Se establece que, salvo prueba en contrario, se presumirá amparado en lo dispuesto en el art. 6.1.f) del Reglamento 2016/679/UE, de 27 de abril el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumpla con una serie de requisitos.
El art. 19.1 de la LOPD-GDD/2018 autoriza el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica.
Se establece, por tanto, una presunción iuris tantum que puede ser destruida mediante la correspondiente prueba que permita desvirtuar esa presunción.
El art. 88 del Reglamento 2016/679/UE, de 27 de abril regula el tratamiento de los datos personales en el ámbito laboral y, en su apartado primero dispone que:Los Estados miembros podrán, a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral.
Requisitos de la autorización para el tratamiento de los datos
Los requisitos a los que queda sometida la autorización para el tratamiento de estos datos de carácter personal son que:
- Se trate de datos de contacto de personas físicas (o empresarios individuales).
Puesto que el art. 6.1.f) del RGPD al que se remite el art. 19.1 de la LOPD-GDD/2018 establece que el tratamiento sólo será lícito cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Así, el art. 19.2 de la LOPD-GDD/2018 establece que:La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
- El tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
- La finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
En este sentido, el art. 6.1.f) del Reglamento 2016/679/UE, de 27 de abril , al que se remite el art. 19.1 de la LOPD-GDD/2018 , establece que el tratamiento sólo será lícito cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Datos de contacto de las personas físicas que prestan servicios en una persona jurídica
El art. 19.1 del LOPD-GDD/2018 se refiere a los “datos de contacto de las personas físicas” como supuesto en el que, en determinados casos y concurriendo determinadas condiciones, su tratamiento está permitido.
Téngase en cuenta que Considerando 14 del Reglamento de Protección de Datos señala que “la protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales” y que “el presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto”.
Ni el Reglamento 2016/679/UE, de 17 de abril, ni la LOPD-GDD/2018 determinan lo que ha de entenderse por esos “datos de contacto”.
El Reglamento hace uso en repetidas ocasiones de la expresión “datos de contacto” pero siempre referida al responsable o al encargado del tratamiento de datos personales y sin que, en momento alguno (ni en el art. 4 del Reglamento 2016/679/UE, de 27 de abril , ni en ningún otro lugar) se ofrezca una definición de este concepto.
Desde un sentido práctico (y finalístico) hay que entender por “datos de contacto” aquellos que permiten comunicarse con una determinada persona física por lo que, y en primer lugar, habrán de estar asociados al nombre de esa persona.
Por otra parte, y como datos que puedan recibir la calificación de “datos de contacto” serán aquellos que puedan cumplir con esa finalidad, como son:
- El domicilio o direcciones físicas
- El número de teléfono
- La dirección de correo electrónico
Así como cualesquiera otro dato que pudiera permitir entra en contacto con una persona física.
Los datos que no cumplan con esta finalidad, los que por su propia naturaleza no se correspondan con este fin, no quedarán cubiertos por la autorización que confiere el art. 19.1 de la LOPD-GDD/2018.
