La autora comenta el reciente Informe de la Agencia Española de Protección de Datos referente a la aplicación de la legislación de protección de datos a empresarios individuales y "personas de contacto" tras la aprobación del nuevo Reglamento de desarrollo de la LOPD.
Tras la polémica levantada por la redacción de los artículos 2.2. y 2.3. del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, RDLOPD, la Agencia Española de Protección de Datos, AEPD, ha emitido un informe exponiendo su interpretación a estos preceptos. A continuación resumimos las principales conclusiones del mismo.
El artículo 2.3 del RDLOPD, dispone que quedan excluidos de su ámbito de aplicación "los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal".
Las conclusiones de la AEPD a este respecto, las podemos resumir diciendo que cabrá considerar que la legislación de protección de datos no es aplicable a los empresarios individuales en los supuestos en los que sus datos sean sometidos a tratamiento haciendo referencia únicamente al mismo en su condición de comerciante, industrial o naviero; es decir, en relación con su actividad empresarial.
Esto es, el uso de los datos deberá quedar limitado a las actividades empresariales; es decir, el sujeto respecto del que pretende llevarse a cabo el tratamiento es la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido. Por el contrario, si la utilización de dichos datos se produjera en relación con un ámbito distinto quedaría plenamente sometida a las disposiciones de la LOPD.
Por su parte, el artículo 2.2 del RDLOPD dispone que "este Reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales".
En este caso, es necesario que el tratamiento del dato de la persona de contacto sea accesorio en relación con la finalidad perseguida. Esto se materializará mediante el cumplimiento de dos requisitos, en primer lugar, que los datos tratados se limiten efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Por este motivo, el Reglamento impone que el tratamiento se limite a los datos de nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales.
En segundo lugar, que la finalidad que justifica el tratamiento de esos datos de contacto sea meramente accidental o incidental respecto de la verdadera finalidad perseguida por el tratamiento, que ha de residenciarse no en el sujeto, sino en la entidad en la que el mismo desarrolla su actividad o a la que aquél representa en sus relaciones con quienes tratan los datos.
