El Informe 0020/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la conformidad de la comunicación de datos de distribuidores de contacto en el extranjero a clientes interesados en la compra de productos, según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, el Real Decreto 1720/2007.
El informe comienza precisando que la consulta no especifica claramente si los datos a ceder corresponden a personas físicas o jurídicas. La LOPD y su reglamento solo protegen datos de personas físicas, excluyendo a las personas jurídicas. Por lo tanto, los ficheros que contengan exclusivamente datos de personas jurídicas no están sujetos a la LOPD. Además, los datos de empresarios individuales, cuando se refieren a ellos en su calidad de comerciantes, industriales o navieros, también están excluidos del régimen de protección de datos.
El informe destaca que la legislación de protección de datos no es aplicable cuando los datos tratados hacen referencia únicamente a la actividad empresarial del sujeto y el uso de los datos se limita a actividades empresariales. Si los datos se utilizan en un ámbito distinto, quedarían plenamente sometidos a la LOPD.
En el caso de que los distribuidores en el extranjero sean personas físicas de contacto que presten servicios para la empresa consultante, el Reglamento de desarrollo de la LOPD establece que no es aplicable a los tratamientos de datos referidos a personas jurídicas ni a los ficheros que contengan únicamente datos de las personas físicas que presten servicios en aquéllas, como nombre, apellidos, funciones, dirección postal o electrónica, teléfono y número de fax profesionales. Sin embargo, cualquier tratamiento que contenga datos adicionales a los citados se encontrará plenamente sometido a la LOPD.
El informe concluye que, si la transferencia de datos no afecta a datos de carácter personal referidos a personas físicas, no se aplicarán las normas sobre transferencia internacional de datos establecidas en los artículos 33 y 34 de la LOPD. Esto se debe a que la protección de datos solo se aplica a personas físicas, y los datos de personas jurídicas o empresarios individuales en su calidad de comerciantes están excluidos del régimen de protección de datos.
En resumen, la AEPD determina que la comunicación de datos de distribuidores de contacto en el extranjero a clientes interesados en la compra de productos no está sujeta a la LOPD ni a las normas sobre transferencia internacional de datos, siempre y cuando los datos cedidos se refieran exclusivamente a personas jurídicas o a empresarios individuales en su calidad de comerciantes, y el uso de los datos se limite a actividades empresariales.