Protección de datos personales…¿de persona jurídica? y, ¿de empresarios individuales?

Son muchas las consultas que nos han planteado a Sepín sobre la posibilidad de entender vulnerados el derecho a la protección de los datos personales cuando la afectada no es una persona física sino una mercantil o, en su caso, un comerciante individual.

Ante ello, he considerado de utilidad dedicar este post a dicha cuestión, haciendo un breve repaso sobre la doctrina “institucional” y jurisprudencial emanada sobre la cuestión, tanto de la Agencia Española de Protección de Datos como de nuestros Tribunales.

Por lo tanto, la duda que trataremos de disipar a continuación es si una persona jurídica puede ser titular de un derecho a la protección de sus datos y como tal, si puede ser objeto de tutela en caso de comunicación de los mismos.

Para un estudio pormenorizado de la nueva regulación sobre protección de datos, os recomendamos nuestra Guía práctica publicada en diciembre de 2018, con Comentarios doctrinales, Textos legislativos, Formularios y Esquemas:

El marco jurídico aplicable ya nos permite adelantar una respuesta negativa a la interrogante planteada; así, el objeto de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (SP/LEG/3266) es, según su propio artículo 1, la protección de los derechos fundamentales “de las personas físicas”. No obstante, por si dicho precepto no fuera suficiente, el Reglamento de Protección de Datos, aprobado por Real Decreto 1720/2007 (SP/LEG/3943) da un paso más, en orden a desvanecer cualquier tipo de incertidumbre, al concretar su ámbito de aplicación indicando expresamente que “Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas”.

La Agencia Española de Protección de Datos también ha tenido ocasión de exponer su criterio al respecto mediante la emisión de distintos informes; destaco en este sentido el Informe 20/2009 (SP/DOCT/18744), en los que la Agencia, empleando como base jurídica los citados artículos 1 de la LOPD y 2 de su Reglamento, así como la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, concluyó que las personas jurídicas no gozan de ninguna de las garantías establecidas en la legislación de protección de datos y que los ficheros que se refieran exclusivamente a personas jurídicas no se encontrarán sujetos al marco regulador establecido por la Ley Orgánica 15/1999.

Como indicaba anteriormente, esta cuestión, aunque aparentemente resuelta por el legislador, ha ocasionado litigios judiciales que han finalizado con pronunciamientos en los que se ha tenido que decidir sobre la titularidad del derecho a la protección de datos por las personas jurídicas; en una de las sentencias más recientes a este respecto, la Sala de lo Contencioso-Administrativo de la Audiencia Nacional indicaba que “nos encontramos ante un derecho fundamental, la protección de datos de carácter personal, que difiere de los garantizados en el art. 18.1 de la Constitución , y del que solo son titulares las personas físicas, es decir, a los seres humanos, tal y como se reconoce tanto en la LOPD como en la citada Directiva 95/46, así como en Convenios Internacionales suscritos por España anteriormente aludidos”. (Sentencia de 19 de marzo de 2014 – SP/SENT/759065-)

Más complejo puede resultar pronunciarse con taxatividad sobre la titularidad o no de este derecho por empresarios y comerciantes individuales.

Una vez más debo remitirme al artículo 2 Reglamento de Protección de Datos, pero en esta ocasión al apartado tercero del mismo, según el cual los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal”. Vemos como aquí el Reglamento hace un importante matiz que destaco en el subrayado. Sobre esa peculiaridad también se ha pronunciado la AGPD; a modo de ejemplo, en el Informe 652/2009 (SP/DOCT/18745), su Gabinete Jurídico recogía la siguente interpretación:

1.º) Que la legislación de protección de datos no es aplicable en los supuestos en los que los datos del comerciante sometidos a tratamiento hacen referencia “únicamente” al mismo en su condición de comerciante, industrial o naviero; es decir, a su actividad empresarial

2.º) Que el sujeto respecto del que pretenda llevarse a cabo el tratamiento sea la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido.

Especialmente relevante en cuanto a la problemática planteada por los empresarios individuales es la Sentencia de la Audiencia Nacional que cité en líneas precedentes, pues en ella el Tribunal, tras negar que los empresarios individuales y profesionales en puedan ser titulares del derecho a la protección de datos regulado en la LOPD en desarrollo del art. 18.4 de la Constitución, sí admite ciertas excepciones, repasando sus propios precedentes jurisprudenciales reconoce que en ocasiones y bajo determinadas circunstancias, la LOPD sí ampara los datos personales de los profesionales en tanto que no dejaban por ello de ser personas físicas. Por su relevancia, incoroporo a continuación la exposición que realiza la sentencia a esos supuestos excepcionales:

«...en nuestra sentencia de 21 de noviembre de 2002, Rec. 881/2000, en relación datos personales de arquitectos en el mercado de la construcción; en la sentencia de 25 de junio de 2003, Rec. 1099/2000 , en relación con datos personales de promotores en la construcción de su propia vivienda, y en la sentencia de 11 de febrero de 2004, Rec. 119/2002 , y ya bajo la vigencia de la actual LOPD , hemos entendido que el dato del afectado, aunque se refería al lugar de ejercicio de su profesión, concretamente un despacho de abogados, era un dato de una persona física con una actividad profesional cuya protección caía en la órbita de la Ley Orgánica 15/1999.

En el mismo sentido, tal y como nos recuerda la sentencia de 9 de junio de 2011, Rec. 147/2010 , precisábamos en nuestra sentencia de 14 de febrero de 2007, Rec. 186/2005, que «Si cualquier persona física tiene derecho a la protección de los datos personales, no parece que puedan ser excluidos de tal protección los datos personales de todas aquellas personas físicas que, obviamente conservando tal condición, también tengan la condición de profesionales, pues la adicción de esta circunstancia no les priva de sus derechos como ciudadanos, salvo que estos profesionales organicen su actividad bajo fórmulas mercantiles y que se acredite que los datos eran ajenos a su esfera privada y ostentaban una clara vinculación con la actividad mercantil» .

En esta línea en nuestra sentencia de 8 de mayo 2009, Rec. 514/2007, nos pronunciamos sobre la no aplicabilidad de la LOPD a un supuesto en que se identificaba el nombre de una persona con el de sus sociedades y se refería a deudas de las citadas sociedades vinculadas a dicha persona. Criterio que ha sido reiterado posteriormente en la sentencia de 16 de julio 2009, Rec. 504/2008».