Nos consulta un lector que proyecta un sitio web directorio de empresas en qué puede afectarle la Ley Orgánica de Protección de Datos (LOPD). De hecho, si preguntamos a gran parte de los profesionales autónomos sobre el cumplimiento de esta normativa, la mayoría no sabe ni qué es esto.
Los autónomos, al igual que cualquier otra empresa, entidad u organismo, en cuanto recogen y tratan datos personales de sus clientes o proveedores, están sujetos a la normativa de Protección de Datos.
Cómo afecta la LOPD en el tratamiento de los datos personales de autónomos
Con carácter general sabemos que la LOPD se aplica exclusivamente a datos de personas físicas, quedando las jurídicas (y algunos datos concretos de las físicas) excluidas por el artículo 2 del Reglamento LOPD:
2. Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.
Artículo 2 del Reglamento de Protección de Datos
Diferencias entre autónomo y empresario individual
Aquellos datos se refieren a profesionales que no ejercen su actividad bajo forma de empresa, no ostentando en consecuencia la condición de comerciantes a la que se refieren los artículos primero y siguientes del código de comercio.
Sentencia de la Audiencia Nacional.
A primera vista puede parecer muy claro, pero debemos recordar que los términos autónomo y empresario individual no son exactamente sinónimos. Según la tesis de la Agencia de Protección de Datos (AEPD) los autónomos solo quedarían excluidos de la aplicación de la LOPD en caso de que organicen su actividad en forma de empresa.
Este criterio coincide con el de la Audiencia Nacional que en sentencia de 21 de noviembre de 2002 considera aplicable la normativa de protección de datos vigente en el momento a profesionales liberales.
Situaciones en que puede encontrarse un autónomo respecto a la LOPD
A la hora de establecer la obligación de un profesional autónomo de cumplir la LOPD debemos diferencias varias situaciones:
- Autónomo que sea socio-administrador de una Sociedad Anónima o Sociedad Limitada: en este caso, a nivel personal no tiene ninguna obligación de cumplir la Ley de Protección de Datos. Es su empresa la que debe cumplirla. Él tendrá en todo caso la responsabilidad como administrador de asegurar que su empresa cumpla la LOPD.
- Autónomo que ejerce una actividad empresarial y tiene empleados: en ese caso está obligado a cumplir la Ley de Protección de Datos, ya que es el Responsable de los datos que posee de sus empleados que son datos de carácter personal. Además es probable que recoja en su negocio otros datos personales, por ejemplo, los de sus clientes, proveedores, etc. Pero sólo por el hecho de tener empleados ya está obligado a cumplir la LODP.
- Autónomo que ejerce una actividad empresarial pero no tiene empleados: aquí, al no tener empleados, habría que examinar si, por la naturaleza de su negocio, trata datos personales de clientes o proveedores, qué tipo de datos trata y si esos datos que maneja están organizados en ficheros o no, ya que si no tiene ficheros no estaría sometido a la Ley de Protección de Datos. En caso de que sus clientes sean personas particulares y no empresas es muy probable que tenga la obligación de cumplir la LOPD.
Obligaciones del autónomo en materia de Protección de Datos
Las obligaciones que tienen los autónomos para adaptarse a la LOPD son las mismas que el resto de empresas y que son:
- Inscribir debidamente los ficheros en la Agencia Española de Protección de Datos.
- Regular los tratamientos de datos que se realicen por terceros, así como las posibles cesiones de datos.
- Elaborar el documento de seguridad con sus anexos obligatorios.
- Imponer las medidas técnicas y organizativas que aseguren la protección de los datos personales: deben observarse de las medidas de seguridad en función del tipo de ficheros y datos que maneje.
- Implantar las medidas técnicas y organizativas que aseguren los derechos de los afectados: adaptarse a los principios de la LOPD; facilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
- Todos los datos de carácter personal recogidos por la empresa, deben contar con el consentimiento del afectado, además de cumplir una serie de principios básicos como son: principio del consentimiento del afectado, principio de información y principio de calidad de los datos.
