Data privacy

Los datos de contacto profesional bajo el RGPD

También, podrías estar interesado en

Los datos de contacto profesional bajo el RGPD

  • 01/08/2018
  1. Situación previa al RGPD

 

La LOPD actual, en su artículo 2.2, no contemplaba ninguna excepción que permitiese interpretar que los Datos quedaban excluidos del ámbito de aplicación de dicha ley.

No obstante, la aprobación del Real Decreto 1720/2007, de 21 de diciembre (en adelante, el “RD”), y en particular el contenido del artículo 2.3 RD, propició una interpretación favorable a la exclusión de los Datos del régimen de aplicación de la protección de datos de carácter personal.

En particular, dicho artículo indica que:

Los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal”.

Como consecuencia de lo anterior, y siguiendo el criterio manifestado por la propia Agencia Española de Protección de Datos –Informe 0177/2017-, para aplicar la referida exclusión era necesario que el tratamiento del dato de la persona de contacto fuese accesorio en relación con la finalidad perseguida.

Por ende, los Datos tratados debían limitarse efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios, de forma que el tratamiento debía limitarse a los Datos de nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales.

Los Datos se entendían como los meramente imprescindibles para identificar al sujeto en cuanto contacto de quien realiza el tratamiento con otra empresa o persona jurídica.

En palabras de la AEPD, “la finalidad del tratamiento debe perseguir una relación directa entre quienes traten el dato y la entidad y no entre aquéllos y quien ostente una determinada posición en la empresa. De este modo, el uso del dato debería dirigirse a la persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa finalidad.”

  1. Situación bajo el RGPD a partir del 25 de mayo 2018

 

La plena aplicación del RGPD supone un cambio de criterio en lo que venía siendo una interpretación favorable a la exclusión de los Datos del régimen de aplicación de la protección de datos.

Y ello principalmente por los siguientes motivos:

  • El RGPD no contiene ninguna excepción como la contemplada en el referido artículo 2.2 del RD;
  • El actual Proyecto de Ley Orgánica de Protección de Datos, en su artículo 19, incluye lo siguiente:

“1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1 f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:

a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.

b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.”

En consecuencia, de mantenerse dicho artículo cuando se apruebe definitivamente la nueva LOPD, el legislador español no mantendría la excepción que sí contemplaba el RD actual, antes referida.

Bien al contrario, el Proyecto de Ley se inclina por considerar que dichos Datos merecen la consideración de dato de carácter personal, ya que, a pesar de no exigir el consentimiento de dichas personas físicas cuando se cumplan con los requisitos indicados en dicho artículo, sí hace referencia a la posibilidad de recurrir al interés legítimo como base de tratamiento.

Con la remisión al artículo 6.1 f) del RGPD, el cual regula el “interés legítimo” como base jurídica de tratamiento, el legislador español estaría reconociendo que los datos de contacto deben entenderse dentro del ámbito de aplicación de la norma.

  1. Conclusiones

 

El hecho de considerar que un dato de contacto de persona física que preste servicios en una persona jurídica, deba ser considero como dato de carácter personal, obligaría al titular de una base de datos de contacto a cumplir con todas las medidas del RGPD y aplicar sobre dicha base de datos todas las medidas técnicas, organizativas y de seguridad que sean necesarias para cumplir con el nuevo marco normativo.

Entre dichas medidas, el responsable del fichero deberá informar a las personas afectadas sobre todos los aspectos incluidos en los artículos 13 y 14 del RGPD, en función de si los datos han sido obtenidos directamente del interesado o a través de un tercero.