El Informe 55/2007 de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la conformidad de la comunicación de datos identificativos de compradores a la empresa productora de un producto defectuoso, con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. La consulta se plantea en el contexto de la necesidad de retirar productos que presentan un fallo en sus condiciones de estanqueidad, lo que podría causar daños a las personas.
La transmisión de datos en este caso se considera una cesión o comunicación de datos de carácter personal, según el artículo 3 i) de la Ley Orgánica 15/1999. El artículo 11.1 de la misma ley establece que los datos solo pueden ser comunicados a un tercero con el previo consentimiento del interesado, salvo que una norma con rango de ley lo permita o cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica.
La Ley 26/1984, General para la Defensa de los Consumidores y Usuarios, y su desarrollo mediante el Real Decreto 1801/2003, de Seguridad General de los Productos, imponen obligaciones a los productores y distribuidores para garantizar la seguridad de los consumidores. Estas normativas establecen que los productores deben retirar o suspender productos que supongan un riesgo para la salud o seguridad de las personas, y deben adoptar medidas para informar a los consumidores y retirar los productos del mercado.
En el caso concreto, se ha detectado un defecto en un producto que puede causar daños, y se ha procedido a su retirada del mercado. Sin embargo, para retirar los productos ya adquiridos, el distribuidor solicita al productor los datos de los adquirentes. La AEPD considera que esta comunicación de datos es necesaria para el adecuado mantenimiento, seguimiento y control de la relación jurídica generada por la adquisición del producto defectuoso.
La relación jurídica entre el consumidor y el distribuidor no se extingue con la adquisición, ya que existen deberes legales que deben cumplirse posteriormente para garantizar la seguridad del consumidor. Por lo tanto, la cesión de datos se encuentra amparada por el artículo 11.2 c) de la Ley Orgánica 15/1999, que permite la comunicación de datos sin consentimiento cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo implique necesariamente el tratamiento con ficheros de terceros.
En conclusión, la AEPD determina que la comunicación de los datos identificativos de los compradores al productor del producto defectuoso no incurre en infracción alguna, ya que está justificada por las obligaciones legales de garantizar la seguridad de los consumidores y la retirada de productos defectuosos.