Tratamiento de los datos profesionales de contacto en la normativa de protección de datos

¿Es necesario el consentimiento expreso para recoger y tratar los datos de las personas de contacto en una organización?

Un debate constante con clientes y proveedores es si la normativa de protección de datos se aplica a los datos de contacto de las personas con las que nos relacionamos en las organizaciones públicas o privadas, o a los de los profesionales o autónomos con los que trabajamos.

Pues bien, el antiguo Reglamento de 2007 de la LOPD excluyó expresamente el tratamiento de datos profesionales del ámbito de aplicación de la LOPD, una regulación discutible desde el punto de vista jurídico (un reglamento excluía del ámbito de aplicación de una Ley Orgánica algo que ésta no excluía), pero que nadie discutió porque siendo pragmáticos, nos facilitaba la vida.

Con la entrada en vigor el pasado mes de mayo de ese despropósito aberrante que es el GDPR (que se aplica igual a una multinacional que a la papelería de la esquina) y que sólo sirve para hacer rico al sector de la consultoría de protección de datos, entramos en pánico, puesto que no contemplaba la exclusión de los datos profesionales de su ámbito de aplicación.

Sin embargo, la reciente Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en vigor desde el pasado 7 de diciembre, recoge lo que a mi juicio es una solución bastante acertada: no excluye del ámbito de aplicación de la normativa de protección de datos a los datos profesionales -no podría hacerlo sin vulnerar el GDPR-, pero no exige el consentimiento expreso para su tratamiento, siempre que se respeten estos límites:

1. que se trate de los datos mínimos necesarios para la localización profesional del interesado (por ejemplo, nombre, cargo, email y teléfono profesionales); y
2. que la finalidad del tratamiento se limite a mantener relaciones profesionales con la organización en cuestión.

Se acabó por tanto el debate sobre el tratamiento de los datos contenidos en tarjetas de visita, o de las bases de datos que nos hacemos con las personas de contacto en las organizaciones con las que trabajamos.

Fuentes normativas:

Artículo 19 Ley Orgánica 3/2018. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales

1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:

a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.

b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

3. Los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica podrán también tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de una obligación legal o sea necesario para el ejercicio de sus competencias.

Artículo 6 GDPR. Licitud del tratamiento

1.    El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.