CN14-014_DIC_D14-020 - Agencia Vasca de Protección de Datos

Anuncio
CN14-014
DATOS DE EMPRESARIOS INDIVIDUALES
Se presenta ante esta Agencia Vasca de Protección de Datos escrito del
Departamento de XXXXX de la CAPV, en el que solicita el pronunciamiento de esta
Institución sobre las conclusiones a las que llega ese Departamento en el informe
que acompaña.
En este informe el Departamento consultante relata que con la nueva estructura
departamental está procediendo a la revisión de los ficheros del Departamento, y
que a la luz de las previsiones del artículo 2.2 y 3 del Real Decreto 1720/2007, de 21
de diciembre, de desarrollo de la LOPD, se plantea si los datos incluidos en
determinados ficheros de su Departamento son “ datos de carácter personal” sujetos
a las prescripciones de la LOPD y de su reglamento de desarrollo, o si por el
contrario no lo son, y se puede acceder, por ejemplo, a la comunicación libre de los
mismos.
El Departamento consultante no se limita a consultar el parecer de la Agencia al
respecto, sino que realiza un importante esfuerzo de análisis del art. 2.3 del
RDLOPD, que le permite llegar a una conclusión final sobre la que quiere que se
pronuncie la Agencia Vasca de Protección de Datos.
Esa conclusión es la siguiente:
“Cuando el fichero contenga datos identificativos de personas físicas (nombre,
apellidos, DNI etc), en su calidad de ganaderos empresarios, profesionales o
titulares de explotación o agricultores profesionales, a título principal o a tiempo
parcial, los datos que aparecen reflejados en dichos ficheros no serán datos de
carácter personal incluidos dentro del ámbito de protección de la Ley Orgánica
15/1999, de Protección de Datos de Carácter personal y, por tanto, no
quedarán amparados por las garantías que la misma establece y podrán ser
objeto de libre circulación o comunicación, sin perjuicio de que los tribunales
puedan atender las reclamaciones de responsabilidad que pudieran exigirse en
el caso de que el uso de la información relativa a las empresas/ los
empresarios les cause algún perjuicio. Tampoco deberán ser objeto de
regulación ni comunicación a la Agencia Vasca de Protección de Datos”.
La primera cuestión que debemos destacar para resolver esta consulta, es que la
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal (LOPD, en adelante), tiene por objeto “garantizar y proteger , en lo que
concierne al tratamiento de los datos personales, las libertades públicas y los
derechos fundamentales de las personas físicas, y especialmente su honor e
intimidad personal y familiar”.
c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria – Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 [email protected] - www.avpd.es
Por ello, la LOPD extiende su ámbito de aplicación, exclusivamente, a los datos de
carácter personal sometidos a tratamiento, esto es, a la información concerniente a
personas físicas identificadas o identificables (artículo 2.1a) en relación con el 3a) de
la LOPD).
Por lo tanto, podemos afirmar que sólo las personas físicas son titulares del derecho
fundamental a la protección de datos de carácter personal que deriva del art. 18.4
CE., y que la Ley Orgánica 15/1999, regula.
El Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el
Reglamento de Desarrollo de la LOPD (RDLOPD, en adelante), delimita del ámbito
objetivo de aplicación de la legislación sobre protección de datos, desarrollando el
art. 2 de la LOPD, del modo lo siguiente:
“Artículo 2. Ámbito objetivo de aplicación
1. El presente reglamento será de aplicación a los datos de carácter personal
registrados en soporte físico, que los haga susceptibles de tratamiento, y a
toda modalidad de uso posterior de estos datos por los sectores público y
privado.
2. Este reglamento no será aplicable a los tratamientos de datos referidos a
personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las
personas físicas que presten sus servicios en aquéllas, consistentes
únicamente en su nombre y apellidos, las funciones o puestos desempeñados,
así como la dirección postal o electrónica, teléfono y número de fax
profesionales.
