicaciones informáticas.
Por lo tanto, considero absolutamente inconstitucionales las previsiones contenidas en la Orden 297/2020 que con el amparo de la lucha contra la actual epidemia, es por ello que se dicta una Orden Ministerial del Ministerio de Sanidad, prevé acceder y tratar datos de geolocalización de los ciudadanos de un modo y en unas condiciones absolutamente imposibles de ser convalidadas conforme a nuestro sistema vigente de derechos y garantías.
III. El derecho a la privacidad como límite a la geolocalización de los ciudadanos mediante aplicaciones en dispositivos móviles sin una previa orden judicial
El derecho a la privacidad se halla reconocido en el art. 18 CE (LA LEY 2500/1978) que lo desglosa en diferentes aspectos que lo delimitan y dan cuenta de su contenido. Así, dentro del derecho a la privacidad se incluyen los siguientes derechos: a la intimidad y la propia imagen (art. 18.1 CE (LA LEY 2500/1978)); a la inviolabilidad del domicilio (art. 18.2 CE (LA LEY 2500/1978)) al secreto en las comunicaciones (art. 18.3 CE (LA LEY 2500/1978)) y, finalmente, como norma de cierre el apartado 4º del art. 18 se refiere a la protección de los datos personales frente a la informática. Resulta curiosa la cita tan acertada de una tecnología informática que en tiempos de redactarse la Constitución no tenía la importancia y el potencial alcance invasivo que tiene ahora. A ese efecto el art. 18.4 CE (LA LEY 2500/1978) prevé que: «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Todos los derechos citados confluyen en el marco de lo que se denomina derecho a la privacidad que protege el ámbito privado del individuo en el marco del ámbito social del Estado de Derecho en el que participan todos los ciudadanos (2) . Ese ámbito privado permite al individuo mantener su individualidad y cualquiera de sus manifestaciones libre y ajena al escrutinio público, salvo las limitaciones constitucionales conforme se han venido interpretando por el TEDH (3) y el Tribunal Constitucional (4) . También están relacionados con el derecho a la privacidad: el derecho a la libertad (art. 17), a circular libremente por el territorio nacional (art. 19 CE (LA LEY 2500/1978)) y la libertad de expresión (art. 20 CE (LA LEY 2500/1978)). Todos los derechos citados confluyen y se manifiestan caracterizando el status jurídico de un ciudadano en España y por extensión en las democracias liberales de nuestro entorno.
El uso que se dé en el presente y en el futuro a la inteligencia artificial va a condicionar la clase de sociedad que estamos construyendo para los tiempos venideros
La defensa del derecho a la privacidad es una necesidad absoluta del estado de derecho. Máxime en los tiempos actuales en los que la tecnología permite la obtención masiva de datos personales referidos numerosas variables que pueden ser utilizados para limitar e incluso anular el mismo derecho a la libertad. En efecto, para poder ser libres necesitamos poder mantener la privacidad de nuestras vidas principalmente frente a la injerencia de los grandes grupos económicos y de los poderes públicos que, naturalmente, se ven tentados de utilizar herramientas informáticas de control social. Precisamente, el uso que se de en el presente y en el inmediato futuro a la inteligencia artificial va a condicionar extraordinariamente la clase de sociedad que estamos construyendo para los tiempos venideros. Todos estamos de acuerdo en la necesidad de mantener el respeto a la Ley incluso en lo más sencillo como puede ser respetar la ordenanza municipal que prohíbe lanzar residuos en la vía pública. Ahora bien ¿queremos una sociedad en la que el poder político controle mediante cámaras el espacio público y nos valore y etiquete como buenos o malos ciudadanos según si hemos lanzado un papel a suelo o no? O incluso según sea nuestra forma de andar y gesticular mediante andamos por la vía pública. Esa aparente distopía ya existe en algunos países asiáticos. Es por ello que desde la Unión Europea se publicó en enero de este año el Libro Blanco de la Comisión Europea de 19 de febrero de 2020 sobre Inteligencia artificial (On Artificial Intelligence – A European approach to excellence and trust) en el que queda patente la importancia de todas estas cuestiones para el desarrollo del proyecto Europeo. El citado documento es el resultado de un interés creciente de las Instituciones Europeas en esta materia y no es más que, como señala precisamente su título, una guía de cuáles son los ejes de interés de la Unión Europea en esta materia estableciendo cuál debe ser el marco regulatorio según el grado de importancia, o de riesgo en palabras de la Comisión que la tecnología desarrollada por la inteligencia artificial puede suponer para el modelo socio-económico Europeo (5) .
El peligro de intervención y control social es especialmente notable en el caso de los datos procedentes de las comunicaciones electrónicas. Estos datos son los provenientes de los dispositivos electrónicos conectados a Internet que dan cuenta de aspectos esenciales del individuo referidos a su persona, sus contactos, sus preferencias o sus movimientos. Los datos electrónicos de tráfico de telecomunicaciones se relacionan en diferentes normas. Tal vez la más precisa es la contenida en el art. 588 ter b. LECrim (LA LEY 1/1882) que dispone que se entenderá por datos electrónicos de tráfico o asociados: «todos aquellos que se generan como consecuencia de la conducción de la comunicación a través de una red de comunicaciones electrónicas, de su puesta a disposición del usuario, así como de la prestación de un servicio de la sociedad de la información o comunicación telemática de naturaleza análoga (art. 588 ter b 2 LECrim (LA LEY 1/1882))». De modo que no sólo se trata de los datos que estrictamente se refieren a una comunicación, sino también a los referidos al acceso a Internet u otros como los datos de geolocalización del dispositivo móvil que se guardan en la base de datos de las operadoras de comunicaciones. En este sentido, el art. 588 ter b 2 LECrim (LA LEY 1/1882) dispone que también son datos de la comunicaciones aquéllos: «…que se produzcan con independencia del establecimiento o no de una concreta comunicación, en los que participe el sujeto investigado, ya sea como emisor o como receptor, y podrá afectar a los terminales o los medios de comunicación de los que el investigado sea titular o usuario».