Consentimiento para la recogida de datos personales de autónomos
De esta forma nos encontramos con que la recogida de datos personales de profesionales autónomos que no ejerzan su actividad en forma de empresa será una actividad sometida a la LOPD. Esto genera la obligación para el responsable del fichero de obtener el consentimiento del interesado, informar sobre los derechos que le asisten, así como sobre la identidad y dirección del responsable y sobre el uso que se va a dar a esos datos.
Cuándo no es necesario el consentimiento del autónomo
La única forma de evitar tener que recabar el consentimiento es que los datos provengan de una fuente accesible al público, entre las que se incluyen en el artículo 7 del Reglamento de Protección de Datos.
C. Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.
Artículo 7 del Reglamento LOPD
Resumen sobre los datos de autónomos en relación a la LOPD
Incluir datos de profesionales autónomos que no estén organizados como empresa en un directorio de empresas requiere el previo consentimiento informado de los interesados, salvo que los datos procedan de una fuente accesible al público en el sentido del artículo 7 del Reglamento LOPD.
Fuente (PDF): Informe 0451/2009 del Gabinete Jurídico de la AEPD
Artículo breve, claro y conciso.
Muy interesante este artículo.
Lo que no me queda claro es a qué se refiere la expresión “profesionales autónomos que no estén organizados como empresa”. ¿Un autónomo carpintero que facture bajo su propio DNI sería este caso? ¿Y un abogado autónomo que haga lo mismo? En ambos casos, si los datos de estos autónomos no se recogen de fuentes accesibles al público, habría que aplicar la LOPD?
Ana; exacto, los ejemplos son tal y como dices.
[…] El artículo 2.2 del Reglamento LOPD exime de cumplir la ley cuando se trata de datos relativos a empresarios individuales, ¿significa eso que podemos recopilar […]
Pregunta de nota: Sobre los datos que requieren consentimientos para ser tratados. Si un señor ha declarado un domicilio falso y acumula diferentes impagos. ¿pueden las empresas de recobro y financieras utilizar datos de teléfono (fijo y móvil) de la persona domiciliada en la dirección del moroso?
Me refiero que al reclamar, asocian datos de contratos telefónicos con el domicilio declarado por el deudor ¿es eso legal?
Gracias Jesús!
¡Y tanto que para nota, Marina! 🙂
Tal y como yo lo veo, en primera instancia y mientras ignoren la falsedad del dato, será legal, aunque podría matizarse que esas empresas deberían tener mecanismos de aseveración tratándose de datos sensibles (financieros). Pero desde el momento en que conozcan el engaño deberían eliminar esa información y abstenerse de volver a usarla.
Pues ya son cinco años de llamadas y cartas de diferentes empresas, debería existir un mecanismo que permitiera desasociar legalmente esos datos demostrando que no hay relación entre estos, porque el acoso puede ser brutal y debe prevalecer el derecho de quien no originó la reclamación y se ve asediado.
Siempre claro y contundente Jesús. Gracias por tu rápida respuesta.
Buenas tardes, soy autónomo y una de mis actividades es el e-mail marketing. Mi pregunta es, Si adquiero una base de datos con correos electrónicos (solo correos, población y comunidad autónoma), ¿Debo especificar que la dirección la he sacado de una base de datos y que si quiere desuscribirse puede mandar un correo a la dirección desde donde se ha mandado? ¿O debo especificar todo el párrafo de la lopd, además de estas características?
Gracias.
Paco: yo no compraría nunca una base de datos para email marketing. Mira estos posts: https://www.ayudaleyprotecciondatos.es/?s=bases+de+datos
Buenas tardes, a raíz de la lectura del post, se me aclara algo una duda que tengo: Estoy pensando en hacer un envío de correos electrónicos para promocionar mi negocio. Tengo una lista de empresas de la zona que me interesa, y en algunos casos, por ejemplo, la dirección de email es nombre.apellido@empresa.com y en otros info@empresa.com. He entendido que los datos de personas jurídicas no están sujetos a la LOPD. ¿Ni siquiera incluso cuando sea el nombre y apellido de la dirección de email de un trabajador de esa empresa? Muchas gracias, un saludo.