3. Asimismo, los datos relativos a empresarios individuales, cuando hagan
referencia a ellos en su calidad de comerciantes, industriales o navieros,
también se entenderán excluidos del régimen de aplicación de la protección de
datos de carácter personal.
4. Este reglamento no será de aplicación a los datos referidos a personas
fallecidas. No obstante, las personas vinculadas al fallecido, por razones
familiares o análogas, podrán dirigirse a los responsables de los ficheros o
tratamientos que contengan datos de éste con la finalidad de notificar el óbito,
aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a
ello, la cancelación de los datos”.
De este precepto reglamentario se deducen, por lo que interesa a este dictamen,
varias cuestiones:
PRIMERA.- La protección conferida por la normativa de protección de datos no se
extiende a los tratamientos de datos de las personas jurídicas. (art. 2.2 RDLOP).
Sin embargo, es preciso destacar, tal y como lo señala la Sala de lo Contencioso de
la Audiencia Nacional en Sentencia de 4 de octubre de 2013 (SAN 4244/2013) que
“el hecho de que las personas jurídicas no se encuentran amparadas por el derecho
fundamental a la protección de datos de carácter personal, no significa que estén
desprotegidas”.
Esta reciente Sentencia de la Audiencia Nacional, cita la doctrina constitucional
referida a que las personas jurídicas pueden ser titulares de determinados derechos
fundamentales, entre ellos, el derecho al honor que reconoce el art. 18.1CE, en los
2
términos que señalan la STC 139/1995, de 26 de septiembre, y la STC 183/1995, de
11 de diciembre.
Asimismo, la Audiencia Nacional recuerda también que los datos de las personas
jurídicas están protegidos por la legislación sectorial, como el Texto Refundido de la
Ley del Catastro Inmobiliario, y además, y lo que es más relevante, que los datos de
las personas jurídicas merecen protección penal por delitos de descubrimiento,
revelación y cesión de datos reservados (art. 200 del Código Penal).
SEGUNDA.- Quedan también excluidos del ámbito del reglamento, los ficheros que
se limiten a incorporar los datos identificativos de las personas que trabajan en las
organizaciones empresariales o instituciones, vinculados exclusivamente a su
actividad profesional (art. 2.2RDLOPD).
Estos ficheros son los denominados ficheros “de contacto” donde los datos
personales tratados han de limitarse a los que el propio precepto reglamentario
enumera (nombre y apellidos, las funciones o puestos desempeñados, la dirección
postal o electrónica, el teléfono y número de fax profesionales), por ser los únicos
que pueden resultar necesarios para identificar al interlocutor en la organización. Por
ello, la inclusión de cualquier otro dato añadido en el fichero (como el DNI)
conllevaría su sometimiento pleno a la normativa de protección de datos de carácter
personal.
En este sentido se pronuncia la AEPD, en su dictamen 0291/2008, disponible en su
página web, que reproduce uno anterior de 18 de febrero de 2008, donde se
indicaba lo siguiente:
“(...) la Agencia ha venido señalando que en los supuestos en que el tratamiento del
dato de la persona de contacto es meramente accidental en relación con la finalidad
del tratamiento, referida realmente a las personas jurídicas en las que el sujeto
presta sus servicios, no resulta de aplicación lo dispuesto en la Ley Orgánica
15/1999, viniendo el Reglamento a plasmar este principio.
No obstante, nuevamente, es necesario que el tratamiento del dato de la persona de
contacto sea accesorio en relación con la finalidad perseguida. Ello se materializará
mediante el cumplimiento de dos requisitos:
El primero, que aparece expresamente recogido en el Reglamento será el de que los
datos tratados se limiten efectivamente a los meramente necesarios para identificar
al sujeto en la persona jurídica a la que presta sus servicios. Por este motivo, el
Reglamento impone que el tratamiento se limite a los datos de nombre y apellidos,
funciones o puestos desempeñados, dirección postal o electrónica, teléfono y
número de fax profesionales”.
