← Back to the top of the Report
5- Abuses in the labor field: sale of data of freelancers
Reported to the Spanish Data Protection Agency on 12/20/2022. The Agency confirms the opening of proceedings on 04/13/2023.
THE SALE OF DATA OF FREELANCERS
RECOMMENDATIONS
BEST PRACTICE RECOMMENDATIONS FOR PUBLIC ADMINISTRATIONS
-
PRIOR TO AMENDING THE LAW IN ORDER TO ENCOURAGE ITS APPLICATION
AMENDMENTS TO THE LAW (in spanish)
APPENDIX (in spanish)
1. ANALYSIS OF LEGISLATIVE AND ADMINISTRATIVE DEVELOPMENT
-
Obligations to register and update information in the Census of Entrepreneurs, Professionals and Tax Withholders of the Spanish Tax Agency and the Companies Registry
Notes on the transfer of data from the Spanish Tax Agency to the Chambers of Commerce
Notes on the lawfulness of processing
-
Lawful basis for processing used by the Tax Agency for the processing and transfer of census data to the Chambers of Commerce.
Lawful basis for processing used by the Chambers of Commerce for the processing and transfer of census data to third parties.
Lawful basis for processing used by CAMERDATA
Notes on the purpose of the processing
Notes on the information to be provided to interested parties
-
Information provided by the Spanish Tax Agency
Information provided by the Spanish Chamber of Commerce
Information provided by CAMERDATA
Generated press:
EL PAÍS
Un agujero legal abre al público los datos personales de decenas de miles de autónomos
https://elpais.com/tecnologia/2022-12-20/un-agujero-legal-abre-al-publico-los-datos-personales-de-decenas-de-miles-de-autonomos.html
CTXT
Doble rasero en la aplicación de la protección de datos
https://ctxt.es/es/20221201/Firmas/41619/xnet-proteccion-de-datos-autonomos-camara-de-comercio.htm
GENBETA
Si eres autónomo, cualquiera puede ver tus datos personales. Y existe un vacío legal al respecto
https://www.genbeta.com/actualidad/eres-autonomo-tus-datos-personales-publicos-existe-vacio-legal-al-respecto
PYMES Y AUTÓNOMOS
Los datos personales de miles de autónomos son de dominio público
https://www.pymesyautonomos.com/actualidad/datos-personales-miles-autonomos-dominio-publico
AUTÓNOMOS Y EMPRENDEDORES
Datos de miles de autónomos podrían estar filtrándose y la Agencia de Protección aún no ha dicho nada
https://www.autonomosyemprendedor.es/articulo/tu-negocio/datos-miles-autonomos-podrian-estar-filtrandose-agencia-proteccion-aun-no-ha-dicho-nada/20221222131421028625.html
EL PUNT AVUI
Un buit legal posa al descobert dades personals d’un milió d’autònoms
https://www.elpuntavui.cat/societat/article/5-societat/2232680-un-buit-legal-posa-al-descobert-dades-personals-d-un-milio-d-autonoms.html
LA REPÚBLICA
Un buit legal posa al descobert dades personals d’un milió d’autònoms, segons un estudi
https://www.larepublica.cat/minut-a-minut/un-buit-legal-posa-al-descobert-dades-personals-dun-milio-dautonoms-segons-un-estudi/
NACIÓ DIGITAL
Posen a la venda dades personals d’un milió d’autònoms per un buit legal
https://www.naciodigital.cat/noticia/250495/venda-dades-personals-autonoms-buit-legal
PLEDGE TIMES
A legal hole opens to the public the personal data of tens of thousands of freelancers
https://pledgetimes.com/a-legal-hole-opens-to-the-public-the-personal-data-of-tens-of-thousands-of-freelancers/
THE SALE OF DATA OF FREELANCERS
In our daily lives, both in the physical and digital world, we use and allow others to use our data. There are times when we can choose if we want to provide our data and there are many times when we cannot. These cases must be motivated by the common interest, otherwise they would undermine the fundamental right to our privacy.
