en Protección de datos de carácter personal

Interpretación de los supuestos de exclusión contenidos en los arts. 2.2 y 2.3 del nuevo reglamento de desarrollo de la LOPD

Autor: Eric Gracia. Abogado Derecho.com

Una de las principales novedades introducidas por el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, “RDLOPD???), ha sido la relativa a su ámbito de aplicación. Así, el artículo 2.1 establece, como régimen general, que esta norma será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.


Ahora bien, el precepto continúa con dos supuestos de exclusión, regulados en los artículos 2.2 y 2.3, cuyo alcance puede resultar verdaderamente confuso. Consciente de ello, la Agencia Española de Protección de Datos (AEPD) ha publicado su Informe 2008-0078: Aplicacion a empresarios individuales y personas de contacto, por medio del cual intenta despejar dichas dudas y cuyo contenido se analiza a continuación:

Art. 2.3: “Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.???

Para estudiar este precepto, debe recordarse que la definición de dato personal ofrecida por la LOPD hace referencia a personas físicas identificadas o identificables, por lo que las personas jurídicas no reciben la protección de la norma. Sin embargo, el problema viene a la hora de decidir si los empresarios individuales se encuentran o no dentro del ámbito de aplicación de la normativa sobre protección de datos.

A la vista de lo que se ha venido indicando cabe considerar que los datos referidos a los empresarios individuales y que aparecen exclusivamente ligados a su actividad comercial o mercantil, o que identifican, aún con su nombre y apellidos un determinado establecimiento o la marca de un determinado producto o servicio, como consecuencia de la existencia de una libre decisión empresarial adoptada en este sentido, no se encuentran sometidos a la protección conferida por la LOPD. Así, puede resumirse el criterio atribuido por la AEPD al artículo 2.3 del RDLOPD:

La legislación de protección de datos no es aplicable en los supuestos en los que los datos del comerciante sometidos a tratamiento hacen referencia únicamente al mismo en su condición de comerciante, industrial o naviero; es decir, a su actividad empresarial.

Al propio tiempo, el uso de los datos deberá quedar limitado a las actividades empresariales; es decir, el sujeto respecto del que pretende llevarse a cabo el tratamiento es la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido. Si la utilización de dichos datos se produjera en relación con un ámbito distinto quedaría plenamente sometida a las disposiciones de la LOPD.

Por su parte, el artículo 2.2 del RDLOPD hace referencia a los denominados ficheros de personas de contacto en las empresas:

Art. 2.2: “Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.???

Este precepto viene a plasmar el criterio de la AEPD según el cual, cuando el tratamiento del dato de la persona de contacto es meramente accidental en relación con la finalidad del tratamiento, referida realmente a las personas jurídicas en las que el sujeto presta sus servicios, no resulta de aplicación lo dispuesto en la LOPD.

Por lo tanto, cabe entender que un listado de responsables de facturación de diferentes empresas, mantenido y utilizado simplemente para poder enviar las facturas a mis empresas cliente, no está sujeto al ámbito de aplicación de la LOPD. Esto es así porque los datos personales de todas esas personas resultan algo accesorio respecto de la finalidad última de dicho fichero, que no es otra que la de gestionar la facturación entre empresas.

No obstante, para que esto pueda entenderse así deben concurrir dos requisitos:

1.- Los datos tratados deben limitarse a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Por este motivo, el propio RDLOPD impone que el tratamiento se limite a los datos de nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales. La inclusión de cualquier otro tipo de dato en el fichero hará que el mismo quede automáticamente dentro del ámbito de aplicación de la normativa de protección de datos.

2.- La existencia del dato personal de la persona de contacto en el fichero debe ser accesoria respecto a la finalidad del mismo. De este modo, la finalidad del tratamiento debe perseguir una relación directa entre quienes traten el dato y la entidad y no entre aquéllos y quien ostente una determinada posición en la empresa.

De este modo, el uso del dato debe estar dirigido a la persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa finalidad.

Así las cosas, a pesar de todo lo anteriormente expuesto, cada caso deberá estudiarse individualmente teniendo en cuenta que, en caso de duda, deberán adoptarse las medidas estipuladas por la normativa de protección de datos.