Datos excluidos del Reglamento de desarrollo de la LOPD
La pasada semana, la AEPD aclaró una importante duda que suscitó la publicación en el BOE (que entrará en vigor el próximo 19 de abril) del nuevo Reglamento de desarrollo de la LOPD, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.
La respuesta a la consulta dada por el Gabinete Jurídico del mencionado organismo hace referencia, en concreto, a los apartados 2 y 3 del artículo 2 del Reglamento.
Respecto al apartado 2.2, éste establece que:
“Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”.
De este modo, cualquier tratamiento que contenga datos adicionales a los citados, como pudiera ser el número de DNI o la IP, se encontrará sometido a la LOPD por exceder de lo meramente imprescindible para identificar al sujeto como contacto para con otra empresa (B2B).
Junto con ello, se ha de cumplir con el requisito de que el tratamiento de los datos de la persona de contacto sea meramente accesorio respecto de la verdadera finalidad perseguida por el tratamiento, que no será otra que el mantener contacto con su empresa.
Respecto al apartado 2.3, éste establece que:
“[…] los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal”.
Según interpreta la AEPD, los datos referidos a los empresarios individuales y que aparecen exclusivamente ligados a su actividad comercial o que identifican, aún con su nombre y apellidos, un determinado establecimiento o la marca de un determinado producto o servicio no se encuentran sometidos a la LOPD (comúnmente conocido como una relación B2B).
Sin embargo, la LOPD sí aplicará en el supuesto de que se traten los datos del comerciante con la finalidad de conocer la información del propio sujeto o consumidor individual (B2C).
Accede al texto de la resolución en PDF aquí.
Marzo 6th, 2008 at 13:10
Entiendo que con estas exclusiones, la mayoría de los ficheros denominados y declarados como ‘proveedores’ desapareceran, pues una empresa no puede contratar servicios a un persona física. Normalmente los profesionales autónomos que suele tener una empresa como proveedorees eran cArpinteros, electricistas, transportistas , informáticos etc), que entiendo ahora no estan afectados por el reglamento de la LOPD.
Marzo 6th, 2008 at 14:00
Buenas Miguel Ángel,
Pero mi duda vuelve a ser la misma que les plantee el otro día a la propia Agencia.
El hecho de que se diga en el 2.2 que no es de aplicación el reglamento, exime también de las obligaciones dispuestas en la Ley, como por ejemplo la notificación de fichero…?
Date cuenta que en el 2.2 dice concretamente ” Este reglamento no será de aplicación…” y en el 2.3 dice “excluidos del régimen de aplicación de la protección de datos de carácter personal”
Si en el caso del 2.2 también estuviera excluida la aplicación de la LOPD, no sería más razonable haber puesto lo mismo que para el 2.3…?
Un saludo y gracias como siempre.
Marzo 8th, 2008 at 5:02
Lamento no poder aportar nada interesante a esta cuestión, por varios motivos: son las 4 de la madrugada y estoy estudiando precisamente la LOPD.
Me ha sorprendido gratamente meterme al correo para ver los resumenes y encontrarme una noticia de Miguel Angel Mata, que nos dio clase el otro día en el Master…..
Espero que lo publicado me sirva para el examen….bueno me despido que solo queria saludarte.
PD Alonso Hurtado,espero que te solucionen las dudas….
Marzo 9th, 2008 at 16:16
Miguel Angel que interesante post!!!!! Habrá que analizarlo detenidamente.
Por otro lado, quiero agradecerte por el comentario que dejaste en mi blog, y te pido disculpas no haberte respondido inmediatamente.
Aunque ya es tarde, si te sirve te digo mi posición respecto a los consumidores de HD DTV; a mi parecer, en estos casos no creería que prospere ninguna acción de las asociaciones de consumidores, pues deberían primar -en este caso- los vaivenes del mercado. Es una batalla económica, que el consumidor asume al comprar un reproductor que está en competencia con otro. Mas, teniendo en cuenta el tipo de tecnología de la que hablamos. El riesgo lo adquiere tanto el comprador como en este caso Toshiba.
Saludos,
Alejandro
Marzo 10th, 2008 at 17:43
¿Estás seguro que no prosperaría? Yo no lo tengo tan claro…
Coincido contigo en que el fabricante no debe responder ante los consumidores si, como ocurre en este caso, pierde la batalla frente al Blue Ray, el formato que se impondrá al DVD. Sin embargo, mi protesta va más por el número de HD-DVD que se hayan podido vender aún sabiendo que dejarían de pelear contra Blue Ray.
El artículo 18 de la nueva Ley General para la defensa de los Consumidores y Usuarios establece, respeto a la presentación de bienes y servicios, que ésta no deberá inducir a error al consumidor sobre las características del bien o servicio y, en particular, sobre su naturaleza, identidad, cualidades, composición, cantidad, duración, origen o procedencia y modo de fabricación o de obtención.
¿No consideras que tenemos derecho, como consumidores, a conocer que un producto dejará de fabricarse antes de proceder a su compra? En cierto modo, ¿no está el fabricante o distribuidor induciendo a la compra para vende el stock sobrante?.
Un saludo,
Miguel A. Mata
Marzo 10th, 2008 at 17:47
Buenas tardes, Anastasia,
siento que hayas tenido que estudiar hasta altas horas y sobre todo una materia tan “sencilla” como la protección de datos. Y digo sencilla entre comillas porque, a pesar de ser poco cambiante incluso con la entrada en vigor del Reglamento de desarrollo de la LOPD, hay que estar al tanto de las interpretaciones que nuestra “querida” Agencia hace de la norma. Algunas las hemos comentado por aquí y carecen de lógica alguna…
Un saludo,
Miguel A. Mata
Marzo 10th, 2008 at 17:51
Buenas tardes, Alonso,
no me extraña en absoluto que sigas con dudas tras una pormenorizada lectura del Reglamento. Pero en mi opinión, a la vista de la consulta resuelta por el Gabinete Jurídico de la AEPD, los ficheros destinados a relaciones B2B estarían excluidos del ámbito de aplicación de la LOPD. Así lo manifiesta la Agencia en el citado documento. Por tanto, tampoco será necesario inscribirlo en el Registro General de la AEPD ni aplicarle medida de seguridad alguna.
