La protección de datos en el nuevo reglamento

Tras una larga génesis, se ha publicado en el B.O.E. del pasado 19 de enero, el reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal (LOPD), que entrará en vigor el próximo 19 de abril.

La publicación de este Reglamento es en sí una buena noticia, ya que da respuesta a muchas -aunque no todas- de las cuestiones controvertidas que la aplicación de la LOPD ha ido generando. Debemos felicitarnos, en especial, por el hecho de que el reglamento arroje luz sobre una cuestión tan importante en toda norma, y tan debatida en esta materia con sanciones económicas tan elevadas (hasta 600.000 euros), como es el ámbito objetivo de aplicación y su incidencia en el alcance de los datos objeto de tutela bajo la Ley Orgánica. Nos referimos en particular a la exclusión de su ámbito objetivo de los ficheros de datos de contacto profesionales y los datos referentes a los empresarios individuales.

En este punto, el reglamento parte de un principio incuestionable: la normativa de datos personales sólo se aplica a personas físicas. Ahora bien, es sabido que a pesar de partir de una premisa tan clara no siempre se han alcanzado las mismas conclusiones. A partir de ahora, la cuestión queda meridianamente clara y en línea con el verdadero objeto de protección de este derecho fundamental: no están sujetos a la LOPD los ficheros que se limiten a incorporar datos de contacto profesionales de las personas físicas que presten sus servicios en las empresas consistentes únicamente en “su nombre y apellidos, las funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales”.

En línea plenamente coherente con lo anterior, el reglamento también excluye de su aplicación a “los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes”. Por tanto, a partir de ahora, tampoco debería ofrecer dudas el hecho de que no es objeto de la normativa de datos personales la tutela de información relativa a actividades empresariales, aún cuando dichas actividades, como es lógico, sean realizadas por personas físicas identificadas/identificables.

En efecto, en el caso de la persona física que es empresario, la tutela del derecho fundamental de protección de datos personales debe referirse a su esfera privada (íntima o no) pero en ningún caso a su actividad profesional o empresarial, y ello con independencia de que entre la información tratada del empresario individual se encuentren datos que también son identificativos de su persona (p.e., nombre y apellidos o NIF), si esta información la utiliza para intervenir en el mercado. De esta forma, el nuevo reglamento viene a recoger un criterio lógico y que debería estar definitivamente asentado: el hecho de que un empresario individual opere en el tráfico mercantil bajo su nombre y NIF no implica que éstos deban quedar inexorablemente sometidos al ámbito de aplicación de la LOPD. En otras palabras, quien sale al mercado se rige por las reglas del mercado.

En conclusión, conforme al reglamento, se clarifica que quedan fuera del ámbito de protección de la LOPD los datos de contacto profesionales y puestos de trabajo de los empleados o representantes de las empresas así como los datos referidos a la actividad comercial del empresario individual. Estas exclusiones permiten delimitar mejor el alcance del derecho fundamental, sin que las empresas se vean en la tesitura de analizar, en una materia “no apta para profanos”, la aplicación o no de la LOPD a los datos de dimensión meramente empresarial.