AD 71/2020
LOS DATOS PERSONALES DEL PROFESIONAL INDIVIDUAL ¿ESTÁ GARANTIZADO SU DERECHO A LA PRIVACIDAD?
Resumen
Los datos personales relativos a empresarios individuales y profesionales liberales han sido incluidos en la normativa de protección de datos personales. Su tratamiento y licitud exige hallar el delicado límite entre el ámbito profesional y el ámbito personal de sus titulares, estando en muchas ocasiones expuestos los datos referidos a su vida privada al coincidir éstos con los profesionales. En este artículo analizamos la protección otorgada y requisitos establecidos, para reflexionar sobre su efectividad en el objetivo de garantizar la intimidad de los trabajadores autónomos.
Palabras clave: privacidad, datos personales, RGPD, LOPDGD, empresario individual, profesional liberal, autónomo, intimidad.
1. INTRODUCCIÓN
El derecho a la privacidad, ya recogido en el artículo 18.4 de la Constitución Española de 1978, se ha consolidado en las últimas décadas como uno de los derechos fundamentales con mayor repercusión en el ámbito profesional y personal. En busca de una mayor protección y armonización, el 14 de abril de 2016 la Unión Europea aprobó el nuevo Reglamento General de Protección de datos, base a partir de la cual, España sustituyó la anterior Ley Orgánica de Protección de Datos de Carácter Personal de 1999 por la reciente Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales de 6 de diciembre de 2018.
Tal y como se recoge en el Preámbulo IV de la LOPD, la protección de los datos personales se erige esencial para todas las personas a la luz del imparable avance de la digitalización y la ciencia de los datos, fruto del gran desarrollo de la tecnología que las hace viables. Ahora es posible el tratamiento masivo de datos, la minería o la búsqueda rápida en la red. Internet se ha convertido en el espacio donde se desenvuelve gran parte de nuestra actividad profesional, económica y privada, ofreciendo tanto importantes riesgos como oportunidades.
Ahora bien, parece que esta privacidad, de cuya importancia nadie duda, no llega a alcanzar el mismo nivel de protección para todas las personas, y especialmente, para los profesionales individuales.
2. EL EMPRESARIO INDIVIDUAL Y SUS DATOS PERSONALES
Se entiende por empresario individual a aquella persona física que, disponiendo de la capacidad legal necesaria, ejerce de forma habitual y por cuenta propia una actividad comercial, industrial o profesional, esto es, lo que comúnmente llamamos “autónomos”. Su naturaleza viene regulada, originariamente, en el Código de Comercio de 1885, además de lo dispuesto en el Código Civil, en materia de derechos y obligaciones. La característica esencial de esta institución es que la actividad empresarial se ejerce individualmente en nombre del empresario y bajo su responsabilidad ilimitada.
Muy a menudo, estos profesionales representan una paradoja en lo que a sus datos se refiere, pues algunos de los requeridos obligatoriamente para desarrollar su actividad profesional coinciden exactamente con sus datos personales relativos a su ámbito privado y personal.
El ejemplo más palpable es el del Número de Identificación Fiscal. El NIF es la identificación de la que deben disponer las personas físicas o jurídicas para realizar trámites en el ámbito tributario. En el caso de personas autónomas, el NIF coincidirá con su DNI o su NIE (art. 19 y ss. del RD 1065/2007), pues no se les concede una numeración nueva específica para desarrollar su actividad. En consecuencia, su DNI personal no sólo está expuesto en toda la facturación que remitan a sus clientes, sino también en las notificaciones realizadas por la Administración a través del BOE (y otros boletines autonómicos y locales), o en el aviso legal de su web.
Pero la utilización de sus mismos datos personales no queda ahí, sino que si lo repasamos con detenimiento podremos darnos cuenta de que en el actual desarrollo de los negocios digitales, muchos trabajadores freelance desarrollan sus actividades por cuenta propia desde casa, y en muchas ocasiones se ven forzados también a facilitar su dirección postal personal para dar de alta el dominio (que después estará accesible), incluirlo en cláusulas legales… Por poner otro ejemplo, en el caso de los jóvenes abogados que comienzan su carrera sin posibilidad de arrendar una oficina, deben facilitar su dirección postal ante su Colegio para poderse colegiar, que pasará a estar visible para todo el mundo en el censo de abogados del CGAE.
