El Informe 0601/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la necesidad de obtener el consentimiento previo de los afectados para la publicación de datos personales en una página web, así como para el tratamiento de datos con una finalidad diferente a la original. Este informe se basa en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007.
El informe destaca que la finalidad del tratamiento de datos es un elemento clave y debe ser adecuada, pertinente y no excesiva en relación con las finalidades determinadas, explícitas y legítimas para las que se obtuvieron los datos. La publicación de datos personales en Internet se considera una cesión de datos, y esta cesión debe sujetarse al régimen general de comunicación de datos, que requiere el consentimiento previo del interesado, salvo en casos específicos establecidos por la ley.
El consentimiento debe ser informado y otorgado con carácter previo a la cesión, y debe recabarse por el responsable del fichero que contiene los datos. Existen excepciones a la obligación de obtener el consentimiento, como cuando la cesión está autorizada por una ley, cuando los datos se recogen de fuentes accesibles al público, o cuando la cesión es necesaria para el cumplimiento de una relación jurídica.
En cuanto a la publicación de datos de representantes legales de personas jurídicas, el informe subraya que el Documento Nacional de Identidad (DNI) es un dato de carácter personal protegido por la ley. La AEPD ha señalado que el tratamiento del DNI junto con otros datos personales implica la aplicación de la LOPD, salvo que el tratamiento del dato de la persona de contacto sea meramente accidental en relación con la finalidad del tratamiento, referida a las personas jurídicas.
El informe concluye que cualquier tratamiento que contenga datos adicionales a los necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios se encontrará sometido a la LOPD. Por lo tanto, si se trata el DNI o datos equivalentes, el fichero estará plenamente sometido a la LOPD y su normativa de desarrollo.