El Informe Jurídico 0200/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda dos cuestiones principales relacionadas con el tratamiento de datos personales y la aplicación del Reglamento de desarrollo de la Ley Orgánica 15/1999.
En primer lugar, se analiza si es aplicable el artículo 2.2 del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por el Real Decreto 1720/2007, en los casos en que una entidad trate datos de un representante de otra entidad, incluyendo su Documento Nacional de Identidad (DNI) y el cargo que ostenta. El artículo 2.2 establece que el Reglamento no es aplicable a los tratamientos de datos referidos a personas jurídicas ni a los ficheros que se limiten a incorporar ciertos datos de las personas físicas que presten servicios en ellas, como nombre, apellidos, funciones, y datos de contacto profesionales.
El informe concluye que, para que se aplique esta excepción, el tratamiento de datos debe limitarse estrictamente a los datos mencionados en el artículo y la finalidad del tratamiento debe ser la relación con la empresa, no con la persona de contacto. En el caso planteado, dado que se trata el DNI y otros datos adicionales, el tratamiento excede el ámbito de la excepción y, por tanto, es de aplicación la Ley Orgánica 15/1999 y el Reglamento.
En segundo lugar, se examina la aplicación del artículo 81.5 del Reglamento, que establece que en ciertos tratamientos de datos sensibles (ideología, afiliación sindical, religión, etc.), bastará con las medidas de seguridad de nivel básico si los datos se utilizan para realizar transferencias dinerarias a asociados o miembros, o si se tratan de ficheros no automatizados en los que los datos sensibles se contengan de forma incidental o accesoria.
El informe aclara que estos dos supuestos no son acumulativos, sino que cada uno puede aplicarse de manera independiente. Es decir, si un tratamiento cumple con cualquiera de las condiciones establecidas en las letras a) o b) del artículo 81.5, será suficiente con implementar las medidas de seguridad de nivel básico.
En resumen, el informe subraya la importancia de limitar el tratamiento de datos a lo estrictamente necesario y de cumplir con las normativas de protección de datos, especialmente cuando se manejan datos sensibles o personales adicionales que no están contemplados en las excepciones legales.