Desde el punto de vista del Derecho Tributario y Mercantil resulta lógico y coherente, que el NIF coincida para su vida profesional y personal debido a que no hay separación legal entre el patrimonio personal y empresarial, y el autónomo responderá con la totalidad del mismo. Pero también es cierto, que la concepción legal de la figura del empresario individual se remonta a hace más de dos siglos, cuando ni por asomo podían imaginar que posibilidades podría ofrecer el siglo XXI para el tratamiento de datos. No obstante, algunos aspectos como el NIF han sido objeto de legislación más reciente, estando actualmente en vigor el Real Decreto 1065/2007, de 27 de julio, y podrían haber acogido otra regulación.
3. EL ÁMBITO DE PROTECCIÓN DE LOS DATOS PERSONALES DE LOS PROFESIONALES INDIVIDUALES EN LA ANTERIOR NORMATIVA
El art.4 del RGPD ofrece la definición de «datos personales», entendiendo por tal, toda información sobre una persona física identificada o que sirva para identificarle, directa o indirectamente a través de un identificador (p.ej.: nombre, nº identificación, etc…).Por consiguiente, está claro que este derecho fundamental únicamente otorga protección a las personas físicas, excluyendo en todo caso a las personas jurídicas. Ahora bien, ¿qué ocurre con aquellas personas físicas que actúan en el tráfico mercantil en representación propia, es decir, con los profesionales individuales?
Anteriormente, con la Ley 15/1999 los datos relativos a empresarios individuales estaban excluidos del ámbito de aplicación, con algunas excepciones. Así lo recogían los artículos 3 de la Ley, y 2.3 del Reglamento: “…los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.” En la misma línea se posicionó la AEPD en su Resolución de 27 de febrero de 2001, exponiendo que la protección conferida por la LOPD no aplicaba a las personas jurídicas, ni por extensión a los empresarios individuales que ejercen una actividad comercial y respecto de los cuales sea posible diferenciar su actividad mercantil de su propia actividad privada, estando en el primer caso excluidos también del ámbito de aplicación de la Ley Orgánica 15/1999”.
Sin embargo, dicha exclusión no operaban en ciertas condiciones. Respecto a los profesionales, cuando no tuvieran organizada su actividad profesional bajo la forma de empresa, y no ostenten, en consecuencia la condición de comerciante (es el caso, de las profesiones liberales). Y respecto a los comerciantes individuales, cuando no fuera posible diferenciar su actividad mercantil del propio entorno de su privacidad como persona física. En ese sentido, sí quedaban amparados bajo el ámbito de aplicación de la LOPD, debiendo aplicarse siempre las garantías y principios reconocidos en la ley (Resolución R/02171/2015 de la AEPD). La AEPD ya ha emitido múltiples resoluciones en este sentido, muchas de ellas referidas a fuentes de acceso público y bases de datos publicitarias de profesionales, cuya finalidad nada tiene que ver con el planteamiento de los casos propuestos (R/02115/2016; RR/00836/2015), pero de las que se pueden también extraer conclusiones sobre la interpretación que ha de darse.
La Sentencia de la Audiencia Nacional de 14 de febrero de 2007 (Rec Nº 186/2005) ya recogía entonces la problemática que hoy tratamos, y declaraba expresamente “Si cualquier persona física tiene derecho a la protección de los datos “personales”, no parece que puedan ser excluidos de tal protección los datos “personales” de todas aquellas personas físicas que, obviamente conservando tal condición, también tengan la condición de profesionales, pues la adicción de esta circunstancia no les priva de sus derechos como ciudadano, salvo que estos profesionales organicen su actividad bajo fórmulas mercantiles y que se acredite que los datos eran ajenos a su esfera privada y ostentaban una clara vinculación con la actividad mercantil”. Esta interpretación no era novedosa, pues ya se había pronunciado en el misma línea anteriormente (Sentencia 31 de enero de 2003 -recurso nº 564/2001-, y de 11 de febrero de 2004 -recurso nº 119/2002-.
