Datos profesionales, de contacto o mixtos: Concepto.
Lo de los datos profesionales, de contacto o mixtos ha sido un sin vivir. Desde el principio.
Los datos profesionales, resumidamente, son los datos personales de las personas de contacto a través de las cuales se relacionan las empresas (organizaciones que tienen su propia personalidad jurídica, pero no tienen manos para firmar, ni boca para hablar con sus clientes, usuarios, proveedores…).
Lo mismo cabe decir de los empresarios individuales y profesionales liberales. En una palabra, nosotros, pobres autónomos, piñatas humanas víctimas de cualquier norma jurídica que se precie.
Si alguien puede salir perjudicado de cualquier norma, el primero de la lista será siempre un autónomo.
Pero eso es otra histeria, digo otra historia.
Como iba diciendo (que me lío) los datos mixtos son datos que inevitablemente tienen que ser tratados para que cualquier organización con personalidad jurídica autónoma, se relacione en el tráfico.
Evolución normativa de los datos profesionales
Datos profesionales en el RLOPD
Seguramente con la buena intención de evitar problemas, el Real Decreto de desarrollo de la LOPD reguló el tema de una forma eficaz, pero aberrante.
Vino a decir que algunos datos (sólo algunos datos, no todos: los del art. 2.2 RLOPD) de esas personas de contacto, no eran datos personales y estaban fuera del ámbito de aplicación de la LOPD. Ni siquiera incluyeron en el listado cosas como el DNI, lo que trajo consigo todo tipo de dolores de cabeza a los pobres picapedreros del data.
El problema, claro, es que esos datos por muy mixtos que se quieran, son datos personales como castillos. Otra cosa es que su uso legítimo y restringido a la relación con la organización no presente dificultades ni riesgos especialmente llamativos.
Datos profesionales en el RGPD
Y claro, el Reglamento General de Protección de Datos, no reguló ninguna diferencia o excepción sobre el tema, porque no la había.
Datos profesionales en la LOPDGDD
La nueva LOPD, en su artículo 19, nos ha regalado dos cosas:
- un bonito ejemplo de habilitación legal de tratamiento de datos personales basado en el interés legítimo, y
- una regulación adecuada para el asunto, basada en un concepto jurídico indeterminado que todos podemos entender: el de “localización profesional”.
Me gusta el art. 19.
Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.
- Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1 f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
- a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
- b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
- La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
Ya luego la aplicación está siendo otra cosa muy distinta. Y sorprendente.
Para ver alguna otra cosa que no mola tanto de la LOPD pasaros por aquí, aquí o aquí.
Le paso la batuta a Maese Luis Gervás.
Aplicación por parte de la AEPD
En una reciente resolución, la AEPD ha firmado que “tanto las personas jurídicas como los profesionales que presten sus servicios en aquéllas quedan fuera del ámbito competencia del RGPD”. Desde mi punto de vista, ni este criterio se contempla en el RGPD, ni en el artículo 19 de la llamada “nueva LOPD”. Sin embargo, la AEPD ha incluido esa frase en una resolución que advertía Samuel Parra.
Al margen del tratamiento fraudulento de datos que posibilitaría esta interpretación de la AEPD, no es la primera vez que este organismo dicta resoluciones difíciles de entender en relación a datos de profesionales, y se analizan algunas en este artículo.
Resolución en la que la AEPD no aplica la LOPD a datos de profesionales (incluso cuando sean erróneos).
Imagina que una web publica, –por error o con malicia, ojo- que trabajas en el departamento de atención al ciudadano de Qatar, China o Google. O que eres “masajista”, o incluso director de un colegio implicado en un escándalo sexual. Si todos esos datos no son ciertos, puede que te moleste que se divulgue eso en internet, y que esa información sea fácilmente accesible desde cualquier buscador, simplemente al realizar la búsqueda de tu nombre y apellidos. Parecería lógico que la Agencia Española de Protección de Datos (AEPD) defendiera al ciudadano que se encuentre en esa situación,
Vamos al ejemplo concreto. La web de una clínica publicó el nombre y apellidos de una persona como si trabajara en ella. La realidad es que esa persona no tenía nada que ver con ellos, y se puso en contacto con los mismos, pero manifestaban que no tenían contraseñas y que no podían modificar la información. Cada vez que alguien buscaba el nombre de la afectada en Google, allí aparecían los datos vinculados, lo que le perjudicaba personal y socialmente por razones de conciencia.
La afectada solicitó a Google el llamado “derecho al olvido”, aportando su vida laboral, que demostraba que jamás había trabajado en la clínica. Pero Google se negó a la desindexación, y también la AEPD, que en dos ocasiones ha afirmado que se trata de datos profesionales, a los que no se les aplica la normativa de protección de datos.
A mi juicio, es realmente sorprendente y errónea la actitud de la AEPD, que da luz verde a que cualquiera pueda “hacerte un traje” en internet, con la excusa irreal de tratarle como un profesional.
Resolución en la que la AEPD no aplica la LOPD a datos de profesionales unidos a datos personales
Si a usted le incluyen en un blog, como administrador de una empresa, y dicen que está acusado de un delito que sólo puede haberse cometido personalmente, la AEPD podrá decirle (como ya ha sucedido): “no procede la exclusión de los datos personales del reclamante al tratarse de datos profesionales”.
Luis Gervás de la Pisa y Jorge García Herrero.