"Medinagate" y las lecciones que algunos municipios no han aprendido
Hace aproximadamente cuatro años, el Ayuntamiento de Lisboa fue noticia después de compartir indebidamente los datos personales de los organizadores de una manifestación en apoyo de Alexei Navalny con una amplia gama de entidades nacionales y extranjeras, incluida la Embajada de la Federación de Rusia y el Ministerio de Asuntos Exteriores de Rusia.
Las consecuencias no se hicieron esperar: en el ámbito jurídico, la Comisión Nacional de Protección de Datos (CNPD) sancionó la conducta con una multa de 1.250.000,00 € (en aquel momento, la multa más alta impuesta en Portugal por violar el marco normativo aplicable a la protección de datos personales); en el político, la oposición utilizó el caso como "bandera" contra el entonces alcalde, Fernando Medina, manchando su imagen pública y, en última instancia, provocando una sorprendente derrota frente a Carlos Moedas en las próximas elecciones locales.
2 Años después, la historia, incomprensiblemente, se repite. Con dos diferencias: el "infractor" ya no es el Ayuntamiento de Lisboa, sino el de Faro; las "víctimas", a su vez, ya no son los promotores de una acción de solidaridad y protesta por la liberación de Navalny, sino los responsables de organizar una manifestación titulada "Pot-a-Pot en apoyo a Palestina y contra el genocidio en la Franja de Gaza".
En cuanto al resto —lo verdaderamente relevante—, todo sigue igual: en agosto de 2025, al igual que en junio de 2021, un municipio nacional envió información sobre personas identificadas a terceros (en este caso, supuestamente, a más de treinta entidades) sin tener fundamento legal para ello. Esto se debe a que, como explicamos en un artículo anterior de este periódico, el Decreto-Ley n.º 406/74, de 29 de agosto, simplemente establece, por un lado, que «las personas o entidades que pretendan celebrar reuniones, concentraciones, manifestaciones o desfiles en lugares públicos o abiertos al público deberán notificarlo por escrito con al menos dos días hábiles de antelación al alcalde del municipio con jurisdicción territorial» (art. 2, n.º 1); y, por otro lado, que «la notificación deberá estar firmada por tres de los promotores debidamente identificados con nombre, profesión y domicilio o, en el caso de asociaciones, por sus respectivos directores» (art. 2, n.º 2). Sin embargo, en ningún momento esta legislación exige que dichos datos sean transmitidos a terceros, ni permite que ello ocurra –como, por otra parte, confirmó el Tribunal Administrativo del Distrito de Lisboa en sentencia dictada el año pasado en el citado caso Medinagate.
Además, como declaró la CNPD en su infame Deliberación n.º 2021/1569, de 21 de diciembre, los datos personales recopilados en los términos y para las finalidades establecidas en el Decreto-Ley n.º 406/74, de 29 de agosto, no son datos personales cualquiera, sino información que potencialmente revela las opiniones políticas, religiosas o filosóficas de sus titulares. En otras palabras, información comprendida en las denominadas «categorías especiales de datos personales» y, por tanto, sujeta a un régimen de protección reforzado en virtud de lo dispuesto en el artículo 9, apartados 1 y 2, del Reglamento General de Protección de Datos (RGPD). Esto exigía a los responsables del tratamiento una mayor cautela, sobre todo al ser entidades públicas, legalmente obligadas por el principio de legalidad y moralmente obligadas por el deber de predicar con el ejemplo.
En este contexto, y si se confirman los hechos relatados hasta ahora, solo cabe una conclusión: algunos municipios nacionales (empezando por el de Faro) parecen haber aprendido poco o nada del caso Medinagate. Esta circunstancia es aún más preocupante en un momento en que se habla tanto de la «transformación digital» y, en particular, de la incorporación de tecnologías disruptivas, como la Inteligencia Artificial, a la actividad administrativa local, con todos los beneficios y riesgos que esto conlleva para el interés público (por un lado) y para los derechos de los ciudadanos (por otro).
Por lo tanto, la CNPD debe adoptar una postura firme y coherente. Una postura firme para dejar claro que el incumplimiento del RGPD y demás legislación aplicable en materia de protección de datos personales no puede normalizarse, especialmente cuando se deriva de prácticas previamente censuradas por la propia Comisión e incluso sancionadas severamente. Una postura coherente para dejar igualmente claro que, para la CNPD, ningún responsable del tratamiento de datos es más igualitario que los demás; y que la elevada multa impuesta al Ayuntamiento de Lisboa en 2021 no fue resultado de ninguna presión política o mediática, sino la única respuesta posible a una conducta cuya gravedad no podía tolerarse en un Estado democrático de derecho.
Los votantes tendrán que responder en las urnas. También será una oportunidad más para evaluar cuánto valoran su derecho a la protección de datos personales, así como hasta qué punto están dispuestos a penalizar su violación, como mínimo para resolver las controversias en torno a las acciones de Fernando Medina en las últimas elecciones locales.
Nota: las opiniones expresadas en este artículo son formuladas a título individual y no son vinculantes para la entidad en la que trabaja el autor.
observador
