El Informe 0573/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la normativa de protección de datos personales al tratamiento de datos realizado por un profesional autónomo al emitir facturas a sus clientes. La consulta se centra en determinar si la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) es aplicable en este contexto.
La LOPD establece en su artículo 2.1 que es de aplicación a los datos de carácter personal registrados en soporte físico y a cualquier modalidad de uso posterior de estos datos por los sectores público y privado. Además, el artículo 3.a) define los datos de carácter personal como cualquier información concerniente a personas físicas identificadas o identificables.
El Reglamento por el que se regulan las obligaciones de facturación, aprobado por Real Decreto 1496/2003, obliga a los empresarios y profesionales a expedir facturas que incluyen datos personales como nombre, apellidos, domicilio y, en algunos casos, el número de identificación fiscal. Estas facturas deben ser conservadas durante el período establecido en la Ley General Tributaria.
El informe analiza si el tratamiento de estos datos se encuentra sujeto a la LOPD, considerando que no se aplican las exclusiones del artículo 2.2 de dicha ley. Sin embargo, para que la LOPD sea aplicable, es necesario que los datos estén incluidos en un fichero, ya que el tratamiento manual de datos personales queda fuera del ámbito de la ley si no se estructura de esta manera.
La Audiencia Nacional, en una sentencia de 16 de febrero de 2006, ha establecido que para que una actuación manual sobre datos personales sea considerada «tratamiento de datos personales» sujeto a la LOPD, es necesario que dichos datos estén contenidos o destinados a ser incluidos en un fichero estructurado. Si los datos no están organizados de esta manera, el tratamiento manual de datos personales no está sujeto a la LOPD.
La Directiva 95/46/CE del Parlamento Europeo define un fichero como «todo conjunto estructurado de datos personales accesibles con arreglo a criterios determinados». La LOPD, en su artículo 3.b), configura un fichero como «todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso».
El Reglamento de desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, define un fichero no automatizado como «todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales».
En conclusión, si el conjunto de facturas, copias o matrices de facturas no constituye un archivo estructurado con arreglo a criterios determinados relativos a las personas, el tratamiento de estos datos no estaría sujeto a la LOPD. Por el contrario, si los datos están organizados de manera estructurada o se trata de un archivo automatizado, la LOPD sería plenamente aplicable.