This report is published at a very critical moment for the interpretation of what this common good is.
In pro-transparency and anti-corruption activism, we are still in shock over the CJEU ruling that prevents public access to company ownership records, considering it an interference in private life.
The legal proceedings before the CJEU were activated by two lawsuits filed by the company Sovim SA and its real owner, owner of a holding company in the British Virgin Islands with activities in Luxembourg, Cyprus and Russia and assets valued at more than three million dollars and co-owner of a company registered in the Central American tax haven of Belize, as revealed by an ICIJ journalistic investigation after the court ruling.
Once again, laws that emerged from civil society to protect their rights against abuses by the most powerful, such as data protection laws, see their raison d’être distorted to be used in favor of the latter and perpetrate the asymmetry of power that wanted to be corrected.
And not only. There is a double standard that means that while care is taken that the powerful do not suffer major changes due to the affirmation of collective rights, the vast majority of the population suffers years and years of implementation deficits that affect the safeguarding of their interests.
Even before starting their activity, the self-employed are obliged to make declarations and registrations before various organisations in order to be able to work, the main one being before the Tax Agency, and with the new obligations related to prevention of money laundering, those who provide certain services to companies must also register with the Companies Registry.
From the moment someone registers as self-employed by registering in the Tax Agency’s census of economic activities, the name, ID, telephone number, email and address that they notify are treated as information of professional interest. As a result of this processing, if the data corresponds to their private data, in some sections the data of self-employed workers is exposed on the Internet, easily accessible with a single click from search engines. Moreover, they are eventually offered at a very affordable price (currently between €9 and €40).
These findings should in no case justify the closure to the public of the commercial register. Transparency must be an instrument for the balance of powers and is not incompatible with the preservation of personal privacy. It is absolutely possible to include the appropriate safeguards for those who do not have sufficient income to afford a professional domicile, as long as the ownership of professional activities is made known.
We consider that we must distinguish between two types of self-employed people, those who can pay for an office, co-working space or virtual office where they can work or have a professional address, thus distinguishing it from their home, and those who work from home and do not have the resources to have another fiscal or legal address for their activity and whose professional domicile, therefore, coincides with their personal domicile. In the case of the latter, depending on the tax group code, the address that will be easily accessible through search engines is that of their personal home.
Bearing this fact in mind, we believe that the possibility of disseminating and selling the data of the self-employed should be limited, in order to protect those who work from their personal home, because they cannot afford a different business address, to avoid possible infringements of their privacy, particularly when this data has not been made manifestly public by them, and in the majority of cases, it is not necessary to communicate with them, because there are electronic means by which they can do so without the need to know the address of the professionals. In compliance with the principle of data minimisation, as this information is not necessary, it should not be publicly available. For this reason we propose legal modifications and recommendations to respect privacy while also respecting the transparency that must guide all business action in order to avoid hiding possible cases of corruption or malpractice.
• The journey of the data: from the Spanish Tax Agency to its sale over the internet.
As a result of an investigation carried out by some of the participants of the Postgraduate Course on Technopolitics and Rights in the Digital Age, directed by Simona Levi, Cristina Ribas and David Bondia, a procedure with indications of being harmful has been discoveredwhich could directly affect around one million people who work from home.
Presumably, depending on the heading, a large number of freelancers who include their first and last names in a search engine like Google, will see data about themselves in the results that they have never openly provided on the Internet, such as their home address.
In addition to the name and surname, the data included when entering any of these links tends to include their ID number, address, email, telephone and commercial activity, and even financial information in certain cases, or legal issues and probabilities of non-payment. This data is sold for modest prices by companies whose business consists of hoovering up this data and making it available to whomever is willing to pay for it.
Information provided by the same person on a ratings page that appeared after the previous search.
