¿Qué régimen se aplica a tratamientos de datos específicos?
Los tratamientos de datos personales tanto de contacto, de empresarios individuales y de profesionales liberales como relacionados con la realización de determinadas operaciones mercantiles están incluidos en el Título IV de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), relativo a disposiciones aplicables a tratamientos concretos, de manera que se establece cuál es la base de licitud.
En ambos casos esta condición de licitud para el tratamiento de los datos personales es el interés legítimo. Sobre esta cuestión, el Consejo de Estado en su dictamen 757/2017, de 30 de octubre de 2017, sobre el anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, indicaba que la licitud de este tipo de tratamientos, conforme al Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, RGPD), se basa en la letra f) —intereses legítimos perseguidos por el responsable o por un tercero— y, en relación con este, señala también que el RGPDno habilita a los Estados miembros a desarrollar este supuesto, y la jurisprudencia viene señalando que una ponderación de intereses como la que impone este precepto debe realizarse en atención a las circunstancias particulares de cada caso concreto.
¿Cuál es el ámbito de aplicación de la normativa sobre protección de datos?
En relación con el tratamiento de datos personales relativos a personas de contacto, empresarios individuales y profesionales liberales, es preciso considerar que la normativa sobre protección de datos, en concreto el RGPD, como explica en su considerando 14, no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto. Cuestión distinta son los datos de contacto incluidos en una tarjeta de visita o los relativos a empresarios individuales o profesionales liberales.
En este sentido, el Tribunal de Justicia de la Unión Europea (TJUE), en la sentencia de 9 de noviembre de 2010, caso Volker und Markus Schecke y Eifert, asuntos acumulados C–92/09 y C–93/09, ha indicado que a diferencia de que el respeto del derecho a la vida privada en lo que respecta al tratamiento de los datos de carácter personal, reconocido por los artículos 7 y 8 de la Carta se aplica a toda información sobre una persona física identificada o identificable, en el caso de las personas jurídicas sólo pueden acogerse a la protección de los artículos 7 y 8 de la Carta [...] en la medida en que en la razón social de la persona jurídica se identifique a una o varias personas físicas.
En esta sentencia el TJUE se refiere a la jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH), en la que este último ha declarado a este respecto que los términos «vida privada» no debían interpretarse restrictivamente y que ninguna razón de principio permite excluir las actividades profesionales […] del concepto de «vida privada». Es así que el TJUE concluye que los titulares de los derechos fundamentales a la vida privada y a la protección de datos personales son las personas físicas, sin perjuicio de que, en cierta medida, las personas jurídicas pudieran «invocar los derechos reconocidos en los artículos 7 y 8 de la Carta».
También en este sentido, aunque referido a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos y a su Reglamento de desarrollo, la Agencia Española de Protección de Datos, en su informe jurídico 0652/2009, indicó que la información relativa a personas jurídicas quedará al margen de la aplicación de las normas de protección de datos.
No obstante, frente al criterio relativo a que el uso de los datos deberá quedar limitado a las actividades empresariales; es decir, el sujeto respecto del que pretende llevarse a cabo el tratamiento es la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido, se produce ahora un cambio, estableciéndose la condición de licitud para el tratamiento de estos datos personales, quedando sujeto en cualquier caso a la normativa sobre protección de datos el tratamiento de empresarios individuales y de profesionales liberales cuando no actúen en el tráfico jurídico, sino como personas físicas.
¿Cómo se deben tratar los datos de contacto, de empresarios individuales y de profesionales liberales?
El tratamiento de los datos de contacto, de empresarios individuales y de profesionales liberales se presumirá hecho, en el caso del sector privado, salvo prueba en contrario, sobre la base del interés legítimo perseguido por el responsable del tratamiento o por un tercero, en los términos y conforme a los requisitos previstos en el artículo 19 de la LOPDGDD.
En concreto, los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica, así como los relativos a los empresarios individuales y a los profesionales liberales, cuando en estos dos últimos casos se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas, podrán tratarse sobre la base del interés legítimo cuando se cumplan estos dos requisitos, relativos a los datos tratados y la finalidad del tratamiento:
- • Datos de contacto:
- — Datos tratados: que se refieran únicamente los que sean necesarios para su localización profesional, y
- — Finalidad del tratamiento: que sea únicamente para mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
- • Datos relativos a empresarios individuales y profesionales liberales:
- — Datos tratados: que se refieran a ellos únicamente en dicha condición;
- — Finalidad del tratamiento: que no se utilicen para entablar una relación con los mismos como personas físicas.
Cuando quienes traten los datos sean entidades del sector público, enumeradas en el artículo 77.1 de la LOPDGDD, ya sean responsables o encargados del tratamiento, la condición de legitimación podrá derivar del cumplimiento de una obligación legal o cuando sea necesario para el ejercicio de sus competencias.
¿Cuándo son lícitos los tratamientos de datos relacionados con determinadas operaciones mercantiles?
Estos tratamientos de datos personales estaban incluidos, bajo el título de supuestos especiales, en el artículo 19 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que indicaba que cuando se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de la obligación de informar al interesado.
En la LOPDGDD, los tratamientos de datos personales, incluidas la comunicación con carácter previo, que puedan derivarse operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, se presumirán lícitos siempre que fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.
En concreto, la licitud de dicho tratamiento de datos personales en estas operaciones mercantiles se basa en el interés legítimo perseguido por el responsable del tratamiento o por un tercero. Es decir, la licitud del tratamiento de datos personales va a depender en este caso de que sean necesarios para llevar a cabo la operación y de que se garantice la continuidad en la prestación de los servicios.
No obstante, si la operación mercantil no se concluyera, el apartado 2 del artículo 21 de la LOPDGDD indica que la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos, sin que sea de aplicación la obligación de bloqueo prevista en aquélla. Es decir, no se bloquearán los datos personales y se procederá, de inmediato, a su supresión o destrucción.
Recuerde que...
- • Queda excluida del ámbito de aplicación de la normativa sobre protección de datos la información relativa a personas jurídicas.
- • Los tratamientos de datos de contacto, empresarios individuales y profesionales liberales, así como los relacionados con determinadas operaciones mercantiles, se basan, salvo prueba en contrario, en el interés legítimo como condición de licitud.
- • Si la operación mercantil que da lugar a una comunicación previa no llega a concluirse, la entidad cesionaria procederá de inmediato, es decir, sin bloquear los datos, a su supresión.