En el momento en el que un autónomo inicia su actividad económica, debe darse de alta en el censo de actividades económicas de la Agencia Tributaria, facilitando su información. Así, con base en lo dispuesto en la Ley 4/2014, la Agencia permite el acceso a dichos datos por parte de la Cámara de Comercio, a través de Camerdata, con fines institucionales como, por ejemplo, la elaboración de un censo público de empresas.
No obstante, en la actualidad, muchos autónomos han visto cómo sus datos de carácter personal (que, en algunos casos, son los mismos que los facilitados como empresarios individuales a la Administración, por cuanto a la Agencia se facilita su DNI y el número de teléfono o la dirección postal profesional, que suele ser la misma que la personal) son cedidos sin su consentimiento a terceras entidades por la Cámara de España con fines de mercadotecnia directa.
Es por ello por lo que, si bien el tratamiento de los datos de empresarios individuales está amparado en el interés legítimo en determinado supuestos, la Agencia Española de Protección de Datos ha dictado una serie de resoluciones relativas al tratamiento y la cesión de estos datos personales. Así, en dichas resoluciones insta a la Cámara de España a detener la cesión de estos datos de los autónomos a la empresa Camerdata.
Asimismo, con base en las citadas resoluciones, dicha compañía debe cesar en el tratamiento de aquellos datos que tengan su origen en la cesión indicada, procediendo a su supresión. Del mismo modo, debe detener los envíos que realizaba de estos datos a terceras empresas, quienes también deberán eliminar toda la información obtenida sin una base jurídica adecuada.
La finalidad del citado censo público de empresas es “servir a las funciones institucionales de las Cámaras de Comercio, como órganos públicos representativos y de promoción empresarial, y conformar el censo electoral cameral”, sin que pueda ser considerado como una base de datos abierta a la que cualquier tercero pueda tener acceso. En este sentido, afirma la autoridad de control que, en España, no existe en la actualidad marco jurídico alguno que legitime el tratamiento de estos datos de empresarios individuales que se estaba llevando a cabo (cesión y reutilización por parte de las terceras compañías), a pesar de que dicha práctica estuviera extendida en la actualidad.
Respecto a la base jurídica que podría legitimar este tratamiento, se declara por la AEPD que el interés legítimo de los responsables no ampararía el mismo, puesto que no se llevó a cabo una evaluación individualizada que permitiese documentar que este era necesario, idóneo o proporcional. No obstante, afirma la autoridad de control que, en este caso, “no se superaría la prueba de ponderación ni el tratamiento sería compatible con el espíritu, la letra y los objetivos de la norma sectorial que ampara la recogida inicial de los datos”. Asimismo, se expone que no existe una expectativa razonable por parte de los empresarios de que sus datos, que han sido recabados con fines institucionales, van a ser cedidos a terceras entidades.
Habida cuenta de todo lo anterior, las entidades tendrán que cesar inmediatamente en el tratamiento de los datos hasta que cuenten con una base jurídica adecuada, como el consentimiento expreso o un interés legítimo debidamente documentado. La AEPD recuerda que estas resoluciones pueden ser recurridas mediante recurso de reposición o ante la Audiencia Nacional.
Puede acceder a la comunicación de la autoridad de control aquí.