To understand where these data come from, we see that the Mercantile Registry is mentioned (where, since 2018, self-employed workers who provide certain services to companies and associations, among others, must also register(1)), the Official State Gazette, “public records”, etc.
The Chamber of Commerce itself, which is also partly a public institution, in the Public Census of Companies on its website, provides anyone who carries out a search by surname, not only the activity they carry out but also their address, and gives the option of finding out more information by directing users to the website of a private company, CAMERDATA ONLINE(2):
Information on the same self-employed person which appears in the Public Census of Companies of the Spanish Chamber of Commerce, which offers further information about them by directing users to the website of a private company.
Participants in the Postgraduate Course on Technopolitics and Rights in the Digital Era and Xnet have traced the path of this data, passing through the Chambers of Commerce, until reaching its initial source, the Spanish Tax Agency:
TAX AGENCY → CHAMBERS OF COMMERCE (Public census of companies) / OFFICIAL STATE GAZETTE / OFFICIAL GAZETTE OF THE COMPANIES REGISTRY / COMPANIES REGISTRY → CAMERDATA / COMPANIES → SEARCH ENGINES (GOOGLE/BING/YAHOO, etc.).
Xnet requests that these practices be corrected both in Public Administrations and in private entities.
The new European General Data Protection Regulation (GDPR) of 2016, represented a change with respect to the previous Spanish legislation, which held that professional data was not protected by data protection rules.
The Spanish Organic Law on Data Protection of 2018, with the aim of facilitating the work of companies, presumes “legitimate interests” for the processing of freelancers’ data, de facto creating an exception that allows that their consent is no longer required to process their contact data (article 19.2 LOPDGDD). It is specified that this should only be to maintain professional relations with them, but in reality this is what is now used by CAMERDATA, by third party companies that obtain the data and, presumably but not explicitly because it does not provide information about it, by the Chamber of Commerce to justify the use of the freelancers’ data to publish it, index it, sell it and carry out marketing and commercial communication campaigns. The “legitimate interest” is not intended to prevail by default but rather in a balanced way. Accepting the situation described above is equivalent to considering that these particular economic activities are of greater importance than the fundamental rights and freedoms of data protection and privacy of the self-employed and professionals. This is a clear example of the use that we have repeatedly criticised of the “satisfaction of legitimate interests” of the GDPR as a “catch-all” basis by many entities to justify and legalize the processing of personal data when they have no other legal basis, to cover activities that in reality may contravene the rights, freedoms and interests of individuals.
We cannot agree with this fact. Moreover, the data of the self-employed are being used to fulfill purposes for which no information has been received at the time of providing them to the Tax Agency, who does not inform them, at the time of their collection, about this commercial use..
Something similar occurs with the Chambers of Commerce and the entire chain of companies that benefit from the use and transfer of the data of the self-employed, who do not report correctly inform the self-employed about these communications of data that are being carried out, nor about the purposes of the data processing, and that they twist the spirit of the exclusions provided for in the data protection rules, which should in principle only be applied exceptionally.
The lack of information in this respect means that many of the self-employed are not aware of the rights they have in relation to the processing carried out by these entities (such as the right to object to it being done or the right to have their data deleted, although, we have verified, they reappear with each remittance) or how they should exercise them before these entities. We must also remember that the European Regulation is based on the guiding principle that privacy must be from the design and by default, that is, the effort to keep data safe and compliance with obligations such as ensuring the legality of the data processing and transfer, or the duty of information should not depend on individuals but should take place from the design of the institutional protocol for collecting and storing this data.
What we see here is that freelancers and professionals lose control over their data without knowing it, discovering, perhaps as a result of publication of this report, or after searching for their own name in a search engine, that there are those who profit shamelessly from their data.