Todos los datos de tráfico de las comunicaciones están protegidos por el art. 18.3 CE (LA LEY 2500/1978) que declara su secreto que únicamente puede ser soslayado por orden judicial. La autorización judicial para acceder a los datos de las telecomunicaciones se halla sometida a los requisitos extraordinarios previstos en la LECrim (LA LEY 1/1882) que se resumen en el art. 588 bis a LECrim y que son los siguientes: «1. Durante la instrucción de las causas se podrá acordar alguna de las medidas de investigación reguladas en el presente capítulo siempre que medie autorización judicial dictada con plena sujeción a los principios de especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad de la medida». Se trata de requisitos complejos que se desarrollan en la Ley cuando se atiende a cada una de las medidas de investigación tecnológica que se regulan en la LECrim. (LA LEY 1/1882) Medidas que incluyen también la autorización judicial para : «…. la utilización de dispositivos o medios técnicos de seguimiento y localización». Medida que sólo puede acordarse conforme con el art. 599 quinquies b LECrim (LA LEY 1/1882): «Cuando concurran acreditadas razones de necesidad y la medida resulte proporcionada…». Finalmente, también cabe autorización judicial para obtener el acceso a: «Los datos electrónicos conservados por los prestadores de servicios o personas que faciliten la comunicación en cumplimiento de la legislación sobre retención de datos relativos a las comunicaciones electrónicas o por propia iniciativa por motivos comerciales o de otra índole y que se encuentren vinculados a procesos de comunicación…» (art. 588 ter j LECrim (LA LEY 1/1882)).
Los datos conservados por los prestadores de servicios son a los que se refiere el art. 3 de la Ley 25/2007 de 18 de octubre (LA LEY 10470/2007) de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones que contiene una relación exhaustiva de datos que dan cuenta y permiten, entre otras cuestiones, rastrear las comunicaciones realizadas mediante un determinado terminal telefónico, los servicios de internet utilizados o la localización geográfica del dispositivo electrónico. Aunque, no podrán conservarse los datos que permitan conocer el contenido de una comunicación. Los prestadores de servicios de comunicaciones están obligados a la conservación de los datos durante un período mínimo de un año (art. 5 Ley 25/2007 (LA LEY 10470/2007). Durante este período la policía, o la fiscalía, previa orden judicial puede acceder a los datos mediante los que de facto se puede «rastrear» la actividad personal de los ciudadanos durante el período de un año previsto en la Ley. De la importancia de estos datos dan fe los numerosos delitos que son esclarecidos mediante el acceso y análisis de los datos de las comunicaciones al objeto de precisar las comunicaciones o la ubicación exacta de un determinado dispositivo móvil en un momento concreto. Es por ello de la necesidad constitucional de una orden judicial tanto para el acceso directo en tiempo real como el acceso diferido a los datos de las comunicaciones y los asociados a los mismos (por ejemplo la posición geográfica de un determinado dispositivo electrónico). Esto es así por tratarse de datos protegidos por afectar a los derechos fundamentales incluidos en el art. 18 (LA LEY 2500/1978) y 19 CE (LA LEY 2500/1978), en los términos expuestos. En este sentido también se pronuncia FRÍAS MARTÍNEZ que considera necesaria la autorización judicial para acordar cualquier clase de intervención o acceso a los datos de tráfico añadiendo que: «Lo que no se podrá en ningún caso es adoptar esta obligación con carácter general para toda la población» (6) .
Para finalizar este apartado no puedo dejar de dar cuenta de la postura crítica del TJUE con relación a la conservación de datos personales que se contiene en la la STJUE Gran Sala, de 21 Dic. 2016 en la que el Tribunal de Justicia de la Unión Europea puso en entredicho el sistema vigente de almacenamiento de datos de las comunicaciones sin que concurriera la existencia de ninguna sospecha o investigación concreta sobre el individuo cuyos datos se conservan (7) . Esto es así, por cuanto, al entender del TJUE, los datos de las telecomunicaciones contienen información muy relevante sobre la intimidad personal (8) ; considerando que: «100. La injerencia que supone una normativa de este tipo en los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta tiene una gran magnitud y debe considerarse especialmente grave. El hecho de que la conservación de los datos se efectúe sin que los usuarios de los servicios de comunicaciones electrónicas hayan sido informados de ello puede generar en las personas afectadas el sentimiento de que su vida privada es objeto de una vigilancia constante (véase, por analogía, respecto a la Directiva 2006/24 (LA LEY 3617/2006) (LA LEY 3617/2006), la sentencia Digital Rights, apartado 37)…/…. Una normativa nacional como la controvertida en el asunto principal excede, por tanto, de los límites de lo estrictamente necesario y no puede considerarse justificada en una sociedad democrática, como exige el artículo 15, apartado 1, de la Directiva 2002/58 (LA LEY 9590/2002), en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta.» STJUE Gran Sala, Sentencia de 21 Dic. 2016 (C-203/2015; Ponente: Von Danwitz, Thomas (LA LEY 180541/2016) (LA LEY 180541/2016). Finaliza la STJUE declarando que: «125. Habida cuenta de las anteriores consideraciones, procede responder a la segunda cuestión prejudicial en el asunto C-203/15 y a la primera cuestión prejudicial en el asunto C-698/15 que el artículo 15, apartado 1, de la Directiva 2002/58 (LA LEY 9590/2002) (LA LEY 9590/2002), en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta, debe interpretarse en el sentido de que se opone a una normativa nacional que regula la protección y la seguridad de los datos de tráfico y de localización, en particular el acceso de las autoridades nacionales competentes a los datos conservados, sin limitar dicho acceso, en el marco de la lucha contra la delincuencia, a los casos de delincuencia grave, sin supeditar dicho acceso a un control previo por un órgano jurisdiccional o una autoridad administrativa independiente, y sin exigir que los datos de que se trata se conserven en el territorio de la Unión». Es decir, que el TJUE considera que no es respetuoso con la Carta de Derechos de la UE que se guarden datos de las comunicaciones, de todas las comunicaciones y de todos los ciudadanos, cuando una afectación de esa clase debiera sólo producirse en caso de delito grave. Ciertamente la sentencia citada no se refiere en concreto a España, se refiere al sistema de conservación de datos en Suecia, pero en tanto que está declarando que un sistema como el español afecta lo establecido en la Directiva 2002/58 (LA LEY 9590/2002) deberá suponer un cambio legislativo al marcar el camino de cómo debe afrontarse el acceso y tratamiento de los datos del tráfico de las telecomunicaciones.
