¿Cuál es el ámbito de aplicación de la AEPD?
Cuando se habla de la utilización de los datos personales, todos prestan mucha atención, ya que se trata de una información muy sensible.
La importancia de la Agencia Española de Protección de Datos (AEPD)
Nuestros datos personales, como dice la propia expresión, son personales, por lo tanto intransferibles y deben ser resguardados celosamente. El uso inapropiado de estos puede derivar en otras irregularidades como el acceso a información bancaria, perjuicio del honor personal, espionaje, etc.
Por estas razones, la Agencia Española de Protección de Datos (AEPD) considera que el uso de los datos personales sin la autorización de sus dueños legítimos o para fines distintos para los cuales han sido tomados es un delito gravísimo, puesto que a través de ellos se pueden cometer otros delitos todavía mayores, tales como estafas, hurtos, perjuicios a la imagen personal, etc.
Por lo tanto, toda persona tiene derecho a conocer cuáles son los propósitos que una empresa hace de sus datos personales, cuyo uso tiene que ser estrictamente el indicado de acuerdo a la naturaleza de la actividad.
Por ejemplo, un banco puede pedir los datos personales a sus clientes, como sus nombres y apellidos, DNI, dirección, números telefónicos, referencias comerciales y personales, etc., ya que esta información es vital para mantener un registro de los clientes y ubicarlos rápidamente.
Lo ilegal es utilizar parte o toda esta información con propósitos personales, extorsión, revisión de antecedentes o cualquier otra intención que no sea el estrictamente bancario.
¿Cómo diferenciar los datos personales?
La ley de protección de datos es muy simple y es que los datos personales solamente pueden ser utilizados para los fines necesarios de acuerdo con la naturaleza de la empresa u organismo correspondiente.
Hay que saber diferenciar entre los datos personales de carácter profesional y los de índole personal; estos últimos no pueden ser tomados por empresas o instituciones ni ellas tampoco pueden recurrir a los datos personales lícitamente obtenidos para indagar información de carácter privado.
Uno de los aspectos pocas veces analizado es sobre el uso del correo electrónico
Muchas empresas solicitan a sus clientes, personal, proveedores, asociados, etc., sus respectivos correos electrónicos para completar la base de datos de cada uno de ellos. ¿Esta información es necesaria?, ¿Viola la protección de datos?
Hay que añadir al respecto que la AEPD señala que si la dirección de correo electrónico permite identificar claramente quién es la persona física propietaria de dicha dirección, entonces ese correo puede ser considerado como un dato personal, pero si la dirección no permite identificar quién es su usuario entonces queda fuera de la Ley de Protección de Datos, aunque se presenta una situación distinta cuando tratamos los datos de las personas jurídicas.
En este sentido, el nuevo Reglamento Europeo de Protección de Datos excluye de protección a los datos de las personas jurídicas (empresas, organizaciones, instituciones, fundaciones, etcétera), ya que no son personas, sino organismos que están regulados por la Ley y deben cumplir con estándares mínimos para su funcionamiento legal, sin embargo, el reglamento dice que este no regula el tratamiento de datos de las personas jurídicas “y sus datos de contacto”.
Sobre esto último se ha abierto un debate jurídico, puesto que el legislador no aclara a qué se refiere con “sus datos de contacto”. ¿Acaso se excluyen de la protección los datos personales de los directivos, socios, empleados, proveedores y asociados de las personas jurídicas?
Sin embargo, queda claro que solamente pueden ser utilizados los datos personales que no involucren aspectos de la vida privada de las personas ya mencionadas, por lo tanto, la utilización de los datos de contacto de las personas jurídicas debe limitarse estrictamente a su localización profesional o que el propósito de uso de tales datos sea para mantener relaciones con la persona jurídica con la cual está ligada.
Veamos un ejemplo, una empresa de gestión de recursos humanos utiliza datos de sus clientes, es decir, de las organizaciones (personas jurídicas) a las cuales les prestan servicios.
Es lógico que la empresa de gestión de recursos humanos tenga acceso a los datos de contacto de los empleados de dichas organizaciones. Cada vez que la empresa de recursos humanos tenga acceso a estos datos de contacto con propósito estrictamente profesional, como por ejemplo la gestión de pago de sueldos, tramitación de vacaciones y permisos, no estaría incurriendo en una infracción a la protección de datos.
En estos casos, la empresa de gestión de recursos humanos contactará con los empleados de sus clientes a través de los canales previamente establecidos y solamente por las vías acordadas en el contrato, como correos corporativos, teléfonos de la organización, etcétera.
Si la empresa de recursos humanos se aprovecha de su condición para obtener datos personales de esos trabajadores sin su consentimiento y para fines fuera del ámbito laboral, estaría incurriendo en violación de la Ley de Protección de Datos.
Asistencia legal sobre protección de datos
Como se puede apreciar, la Ley de Protección de Datos y los propios procedimientos de la AEPD tienen ciertas “zonas grises” que pudieran ser interpretados a conveniencia de las partes, por lo que siempre se requiere de la asistencia legal de abogados expertos en protección de datos, quienes pueden establecer criterios y diferencias entre el uso correcto de datos de personas naturales y jurídicas.
Ten en cuenta que la protección de datos es un asunto muy serio en las legislaciones española y europea y cuya violación es severamente sancionada. Toda empresa que utilice información que pudiera ser considerada como datos personales tiene que estar debidamente orientada por expertos en materia legal para hacer uso correcto de la información.
Si estás pensando en formarte en AEPD, te recomendamos que visites el siguiente enlaces sobre aepd empresas.