A día de hoy, desconocemos cual va a ser el régimen de protección de los datos de contacto de profesionales una vez que se empiece a aplicar de manera efectiva el nuevo Reglamento General de Proteccion de Datos a partir de mayo de 2018.
En este momento, la actual LOPD y su Reglamento de desarrollo, excluyen la aplicación de las normas a los datos relativos a las personas jurídicas, como pueden ser los datos de contacto de las personas que trabajan en la organización como por ejemplo su nombre, apellidos, cargo, email corporativo o teléfono de empresa, siempre que se use con un fin comercial o industrial. La AEPD, en algunas resoluciones ha declarado que se entenderá excluido si no persigue la finalidad del contacto empresarial.
Ante esta situación, el nuevo RGPD no excluye expresamente el tratamiento de datos de personas físicas recogidos como contactos de personas jurídicas, por lo que entendemos que estos datos deben considerarse datos personales siempre que hagan alusión a una persona identificada o identificable, independientemente de si se persigue un fin profesional-empresarial o no.
Por ello, el legislador español, siempre respetando el margen de maniobra del RGPD, ha optado en el Anteproyecto de Ley de Protección de Datos por regular expresamente un régimen para los datos de contacto de personas jurídicas y empresarios individuales.
Así pues, el art. 12 del Anteproyecto establece que el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
– Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional.
– Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
Por tanto, esos datos se encuentran amparados por el interés legítimo que recoge el RGPD aunque hay que destacar que los datos deben ser los mínimos datos imprescindibles para localizar al profesional y la finalidad debe ser la de entablar relaciones profesionales-empresariales con la persona jurídica representada por el mismo.
¿Qué es un dato mínimo imprescindible?
La intención es que los datos que se utilicen sean los datos que permitan la localización del profesional dentro de la organización, por tanto se entenderán incluidos en el art. 12, los cargos de la persona, su nivel de responsabilidad, posición física dentro de la organización, teléfono de contacto fijo, teléfono móvil corporativo, mail corporativo e incluso redes sociales corporativas en el caso de que se utilicen para la promoción de la organización.
Los casos pueden ser variados, pero como dato mínimo imprescindible, no podemos incluir los números de teléfonos privados, aunque se utilicen en el ámbito laboral, o los correos personales que se utilizan en el ámbito profesional. El uso de dichos medios, debe determinar si se mantiene una relación profesional-empresarial o no.
Por tanto, se trata de un acierto del legislador español establecer los requisitos para el uso de datos de contacto profesional, materia que parece haber descuidado el RGPD o ha dejado libertad a los Estados Miembro para su regulación.