Sobre esta cuestión se ha pronunciado el TS en varias sentencias la última la STS 723/2018, 23 de enero de 2019 (LA LEY 988/2019), en la que después de examinar las consecuencias derivadas de las sentencias citadas del TJUE de fecha 8 de abril de 2014 y de 21 de diciembre de 2016, legitima el sistema de conservación de datos previsto en la Ley 25/2007 (LA LEY 10470/2007) precisamente por que en cualquier caso se atiende y se exige una orden judicial para el acceso a los mismos (9) . Justificación que con la regulación contenida en la Orden 297/2020 se desvanece por completo.
IV. Problemas que plantea la regulación legal contenida en la Orden 297/2020 con respecto al control individual y social de los ciudadanos mediante el uso de los datos de tráfico de las telecomunicaciones para su geolocalización
Una simple comparación entre lo que prevé la Constitución y la LECrim (LA LEY 1/1882) con las previsiones contenidas en la Orden 297/2020 basta para poder asegurar que la regulación respecto a la geolocalización individual o masiva de los ciudadanos mediante una aplicación instalada en dispositivos móviles resulta absolutamente ilegal y por extensión, inconstitucional. A ello se opone nuestra Constitución, la ley y todo el resto de textos legales de ámbito internacional que reconocen el derecho a la privacidad, a las comunicaciones y a la libertad de circulación que quedan absolutamente comprometidas con normas de esta naturaleza.
Sin embargo, atendiendo al tiempo de confusión en el que vivimos. Tal vez resulte que las previsiones de la Orden 297/2020 quedan convalidadas o justificadas constitucionalmente por las normas del decreto de alarma o tal vez por las Leyes de salud pública. Ya adelanto que no es así. No obstante vamos a analizar estas posibilidades.
1. ¿El estado de alarma y la legislación asociada al mismo habilita a la autoridad gubernativa a acceder a datos de geolocalización de los dispositivos móviles sin una orden judicial?
En ningún caso. Sin embargo, existe una suerte de ruido de fondo que parece apuntar a que en tiempo de emergencia sanitaria todo vale para luchar contra la enfermedad. Así resulta de un simple examen de comunicados varios o de noticias o ruedas de prensa en las que se alude continuamente a la legislación del estado de alarma como norma habilitadora de esta clase de medidas. También lo considero así la AEPD que se pronunció en nota de prensa de fecha 26 de marzo de 2020 expresamente sobre esta cuestión señalando lo siguiente: «En cuanto a la previsión de que todos aquellos ciudadanos que hayan dado positivo en la prueba del COVID-19 puedan ser geolocalizados a través del teléfono móvil que hayan facilitado previamente, de modo que se pueda llevar a cabo un seguimiento de su cuarentena, hay que partir de nuevo de las amplias competencias que en situaciones excepcionales, como sin duda lo es la presente epidemia, tienen las autoridades sanitarias, teniendo en cuenta, además, que una de las medidas excepcionales para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 es la de limitar la libertad de circulación de las personas. De nuevo, nos encontramos ante una obligación impuesta por las autoridades sanitarias con el fin de evitar la propagación del virus, y que requiere un especial control de las personas que han dado positivo y que han sido obligadas a permanecer en su domicilio en cuarentena, así como también permite conocer las zonas con mayor número de afectados a fin de adoptar las medidas oportunas. No obstante, el único dato que a los efectos de la geolocalización debería facilitarse a los operadores de telecomunicaciones, en su caso, sería el correspondiente al número de teléfono móvil que se tiene que geolocalizar, salvo que el Ministerio de Sanidad considerara que fuera imprescindible facilitar algún otro dato a los efectos del seguimiento de la enfermedad. En todo caso, quienes pretendan obtener y tratar los datos de los ciudadanos deberán informarles de forma clara, accesible y fácilmente comprensible de todos los aspectos que se han descrito» (10) .