Alfonso: en un envío por correo electrónico hay que considerar la LSSI, y en esa ley no hay distinción entre personas físicas y jurídicas, con lo que independientemente de la forma del email siempre puede ser considerado spam y denunciado, salvo que se cuente con el consentimiento previo del receptor.
Hola Jesús, gracias por la respuesta y la rapidez.
Si el envío se hace por correo postal, ¿se está sujeto a la LOPD, indicando que los datos están incorporados a un fichero para su tratamiento? ¿Se puede informar mediante el correo postal que, si no indican lo contrario en un plazo determinado, sus datos se podrían usar para el envío de correo electrónico, y así cumplir con la LSSI? Muchas gracias de nuevo, un saludo.
Alfonso: si se hace un envío postal y es a una persona jurídica, la LOPD no interviene. Sin embargo no sirve para la segunda pregunta, puesto que el consentimiento ha de ser explícito, es decir, no vale que el afectado tenga que oponerse.
[…] que… Si eres autónomo, también debes cumplir con la Ley de Protección de […]
Hola!!
Mi duda es en una página web de un autónomo que tiene registrado su domicilio particular como dirección de autónomo, para cumplir la LSSI debe indicar nombre + DNI + Dirección + teléfono
Pero si como autónomo considera que se vulnera su derecho por tener que publicar sus datos personales. Cómo se solventa esto?
Gracias!
Buenas tardes Maria,
En este caso prevalece el derecho de los consumidores y usuarios a obtener información sobre los prestadores de servicios. La Ley de Servicios de la Sociedad de la Información y Comercio Electrónico establece la obligación de incluir en la página web nombre o razón social del titular de la web, DNI o CIF, domicilio completo, correo electrónico y teléfono de contacto y datos de inscripción en el Registro Mercantil o de autorización administrativa, en caso de que la empresa esté obligada a ello.
Gracias por leernos y por tu consulta.
Buen post, conciso. En mi caso la idea de negocio es a través de una web y se tratarían datos personales de clientes que contratarán los servicios. La duda es que datos personales del profesional deben figurar en el aviso legal de la web? Varían entre un autónomo y una SLU? Habría alguna forma de darse de alta de autónomo y evitar que figuren datos personales del mismo, como su nombre, dni, etc?
Buenos dias Beatriz,
En el aviso legal deben constar los datos que identifiquen al titular de la página web. Si es un autónomo debe aparecer su nombre, apellidos y dni. Gracias por leer el blog y por tu consulta
Habría alguna forma de darse de alta de autónomo y evitar que figuren datos personales del mismo, como su nombre, dni, etc?
No hay ninguna forma, esos datos deben aparecer
Hola,
Soy autonomo y tengo un negocio de agencia de viajes. Estoy registrado en la Agencia española de protección de datos y cumplo con lam LOPD.
Ahora voy a abrir una tienda online que nada tiene que ver con la agencia de viajes. ¿En este caso, debo de dar una nueva alta o que debería hacer, una modificación de ficheros? No lo tengo claro, a ver si me podeis ayudar.
Saludos y gracias
Buenos días Miguel,
No es necesaria una nueva alta pero sí tendría que cumplir los requisitos exigidos por la LOPD y LSSI en la tienda online, es decir, incluir los textos legales y condiciones de contratación. Te dejo este enlace para más información https://ayudaleyprotecciondatos.es/2016/04/12/textos-legales-web-tienda-online-gratis/ Gracias por leer el blog y por tu consulta
Hola buenos días.
Mi pregunta es la siguiente, como autónomo tengo una base de datos, en el que figura solo el nombre (sin apellido), número de teléfono y el dia y tratamiento que se le hace. Estaría sujeto a la LOPD?
Buenos días Juan,
Esos datos que me indicas se consideran datos personales y, por tanto, están sujetos a la LOPD. Gracias por leer el blog y por tu consulta