El informe jurídico 0443/2008 de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la conformidad del tratamiento de datos de contactos de empresas clientes por parte de los miembros del comité de empresa de una fundación. La consulta se centra en si este tratamiento es conforme con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
El informe comienza recordando que la Ley Orgánica 15/1999 se aplica a los datos de carácter personal registrados en soporte físico y a cualquier modalidad de uso posterior de estos datos por los sectores público y privado. Se define como dato de carácter personal cualquier información concerniente a personas físicas identificadas o identificables.
El artículo 2.3 del Reglamento de desarrollo de la Ley Orgánica, Real Decreto 1720/2007, establece que los datos relativos a empresarios individuales, cuando se refieren a ellos en su calidad de comerciantes, industriales o navieros, están excluidos del régimen de protección de datos. Esto significa que la protección de datos no es aplicable a las personas jurídicas, aunque los tribunales pueden atender reclamaciones de responsabilidad si el uso de información relativa a las empresas causa algún perjuicio.
El informe destaca que la legislación de protección de datos no es aplicable cuando los datos del comerciante se refieren únicamente a su actividad empresarial. En estos casos, el uso de los datos debe limitarse a actividades empresariales, y el sujeto del tratamiento es la empresa, no el empresario individual.
En cuanto a los ficheros de contactos en las empresas, el artículo 2.2 del Reglamento excluye de su aplicación los tratamientos de datos referidos a personas jurídicas y los ficheros que se limiten a incorporar datos de personas físicas que presten servicios en aquéllas, consistentes únicamente en su nombre y apellidos, funciones o puestos desempeñados, y dirección postal o electrónica, teléfono y número de fax profesionales. Esta exclusión se basa en que la inclusión de los datos identificativos de una persona física es meramente accidental en relación con el contenido y finalidad del tratamiento.
El informe cita varias resoluciones de la AEPD que confirman esta interpretación. Por ejemplo, en una resolución de 19 de julio de 2005, se indicó que el tratamiento de datos en el ámbito de actuación de una sociedad no se encuentra dentro del ámbito de aplicación de la Ley Orgánica de Protección de Datos. Otras resoluciones similares han archivado procedimientos al constatar que los datos tratados se referían únicamente a la actividad empresarial de las personas involucradas.
El informe concluye que, en los supuestos en que el tratamiento del dato de la persona de contacto es meramente accesorio en relación con la finalidad del tratamiento, referida a las personas jurídicas, no resulta de aplicación la Ley Orgánica 15/1999. Sin embargo, es necesario que el tratamiento del dato de la persona de contacto sea accesorio y se limite a los datos necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Cualquier tratamiento que contenga datos adicionales a los citados se encontrará plenamente sometido a la Ley Orgánica 15/1999.
En resumen, el informe jurídico 0443/2008 de la AEPD establece que el tratamiento de datos de contactos de empresas clientes por parte de los miembros del comité de empresa es conforme con la Ley Orgánica 15/1999, siempre y cuando el tratamiento se limite a los datos necesarios para identificar al sujeto en la persona jurídica y se dirija a la entidad, no a la persona física.