Por lo tanto, es necesario diferenciar cuando un dato del empresario o profesional se refiere a la vida privada y cuando a la profesional, aunque no siempre vaya a ser sencillo hallar el límite fronterizo. Para realizar esa diferenciación hay que basarse en dos criterios distintos y complementarios:
a) Según la clase y naturaleza de los datos tratados: si se refieren a la esfera íntima y personal, o la profesional.
b) Según la finalidad del tratamiento: en el caso de que los datos personales coincidan con los profesionales (p.ej.: el domicilio)
La clave, sería por tanto, analizar que el derecho fundamental a la protección de datos de los interesados no resulte amenazado al incidir el tratamiento más allá del ámbito comercial o empresarial, y en caso de duda, siempre se deberá optar por la protección de los derechos individuales. (Resolución R/01395/2017 de la AEPD).
4. EL ÁMBITO DE PROTECCIÓN DE LOS DATOS PERSONALES DE LOS PROFESIONALES INDIVIDUALES TRAS EL NUEVO REGLAMENTO EUROPEO
La nueva normativa ha supuesto un ligero cambio respecto a la anterior, en lo que a la protección de los datos de profesionales se refiere, pasando de estar excluidos de manera general -excepto en las condiciones señaladas-, a encontrarse bajo la presunción de legitimación.
Por un lado, el Reglamento europeo deja claro en el Considerando 14 que la protección que otorga se aplica a las personas físicas en relación con el tratamiento de sus datos personales, excluyéndose expresamente del ámbito de protección los datos relativos a personas jurídicas: “La protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.”. Sin embargo, no hace ninguna referencia expresa a los datos de los empresarios individuales.
Por otro lado, la LOPDGD sí que recoge disposiciones relativas al tratamiento de los datos de empresarios individuales. El art. 19 regula específicamente, en su primer apartado, los datos de contacto y los relativos al puesto desempeñado por personas físicas que prestan servicios en una persona jurídica, y en su segundo párrafo, los datos relativos a empresarios individuales y profesionales liberales, objeto del presente análisis. Respecto al tratamiento de datos relativos a dichos empresarios individuales establece que se presumirá amparado por el interés legítimo (art. 6.1.f RGPD), cuando se cumplan dos requisitos:
- que se refieran a ellos únicamente en dicha condición (profesional), y
- que no se traten para entablar una relación con ellos como personas físicas.
Es decir, parece que la normativa nacional ha recogido la interpretación que venía aplicando tanto la Autoridad de control como la jurisprudencia. Estos requisitos suponen que la utilización de esos datos deba referirse únicamente a su condición profesional en relación con el contexto en el que se estén utilizando para el caso concreto. Obviamente, para conocer la condición de un dato aislado siempre debe analizarse el contexto y el resto de identificadores que le rodean, ya que es verdaderamente ese marco el que le dota de carácter personal a un dato aislado.
Consecuentemente, no hay duda de que el tratamiento de cualquier dato relativo a un empresario individual o profesional liberal se encuentra amparado por el interés legítimo siempre que sea tratado con fines profesionales. Además, en muchas otras ocasiones el tratamiento de los datos puede entenderse también necesario para el cumplimiento de una obligación legal (art. 6.1.c RGPD), por ejemplo, la LSSI impone la obligación de publicar los datos fiscales (art. 10 e) LSSI).
5. LA CONCILIACIÓN ENTRE EL TRATAMIENTO LEGÍTIMO Y EL DERECHO A LA INTIMIDAD
Una vez aclarado que la normativa establece varias posibilidades para que el tratamiento sea legítimo, no se ha de olvidar que eso también implica el respeto a todos los principios y exigencias recogidas en la normativa, en particular, los principios de proporcionalidad y minimización de los datos.
Pues dicha presunción ex lege no despeja para nada las dudas relativas a la efectiva protección de la intimidad personal que como personas les corresponde igualmente a estos profesionales. El hecho de que el tratamiento esté legitimado no implica que no queden desprotegidos dichos datos cuando personales y profesionales coinciden, y su tratamiento público es obligatorio.
