El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número 0265/2008 aborda el alcance de la aplicación del artículo 2.2 y 2.3 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007. Este informe se centra en el tratamiento de datos de profesionales autónomos y empresarios individuales, y cómo se aplica la normativa de protección de datos en estos casos.
El artículo 2.3 del Reglamento establece que los datos relativos a empresarios individuales, cuando se refieren a ellos en su calidad de comerciantes, industriales o navieros, están excluidos del régimen de protección de datos. Esto significa que la protección conferida por la Ley Orgánica 15/1999 no es aplicable a las personas jurídicas, ya que estas no gozan de las garantías establecidas en la Ley. Sin embargo, en el caso de empresarios individuales, la situación es más compleja. Si la información se refiere a profesionales o comerciantes individuales que no han organizado su actividad bajo la forma de persona jurídica, la protección de datos sí es aplicable.
El informe también hace referencia a la Sentencia del Tribunal Supremo de 20 de febrero de 2007, que subraya que los datos personales de profesionales, como arquitectos y promotores, quedan amparados por la Ley Orgánica de Protección de Datos, ya que participan de la naturaleza de personas físicas. Esto implica que, aunque sean profesionales, sus datos personales están sujetos a las previsiones de la Ley Orgánica.
Además, el artículo 2.2 del Reglamento excluye de su aplicación a los tratamientos de datos referidos a personas jurídicas y a los ficheros que se limiten a incorporar datos de personas físicas que prestan servicios en aquéllas, siempre que estos datos se limiten a nombre y apellidos, funciones o puestos desempeñados, y datos de contacto profesionales. Esta exclusión se basa en que la inclusión de los datos de la persona de contacto es meramente accidental en relación con la finalidad del tratamiento, que se centra en las personas jurídicas.
El informe concluye que la exclusión derivada de los apartados 2 y 3 del artículo 2 del Reglamento se refiere a la totalidad de las normas reguladoras del derecho fundamental a la protección de datos de carácter personal. Por lo tanto, el tratamiento de los datos de personas de contacto solo estará excluido de dichas normas cuando los datos sean únicamente los referidos en el precepto y la finalidad del tratamiento no sea establecer un vínculo con el profesional, sino con la empresa en la que presta sus servicios. Si se incluyen datos adicionales, como el DNI del afectado, el fichero estará sometido a la Ley Orgánica y al Reglamento en su integridad.