Un saludo,
Miguel A. Mata
Marzo 10th, 2008 at 18:17
Buenas tardes, Josep Mª,
efectivamente considero que tienes razón. Según la interpretación del Gabinete Jurídico de la AEPD, los ficheros que se mantengan para relaciones B2B estarán excluidos del ámbito de aplicación de la LOPD. Sin embargo, ¿quién puede estar seguro al 100% de que no se le ha colado un registro que contenga un dato de carácter personal personal?. Recordemos que los datos para que un fichero sea considerado B2B están tasados, por lo que si se nos cuela alguno adicional, da por seguro que la AEPD entenderá que a ese fichero le será de aplicación la LOPD y el Reglamento.
Ese es el principal problema que observo y tomando en consideración la cuantía de las multas a la que todos estamos expuestos, entiendo que en esta materia “hombre precavido, vale por dos”.
Un saludo,
Miguel A. Mata
Marzo 11th, 2008 at 16:09
Buenas tardes Miguel
Estoy de acuerdo contigo con que es mejor ser precavido en este caso.
De todos modos cuando dices que los datos para que un fichero B2B están tasados ¿A que te refieres? ¿Me podrías indicar dónde puedo encontrar estos datos ?
Saludos cordiales
Marzo 11th, 2008 at 16:40
Buenas tardes, Josep Mª,
tal y como establece el art. 2.2 del Reglamento que desarrolla la LOP, éste no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en:
- nombre y apellidos,
- puesto que ostenta en la compañía,
- dirección postal o electrónica (cuidado porque éstas podrían considerarse excluyentes la una de la otra),
- nº de teléfono profesional (podría incluir, en mi opinión, el nº de teléfono móvil facilitado por la empresa en lugar del teléfono fijo),
- nº de fax profesional.
Cualquier dato adicional o distinto a los mencionados con anterioridad (ejm: DNI o teléfono particular) implicará que ese registro y, por ende, el fichero en el que se incluya caerá dentro del ámbito de aplicación del Reglamento y de la LOPD.
Un saludo,
Miguel A. Mata
Marzo 12th, 2008 at 17:51
Yo quería preguntar lo siguiente: si esos ficheros de contactos estarán fuera del ámbito de la LOPD a partir del 19 de abril ¿por qué la agencia mantiene un fichero de contactos?:
“Mantenimiento de una agenda con los datos de los representantes de medios de comunicación e instituciones públicas y privadas nacionales e internacionales con las que la agencia mantiene relaciones institucionales a fin de realizar el envió de publicaciones y comunicaciones convocar actos y gestionar las relaciones institucionales y protocolo”.
Otra cosa: en caso de tener ficheros donde también se tenga el dato del DNI (persona contacto persona jurídica), si es necesario para la relación B2B…¿también queda excluido?. Según esto quizá la mitad de los ficheros declarados de clientes y proveedores tendrán que darse de baja-
Un saludo,
Cristina Martínez
Pd: Debo decir que es la primera vez que accedo a este blog y lo he visto muy interesante.
Marzo 14th, 2008 at 18:05
Hola Miguel
DNI de un profesional independiente.
No me queda claro el tema de los datos tasados para B2B según la LOPD. Si realiza algún trabajo para mi un profesional independiente en el régimen de autónomos deberé tener su DNI para registrar la factura. En este caso el DNI es un dato que no esta mencionado en esta lista pero que para mi es necesario. ¿ Los datos de este profesional estan sujetos a la LOPD ?
Abril 14th, 2008 at 18:07
Buenas tardes
Hay un tema que no me queda claro, y del cual me gustaria conocer vuestra opinion. ¿que ocurre con la firma digitalizada que se recoge en algunos comercios? Parece que la tendencia es que mas comercios van a empezar a recogerla, debido al ahorro que supone el no tener que estar con el papel impreso todo el día, y las ventajas de almacenarlo electronicamente.
La BBDD donde se almacena dicha firma ¿Debe inscribirse en la LOPD?, porque parece un dato tan inócuo como el nombre y los apellidos, que están excluidos……….
Un saludo
Jesús
Abril 14th, 2008 at 18:24
Buenas tardes, Jesús,
se excluyen del ámbito del nuevo Reglamento sólo algunos datos imprescindibles (nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales) para relaciones B2B.
Si las relaciones que comentas van referidas, como he creído entender, a relaciones B2B (entre proveedores y distribuidores es habitual utilizar la firma digitalizada), al recogerse datos adicionales a los especificados por el Reglamento (en este caso la propia firma digitalizada), efectivamente se hace necesario la inscripción del fichero en el Registro General de la AEPD.
Respecto a las relaciones B2C, pongo en tu conocimiento una Resolución de la AEPD (PDF) respecto al tratamiento automatizado de la firma digitalizada por parte de un comercio y su consideración como dato de carácter personal.
Un saludo y espero haber resuelto tu duda,
Miguel A. Mata
Mayo 26th, 2008 at 19:53
Quisiera saber si también quedan excluidos los ficheros que los medios de comunicación tienen con ingentes cantidades de imágenes (dato personal), así como aspectos que pertenecen a la vida privada de la persona objeto de la información publicada. Qué prevalece? derecho a la información o derecho a la protección de datos personales? y en base a qué precepto o senetencia? Gracias.