Sin embargo, y a pesar de lo dicho por la AEPD, una simple lectura de los textos legales revela la falta de fundamento legal para habilitar ninguna clase de sistema que permita la geolocalización de los dispositivos móviles sin una orden judicial. Esta circunstancia ni siquiera sería posible bajo el estado de excepción que, como veremos a continuación, únicamente permite la intervención de comunicaciones por la autoridad gubernativa en supuestos concretos. Mucho menos por tanto es posible en el estado de alarma que regula la LO 4/1981 (LA LEY 1157/1981) de los estados de alarma, excepción y sitio, que parece haber quedado soslayada por la nueva dinámica socio-legal. En realidad, resulta que la situación de estado de alarma no permite intervenir comunicaciones, pero tampoco decretar el denominado «confinamiento» que se ha prolongado por el momento más de 30 días.
Efectivamente, el art. 116 CE (LA LEY 2500/1978) prevé que se pueda acordar el estado de alarma que se regula en la LO 4/1981 (LA LEY 1157/1981). Pero ¡ oh sorpresa ! en su regulación no prevé el denominado «confinamiento» al que se refieren recurrentemente políticos, periodistas y tertulianos como una situación de privación de libertad que resulta acorde con el estado de alarma. También la Orden 297/2020 se refiere a la situación de confinamiento acordada inicialmente por el RD 463/2020 (LA LEY 3343/2020). Así se contiene en el art. 2 Orden 297/2020 que prevé el estudio de los movimientos de los ciudadanos: «…. a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, el análisis de la movilidad de las personas en los días previos y durante el confinamiento ». La comprobación de si el confinamiento está previsto en la LO 4/1981 (LA LEY 1157/1981) es bien sencillo y precisa únicamente de la lectura la Ley que en su art. 11 y respecto a la movilidad de las personas solo prevé que se pueda acordar: «a) Limitar la circulación o permanencia de personas o vehículos en horas y lugares determinados, o condicionarlas al cumplimiento de ciertos requisitos». Es decir, de confinamiento nada, sino limitación de circulación o permanencia en determinados tiempos y lugares. Es decir, se parte del mantenimiento del derecho fundamental a la libertad de circulación que puede ser limitado concreta y expresamente con relación a horas y lugares determinados. Lo que no se autoriza es hacerlo justamente a la inversa. Es decir, decretar un confinamiento total que únicamente puede ser evitado en supuestos excepcionales. Nótese que ni siquiera en el estado de excepción, en el que no nos encontramos (al menos legalmente declarado, aunque sí de facto y sin respaldo legal), sería posible dictar un confinamiento. En ese caso, en el estado de excepción, el art. 20 LO 4/81 (LA LEY 1157/1981) permite endurecer las medidas de movimiento, pero ni siquiera en ese caso al nivel del confinamiento que se ha acordado en virtud del RD 463/2020 (LA LEY 3343/2020) y siguientes que declaran y prorrogan el estado de alarma. En cuanto a los derechos constitucionales del art. 18 CE (LA LEY 2500/1978), el estado de excepción autoriza inspecciones y registros domiciliarios —art. 17.1 LO 4/81 (LA LEY 1157/1981)—; así como la intervención de comunicaciones cuando: «ello resulta necesario para el esclarecimiento de los hechos presuntamente delictivos o el mantenimiento del orden público —art. 18 LO 4/1981 (LA LEY 1157/1981)—». Pero aún en ese caso la intervención decretada deberá ser comunicada inmediatamente por escrito motivado al Juez competente. En cualquier caso, las potestades o poderes extraordinarios concedidos a la autoridad gubernativa decaen inmediatamente una vez que cesa el estado de alarma o de sitio.
Ni el estado de alarma permite confinar a nadie ni tampoco intervenir o acceder a datos de las comunicaciones electrónicas, y tampoco sería posible hacerlo en un estado de excepción
De modo que ni el estado de alarma permite confinar a nadie ni tampoco intervenir o acceder a datos de las comunicaciones electrónicas. Tampoco sería posible hacerlo en un estado de excepción. Pero, si se pretendiese acordar esa situación, ya nada me parece extraño, sería necesario el cumplimiento de unos requisitos extraordinarios que requieren la aprobación previa por el Congreso de los Diputados (art. 13 LO 4/1981 (LA LEY 1157/1981)), a diferencia de lo previsto para el estado de alarma que se aprueba por Real Decreto que posteriormente se convalida por el congreso de los Diputados. En cuanto a su duración el estado de excepción sólo puede prolongarse durante 30 días prorrogables por otros 30 (arts. 13.2.c (LA LEY 1157/1981) y 15 LO 4/1981 (LA LEY 1157/1981)). No se prevé tiempo máximo para el estado de alarma, pero por una pura cuestión de sentido común debe entenderse que no puede superar el tiempo previsto máximo para el estado de excepción que es de 60 días. Sin embargo, en otra clara trasgresión constitucional no parece que la autoridad gubernativa tenga ninguna clase de reparo en extender la situación de alarma por el tiempo que consideren oportuno según su criterio. Situación que ha sido declarada inconstitucional por un grupo de juristas que, ante la situación extraordinaria de parálisis parlamentaria han propuesto al Defensor del Pueblo la interposición de un recurso de inconstitucionalidad frente al RD 463/2020 (LA LEY 3343/2020) que decreta el estado de alarma (11) .
2. ¿La legislación de protección a la salud, en el marco del estado de alarma, faculta a la autoridad gubernativa a acceder a datos de geolocalización de los dispositivos móviles sin una orden judicial?
