La AEPD viene a confirmar que, para saber si los datos de una persona que ostenta un cargo en una empresa o es empresario individual están excluidos del ámbito de aplicación del Reglamento, hay que aplicar la siguiente regla:
Finalidad B2B = dato excluido
Finalidad B2C = dato personal
En el terreno personal, debo decir que he encontrado cierta satisfacción/sorpresa en el hecho de que el Gabinete Jurídico de la Agencia haya utilizado los mismos anglicismos que he venido utilizando estas últimas semanas para explicar las dos finalidades.
El artículo 2.2 del Reglamento excluye de su aplicación a las personas físicas que presten sus servicios en personas jurídicas. La exclusión es del Reglamento, aunque no de la LOPD ¿es de aplicación la Ley a las personas físicas que desempeñen sus funciones en personas jurídicas?
El Reglamento, aunque ha aclarado conceptos, creo que ha introducido nuevas dudas.
Gracias por ilustrarnos con esta serie de posts tan útiles.
Un saludo
Ayer estuve en una Jornada sobre Las Empresas ante la Protección de Datos en la que D. Artemi Rallo (Director de la AEPD) intervino como ponente explicando precisamente el 2.2 y el 2.3. En el turno de preguntas uno de los asistentes le pidió que determinase cuál es la postura de la Agencia cuanto a la prueba del cumplimiento de la obligación de información y guarda de los consentimientos obtenidos a través de páginas web (suscripciones, envío de info, etc.). Ante la respuesta esquiva del Director de la Agencia, el asistente repitió su pregunta concretando un poco más: ¿Una declaración notarial bastaría como prueba del cumplimiento de las obligaciones de información y como prueba de la obtención de los consentimientos?
Artemi se limitó a contestar que no se habían planteado ese supuesto, se levantó y disculpándose por no poder quedarse más tiempo, se fue.
Muchos comentarios de los ponentes que participaron a continuación, giraron en torno a la inseguridad jurídica que no ha conseguido paliar el nuevo reglamento y las excesivas obligaciones que se imponen a las empresas.
Cuando tenga un minuto libre haré en mi blog una crónica de la Jornada.
Hola Andy. Muchas gracias por participar.
La verdad es que mi opinión personal es bastante salvaje y políticamente incorrecta, pero seguro que coincide con algún principio fundamental del Derecho Administrativo. Lo que el legislador no puede hacer es crear más inseguridad jurídica con una norma que, en su preámbulo, se presenta como una gran aportación a la seguridad jurídica. Mi opinión es que el artículo 2.2 excluye los datos de contacto del ámbito del Reglamento y de la LOPD. Es decir, los datos de contacto no son datos personales cuando son tratados con una finalidad B2B. Eso es lo que mantiene el texto de ayer de la Agencia y lo que se interpreta de la letra del 2.2. Una sanción basada en una correcta aplicación del artículo 2.2 sería absolutamente inadmisible. Perdón por mi vehemencia, pero la verdad es que cada vez tengo menos dudas al respecto.
Un saludo,
Xavier
Estoy de acuerdo contigo, Xavier, cuando leí el Reglamento llegué a la misma conclusión porque, de otra forma, poco sentido tendría ese artículo, aunque hay muchas formas de decir bien algo tan importante.
Aún así, intuyo que seguiremos viendo la cláusula de Protección de Datos en contratos B2B, «por si acaso».
Saludos
Estimado Xavier, en primer lugar mil gracias por esta web y por compartir tus opiniones con todos nosotros.
No se si es lugar pero queria lanzar una pregunta-reflexión, ¿Creeis que con el nuevo RDLOPD (en particular el art. 2.2 y 2.3) se eliminan los ficheros clientes y proveedores de muchas empresas?
Para tomarme como ejemplo, yo que no tengo trabajadores y todos mis clientes y proveedores son empresas y/o autonomos, a mi entender, teniendo en cuenta los articulos mencionadaos en poco o en nada me aplicaría la LOPD, (no tendria obligación de inscribir ficheros, ni tener documento de seguridad, ni aplicar clausulas de información ni de consentimiento, etc), pienso que en lo único que me puede aplicar sería respecto al deber de tener un contrato de encargado de tratamiento con mis clientes, ya que accedo a datos de caracter personal de su propiedad. ¿Qué opinas?
Gracias de antemano