La Agencia Española de Protección de Datos (AEPD) ha emitido un informe para clarificar la exclusión de los datos corporativos del ámbito de aplicación del nuevo Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
El artículo 2 del Reglamento, en sus apartados segundo y tercero, hace referencia a determinados supuestos que no gozarán de la protección establecida en la normativa de Protección de Datos. Así, los datos de las personas de contacto de las personas jurídicas y los datos de los empresarios individuales que se encuentren en poder del Responsable del Tratamiento, en los términos que a continuación se detallan, quedarán excluidos de la aplicación del Reglamento.
EMPRESARIOS INDIVIDUALES
La cuestión se plantea respecto de los empresarios individuales, en el marco del articulo 2.3 del Reglamento que dispone que “los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal”. La solución no puede ser terminante, sino que habrá que analizar caso por caso si el tratamiento de datos personales de empresarios individuales queda amparado o no por la normativa en materia de Protección de Datos.
El Informe emitido por la AEPD establece dos conclusiones sobre el alcance de lo dispuesto en el artículo 2.3 del Reglamento:
a) No se aplicará la LOPD a los tratamientos de datos de profesionales cuando éstos hagan referencia únicamente a su condición de comerciantes.
b) Los datos se tratarán exclusivamente a las actividades empresariales, no cabiendo en la excepción cualquier tratamiento en relación con un ámbito distinto.
PERSONAS DE CONTACTO DE LAS PERSONAS JURÍDICAS
El artículo 2.2 del Reglamento, establece que “este Reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”.
La AEPD viene señalando en sus informes y resoluciones que en estos supuestos en que el tratamiento del dato de la persona de contacto es meramente accidental en relación con la finalidad del tratamiento, puesto que realmente a quien nos estamos dirigiendo es a las personas jurídicas en las que el sujeto presta sus servicios, no serán de aplicación las obligaciones en materia de protección de datos.
Para que esta excepción se produzca se deberán cumplir dos requisitos:
a) Que los datos tratados se limiten efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios, es decir, nombre y apellidos, función o cargo, dirección postal o electrónica, teléfono y fax.
b) Que la inclusión de los datos de la persona de contacto sea meramente accidental o incidental respecto de la verdadera finalidad perseguida por el tratamiento. En otras palabras, que el uso del dato deba dirigirse a la persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa finalidad.
Como regla a seguir, la empresa deberá distinguir si el tratamiento de datos responde a relaciones “Business to Business” es decir, cuya finalidad es informar a la persona jurídica o, por el contrario, si la relación fuera “Business to Consumer”, siendo relevante el sujeto cuyo dato ha sido tratado como destinatario real de la comunicación y no sólo en cuanto a la posición ocupada. Será en el primer supuesto cuando sea de aplicación las excepciones dispuestas en el artículo 2.2 del Reglamento.
APLICACIONES PRÁCTICAS EN LAS EMPRESAS
Esta novedad del nuevo Reglamento, permite afrontar los tratamientos de datos de las personas de contacto, con mayor facilidad:
a) Valoración de la posibilidad de tener que notificar o no los ficheros de contactos, como son los de proveedores, clientes o los contactos comerciales.
b) Mayor facilidad de remisión de comunicaciones comerciales.
c) Flexibilización en las obligaciones de recogida de este tipo de datos.
Acceda al Informe: CLIC AQUÍ
Si desea más información sobre el nuevo Reglamento de Protección de Datos contacte con nuestros expertos .
13/Julio/08 at 6:25 pm
Buenas tardes, Lo primero gracias por sus interesantes artículos, mi consulta-reflexión es la siguiente: ¿Creen que con el nuevo RDLOPD (en particular el art. 2.2 y 2.3) se eliminan los ficheros clientes y proveedores de muchas empresas?
Para tomarme como ejemplo, yo que no tengo trabajadores y todos mis clientes y proveedores son empresas y/o autónomos, a mi entender, teniendo en cuenta los artículos mencionados en poco o en nada me aplicaría la LOPD, (no tendría obligación de inscribir ficheros, ni tener documento de seguridad, ni aplicar cláusulas de información ni de consentimiento, etc.), ya que los únicos datos que utilizo son los de personas de contacto de empresas y datos referentes a autonomos. ¿Qué opinan?
Gracias de antemano
Un afectuoso saludo.