La respuesta es también negativa conforme con la legislación vigente. A este respecto la LO 3/1986 de 14 de abril (LA LEY 924/1986) de medidas especiales en materia de Salud Pública prevé que las autoridades sanitarias puedan: «adoptar medidas de reconocimiento, tratamiento, hospitalización o control cuando se aprecien indicios racionales que permitan suponer la existencia de peligro para la salud de la población debido a la situación sanitaria concreta de una persona o grupo de personas o por las condiciones sanitarias en que se desarrolle una actividad» (art. 2º). A ese fin, se prevé que la autoridad sanitaria «podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible» (art. 3). A pesar de la ambigüedad de la redacción legal se considera sin ninguna clase de duda que entre las medidas de control posibles del enfermo cabe adoptar aquellas que se refieren a la restricción de la libertad personal. En el tiempo en el que se redactó la Ley 3/1986 no existía la posibilidad de control personal vía de geolocalización como sucede en la actualidad, pero no cabe duda que si se puede acordar el ingreso forzoso de una persona en un hospital (en los casos previstos en la Ley), también debe poder acordarse alguna medida de menor intensidad como puede ser el control telemático de una persona a fin de evitar, por ejemplo, que abandone o acceda a un área determinada.
En cualquier caso, las restricciones de la libertad de los enfermos deben cumplir unos requisitos. El primero será que concurra en la persona objeto de control la existencia de un riesgo para la salud de la población conforme está previsto en la LO 3/1986 (LA LEY 924/1986). El segundo que dicha medida debe ser acordada por la autoridad judicial. Esta autoridad judicial no puede ser el Juez de Instrucción que únicamente tiene competencias en materia penal. De modo que la restricción de la libertad de los enfermos en el caso de necesidad se adoptará por el Juez de lo Contencioso-administrativo conforme establece el art. 8.6 LJCA (LA LEY 2689/1998) que dispone que: «… corresponderá a los Juzgados de lo Contencioso-administrativo la autorización o ratificación judicial de las medidas que las autoridades sanitarias consideren urgentes y necesarias para la salud pública e impliquen privación o restricción de la libertad o de otro derecho fundamental…».
Tampoco puede la Autoridad gubernativa acceder o tratar a los datos de las comunicaciones de los ciudadanos obrantes en las bases de datos de las operadoras de comunicaciones con base en la LO 3/1986 (LA LEY 924/1986) de salud pública (ni ninguna otra ley en verdad). Siendo así resulta insólita la postura de la AEPD en su informe n.o 7 de 2020 en el que se pronuncia respecto al tratamiento general e indiscriminado de datos personales de los ciudadanos por parte de la Administración justificando y otorgando una suerte de «carta blanca» a la Administración para adoptar las medidas que fueren con la excusa de la emergencia sanitaria: «En consecuencia, desde un punto de vista de tratamiento de datos personales, la salvaguardia de intereses esenciales en el ámbito de la salud pública corresponde a las distintas autoridades sanitarias de las diferentes administraciones públicas, quienes podrán adoptar las medidas necesarias para salvaguardar dichos intereses esenciales públicos en situaciones de emergencia sanitaria de salud pública» (Informe 7/2020 AEPD). Esa opinión la fundamenta genéricamente la AEPD en distintas normas que en ningún caso habilitan a la Administración a realizar tal clase de invasión de los derechos fundamentales de los ciudadanos. En primer lugar se cita la Ley 3/1986 de salud Pública que en su artículo 3 se refiere genéricamente a la adopción de medidas puntuales y concretas que, naturalmente, no pueden afectar derechos constitucionales. En segundo lugar, se cita reiteradamente el RGPD de la Unión Europea de 2016 citando los considerandos 46 y 54, que no tienen más valor que de motivación del redactado del RGPD que en su art.6.1.d se limita a atribuir licitud al tratamiento de datos cuando éste: «…es necesario para proteger intereses vitales del interesado o de otra persona física»; pero presuponiendo por descontado la licitud del acceso a los datos conforme a la ley. Cuestión que la AEPD omite completamente. En definitiva, la AEPD aduce fundamentos genéricos que, a mi juicio, no fundamentan ni pueden amparar el acceso a datos personales sin una autorización judicial.
3. ¿La voluntariedad de los ciudadanos a instalar y conceder permisos a la aplicación de rastreo de ciudadanos individualizados valida su uso por la autoridad gubernativa sin necesidad de orden judicial?
Una de las cuestiones del máximo interés en esta discusión es respecto a si la voluntariedad de los ciudadanos al descargar e instalar una determinada aplicación convalida cualquier clase de limitación legal que pueda existir respecto al acceso a datos personales. Desde mi punto de vista no. Las razones las expongo a continuación. Sin embargo, FRÍAS MARTÍNEZ considera, por el contrario, que si la instalación de la aplicación es voluntaria se estaría aceptando expresamente el tratamiento de los datos. A este respecto señala que: «Nos encontraríamos ante un supuesto en el que el afectado ha prestado el consentimiento expreso para ello. Obviamente, si alguien hace públicos aspectos de su vida, su privacidad e intimidad se verían claramente limitados, pero ha sido él quien los ha divulgado, siempre que el consentimiento sea válido» (12) .