-
• Bias due to acquisitive and contractual power
There is another significant fact: not all freelancers find their information published and available on search engines and websites. At first glance, it was incomprehensible to understand why the data of some were found, while those of others were not. With a more detailed analysis carried out by Alba Soler, Carmelo Ordóñez, Jose Luis Ribés as researchers participating in the Postgraduate Course on Technopolitics and Rights in the Digital Age, using the data processed by EInforma in 2019 as a case study, a possible bias related to the type of economic activity carried out was detected.
There are 2,047,779 freelancers in Spain (non-member self-employed people in commercial companies or cooperatives) according to the directory (DIRCE) of the National Institute of Statistics (and Social Security for the primary sector) and 1,336,408 whose data appear and are sold on the eInforma.com website.
Comparison between the number of freelancers and those whose data appears in eInforma
Disaggregating by the type of economic activity carried out, research has shown that the situation changes drastically depending on what activity is carried out:
1) To a greater extent they are “white collar” activities or those whose collectives are totally or considerably included in official professional associations, which have a reduced or negligible presence on these websites (with a few exceptions to this rule). It should be noted that the personal data of these professionals are usually published by their respective colleges, but they are not processed commercially.
2) On the other hand, the “blue collar” or the activities of small businesses, cleaning, transport, care, attention and personal services, appear to be over dimensioned or find their data are more exposed. In addition, data appears on tens of thousands of those people who were, but no longer, registered in the Special Regime for Self-Employed Workers appear.
We therefore once again appreciate a bias related to the acquisitive and bargaining power of workers, where in general the most vulnerable are most exposed.
RECOMMENDATIONS
As a result of the analysis carried out, in order to ensure and protect the right of individuals to control the use and destination of their data in line with international human rights laws, XNet recommends:
• Protecting the personal data of the self-employed where they can coincide with their professional data.
Amend the law to make the protection of personal data of the self-employed and professionals prime by default when their professional and personal data coincide because alternatives cannot be allowed. Among the regulations to be modified, apart from the one detailed below, one could even consider the LSSI and similar legislations that make it obligatory to publish the address information of the service provider, for example in the legal notice of the web pages. This would also avoid cases of blackmail and identity theft, for example.
We defend the importance of the transparency of professional data in order to avoid corruption, which is why these amendments should apply only up to a certain level of annual revenue (3,5 times the Public Indicator of Multiple Effect Income, in Spanish, Indicador Público de Renta de Efectos Múltiples (IPREM)) and when the personal address (census or residence address) coincides with the professional.
For all these reasons we consider it necessary that the public register of companies and professionals elaborated by the Chamber of Commerce collects, but does not publish or anonymise, the address (and other personal data in compliance with the principle of minimization) of the self-employed when this coincides with their census address or residence if, due to their turnover (lower than that proposed here), they cannot afford another alternative address for professional use. This information should only be provided on request with the consent of the person concerned.
Thus, the information must not be transferred to Camerdata for sale to private companies that exploit the information economically.
Also, more rigorous sanctions should be established in the event of economic exploitation through the sale or publication of information collected massively from databases that may affect fundamental rights, without this affecting the use of open data for the general interest. To make matters worse, when it comes to public databases, but whose full access is mediated by payments, an access bias related to purchasing power is created.
• Reinforce the right of citizens to know and be able to oppose by default the use and destination of their data.
Correctly inform citizens about the data communications that will be carried out and the purposes of these, indicating clearly the Law in which they are foreseen, to ensure that acceptance is voluntary and informed, as the GDPR requires, and that the right to informative self-determination is fully exercised.
• Reinforcing data protection rights.
Especially in cases where data is not collected directly from the affected parties or is subject to transfer, even when this data comes from or is transferred from public institutions and from “sources publicly available”.
• Clarify the definition of “legitimate interests” and other ambiguous terminology.
It is necessary to avoid that the processing of personal data is justified and legalised when there is no other solid and justified legal basis. With respect to the rights, freedoms and interests of individuals, it must not be possible to hide behind extremes that serve as “catch-all” basis and that end up invalidating the spirit of the regulations in order that the principle of privacy by design and by default prevails, which must be taken into account both in the conception of a personal data processing and in its development.
