Sin duda alguna, la aplicación del Reglamento General UE 2016/679 en materia de protección de datos personales, de 27 de abril de 2016 (en adelante, el “RGPD”), ha conllevado cambios de calado en cuanto a las obligaciones y responsabilidades que tanto responsables como encargados del tratamiento deben asumir con respecto a los tratamientos que en cada caso realicen.
Entre dichas novedades, cabe destacar el cambio de interpretación que hasta el momento se venía realizando sobre el concepto de “datos profesionales de contacto” (en adelante, los “Datos”) bajo la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos Personales (en adelante, la “LOPD”) y su normativa de desarrollo.
En primer lugar, analizaremos la interpretación sobre el concepto de Datos realizada con anterioridad a la aprobación del RGPD, para seguidamente exponer el cambio de criterio bajo el nuevo marco normativo.
La LOPD actual, en su artículo 2.2, no contemplaba ninguna excepción que permitiese interpretar que los Datos quedaban excluidos del ámbito de aplicación de dicha ley.
No obstante, la aprobación del Real Decreto 1720/2007, de 21 de diciembre (en adelante, el “RD”), y en particular el contenido del artículo 2.3 RD, propició una interpretación favorable a la exclusión de los Datos del régimen de aplicación de la protección de datos de carácter personal.
En particular, dicho artículo indica que:
“Los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal”.
Como consecuencia de lo anterior, y siguiendo el criterio manifestado por la propia Agencia Española de Protección de Datos –Informe 0177/2017-, para aplicar la referida exclusión era necesario que el tratamiento del dato de la persona de contacto fuese accesorio en relación con la finalidad perseguida.
Por ende, los Datos tratados debían limitarse efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios, de forma que el tratamiento debía limitarse a los Datos de nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales.
Los Datos se entendían como los meramente imprescindibles para identificar al sujeto en cuanto contacto de quien realiza el tratamiento con otra empresa o persona jurídica.
En palabras de la AEPD, “la finalidad del tratamiento debe perseguir una relación directa entre quienes traten el dato y la entidad y no entre aquéllos y quien ostente una determinada posición en la empresa. De este modo, el uso del dato debería dirigirse a la persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa finalidad.”
La plena aplicación del RGPD supone un cambio de criterio en lo que venía siendo una interpretación favorable a la exclusión de los Datos del régimen de aplicación de la protección de datos.
Y ello principalmente por los siguientes motivos:
“1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1 f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.”
En consecuencia, de mantenerse dicho artículo cuando se apruebe definitivamente la nueva LOPD, el legislador español no mantendría la excepción que sí contemplaba el RD actual, antes referida.
Bien al contrario, el Proyecto de Ley se inclina por considerar que dichos Datos merecen la consideración de dato de carácter personal, ya que, a pesar de no exigir el consentimiento de dichas personas físicas cuando se cumplan con los requisitos indicados en dicho artículo, sí hace referencia a la posibilidad de recurrir al interés legítimo como base de tratamiento.
Con la remisión al artículo 6.1 f) del RGPD, el cual regula el “interés legítimo” como base jurídica de tratamiento, el legislador español estaría reconociendo que los datos de contacto deben entenderse dentro del ámbito de aplicación de la norma.
El hecho de considerar que un dato de contacto de persona física que preste servicios en una persona jurídica, deba ser considero como dato de carácter personal, obligaría al titular de una base de datos de contacto a cumplir con todas las medidas del RGPD y aplicar sobre dicha base de datos todas las medidas técnicas, organizativas y de seguridad que sean necesarias para cumplir con el nuevo marco normativo.
Entre dichas medidas, el responsable del fichero deberá informar a las personas afectadas sobre todos los aspectos incluidos en los artículos 13 y 14 del RGPD, en función de si los datos han sido obtenidos directamente del interesado o a través de un tercero.