Uno de los principios generales del sistema de derechos fundamentales es su carácter de irrenunciabilidad de modo que su vigencia se mantiene a pesar de la eventual renuncia del ciudadano a su aplicación. Es por ello, que el derecho de defensa en juicio es un derecho irrenunciable del que no se puede desprender el ciudadano que resulta protegido aún a pesar de su propia voluntad. Existen muchos ejemplos que pueden aducirse. En cualquier caso, lo que resulta claro es que una eventual renuncia únicamente resultaría posible de forma muy limitada y nunca ante los poderes públicos que son, precisamente, los encargados constitucionalmente de garantizar los derechos de los ciudadanos. Por ello resulta imposible que pueda admitirse que la voluntariedad del individuo pueda convalidar un acto de la administración que despoja al ciudadano de los derechos que la Constitución y la Ley le conceden y que están por encima de lo que pueda acordar una determinada Administración. Este es el caso de la aceptación de una aplicación que como se explica a continuación se camufla, como suelen hacer las aplicaciones invasivas de carácter comercial, con una oferta aparentemente inocua de servicios que encumbre el real propósito que es, por el momento, el rastreo de los movimientos y la geolocalización de los ciudadanos. El problema consiste, como se explicará al final de este trabajo, en el hecho que esta Orden 297/2020, y las normas que contiene, es únicamente el principio de una serie de intentos de la Administración para registrar, procesar y tratar los datos atenientes a la actividad de los ciudadanos. La excusa utilizada puede ser legítima. En este caso la emergencia sanitaria pero debemos pensar que los efectos que puede causar sobre el status jurídico de los ciudadanos puede ser profundamente invasivo. Es por ello que no podemos ser tolerantes o flexibles respecto a la exigencia de un respeto absoluto de cualquier norma de esta naturaleza de la privacidad de los ciudadanos y de todos los derechos fundamentales que la integran.
4. ¿Puede la administración acceder y tratar los datos masivos de geolocalización de los ciudadanos tratados de forma «anonimizada»?
Puede plantearse si el tratamiento de los datos «anonimizado» al que se refiere la Orden 297/2020 es constitucional en tanto que, aparentemente, los datos a los que se accede y se analizan se tratan con carácter anónimo. Desde mi punto de vista, al igual que sucede con la geolocalización individual esta inmisión requeriría de una orden judicial. Pero, si se apura el argumento en este supuesto ni siquiera una orden judicial podría autorizar el acceso general, por muy anónimo que sea el tratamiento, a los datos de los ciudadanos. Esto es así porque la autoridad judicial puede autorizar el acceso concreto a las comunicaciones de una persona, o varias, en el marco de una misma investigación judicial, pero no puede acordarse una intervención en una suerte de causa general. Es a la ley a la que corresponde regular la vida social con carácter general. El problema en este caso se llama Constitución y estado de derecho que no posibilitan la desnaturalización del derecho a la privacidad contenido en el art. 18 CE. (LA LEY 2500/1978)
Si la recogida de datos incluyera alguno que pudiera identificar al usuario, la práctica no sería conforme a derecho
Por lo tanto, no creo que la geolocalización anonimizada pueda admitirse como una práctica constitucional. Sin embargo, FRIAS MARTINEZ señala que a su juicio : «Si realmente el tratamiento se hiciera de manera totalmente anonimizada y resultara total y absolutamente imposible determinar quiénes son los usuarios que se encuentran en cada lugar, sería conforme a Derecho» (13) . El mismo autor aclara, a continuación, que si la recogida de datos incluyera alguno que pudiera identificar al usuario la práctica no sería conforme a derecho. Desde mi punto de vista, como he dicho, es intrascendente y ocioso cuestionarnos sobre el grado de «anonimato» que puede esperarse de esta actuación de la Administración. En primer lugar, porque técnicamente nada impide a la Administración identificar en cualquier momento a un concreto usuario dado que los datos que se recogen para los estudios de movilidad se refieren a usuarios concretos y a trayectos concretos. Es decir, por mucho que se pretenda «estudiar» la movilidad resulta obvio que para ese estudio se presupone la necesaria individualización de los usuarios y sus recorridos. Esto es de donde se parte y adonde se llega. Ello con independencia de su agregación a efectos de los estudios que puedan realizarse sobre movilidad. De hecho el INE ya publica los datos recogidos procedentes de los tres principales operadores de telefonía móvil (Telefónica, Orange y Vodafone) que conforme con la propia información que se halla en la página Web del INE han rastreado el 80 % de los teléfonos móviles de este país (14) . En segundo lugar porque, aún en el caso que fuera posible descartar cualquier posibilidad de identificación, el derecho a la privacidad, a la libertad personal y de movimiento quedarían seriamente dañadas por esta clase de técnica de recogida de datos, que podría ser equivalente a la implantación de una base de datos de perfiles de ADN de toda la población. Posibilidad que naturalmente cualquier jurista rechazaría escandalizado. Pero se trata del mismo supuesto, ya que tanto en el caso de los datos de movimiento como en el del perfil genético de los ciudadanos nuestra Constitución, inserta en un sistema de derechos liberal, nos protege de tales inmisiones en el ámbito de nuestra privacidad y libertad personal. Sin que a ello se pueda oponer ninguna clase de justificación que no sea absolutamente concreta y excepcional y, ciertamente, el amparo legal que ofrece el estado de alarma no lo es. Obviamente mucho menos es admisible en un estado ordinario de vigencia plena de los derechos constitucionales. Riesgo que cada vez parece más evidente, en tanto que la especial situación creada por la emergencia sanitaria está impulsando políticas de control social evidentes que es nuestra obligación primero como juristas y después como ciudadanos denunciar y combatir.
La Orden 297/2020 incide, a efectos de fundamentar la legalidad de la norma de rastreo de los usuarios de dispositivos móviles, en el sometimiento al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como a la LO 3/2018, de 5 de diciembre (LA LEY 19303/2018), de Protección de Datos Personales y garantía de los derechos digitales conforme con los criterios interpretativos dados por la Agencia Española de Protección de Datos. En cuanto al tratamiento de los datos atribuye su responsabilidad al Instituto Nacional de Estadística; mientras que los encargados del tratamiento serán los operadores de comunicaciones electrónicas móviles, con los que se llegue a un acuerdo. Pudiendo el Instituto Nacional de Estadística, como responsable del tratamiento, autorizar a los operadores a recurrir a otros encargados en la ejecución de las acciones previstas en la Orden (art. 2 Orden). En cualquier caso, estas atribuciones de competencia carecen de valor, ya que si la Administración no puede acceder a los datos de geolocalización de los individuos resulta ocioso preguntar por quién debe ser responsable de su tratamiento.