We believe in the deterring and preventive effect of these measures.
BEST PRACTICE RECOMMENDATIONS FOR PUBLIC ADMINISTRATIONS
PRIOR TO AMENDING THE LAW IN ORDER TO ENCOURAGE ITS APPLICATION
-
• Strengthen the obligation to report on data transfers by providing those affected with complete information on the processing of their personal data and allowing them to indicate that the data provided to Public Administrations cannot be processed for commercial purposes by either the Administration or by third parties. When their income is less than 3.5 times the IPREM and the professional address data corresponds to the registration or residence data, allow them to indicate that the data CANNOT be published and that they can only be accessed after a request.
Include clauses in contracts that oblige third parties, both public and private, to whom data is communicated to inform those affected of the communication and of the uses of their data so that they do not abuse and hide behind the exclusions provided for in the law and regulations.
• Data communications to private third parties should not be carried out on legitimate interest grounds in order to avoid collecting the consent of the affected parties. Require that these legitimate interests are detailed and justified.
• When the data subject exercises their data protection rights, this should be communicated to the bodies to which their personal data has been transferred so that they may also rectify, delete or limit the processing of such data.
AMENDMENTS TO THE LAW (In spanish)
Modificación de la Ley 4/2014, de 1 de abril, Básica de las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación.
Para alcanzar el fin propuesto, debemos solicitar la enmienda del artículo 8 de la Ley “Censo público”, que quedaría redactado como sigue:
Las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación elaborarán un censo público de empresas del que formarán parte las personas físicas o jurídicas, nacionales o extranjeras, que ejerzan las actividades comerciales, industriales, de servicios y navieras en territorio nacional, para cuya elaboración contarán con la colaboración de la administración tributaria competente así como de otras administraciones que aporten la información necesaria, garantizando, en todo caso, la confidencialidad en el tratamiento y el uso exclusivo de dicha información.
En ningún caso será objeto de publicación y divulgación pública la dirección profesional cuando esta coincida con sus datos personales de residencia, siempre y cuando sus ingresos anuales sean inferiores a 3,5 veces el IPREM. Esta información sólo se entregará bajo petición con el consentimiento de la persona afectada.
En aplicación del principio de minimización de datos, solo serán publicados los datos mínimos imprescindibles como nombre, apellidos, actividad y número identificativo siguiendo las normas específicas existentes sobre su difusión.
Para la elaboración del censo público de empresas las administraciones tributarias facilitarán a la Cámara Oficial de Comercio, Industria, Servicios y Navegación de España y a las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación los datos del Impuesto sobre Actividades Económicas y los censales de las empresas que sean necesarios. Únicamente tendrán acceso a la información facilitada por la administración tributaria los empleados de cada Cámara que determine el pleno.
Esta información se empleará para la elaboración del censo público de empresas, para el cumplimiento de las funciones público-administrativas que la presente Ley atribuye a las Cámaras así como para la elaboración del censo electoral a que se hace referencia en el artículo 17 de la misma.
Dicho personal tendrá, con referencia a los indicados datos, el mismo deber de sigilo que los funcionarios de la administración tributaria. El incumplimiento de este deber constituirá, en todo caso, infracción muy grave de conformidad con su régimen disciplinario.
Modificación del Real Decreto 1784/1996, de 19 de julio, por el que se aprueba el Reglamento del Registro Mercantil.
Para alcanzar el fin propuesto, debemos solicitar la enmienda del apartado primero del artículo 421 del Real Decreto “Sección 1.ª: Empresarios”, que quedaría redactado como sigue:
1. El Registrador Mercantil Central determinará el contenido de la sección 1.ª del boletín, e incluirá en ella los datos remitidos por los Registradores Mercantiles.
En el apartado «actos inscritos» se recogerán los datos a que se refieren los artículos 386 a 391.En el apartado «otros actos publicados en el Registro Mercantil» se recogerán los datos a que se refiere el artículo 392.