De este modo, cualquier tratamiento que contenga datos adicionales a los citados se
encontrará plenamente sometido a la Ley Orgánica 15/1999, por exceder de lo
meramente imprescindible para identificar al sujeto en cuanto contacto de quien
realiza el tratamiento con otra empresa o persona jurídica.
Por ello, no se encontrarían excluidos de la Ley los ficheros en los que, por ejemplo,
se incluyera el dato del documento nacional de identidad del sujeto, al no ser el
mismo necesario para e mantenimiento del contacto empresarial. Igualmente, y por
razones obvias, nunca podrá considerarse que se encuentran excluidos de la Ley
Orgánica los ficheros del empresario respecto de su propio personal, en que la
3
finalidad no será el mero contacto, sino el ejercicio de las potestades de organización
y dirección que a aquél atribuyen las leyes.
El segundo de los límites se encuentra, como en el supuesto contemplado en el
artículo 2.3, en la finalidad que justifica el tratamiento.
Como se ha venido indicando reiteradamente, la inclusión de los datos de la persona
de contacto debe ser meramente accidental o incidental respecto de la verdadera
finalidad perseguida por el tratamiento, que ha de residenciarse no en el sujeto, sino
en la entidad en la que el mismo desarrolla su actividad o a la que aquél representa
en sus relaciones con quienes tratan los datos.
De este modo, la finalidad del tratamiento debe perseguir una relación directa entre
quienes traten el dato y la entidad y no entre aquéllos y quien ostente una
determinada posición en la empresa. De este modo, el uso del dato debería dirigirse
a la persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa
finalidad.
Así sucedería en caso de que el tratamiento responda a relaciones “business to
business”, de modo que las comunicaciones dirigidas a la empresa, simplemente,
incorporen el nombre de la persona como medio de representar gráficamente el
destinatario de la misma. Por el contrario, sin la relación fuera “business to
consumer”, siendo relevante el sujeto cuyo dato ha sido tratado no sólo en cuanto a
la posición ocupada sino como destinatario real de la comunicación, el tratamiento se
encontraría plenamente sometido a la Ley Orgánica 15/1999, no siendo de aplicación
lo dispuesto en el artículo 2.2 del Reglamento”.
TERCERA.- Quedan también excluidos del ámbito del RDLOPD, a tenor de su art.
2.3, los datos relativos a los empresarios individuales, cuando hagan referencia a
ellos en su calidad de comerciantes, industriales o navieros.
Como puede advertirse, este precepto reglamentario vincula la exclusión de los
datos de empresarios individuales de su régimen de aplicación a la finalidad para la
que se utilizan los datos (en el ámbito estrictamente empresarial).
Sin embargo, tal y como lo destaca el profesor y exdirector de la Agencia de
Protección de Datos de la Comunidad de Madrid, Antonio Troncoso Reigada en su
obra “La Protección de Datos Personales. En busca del equilibrio”:
“La finalidad del tratamiento no delimita el ámbito de aplicación del derecho fundamental a
la protección de datos personales, que tiene como ámbito objetivo de aplicación la
existencia de datos personales sometidos a tratamiento. Cualquier dato personal, también
los datos de puesto profesional y de vinculación con una empresa o de actividad comercial o
industrial, sometidos a tratamiento puede implicar una vulneración de nuestros derechos
fundamentales, permitiendo establecer perfiles o clasificaciones que impidan el ejercicio de
los derechos y el libre desarrollo de la personalidad. No tendría sentido que este derecho
fundamental protegiera los datos identificativos y de domicilio de una persona física y no
protegiera al mismo tiempo los datos relativos al puesto profesional o a la actividad
comercial o industrial”.
Estamos, por lo tanto, en presencia de un precepto reglamentario de desarrollo de la
LOPD, que excluye de la protección del derecho fundamental el tratamiento de
determinados datos, lo que exige una interpretación restrictiva del alcance del
mismo, para que no colisione con la propia LOPD.
