El concepto de dato personal y su función identificadora
| Autor | María Rosa Llácer Matacás |
| Cargo del Autor | Catedrática de Derecho civil Universidad de Barcelona |
| Páginas | 19-29 |
Page 19
Delimitado el análisis del tratamiento de datos personales obtenidos durante la perfección o la ejecución de un contrato entre una persona física y un profesional, deberá acotarse el ámbito subjetivo de esta relación, para determinar si coinciden, por un lado, las posiciones de afectado y consumidor y, por otro, las de responsable del tratamiento y empresario. El consumidor afectado por el tratamiento de su información está protegido por dos regímenes: el propio de la relación de consumo y el que corresponde al tratamiento de datos personales. El profesional se somete a dos estatutos: como empresario y como responsable del tratamiento. Son dos planos sometidos a normativa propia, con rango diferente, y sin aparente conexión material: la normativa de consumo, que persigue la defensa de derechos básicos de corte económico (cfr art. 8 del Real Decreto Legislativo 1/2007, de 16 noviembre, que aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias) y la Ley Orgánica 15/1999, de 13 diciembre, de Protección de datos de carácter personal, que regula un derecho fundamental. La realidad se ha encargado de aproximar estos planos: la información personal del consumidor tiene interés para el empresario que utiliza la relación contractual para captarla y utilizarla para todo tipo de fines, ajenos o relacionados con el contrato. Coexisten derechos personales y patrimoniales en una relación económica que obliga
Page 20
a analizar con detalle qué negocios concurren, cuál es su régimen y cuáles son los riesgos de la aparente comercialización de la información personal.
El punto de partida son los contratos celebrados con consumidores o con profesionales ajenos al bien o servicio contratado. Para determinar el alcance del término “consumidor” deben leerse conjuntamente los arts. 3 y 4 TRLCU con el fin de fijar el contenido de la expresión “empresario”. El art. 3 TRLCU, al definir al consumidor por su actuación en un “ámbito ajeno a una actividad empresarial o profesional”, sin otra limitación, se libera de la pauta de la “incorporación” (cfr art. 1.2 y 3 LCU derogada) para hacer recaer el criterio sobre el grado de cualificación del destinatario del producto o actividad4. La definición de empresario marca la extensión de su “opuesto”: cuanto más se restrinja el ámbito de la actuación profesional, mayor amplitud adquiere la noción de consumidor, que incorpora al profesional que actúa fuera de su ámbito de actividad. El art. 4 TRLCU define al empresario como toda persona física o jurídica que actúa en el marco de su actividad empresarial o profesional. “Su actividad” es más estrecha que la actividad empresarial en general. Esta diferencia debe valorarse cuando un profesional contrata bienes o servicios que no pertenecen a su ámbito de actividad, en cuyo caso no actúa como un empresario del art.
4 TRLCU y sólo puede hacerlo como consumidor. Así, cabe dispensar la protección de consumo a quien es técnicamente un consumidor porque contrata fuera de su ámbito de actividad.
Este enfoque se reproduce en sectores que imponen deberes al proveedor, independientemente de que el destinatario se califique o no de consumidor. Lo relevante es el acto regulado, de cuyo régimen sólo se excluye a los profesionales del mismo. Los servicios financieros y las comunicaciones electrónicas proporcionan algunos ejemplos. Entre los primeros cabe citar la Orden de 5 de mayo de 1994, sobre transparencia de las condiciones financieras de los préstamos hipotecarios, que se aplica con independencia de las normas de consumo (art 2.2). La ley 47/2007, de 19 de diciembre (modifica la Ley 24/1988, del Mercado de Valores), que clasifica a los clientes las empresas de servicios
Page 21
de inversión entre profesionales y minoristas, considera cliente minorista todo aquél que no sea profesional (cfr art. 78 bis).
En el sector de las comunicaciones electrónicas debe repararse en el concepto de “usuario final”. El art. 1.2. a) y f) del Real Decreto 899/2009, diferencia entre el “abonado” (cualquier persona física o jurídica que haya celebrado un contrato con un proveedor para obtener el servicio de comunicaciones electrónicas disponibles para el público) y el “usuario final” (que no explota redes públicas de comunicaciones ni presta servicios de comunicaciones electrónicas disponibles al público, ni los revende). Esta categoría de “usuario” comprende a los consumidores y a los profesionales ajenos al sector de las comunicaciones y la Carta le reconoce unos derechos (deberes a cargo del operador, art. 2.1) independientes de los que dispensa la norma de consumo5. En particular, el art.