No serán objeto de publicación los datos relativos al documento nacional de identidad o número de identificación fiscal, número de identidad de extranjero o, en su defecto, el de su pasaporte o documento de viaje a los que se refieren los artículos 386.5.º, 387.1.8.º, 388.3 y 389, último párrafo. Tampoco será objeto de publicación la dirección que pudiese constar sobre los empresarios individuales, cuando coincida con su dirección personal no profesional siempre y cuando sus ingresos anuales sean inferiores a 3 veces el IPREM.
Modificación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Para alcanzar el fin propuesto, debemos solicitar la enmienda de 3 artículos de la Ley:
Con la modificación del apartado 2 del Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales, que quedaría redactado como sigue:
-
1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
3. Los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica podrán también tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de una obligación legal o sea necesario para el ejercicio de sus competencias.
Con la introducción de un nuevo apartado en el Artículo 8. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos cuyo título incluiría “e interés legítimo” y quedaría redactado como sigue:
Artículo 8. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos e interés legítimo.
3. El tratamiento de la dirección persona solo podrá considerarse fundado en la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero en los términos previstos en el artículo 6.1.f) del Reglamento (UE) 2016/679, siempre que no prevalezcan, tras la realización de una evaluación minuciosa y documentada, los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, teniendo en cuenta las expectativas razonables de los interesados, sobre todo en caso de tratamiento ulterior de los datos, basadas en su relación con el responsable, la información proporcionada sobre el tratamiento, las circunstancias del tratamiento y las posibles consecuencias que pueden derivar del mismo.
Con la modificación de los apartados 2 y 3 y la introducción de un nuevo apartado 4 del Artículo 11. Transparencia e información al afectado., que quedaría redactado como sigue:
-
2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
d) Los destinatarios de los datos, en su caso.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.
3. Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE)
2016/679 facilitando a aquél la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
En estos supuestos, la información básica incluirá también:
a) Las categorías de datos objeto de tratamiento.
b) Las fuentes concretas de las que procedieran los datos
4. Las disposiciones del apartado 5 del artículo 14 del Reglamento (UE) 2016/679 se aplicarán restrictivamente. Se considerará que la comunicación de la información supone un esfuerzo desproporcionado cuando no pueda disponerse de un medio de contacto escrito (físico o electrónico) con los interesados.
Con la introducción de un nuevo apartado en el Artículo 12. Disposiciones generales sobre ejercicio de los derechos que quedaría redactado como sigue:
-
8. El responsable del tratamiento comunicará a los destinatarios y encargados del tratamiento cualquier rectificación, supresión, limitación del tratamiento u oposición al tratamiento efectuada con arreglo a la presente Ley para que realicen la misma actuación que él. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.
- (Es) Enmiendas de Xnet al Proyecto de RD Ley sobre licencias colectivas de propriedad intelectual para IA
- Reclaming Digital Sovereignty for the People: the coalition
- REPORT – Electoral Integrity and Political Microtargeting: Monitoring European elections 2024 in Spain
- (Es) ¿Debemos actualizar las licencias de Software Libre y de Código abierto?
- We are organizing the European Conference 4D – Democratic Digitalization and Digital Rights
The other researchers in the project are Alba Soler, Carmelo Ordóñez, Jose Luis Ribés.
Last update: September 2022.
Research carried out in part with the support of the Barcelona Metropolitan Area Transparency Agency (AMB) and the Barcelona City Council (in both cases, grants)
It only expresses the opinion of Xnet. The Agència de Transparència de l’Àrea Metropolitana de Barcelona is not responsible for the use that may be made of the information provided.