4
En realidad, este art, 2.3 del RDLOPD lo que trata es de recoger la doctrina de la
Agencia Española de Protección de Datos y de la Audiencia Nacional, en relación
con la interpretación del ámbito de aplicación de la LOPD.
La Agencia Española de Protección de Datos viene manteniendo de manera
reiterada, desde su resolución de 27 de febrero de 2001, que…”la protección conferida
por la Ley Orgánica 15/1999, de diciembre, de Protección de Datos de Carácter Personal,
no es aplicable a las personas jurídicas , que no gozarán de ninguna de las garantías
establecidas en la Ley, y por extensión lo mismo ocurrirá con los profesionales que
organizan su actividad bajo la forma de empresa ( ostentando, en consecuencia la condición
de comerciante a la que se refieren los artículos primero y siguientes del Código de
Comercio) y con los empresarios individuales que ejercen un actividad comercial y respecto
de las cuales sea posible diferenciar su actividad mercantil de su propia actividad privada
estando en el primer caso excluidos también del ámbito de aplicación de la Ley Orgánica
15/1999.
En definitiva, pues, tanto las personas jurídicas como los profesionales y los comerciantes
individuales ( éstos dos últimos sólo en los estrictos términos señalados en el párrafo que
antecede, esto es, cuando sus datos hayan sido tratados tan sólo en su consideración de
empresarios) quedan fuera del manto protector de la Ley Orgánica 15/1999.
A contrario sensu, tanto los profesionales como los comerciantes individuales quedarían
bajo el ámbito de aplicación de la Ley Orgánica 15/1999 y, por tanto, amparados por ella
cuando los primeros no tuvieran organizada su actividad profesional bajo la forma de
empresa, no ostentando, en consecuencia, la condición de comerciantes ( es el caso de los
profesionales liberales cuyas actividades están expresamente excluidas del ámbito de
aplicación de la Ley Básica 3/1993 por su artículo 6) y lo segundos cuando no fuera posible
diferenciar su actividad mercantil de la propia actividad privada. En estos casos deberán
aplicarse siempre las garantías de la Ley Orgánica 15/1999 dada la naturaleza fundamental
del derecho a proteger. Ello exigirá siempre ir analizando caso por caso para hallar en cada
supuesto concreto el límite fronterizo donde resulte afectado el derecho fundamental a la
protección de datos de los interesados personas físicas, o, por el contrario, aquél no resulte
amenazado por incidir tan solo en la esfera de la actividad comercial o empresarial, teniendo
en todo caso presente que, en caso de duda, la solución deberá siempre adoptarse a favor
de la protección de los derechos individuales”.
Con posterioridad a la aprobación del RDLOPD, la AEPD ha analizado el alcance del
art. 2.3 del reglamento en numerosos informes, entre otros, en los informes jurídicos
42, 53, 234, y 371/2008, disponibles también en su página web, extrayendo las dos
conclusiones que apunta el Departamento consultante en su escrito:
“- Cabrá considerar que la legislación de protección de datos no es aplicable en los
supuestos en los que los datos del comerciante sometidos a tratamiento hacen
referencia únicamente al mismo en su condición de comerciante, industrial o naviero;
es decir, a su actividad empresarial.
- Al propio tiempo, el uso de los datos deberá quedar limitado a las actividades
empresariales; es decir, el sujeto respecto del que pretende llevarse a cabo el
tratamiento es la empresa constituida por el comerciante industrial o naviero y no el
empresario mismo que la hubiese constituido. Si la utilización de dichos datos se
produjera en relación con un ámbito distinto quedaría plenamente sometida a las
disposiciones de la Ley Orgánica”.
