A lo largo de la vida de la Ley Orgánica 15/1999 de Protección de Datos de Carácter personal (LOPD), así como en su Reglamento de desarrollo (RLOPD), las personas jurídicas, los empresarios individuales y las “personas de contacto” han sido excluidos del ámbito de aplicación o protección la ley, con algunas salvedades. Ahora bien, con el nacimiento del nuevo Reglamento Europeo de Protección de Datos (Reglamento UE 679/2016) la situación ha cambiado, este cambio ha sido secundado por el Anteproyecto de Ley Orgánica de Protección de Datos.
Comencemos por analizar la situación actual. La Ley Orgánica de Protección de Datos y su Reglamento de desarrollo parecen excluir del ámbito de protección de la ley a los empresarios individuales. El artículo 2.3 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RLOPD), dice:
“los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal”.
Además en las propias definiciones, que se contienen en el artículo 3 de la Ley Orgánica 15/1999 dice: “A los efectos de la presente Ley Orgánica se entenderá por: a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.”
Como podemos observar, en ambas normas se excluye a las personas jurídicas, tanto expresamente en el Reglamento de desarrollo, como tácitamente en la Ley Orgánica al no contemplarse la persona jurídica en la definición de dato de carácter personal.
Por su parte la Agencia española de Protección de Datos ha venido creando una “doctrina” en la que efectivamente se excluyen a las personas jurídicas y los empresarios individuales.
En su Resolución de 27 de febrero de 2001 se expone: “… la protección conferida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, no es aplicable a las personas jurídicas, que no gozarán de ninguna de las garantías establecidas en la Ley, y por extensión lo mismo ocurrirá con los profesionales que organizan su actividad bajo la forma de empresa (ostentando, en consecuencia la condición de comerciante a la que se refieren los artículos primero y siguientes del Código de Comercio) y con los empresarios individuales que ejercen una actividad comercial y respecto de las cuales sea posible diferenciar su actividad mercantil de su propia actividad privada, estando en el primer caso excluidos también del ámbito de aplicación de la Ley Orgánica 15/1999.”
Otro de los supuestos más comunes son los correos corporativos, ¿son datos personales? Pues bien la Agencia Española de Protección de Datos (AEPD) entiende que si la dirección de correo electrónico, permite identificar a la persona física que hay detrás sin un esfuerzo desmesurado o desproporcionado, se debe de considerar un dato de carácter personal, en cambio si de la dirección de correo electrónico no se deduce la identidad de la persona física que hay detrás, no estará bajo el amparo de la Ley Orgánica de Protección de Datos.
La nueva legislación europea, no hace referencia a la expresa exclusión del ámbito de protección de esta norma. Por ello se puede considerar como incluidos en el ámbito de protección al no ser excluidos expresamente. Únicamente se hace mención en el considerando 14 de dicho Reglamento Europeo: “El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica, y sus datos de contacto.”
En este punto es en el que se abre el debate. Cuando el Reglamento hace referencia a “y sus datos de contacto” ¿Se refiere a los datos de contacto de la persona jurídica? ¿Estarían incluidos los datos de contacto de los trabajadores?
Actualmente no se tiene una repuesta firme que zanje el debate, tendremos que esperar a que esta normativa cree doctrina y vaya dilucidando todos aquellos conceptos que aún quedan por ser aclarados.
Es posible que el Anteproyecto de Ley Orgánica sí que tenga una respuesta, aunque hasta que no se apruebe no se puede afirmar con rotundidad. En el artículo 12 del Anteproyecto se dice:
1. Se entenderá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos: a) Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional. b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
Como se puede observar parece ser que el legislador español opta por regular este concepto y establece en los requisitos necesarios para considerar si entra dentro de la protección de la legislación o si se excluye.
Eduardo Martínez
