El Informe Jurídico 0398/2008 de la Agencia Española de Protección de Datos (AEPD) aborda cómo una entidad puede ajustar su actividad de recogida de datos personales a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), específicamente la Ley 15/1999. La consultante desea crear una base de datos mediante formularios web, páginas amarillas y portales de empresas para enviar mailings informativos.
El informe comienza aclarando que la LOPD solo se aplica a datos de personas físicas, no jurídicas. Los datos de empresas o empresarios individuales, cuando se refieren a su actividad empresarial, quedan excluidos del ámbito de aplicación de la LOPD. Sin embargo, si los datos se refieren a personas físicas, es necesario obtener su consentimiento informado, libre, inequívoco, específico e informado. Este consentimiento debe incluir información sobre la existencia del fichero, la finalidad de la recogida de datos, los destinatarios de la información, el carácter obligatorio o facultativo de la respuesta, las consecuencias de la obtención de los datos, y los derechos de acceso, rectificación, cancelación y oposición.
Respecto a la recogida de datos de páginas web o portales de Internet, el informe señala que estas no se consideran fuentes accesibles al público, por lo que se requiere el consentimiento de los afectados. Sin embargo, los datos obtenidos de las páginas amarillas, al ser repertorios telefónicos, sí pueden ser tratados sin consentimiento previo, siempre que se informe al afectado dentro de los tres meses siguientes al registro de sus datos.
El informe también subraya la obligación de notificar el fichero al registro general de Protección de Datos antes de su creación y de implantar las medidas de seguridad adecuadas según el nivel de protección requerido. Además, para el envío de publicidad, es necesario cumplir con el artículo 30 de la LOPD y el artículo 21 de la Ley 34/2002 de Servicios de la Sociedad de la Información, que prohíbe el envío de comunicaciones publicitarias no solicitadas por correo electrónico.
En resumen, la AEPD establece que para ajustarse a la LOPD, la consultante debe obtener el consentimiento informado de las personas físicas cuyos datos vaya a tratar, notificar el fichero al registro de Protección de Datos, implementar medidas de seguridad adecuadas y cumplir con las normativas específicas para el envío de publicidad por medios electrónicos.