5
En relación con el alcance de este precepto, debe destacarse la reciente Sentencia
de la Audiencia Nacional 4244/2013, de 4 de octubre de dos mil trece, cuyo FJ4
señala:
“Cabe añadir que en el derecho a la protección de datos de carácter personal quedan
incluidos los datos de los profesionales individuales, como se deriva del art. 2 del
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento
de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de
datos de carácter personal, y así se puso de manifiesto por el Tribunal Supremo en la
Sentencia de 20 de febrero de 2007 -recurso nº. 732/2003 - y también por esta Sala.
Dijimos al respecto en nuestra Sentencia de 12 de mayo de 2011 -recurso nº.
31/2010 - que: <<Se trata del problema de la aplicación o no de la normativa sobre
protección de datos a aquellos supuestos en que los datos se refieran a personas
físicas, pero que lleven a cabo una actividad mercantil o profesional, que ha sido ya
enjuiciado y resuelto por esta misma Sala en ocasiones anteriores (SAN 29-3-06
Rec. 348/2004, de 10 de septiembre de 2009 (rec.89/2008) por todas).
Para ello es imprescindible recordar algunas de las consideraciones de la STC
292/2000, de 30 de noviembre , que establece que (FJ 6º) el objeto de protección del
derecho fundamental a la protección de datos no se reduce solo a los datos íntimos
de la persona sino a cualquier tipo de datos personales, sean o no íntimo, cuyo
conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no
fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está
el art. 18.1 CE (6 ), sino los datos de carácter personal. Por consiguiente, también
alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser
accesibles al conocimiento de cualquiera, no escapan al poder de disposición del
afectado, porque así lo garantiza su derecho a la protección de datos (pues) los
datos amparados son todos aquellos que identifiquen o permitan la identificación de
la persona pudiendo servir para la confección de su perfil ideológico, racial, sexual,
económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en
determinadas circunstancias constituye una amenaza para el individuo.
No puede concluirse, por tanto, que los empresarios individuales y profesionales
estén en su conjunto excluidos del ámbito de protección de la LOPD, sino que se
hace necesario diferenciar (y la línea divisoria es confusa y difusa) cuando un dato
del empresario o profesional, se refiere a la vida privada de la persona y cuando a la
empresa o profesión, pues solo en el primer caso cabe aplicar la protección de la LO
15/1999. Labor de diferenciación que puede basarse en dos criterios distintos y
complementarios:
Uno, el criterio objetivo de la clase y la naturaleza de los datos tratados, según estén
en conexión y se refieran a una esfera (la íntima y personal) o a otra (la profesional)
de la actividad. Otro, el de la finalidad del tratamiento y circunstancias en que éste se
desarrolla, criterio éste que operaría en aquellos casos en que alguno de los datos
profesionales coincida con los particulares (por ej. coincidencia de domicilio privado
con el de la empresa, o cuando no se pueda acreditar si una deuda es de la empresa
o si es personal del interesado).
Acorde con dicha doctrina, y haciendo hincapié en que la LOPD tiene por objeto
garantizar y proteger los datos personales entendiendo por tales, ex artículo 3.a) de
dicha Ley "cualquier información concerniente a persona física identificadas o
identificables" esta Sala ha considerado, en ocasiones anteriores en que se ha
planteado la misma controversia, que dicha Ley sí ampara los datos personales de
6
los profesionales del mercado de la construcción (arquitectos) en la sentencia de 2111-2002 (RJCA 2003, 40) (Rec. 881/2000 ).Y también en la sentencia de 25-6-2003,
Rec. 1099/2000), entendimos incluidos en el ámbito protector de la Ley los datos
personales de particulares que actuaban como promotores en la construcción de su
propia vivienda. Además, en nuestra sentencia de 11-2-2004 (RJCA 2004, 421) (Rec.