1. ANÁLISIS DEL DESARROLLO LEGISLATIVO Y ADMINISTRATIVO
Obligaciones de inscripción y actualización de información al Censo de Empresarios, Profesionales y Retenedores de la Agencia Tributaria y en el Registro Mercantil
Las obligaciones de inscripción y actualización de la información de los autónomos se encuentran fijadas en el primer apartado de la disposición adicional quinta de la Ley 58/2003 de la Ley General Tributaria, el artículo 9.1 y 10.1 del Real Decreto 1065/2007, de 27 de julio, por el que se aprueba el Reglamento General de las actuaciones y los procedimientos de gestión e inspección tributaria y de desarrollo de las normas comunes de los procedimientos de aplicación de los tributos, que desarrolla la Ley General Tributaria.
-
Disposición adicional quinta. Declaraciones censales.
“1. Las personas o entidades que desarrollen o vayan a desarrollar en territorio español actividades empresariales o profesionales o satisfagan rendimientos sujetos a retención deberán comunicar a la Administración tributaria a través de las correspondientes declaraciones censales su alta en el Censo de Empresarios, Profesionales y Retenedores, las modificaciones que se produzcan en su situación tributaria y la baja en dicho censo. El Censo de Empresarios, Profesionales y Retenedores formará parte del Censo de Obligados Tributarios. En este último figurarán la totalidad de personas físicas o jurídicas y entidades a que se refiere el artículo 35 de la Ley General Tributaria, identificadas a efectos fiscales en España.
Las declaraciones censales servirán, asimismo, para comunicar el inicio de las actividades económicas que desarrollen, las modificaciones que les afecten y el cese en las mismas. A efectos de lo dispuesto en este artículo, tendrán la consideración de empresarios o profesionales quienes tuvieran tal condición de acuerdo con las disposiciones propias del Impuesto sobre el Valor Añadido, incluso cuando desarrollen su actividad fuera del territorio de aplicación de este impuesto.”
Artículo 9. Declaración de alta en el Censo de Empresarios, Profesionales y Retenedores.
“1. Quienes hayan de formar parte del Censo de Empresarios, Profesionales y Retenedores deberán presentar una declaración de alta en dicho censo.”
Artículo 10. Declaración de modificación en el Censo de Empresarios, Profesionales y Retenedores.
“1. Cuando se modifique cualquiera de los datos recogidos en la declaración de alta o en cualquier otra declaración de modificación posterior, el obligado tributario deberá comunicar a la Administración tributaria, mediante la correspondiente declaración, dicha modificación.”
Los obligados a inscribirse al Censo de Empresarios, Profesionales y Retenedores son los autónomos (para simplificar la redacción del artículo) previstos en el artículo 3.2 del Real Decreto 1065/2007.
El tercer apartado disposición adicional quinta de la Ley 58/2003 de la Ley General Tributaria contiene la información mínima que debe recogerse por parte de la Agencia Tributaria, a la que debe sumarse la información prevista por los artículos 4 a 8 del Real Decreto 1065/2007.
Finalmente, las finalidades de la inscripción y actualización de información se encuentran respectivamente listadas en los artículos 9.3 y 10.2 del Real Decreto 1065/2007.
Estos listados se pueden encontrar respectivamente en las páginas 31 y ss. y 35 y ss. de este informe.
El contenido de estos artículos se encuentra explicado de forma relativamente simplificada en la información general de la Agencia Tributaria proporcionada con los modelos de alta(3)(4) según las cuales están obligados inscribirse, antes del inicio de la actividad profesional, en el Censo de Empresarios.
Profesionales y Retenedores:
-
“- Empresarios o profesionales que vayan a comenzar el ejercicio de una o varias actividades económicas en territorio español.
– Quienes, no actuando como empresarios o profesionales, abonen rentas sujetas a retención o ingreso a cuenta o realicen entregas o adquisiciones intracomunitarias de bienes sujetas al IVA.
– Los empresarios o profesionales que sean destinatarios de servicios prestados por empresarios o profesionales no establecidos en el territorio de aplicación del Impuesto sobre el Valor Añadido respecto de los cuales sean sujetos pasivos.
