El Informe 0042/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda diversas cuestiones relacionadas con la aplicación del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007. Este informe se centra en los apartados 2 y 3 del artículo 2 del Reglamento, que establecen excepciones a la aplicación de la protección de datos en ciertos casos.
El informe comienza señalando que el Real Decreto 1720/2007 no entrará en vigor hasta tres meses después de su publicación en el Boletín Oficial del Estado, lo cual ocurrió el 19 de enero de 2008. A continuación, se analiza el artículo 2.3 del Reglamento, que excluye del régimen de protección de datos a los datos relativos a empresarios individuales cuando se refieren a ellos en su calidad de comerciantes, industriales o navieros. Esta exclusión se basa en la interpretación que la AEPD ha mantenido en sus resoluciones e informes, según la cual la protección de datos no es aplicable a las personas jurídicas, sino solo a las personas físicas.
El informe destaca que la Ley Orgánica 15/1999 protege los datos de carácter personal de personas físicas, pero no de personas jurídicas. Sin embargo, en el caso de empresarios individuales, la situación es más compleja. Si la información se refiere a profesionales o comerciantes individuales que no han organizado su actividad bajo la forma de persona jurídica, la protección de datos sí es aplicable. En estos casos, se debe analizar cada situación específica para determinar si los datos están protegidos o no.
El informe también menciona la Sentencia del Tribunal Supremo de 20 de febrero de 2007, que reafirma que los datos personales de profesionales, como arquitectos y promotores, están sujetos a la protección de datos, independientemente de su condición profesional. Además, se señala que existen supuestos especiales que requieren un análisis concreto, como el tratamiento de datos de facturación de oficinas de farmacia, donde la identificación del establecimiento con la persona física no implica la aplicación de la Ley Orgánica 15/1999.
En cuanto a los ficheros de contactos en las empresas, el artículo 2.2 del Reglamento establece que no se aplicará a los tratamientos de datos referidos a personas jurídicas ni a los ficheros que contengan únicamente datos de personas físicas que presten servicios en aquéllas, como nombre, apellidos, funciones, dirección postal o electrónica, teléfono y número de fax profesionales. La AEPD ha mantenido que, en estos casos, la inclusión de datos identificativos de personas físicas es meramente accidental y no justifica la aplicación de la protección de datos.
El informe también aborda la seguridad de los datos de menores, señalando que el Reglamento establece medidas de seguridad clasificadas en tres niveles: básico, medio y alto, dependiendo del tipo de datos tratados. Estas medidas son independientes de si los datos corresponden a menores de edad o no.
Finalmente, el informe trata sobre los ficheros de log y ficheros de usuarios, indicando que estos no necesitan ser declarados por separado, ya que forman parte de otros ficheros ya declarados. En resumen, el informe proporciona una guía detallada sobre la aplicación de la protección de datos en diferentes contextos, destacando la necesidad de un análisis caso por caso y la importancia de las medidas de seguridad adecuadas.