119/2002) y ya bajo la vigencia de la actual LOPD, hemos entendido que el dato del
afectado, aunque se refería al lugar de ejercicio de su profesión (un despacho de
abogados) era un dato de una persona física con una actividad profesional cuya
protección caía en la órbita de la Ley Orgánica 15/1999 "pues los datos personales
son predicables de todos los ciudadanos, sin que puedan excluirse de dicha
previsión los relativos a aquellos que realizan una profesión, pues el ejercicio de esta
actividad no puede ser equiparado a estos efectos a la de una empresa, como
parece mantener el recurrente".
Interesa también destacar, la SAN 1406/2012, de 15 de marzo de 2012, en cuyo FJ2
se recoge la doctrina sentada por el Tribunal Supremo, entre otras, en su Sentencia
de 9 de mayo de 2007, que señala lo siguiente:
"Y, por otra parte, pocas dudas ofrece la consideración de las circunstancias de
identidad personal de los profesionales individuales como datos objeto de protección
legal, pues, como indica su exposición de motivos, se trata de proteger la privacidad
como concepto más amplio que el de intimidad, en tanto que esta protege la esfera
en que se desarrollan las facetas más singularmente reservadas de la vida de la
persona -el domicilio, las comunicaciones...-, mientras que la privacidad constituye
un conjunto más amplio de facetas de la personalidad que, aisladamente
consideradas, pueden carecer de significación intrínseca pero que, coherentemente
enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del
individuo que éste tiene derecho a mantener reservado. Subjetivamente el ámbito de
la LORTAD, como señala la sentencia recurrida, se concreta a los datos de las
personas físicas, así resulta de los arts. 2.1 y 3 de la misma, señalando este último
que se entenderá por datos de carácter personal "cualquier información concerniente
a personas físicas identificadas o identificables"; en el mismo sentido se expresa la
Directiva 95/46 /CE del Parlamento Europeo y del Consejo, relativa a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, en cuyo art. 2.a) define como "«datos personales»: toda
información sobre una persona física identificada o identificable (el «interesado»); se
considerará identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un número de identificación o uno o varios
elementos específicos, característicos de su identidad física, fisiológica, psíquica,
económica, cultural o social".
Es claro que los Arquitectos y Promotores a que se refiere el litigio participan de la
naturaleza de personas físicas y que no dejan de serlo por su condición de
profesionales o agentes que intervienen en el mercado de la construcción, por lo que
los datos personales relativos a los mismos, quedan amparados sujetos en cuanto a
su tratamiento informatizado a las previsiones de la LORTAD; y es que desde este
punto de vista subjetivo la exclusión del ámbito de aplicación de la LORTAD no viene
determinado por el carácter profesional o no del afectado o titular de los datos objeto
de tratamiento, sino por la naturaleza de persona física o jurídica titular de los datos,
en cuanto sólo las personas físicas se consideran titulares de los derechos a que se
refiere el art. 18.4 de la Constitución .
7
Por ello, la argumentación que la parte recurrente efectúa en relación con el carácter
empresarial de la actividad desarrollada por los profesionales y en particular los
Arquitectos y promotores a que se refiere el litigio, carece de virtualidad a los efectos
de excluir el tratamiento de sus datos personales del ámbito de aplicación de la
LORTAD, pues ello no priva ni altera la naturaleza de tales datos en cuanto
conciernen a dichas personas físicas. Para que el planteamiento de la parte resultara
determinante de la exclusión sería preciso acreditar que la intervención en el
mercado se produce como persona jurídica, haciendo uso de las distintas
posibilidades que el ordenamiento establece al efecto (Sociedad, Empresa,...) y que
los datos en cuestión vienen referidos a dicha persona jurídica, que no es el caso.
La postura de la recurrente, como ya señaló la Sala de instancia, llevaría a excluir de
la aplicación de la LORTAD, el tratamiento de los datos personales de cualquier
profesional por el sólo hecho de participar en el mercado de bienes o servicios
correspondiente, privando a tales ciudadanos del amparo y tutela del derecho que les
reconoce el art. 18.4 de la Constitución y en contra de las previsiones de la referida
Ley Orgánica, que ampara el tratamiento informatizado de los datos concernientes a
las personas físicas.