3.1 princ de la Carta establece que los usuarios finales serán titulares de los derechos establecidos en el art. 8 TRLCU (que comprende la protección frente a la inclusión de cláusulas abusivas en los contratos) y el art. 5.1 de la Carta prevé un contenido mínimo similar al del contrato de consumo, cuya formalización y entrega se regirá por el Real Decreto Legislativo 1/2007. No corresponde ahora detenerse sobre las implicaciones de esta ampliación.
Llegados a este punto, se constata que la coexistencia de los regímenes correspondientes al proveedor y al responsable del tratamiento, se reduciría a la contratación con consumidores y con profesionales ajenos a la actividad contratada. Así lo dan a entender el arts. 3. k) RD 899/2009, que reconoce el derecho a la protección de datos personales al usuario final, y el art. 8.1. o) y
p) RD 899/2009, que incluye la información sobre los datos personales entre el contenido mínimo del contrato6.
A continuación vamos a corregir esta afirmación ya que la normativa de protección de datos restringe la concurrencia de regímenes a los contratos celebrados con clientes que encajan en el núcleo subjetivo que se desprende
Page 22
del art. 3.a) y e) LOPD y de los arts. 2.2 y 5.1.a) RLOPD. Se producen dos restricciones: en primer lugar, el art. 3.a LOPD excluye claramente a las personas jurídicas; en segundo lugar, descarta los datos referidos a la actividad empresarial: es decir, los relativos a personas físicas cuando tengan que ver con su calidad de empresario (art. 2.3 RLOPD).
El supuesto de la persona jurídica (art. 3.a) LOPD) se concreta en el art. 2.2 RLOPD que excluye la aplicación del Reglamento a los tratamientos referidos a éstas. Esta disposición zanja el tema de la titularidad del derecho sobre los datos personales por parte de las personas jurídicas7.
Por otra parte, el art. 2.3 RLOPD excluye de su ámbito subjetivo al empresario cuando actúa como tal. En efecto, “los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal”. No es pues información personal la que identifica a un individuo como empresario o la que desvela su tráfico y perfil empresarial, siempre que se emplee con fines también empresariales y no se utilice para tomar decisiones sobre el individuo considerado en su calidad de persona. El 2.3 RLOPD se explica por la naturaleza civil del bien regulado, que pertenece a la persona sin más atributos y pierde su consideración de personal cuando se incorpora y utiliza en un campo de actividad exclusivamente económico.
El ámbito subjetivo del trabajo se centra, pues, en el tratamiento de datos personales relativos al cliente-persona física que no actúa en calidad de empresario. Se recupera, así, un sentido restringido del concepto de consumidor que coincide con la persona física que actúa en la esfera de sus intereses privados.
La contraparte del contrato de consumo, que predispone las cláusulas sobre datos personales, es un proveedor a la vez responsable del tratamiento8. Coin-ciden pues las condiciones de empresario (art. 4 TRLCU) y de responsable que
Page 23
propone el tratamiento, decide su finalidad, contenido y uso (art. 3.d) LOPD) o los cede la terceros (art. 11.1 LOPD)9.
En cambio, no reúne la condición de responsable el encargado del tratamiento, es decir, aquel empresario que trata por cuenta del responsable (art.
3.g) y 12 LOPD) de acuerdo con las instrucciones contenidas en el contrato de servicio (arts. 5.1.i) y 20 a 22 RLOPD). El encargo no representa una cesión de datos (art. 12.1 LOPD) y, por esta razón, el responsable no pierde su condición (cfr art. 22.1 RLOPD: cuando el encargado subcontrata la gestión, lo hace en nombre y por cuenta del responsable) y el régimen del encargado es únicamente contractual (debe respetar las instrucciones del responsable y las obligaciones asumidas: art. 12.2 y 4 LOPD y art. 20.3 RLOPD).
Un dato sólo es personal si puede vincularse a una persona identificada o identificable. El art. 5.1.o) RLOPD considera identificable a “toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social”10. Una persona no se considera como tal si su identificación requiere plazos o actividades desproporcionados o bien si la información se ha sometido a un procedimiento de disociación, cuyo resultado consiste precisamente en que no pueda asociarse a persona identificada o identificable (art....
Para continuar leyendo
Solicita tu prueba