LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 03:07:03

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

Datos profesionales: ¿datos personales?

Abogado de ECIJA

Tras unos años de relativa calma en lo que al tratamiento de los datos profesionales de contacto se refiere, la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD) supone de nuevo un escollo a su libre tratamiento. A lo largo de los años, la consideración de estos datos como “datos personales” susceptibles de protección ha ido variando.

Una @ con un candado

Originalmente, la Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de carácter personal (LORTAD), aprobada en el año 1992, y su reglamento de desarrollo, del año 1999, no contenían ninguna referencia específica en relación con el tratamiento de los datos de contacto profesionales y, por tanto, les eran de aplicación los mismos requisitos que para cualesquiera otros datos personales. Esto provocaba la necesidad de informar al interesado del tratamiento de estos datos, cuando no de requerir su consentimiento, a excepción de los casos, legalmente previstos, en que hubiera una relación contractual o negocial, en los que "bastaría" con informar.

Ahora bien, esta norma afectaba, como su propia denominación indica, solo al tratamiento automatizado de los datos, por lo que la información facilitada en papel, como el intercambio de tarjetas, quedaba libre de estas obligaciones. Sin embargo, cualquier tratamiento por medios digitales conllevaba cumplir con las obligaciones expuestas.

Con la aprobación en el año 1999 de la Ley Orgánica de Protección de Datos (LOPD) esta situación empeoró, ya que esta norma sí afectaba tanto al tratamiento automatizado con el no automatizado.

Así las cosas, el mero intercambio de tarjetas entre dos profesionales ya sí implicaba, de acuerdo con la normativa, la necesidad de informar a la otra parte de las condiciones del tratamiento de sus datos personales, lo que en la práctica suponía un freno relevante al tratamiento de este tipo de información y más aún al intercambio de la misma, dado que comunicar estos datos a un tercero era considerado como una cesión de datos personales, que requería de consentimiento.

Esto conllevaba que, fuera de los supuestos en que ya existiese una relación contractual o negocial, no se podrían conservar los datos personales de un potencial cliente o proveedor en tanto no contásemos con su consentimiento (de un modo en que pudiera acreditarse), ni tampoco facilitar sus datos en caso de que alguien los solicitase.

Este exceso de celo perjudicaba a los propios titulares de los datos a los que se pretendía proteger, ya que el interés de los profesionales es que sus datos de contacto circulen libremente y que cualquiera que tenga interés en la prestación de sus servicios pueda hacer uso de los mismos, así como comunicarlos a cualquier tercero con esta misma finalidad.

Consciente de esta problemática, si bien ocho años después de la entrada en vigor de la LOPD, con la aprobación del Reglamento de desarrollo de la LOPD(RLOPD), el legislador español vino a facilitar las cosas, excluyendo expresamente el tratamiento de datos profesionales del ámbito de aplicación de la ley.

El cauce normativo era bastante discutible, por cuanto que a través de un reglamento de desarrollo se retiró la protección a un tipo de datos que, inicialmente, sí estaban dentro del ámbito de aplicación de la Ley Orgánica. El caso es que, quizás porque la excepción beneficiaba a los propios excluidos, nunca llegó a recurrirse su contenido.

La exclusión era limitada y dio lugar a una problemática constante sobre las situaciones en las que se consideraba que se estaba haciendo un uso personal pero, con todo, desde su aprobación hasta la fecha actual, ha sido un valiosísimo mecanismo para facilitar la comunicación de este tipo información, al no ser necesario observar obligaciones específicas para su tratamiento.

Con la plena exigibilidad del RGPD, el próximo 25 de mayo de 2018, desaparecerá la excepción comentada, con lo que de nuevo el tratamiento de estos datos deberá realizarse informando a los titulares de las condiciones del mismo y, en principio, pidiendo su consentimiento, salvo en los casos expresamente previstos, entre los que, además de los ya conocidos (la ejecución de un contrato o la aplicación de medidas precontractuales), se incluye ahora "la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero".

Y es con respecto a este último supuesto donde parece que se abre una pequeña ventana al optimismo, salvando así la necesidad de pedir el consentimiento para el tratamiento de este tipo de datos.

En este sentido, el anteproyecto de la nueva LOPD contiene un artículo 12 relativo al "Tratamiento de datos de contacto y de empresarios individuales", conforme al cual:

1. Se entenderá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:

a) Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional.

b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

2. El mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas".

Está por ver que el texto final recoja esta misma redacción, que bien podría ser mejorada. No obstante, parece que esta excepción a la necesidad de consentimiento podría ser alegada aun cuando este artículo no se incluya finalmente, puesto que todo parece indicar que la Agencia Española de Protección de Datos, tan implicada en la redacción de este Anteproyecto, es proclive a esta interpretación.

Con todo, ha de enfatizarse que no estamos como anteriormente ante una excepción del ámbito de aplicación de la norma: se trata de una excepción a la necesidad de contar con el consentimiento de los interesados. Por ello, para adelantarse a la futura obligatoriedad del cumplimiento del deber de informar, es muy recomendable que los responsables de tratamiento vayan diseñando y poniendo en práctica protocolos para dar cumplimento a esta obligación, en orden a que el próximo 25 de mayo de 2018 puedan acreditar haber cumplido con la obligación de informar a aquellos profesionales incluidos en sus bases de datos de las condiciones aplicables al tratamiento de sus datos "personales".

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.