V. Conclusión: Otras aplicaciones que afectan o van a afectar a nuestra privacidad
La conclusión de este trabajo creo que es evidente y se puede resumir diciendo que las normas contenidas en la Orden 297/2020 son nulas de pleno derecho e inaplicables en tanto que inconstitucionales. Primero por afectar a derechos fundamentales mediante una simple Orden administrativa. En segundo lugar, porque su contenido no respeta el art. 18 respecto al derecho a la privacidad, a las comunicaciones, y el art. 19 respecto a la libertad de movimientos.
Sin embargo, la cruda realidad es que mientras escribo estas líneas se está produciendo una suerte de carrera frenética para desarrollar nuevas aplicaciones de control de la movilidad, autodiagnóstico o de control de infectados que de un modo u otro utilizan datos de las comunicaciones al instalarse en los dispositivos móviles de comunicación.
La Administración puede utilizar las comunicaciones y la inteligencia artificial para implantar sistemas de control de los espacios públicos incluyendo el desplazamiento de los ciudadanos
En primer lugar, cabe destacar la aplicación creada por la Dirección General de Tráfico presentada a finales de enero de 2020 (15) . En un primer momento se ofreció una versión Beta con funcionalidades limitadas. No ha sido hasta el mes de marzo cuando se ha producido un lanzamiento masivo de la aplicación coincidiendo con el estado de alarma. Nótese que en realidad la emergencia sanitaria parece haber sido una excusa para regular una cuestión que ya estaba en la agenda de la Administración, salvo que pensemos que en fecha de enero de 2020 la administración ya había previsto lo que iba a suceder, lo que no creo que sea verosímil. Sin embargo si parece ser una evidencia que el poder público, primero es poder y luego público y como poder es expansivo. Es por eso que nada extraña que la Administración pueda utilizar las nuevas funcionalidades de la técnica de comunicaciones y de la inteligencia artificial para implantar sistemas de control de los espacios públicos incluyendo el desplazamiento de los ciudadanos por ellos (como hace ya el INE). A ese fin resulta imprescindible el acceso al dispositivo omnipresente en los bolsillos de los ciudadanos del siglo XXI: el teléfono inteligente. De ese modo se accede casi completamente a toda la privacidad que un ciudadano pueda desarrollar en su vida personal. Después cientos, miles de cámaras ya se encargarán de controlar los resquicios de intimidad que puedan quedar a los ciudadanos.
Concretamente, la aplicación de la DGT permite realizar trámites administrativos y gestiones relacionadas con vehículos, expedientes, permisos y licencias. También permite albergar una copia digital del carnet de conducir (¿se trata de un documento legal efectos de cumplir con la obligación de portar el permiso o licencia de conducción que corresponda?). Pero, la cuestión esencial es que la aplicación de la DGT parece ser que permite a la DGT, es decir al Ministerio del Interior, acceder a la geolocalización del teléfono móvil en el que se ha instalado la aplicación en cualquier momento. Esa es al menos la denuncia periodística respecto de la aplicación (16) .
A mi juicio es obvio el riesgo que plantea una aplicación que puede rastrear la ubicación del dispositivo móvil y, en consecuencia, la de su titular o como mínimo quien lo lleva consigo. Máxime si tenemos en cuenta la experiencia que todos los ciudadanos hemos tenido con el resto de actuaciones de la autoridad gubernativa referentes al control de la población utilizando el pretexto de la pandemia por el Covid19. Ciertamente que el uso de la Aplicación no es obligatorio, al menos por el momento, y que ello supone que los ciudadanos deben descargarla e instalarla en su dispositivo móvil para que pueda servir de baliza de geolocalización. Pero, como se decía con anterioridad, el consentimiento del ciudadano para ceder parcelas de su libertad debe ser tratado con un alto nivel de exigencia y no puede depender de marcar una casilla autorizando a la Administración el acceso a los datos del dispositivo móvil.
Lo cierto es que la citada aplicación de la DGT acumula a fecha de redactar este artículo más de medio millón de descargas y se halla entre una de las de más éxito en ese ámbito. El fervor ciudadano por todo lo que se sirva en modo de App y máxime si es gratuito no ha sido compartido, sin embargo, por las asociaciones de defensa de los conductores. Entre estos «Dvuelta», empresa de impugnación de sanciones de tráfico, que considera que la aplicación incurre en ilegalidad. A su juicio, que comparto, de entrada la ilegalidad se produce en tanto que la citada aplicación se regula en una simple instrucción que contraviene normas de rango superior. No sólo eso, sino que además se alerta de los riesgos para la privacidad que supone el uso de la Aplicación en tanto que la Administración recibe información actualizada sobre la ubicación del dispositivo. En definitiva, la Dirección General de Tráfico puede saber en todo momento donde se halla una persona determinada. Incluso podría saber dónde se hallaba en tanto que no sabemos si la Administración va a guardar esos datos. Como decía anteriormente, es cierto que la aplicación no es obligatoria y que su descarga y uso son voluntarios. Más aún, no he podido usar la aplicación, pero siendo bienintencionado supongo que el usuario podrá optar por activar o desactivar las opciones ofrecidas por la aplicación incluida la de la geolocalización del dispositivo. Sin embargo, ninguna de las garantías que puedan darse desde la Administración deben hacernos olvidar el peligro que supone para cada uno de los integrantes de esta sociedad entregar poderes de esta naturaleza al poder público. Poderes que afectan a los derechos fundamentales de los ciudadanos a los que los redactores de la Constitución concedieron el más alto rango de importancia en nuestro estado de derecho y que no pueden quedar orillados aprovechando la situación lamentable de la actual emergencia sanitaria.
