El Informe Jurídico 420/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la Ley 25/2007, de 18 de octubre, sobre la conservación de datos relativos a las comunicaciones electrónicas y redes públicas de comunicaciones, en el contexto de una consultante cuyos clientes son exclusivamente personas jurídicas. La consulta se centra en determinar si las disposiciones de esta ley son aplicables a la consultante, teniendo en cuenta la excepción prevista en el artículo 2.2 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
El informe comienza recordando el marco general de la regulación de la privacidad en las comunicaciones electrónicas, basado en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo. Esta directiva establece que las normas de privacidad y protección de datos deben garantizar un nivel equivalente de protección de las libertades y derechos fundamentales, incluyendo el derecho a la intimidad, tanto para personas físicas como jurídicas. El legislador comunitario ha especificado que las disposiciones de la Directiva 2002/58/CE complementan y especifican la Directiva 95/46/CE, protegiendo los intereses legítimos de las personas jurídicas.
El artículo 1 de la Directiva 2002/58/CE establece que las disposiciones de la directiva son aplicables a los datos personales en el sector de las comunicaciones electrónicas, garantizando la protección de los derechos e intereses legítimos de las personas jurídicas. El Preámbulo de la Directiva también subraya que los abonados de servicios de comunicaciones electrónicas pueden ser tanto personas físicas como jurídicas, y que la directiva protege los derechos fundamentales de las personas físicas y los intereses legítimos de las personas jurídicas.
En consecuencia, las normas de la Directiva 2002/58/CE, incluyendo las referencias a las normas de protección de datos, son aplicables tanto al tratamiento de datos de personas físicas como de personas jurídicas. Esto se refleja en el artículo 38 de la Ley 32/2003, General de Telecomunicaciones, que reconoce los derechos derivados de la Directiva 2002/58/CE tanto a personas físicas como jurídicas.
El informe se refiere específicamente a los deberes derivados de la aplicación del artículo 8 de la Ley 25/2007, que establece obligaciones para los sujetos obligados en cuanto a la identificación del personal autorizado para acceder a los datos, la adopción de medidas técnicas y organizativas para garantizar la seguridad y confidencialidad de los datos, y la determinación del nivel de protección de los datos almacenados. La Agencia Española de Protección de Datos es la autoridad responsable de velar por el cumplimiento de estas normas.
Finalmente, el informe concluye que las normas de la Directiva 2006/24/CE y de la Ley 25/2007 son aplicables al tratamiento de los datos de tráfico y localización tanto de personas físicas como jurídicas. El legislador ha determinado que los estándares de seguridad y calidad de los datos sean los previstos en la Ley Orgánica 15/1999, y que la AEPD sea la autoridad encargada de velar por su cumplimiento. Por lo tanto, las normas de protección de datos previstas en la Ley Orgánica 15/1999 y referidas en la Ley 25/2007 son aplicables en todo caso cuando resulte de aplicación la Ley 25/2007, independientemente de que los datos se refieran a personas físicas o jurídicas.