Los servicios jurídicos de la Agencia Española de Protección de Datos, AEPD, en el informe 427/2010, se pronunciaron a la cuestión de si conforme a lo establecido en la Ley Orgánica 15/1999[1], el tratamiento limitado a los datos de número de teléfono y dirección postal, sin incorporar los datos de nombre y apellidos del interesado, se encuentra sometido a las normas de protección de datos; es decir, si podrá considerarse que un fichero en que se incorporen los datos señalados contiene datos de carácter personal. Según la AEPD, el artículo 3 a) de la Ley Orgánica 15/1999 se limita a indicar que “cualquier información concerniente a personas físicas identificadas o identificables”[2]. Además, el artículo 5.1 o) de dicho texto añade un nuevo concepto: el de persona identificable, considerando como tal “toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social”, añadiendo que “una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”[3].
De las definiciones transcritas los servicios jurídicos entienden que el legislador comunitario y el español han venido a establecer un concepto amplio de datos de carácter personal, de forma que es posible que determinadas informaciones que de forma directa no identifican a un interesado puedan ser consideradas datos de carácter personal, cuando dicha identificación es posible sin suponer la misma un tiempo o esfuerzo desproporcionados[4]. Teniendo en cuenta este criterio, tanto el Grupo de Trabajo del artículo 29 la AEPD han venido analizando diversos supuestos en los que el tratamiento de determinados datos supone la aplicación de la Ley Orgánica 15/1999, al entender que los datos, bien aisladamente, bien en compañía de otros datos distintos del nombre y apellidos del interesado, encajan en la definición de dato de carácter personal que ha venido indicándose[5]. El dictamen 4/2007 del Grupo de Trabajo creado por el artículo 29, analiza igualmente diversos supuestos[6].
Teniendo en cuenta lo anterior, los servicios jurídicos concluyen que el tratamiento conjunto de una dirección postal, que deberá además ser completa a fin de poder satisfacer el pedido solicitado, con el número telefónico desde el que se realiza el pedido, que podrá ser fijo o móvil, permitirá obtener información sobre la persona con la que, en principio se corresponden dichos datos, sin que ello conlleve la realización de esfuerzos desproporcionados. Así de la consulta de directorios telefónicos que permitan la búsqueda a partir de una dirección postal o del propio número, lo que resulta posible en el marco actual regulador de las telecomunicaciones si el interesado hubiera prestado su consentimiento para ello o, en el caso de las denominadas “páginas blancas” incluso sin dicho consentimiento, podría obtenerse información referida al nombre y apellidos del abonado al servicio telefónico. Es posible que esta asociación no pudiese tener lugar en todos los supuestos, por ejemplo, en caso de que el abonado hubiera ejercido su derecho a no aparecer en las mencionadas guías. Sin embargo, el hecho de que sea posible, con carácter general, llevar a cabo esa identificación ya resulta suficiente para poder considerar que nos encontramos ante datos de carácter personal.
En ese sentido, la AEPD recuerda que la Ley Orgánica 15/1999 tiene por objeto la protección de un derecho fundamental: el derecho a la protección de datos de carácter personal, considerado como tal por la jurisprudencia del Tribunal Constitucional español (TC), entre otras, en su Sentencia 292/2000, de 30 de noviembre. Por este motivo, las excepciones a la aplicación de dicha normativa, entre las que se encontraría la planteada en la consulta, deberán ser objeto de interpretación restrictiva, debiendo prevalecer la interpretación proclive a la protección del derecho fundamental, conforme establece reiterada jurisprudencia del TC. Por tanto, en el supuesto de tratamiento de los datos referidos al número telefónico desde el que se realiza un pedido y al domicilio completo en que el mismo ha de entregarse, son datos de carácter personal, sujeto su tratamiento en consecuencia a lo establecido en la Ley Orgánica 15/1999. Por otra parte, el hecho de que nos encontremos ante un tratamiento de datos de carácter personal no supone que el mismo no resulte conforme a lo dispuesto en la citada Ley Orgánica 15/1999[7] (Fuente de la información: AEPD). Imagen incorporada posteriormente; fuente: pixabay.
_______________________________________
[1] Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, y en su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007, de 21 de diciembre.
[2] Este concepto aparece precisado en mayor medida por el artículo 5.1 f) del reglamento, que considera datos personales “cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”.
[3] Ese concepto trae, a su vez, causa de lo establecido en el artículo 2 a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que define como dato personal “toda información sobre una persona física identificada o identificable (el «interesado»)”, añadiendo que “se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”.
[4] . Dicho de otro modo, el hecho de que el interesado no aparezca identificado en un fichero por su nombre y apellidos no supone que dicho fichero no contenga datos de carácter personal cuando dicha identificación puede o podría tener lugar con posterioridad a la recogida de tales datos. En este sentido se pronuncia el Grupo de Autoridades de Protección de Datos creado por el artículo 29 de la mencionada Directiva en su Dictamen 4/2007 sobre el concepto de datos personales, adoptado el 20 de junio de 2007.
[5] En este mismo sentido se ha pronunciado la doctrina emanada de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, al resolver los recursos formulados contra resoluciones dictadas por la Agencia y, en su caso, el Tribunal Supremo, al resolver de los recursos interpuestos contra aquellas sentencias. Así, por ejemplo, la Audiencia Nacional ha venido entendiendo que el tratamiento de los datos limitados al número de identificación fiscal o del documento nacional de identidad de un individuo, por sí solo, implica el tratamiento de datos de carácter personal. Del mismo modo, en informe de 8 de febrero de 2007 esta Agencia consideró que el tratamiento limitado al número de matrícula de los vehículos que llevaba a cabo un aparcamiento se encontraba sometido a la Ley Orgánica 15/1999, aún no constando la identificación del titular.
[6] En particular, en relación con el concepto de “persona identificable”, al que dedica su apartado II.3, el recuerda “los comentarios a los artículos de la propuesta modificada de la Comisión, en donde se afirma que «una persona puede ser identificada directamente por su nombre y apellidos o indirectamente por un número de teléfono, la matrícula de un coche, un número de seguridad social, un número de pasaporte o por una combinación de criterios significativos (edad, empleo, domicilio, etc.),que haga posible su identificación al estrecharse el grupo al que pertenece.»”. Tras incluir ejemplos como los que acaban de reproducirse dentro del concepto de datos personales, recuerda el dictamen igualmente que “cuando hablamos de «indirectamente» identificadas o identificables, nos estamos refiriendo en general al fenómeno de las «combinaciones únicas», sean éstas pequeñas o grandes. En los casos en que, a primera vista, los identificadores disponibles no permiten singularizar a una persona determinada, ésta aún puede ser «identificable», porque esa información combinada con otros datos (tanto si el responsable de su tratamiento tiene conocimiento de ellos como si no) permitirá distinguir a esa persona de otras”.
[7] Dado que el artículo 6.2 de la misma dispone que “no será preciso el consentimiento cuando los datos de carácter personal (...) se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”. No obstante, y como ya se analizaba en el informe de 12 de junio de 2004 deberá darse cumplimiento al deber de información previsto en el artículo 5 de la Ley Orgánica 15/1999.
