El Informe 0258/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la posibilidad de comunicar una lista de profesionales con datos limitados a los previstos en el artículo 3 j) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
El informe comienza aclarando que la definición de fuentes accesibles al público, contenida en el artículo 3 j) de la Ley Orgánica, se complementa con el artículo 7 del Real Decreto 1720/2007. Este artículo especifica que para que un listado de profesionales sea considerado una fuente accesible al público, debe cumplir ciertos requisitos, como contener únicamente datos de nombre, título, profesión, actividad, grado académico, dirección profesional, y en el caso de colegios profesionales, datos como el número de colegiado, fecha de incorporación y situación de ejercicio profesional.
El informe subraya que no todos los ficheros que contengan estos datos son fuentes accesibles al público. Para que lo sean, deben ser libremente accesibles por cualquier persona, ya sea gratuitamente o mediante el pago de una contraprestación. Los ficheros utilizados internamente por el colegio profesional o de acceso restringido no tienen la condición de fuentes accesibles al público.
La Sentencia de la Audiencia Nacional de 29 de junio de 2001 es citada para recordar que las fuentes accesibles al público permiten conocer en bloque los datos de los pertenecientes a un determinado colectivo, y no mediante consultas puntuales. Por lo tanto, es necesario que exista una divulgación previa del listado de colegiados, de forma que aparezcan en una publicación divulgada fuera del colegio.
El informe concluye que el listado de asociados solo tendrá la consideración de fuentes accesibles al público si se reducen los datos a los enumerados en el artículo 7.1 c) y si estos datos han sido objeto de difusión pública mediante la publicación de un directorio de colegiados. En tal caso, se podrá tratar y ceder los datos sin el consentimiento de los afectados, según lo establecido en los artículos 6.2 y 11.2 de la Ley Orgánica 15/1999.
Además, el informe aborda el cumplimiento del deber de informar previsto en el artículo 5.1 de la Ley Orgánica. La AEPD ha señalado en diversos informes que es necesario informar a los interesados de modo expreso, preciso e inequívoco sobre la finalidad de la recogida de datos, los destinatarios de la información, la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, y la identidad del responsable del tratamiento. La entidad debe conservar constancia del consentimiento de los afectados para asegurar que el tratamiento de los datos se adecua a la ley.
Finalmente, el informe recomienda utilizar medios fiables, independientes y auditables para la realización de las notificaciones y la comprobación de que los envíos no han sido devueltos por su destinatario. Esto asegura que el procedimiento de notificación es correcto y cumple con la normativa de protección de datos.