Otra cuestión será determinar en cada caso y bajo el amparo y aplicación de la
LORTAD, el carácter personal o no del dato de que se trate, que en este caso y
como se ha indicado antes no puede ponerse en duda, pues se refiere al nombre,
profesión, domicilio y demás circunstancias personales de los afectados, lo que es
distinto de las relaciones sociales o profesionales que, según doctrina del Tribunal
Constitucional invocada por la recurrente, no se comprenden en el derecho a la
intimidad”.
La Audiencia Nacional, en esta misma Sentencia de 15 de marzo de 2012, se remite
a la SAN, Sec. 1ª, de 14 de febrero de 2007, cuando señala que "Si cualquier persona
física tiene derecho a la protección de los datos personales, no parece que puedan ser
excluidos de tal protección los datos personales de todas aquellas personas física que,
obviamente conservando tal condición, también tengan la condición de profesionales, pues
la adicción de esta circunstancia no les priva de sus derechos como ciudadanos, salvo que
estos profesionales organicen su actividad bajo fórmulas mercantiles y que se acredite que
los datos eran ajenos a su esfera privada y ostentaban una clara vinculación con la actividad
mercantil".
De la doctrina y jurisprudencia ahora señaladas, pueden extraerse las siguientes
CONCLUSIONES:
-
La protección conferida por la normativa de protección de datos no es aplicable a
las personas jurídicas. Por lo tanto, los ficheros del Departamento consultante
que contengan datos de personas jurídicas no están sometidos a la normativa de
protección de datos, ni en consecuencia, a los principios, garantías y
obligaciones que establece la LOPD, referidos, entre otros, a la necesidad del
consentimiento del afectado para el tratamiento de sus datos y la cesión de los
mismos; al deber de secreto; a la creación del fichero por disposición de carácter
general publicada en el boletín y a su notificación a la AVPD para su inscripción,
etc.).
-
Tampoco están sometidos a la normativa de protección de datos, los ficheros
que contengan datos de empresarios individuales en su condición de tales,
vinculados a su actividad mercantil o industrial, y claramente separados de su
8
esfera personal. Ahora bien, esa exclusión sólo opera si los datos de los
empresarios individuales se utilizan en el ámbito de esa actividad.
-
Cuando no sea posible diferenciar la actividad profesional de su actividad
privada, los datos del empresario individual deben estar sometidos a la LOPD
-
Asimismo, en los casos en que sea dificultoso separar los datos referidos
exclusivamente a la condición de empresario de los referidos a la vida personal,
se considera conveniente igualmente incluir el tratamiento de sus datos en el
ámbito de protección de la normativa de protección de datos.
-
En el caso de que el tratamiento de los datos del empresario individual y su
cesión se realice fuera de la relación comercial o administrativa, para una
finalidad distinta de la que motiva su recogida, ese tratamiento estará
plenamente protegido por la normativa de protección de datos de carácter
personal. Ello implica que esos datos no podrán cederse de manera
indiscriminada, sino en los términos y con los límites que marca la LOPD.
-
El tratamiento de los datos de los profesionales que no ejercen su actividad bajo
forma de empresa, está también sujeto a la LOPD.
En definitiva, no es posible ofrecer una solución unívoca a la cuestión planteada por
el Departamento consultante. Debe ser el propio Departamento, con su
conocimiento experto sobre el ámbito sectorial en el que actúa sus competencias, el
que analice la tipología y naturaleza de los datos tratados en cada de uno de sus
ficheros, así como la finalidad del tratamiento y circunstancias en que se desarrolla,
y en función de ello, y aplicando los criterios señalados, determine aquellos ficheros
y tratamientos que están excluidos del ámbito de la LOPD.
Vitoria-Gasteiz, 14 de abril de 2014
9
Descargar