En segundo lugar, las CCAA han creado en las últimas semanas aplicaciones de autodiagnóstico que permiten a los usuarios valorar la conveniencia de acudir a un centro sanitario, llamar a urgencias o quedarse en casa. Entre estas aplicaciones podemos citar StopCovid19 de la Generalitat de Cataluña (17) o Euskadi.eus del Gobierno vasco (18) . El problema con estas aplicaciones es el de la conservación y tratamiento de los datos referentes a la salud que tienen una evidente importancia. Naturalmente que los responsables políticos de las CCAA aseguran seguir las normas de protección de datos. Sin embargo, la realidad puede que no sea esa. Sin entrar en el detalle de los mecanismos de control de cada aplicación, lo cierto es que el Supervisor Europeo de Protección de Datos ha publicado recientemente una carta abierta sobre apps y coronavirus advirtiendo sobre los riesgos para la privacidad que existen y de la necesidad de que las aplicaciones lo sean de código abierto a fin de que, más allá del cumplimiento formal de la legislación, pueda supervisarse todo el procedimiento técnico de captación y tratamiento de los datos (19) . Sin embargo la realidad es que las aplicaciones citadas no son, salvo error mío ninguna de ellas, de código abierto. Es más se prohíbe su análisis mediante el uso de ingeniería informática inversa. De modo que las sospechas sobre su funcionamiento y uso de los datos debe ser tenido en cuenta por los usuarios. Es por ello que el Parlamento Europeo dictó la resolución de 17 de abril de 2020 estableciendo un criterios para una respuesta unitaria ante la crisis del Covid19 (20) . Criterios que con relación al desarrollo de aplicaciones móviles para el rastreo y/o diagnóstico de enfermedad determina en el Apartado 52 que éstas no pueden ser obligatorias y que los datos generados a partir del uso de la aplicación no pueden ser almacenados en bases de datos centralizadas que según palabras del parlamento Europeo presentan un riesgo potencia de abuso y de falta de confianza (21) .
Finalmente, y en tercer lugar, la verdadera batalla se está librando en el terreno de las aplicaciones de control y detección de contactos entre ciudadanos infectados o no. Se trata de aplicaciones móviles cuyo origen se haya en China, Corea del Sur y Singapur mediante las cuales se pretende controlar nuevos brotes de la pandemia actual o tal vez de otras que puedan aparecer en el futuro. No puedo extenderme en demasía en este último punto por exceder el objeto de este trabajo. Sin embargo sí que debo señalar algunas cuestiones que dan cuenta de la importancia de esta clase de aplicaciones y del profundo impacto que pueden tener sobre el derecho a la privacidad de los ciudadanos.
Todos los países de la UE están trabajando en aplicaciones de esta clase que deben permitir al usuario poder conocer si ha estado en contacto con alguna persona infectada, en principio, de coronavirus. El sistema puede funcionar bien por posicionamiento GPS (poco preciso) o bien por Bluetooth (más preciso). El problema consiste nuevamente en la existencia de problemas de privacidad y seguridad de los datos. Téngase en cuenta que cualquiera de los sistemas que se utilice plantea problemas. Si se utiliza GPS porque los datos van a estar centralizados a disposición de las operadoras de comunicaciones y eventualmente de los poderes públicos. Por su parte el uso de Bluetooth supone que cada teléfono se relaciona con los que tiene a su alrededor y el análisis de los datos permite, en principio, la trazabilidad del teléfono en cuanto a movimientos y contactos. Incluso aquí también intervienen Google y Apple propietarias de los dos principales sistemas operativos de los teléfonos móviles del mundo que también han manifestado su intención de participar en la gran subasta de ver quién es el gran controlador del siglo XXI. Para evitar los problemas apuntados han aparecido dos estándares. El primero es PEPP-PT que es una suerte de proyecto pan-europeo para el desarrollo de una aplicación de rastreo de proximidad. El segundo el estándar DP-3T desarrollado como un sistema descentralizado en el que, en razón de su construcción, no resulta posible la obtención de ninguna clase de dato personal sobre los usuarios de la aplicación (22) . Nada está decidido, todo está en movimiento y construcción en estos momentos.
Las reticencias que los ciudadanos deberían tener frente a esa clase de aplicaciones móviles son de distinto tipo. En primer lugar por las dudas sobre el destino y control de los datos de nuestra privacidad. En segundo lugar, porque aplicaciones de este tipo pueden generar un estado de histeria de la población respecto a todo el conjunto de enfermedades contagiosas y la posibilidad de aislamiento social de aquellos afectados por alguna clase de enfermedad o condición. Ahora bien, por otra parte, no cabe ninguna duda que aplicaciones concretas destinadas, por ejemplo, a la lucha contra una enfermedad infecciosa determinada creada en el marco de una arquitectura respetuosa de los derechos de privacidad puede ser de utilidad para el conjunto de la sociedad. Lo que resulta importante, en cualquier caso, es que la necesidad, la premura y los intereses de unos y otros no sean excusa para orillar los derechos fundamentales de nuestra sociedad que tanto tiempo nos ha costado lograr (23) .