En relación a algunos de los ejemplos mencionados al inicio de este artículo, debemos señalar que la Disposición Adicional séptima de la LO 3/2018, establece unas normas obligatorias respecto a la “Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos”, en las que se establece una primera regla consistente en la publicación del nombre y apellidos, acompañados únicamente de cuatro dígitos de dicho número de identificación, y solo para el caso de notificaciones infructuosas se hará por medio del número completo. Además, en su tercer apartado indica que en ningún caso debe publicarse de manera conjunta el nombre y apellidos junto al número completo. La AEPD publicó el 4 de marzo de 2019 unas orientaciones para la publicación de actos administrativos por parte de las AAPP que seguía la misma línea.Sin embargo, estas reglas parecen no estar siendo siempre de aplicación cuando de empresarios individuales se trata.
6. CONCLUSIONES Y PROPUESTAS
En conclusión, los datos personales de los empresarios individuales se encuentran bajo el ámbito de protección de la normativa de protección de datos. Por un lado, los datos referidos a su vida privada bajo las reglas generales, y por otro lado, los relativos a su actividad empresarial bajo la presunción de legitimidad y requisitos del art. 19.2. En ambos casos, siéndoles aplicables los principios, obligaciones y derechos previstos en el Reglamento europeo y la Ley nacional. Además, deben pasar el filtro que ha establecido la AEPD y la jurisprudencia, diferenciando los datos referentes a la vida privada de los profesionales, a partir de la clase o naturaleza que sean y de la finalidad del tratamiento.
A pesar de ello, la regulación no ha significado una real y efectiva protección de sus datos personales, pues podrían seguir expuestos sus datos profesionales aun cuando coincidan con sus datos privados, si cumplen dichos requisitos. Y si bien, en muchos sitios se ha reforzado la seguridad, mediante el requerimiento de dos o más factores de autenticación, la realidad es que todavía se puede acceder a muchos servicios, sedes electrónicas, o contrataciones online por medio de unos pocos datos personales, como la fecha de nacimiento, DNI y nombre y apellidos. La obligación legal para con los autónomos de poner a disposición de autoridades y del público estos datos, podría conllevar un riesgo muy importante tanto para la intimidadcomo para la seguridad de los profesionales individuales, y en especial, para aquellos que cuenten con una menor infraestructura o estén comenzando.
Es por ello que considero que se debería realizar una reflexión sobre el uso que se da a estos datos para aplicar con más atención el principio de minimización y proporcionalidad sobre los mismos, pensando en soluciones que permitan proteger la intimidad de los autónomos, al mismo tiempo que cumplen sus obligaciones. Pues si bien, no hay duda de que estos profesionales deben actuar en el tráfico profesional responsabilizándose personalmente de sus actividades, no veo razón por la que ello impida alternativas que limiten la exposición de sus datos más delicados.
Se debería poner el foco en la necesidad de hallar un justo equilibrio entre el cumplimiento de las obligaciones que les corresponden y su derecho a la intimidad y protección de sus datos personales. Todas las personas tienen derecho a mantener una esfera personal e íntima separada de su vida profesional, ¡incluso los empresarios individuales! Aunque actúen en el mercado en representación propia, las obligaciones y responsabilidades que les corresponden deberían mantenerse, en principio, en el ámbito profesional.
Entre las fórmulas que se podrían considerar, me atrevería a proponer que se otorgue a todos los profesionales individuales un NIF que no coincida con su propio DNI, que se permita a aquellos profesionales que comparten su dirección personal y profesional desautorizar la publicación en listados accesible al público de dichos datos, o que no se requieran algunos datos que hoy han perdido interés.
Sea como fuere, debemos concienciar en el hecho de que pese a que el tratamiento sea legítimo en muchas ocasiones, no automáticamente va a ser proporcional y respetuoso con la intimidad.
Yaiza Alzola
25 de mayo de 2020
Joven abogada colegiada nº 1703 del Iltre. Colegio de la Abogacía Álava. Actualmente, trabajo en protección de datos, y estoy especializándome en el ámbito de la propiedad intelectual y las nuevas tecnologías. Me intriga el futuro de nuestra profesión y me apasiona la innovación. Soy adicta al conocimiento libre de la red.
Contacto Linkedin (https://www.linkedin.com/in/yaiza-alzola-dom%C3%ADnguez-487639170/)