-Los empresarios o profesionales que presten servicios que no se localicen en el territorio de aplicación del Impuesto cuando el sujeto pasivo sea el destinatario de los mismos.
– Los no residentes que operen en territorio español mediante establecimiento permanente o satisfagan en dicho territorio rentas sujetas a retención o ingreso a cuenta, así como las entidades en régimen de atribución de rentas constituidas en el extranjero con presencia en territorio español. Asimismo, los establecimientos permanentes en territorio español de las personas jurídicas o entidades no residentes deben presentar declaración de alta en el Censo de empresarios, profesionales y retenedores.
– Los socios, herederos, comuneros, o partícipes de entidades en régimen de atribución de rentas que tengan obligaciones tributarias derivadas de su condición de miembros de tales entidades.
– Los no establecidos en el territorio de aplicación del IVA que sean sujetos pasivos del mismo, excepto que hubieran resultado exonerados del cumplimiento de obligaciones censales por el Departamento de Gestión Tributaria de la Agencia Tributaria.
– En cualquier caso, mediante la declaración censal de alta las personas jurídicas y entidades en general y las personas físicas empresarios o profesionales que no dispongan de él, solicitarán el Número de Identificación Fiscal (NIF).”
La modificación de la información deberá hacerse, en general, en el plazo de un mes, a contar del siguiente en que se produzcan los cambios o antes de iniciar una nueva actividad. También hay previstos supuestos específicos.
A esta inscripción que debe realizarse ante la Agencia Tributaria, debe sumarse la inscripción ante el Registro Mercantil establecida por el Real Decreto-Ley 11/2018, de 31 de agosto, de transposición de directivas en materia de protección de los compromisos por pensiones con los trabajadores, prevención del blanqueo de capitales y requisitos de entrada y residencia de nacionales de países terceros y por el que se modifica la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Deberán inscribirse en el Registro de Prestadores de Servicios, además de cumplir con otras obligaciones según cada caso concreto, los Empresarios personas físicas y a los Profesionales personas físicas, que presten los servicios señalados en el artículo 2.1.o) de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, que son:
-
• Constituir sociedades u otras personas jurídicas, incluyendo la transmisión de acciones o participaciones de sociedades preconstituidas que no hubieran tenido una actividad económica real.
• Ejercer funciones de dirección, de secretarios no consejeros de un Consejo de Administración, o disponer que los ejerza otra persona, incluyendo, entre otros, Gerentes y Directores Generales.
• Ejercer funciones de asesoría externa de una sociedad,
• Ejercer funciones de socio de una asociación o funciones similares en relación con otras personas jurídicas, o disponer que otra persona ejerza dichas funciones.
• Facilitar un domicilio social o una dirección comercial, postal, administrativa y otros servicios afines a una sociedad, una asociación o cualquier otro instrumento o persona jurídicos (por ejemplo, el gestor o gestora de un espacio de coworking u oficina virtual);
• Ejercer funciones de fiduciario en un fideicomiso (trust) o instrumento jurídico similar, o disponer que otra persona ejerza dichas funciones.
Ejercer funciones de accionista por cuenta de otra persona, exceptuando las sociedades que coticen en un mercado regulado de la Unión Europea y que estén sujetas a requisitos de información acordes con el Derecho de la Unión o a normas internacionales equivalentes que garanticen la adecuada transparencia de la información sobre la propiedad, o disponer que otra persona ejerza dichas funciones.
Como la misión principal del Registro Mercantil es la de dar publicidad los actos y relaciones jurídicas relativas a los sujetos que deben inscribirse en él, el mismo constituye una “fuente de acceso público”.
Este concepto ya estaba presente y bien delimitado en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos Personales (LOPD), pero en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, General de Protección de Datos (en adelante, RGPD) sólo se menciona cuando se establece el deber de información de los responsables cuando no recogen los datos de los interesados. La Agencia Española de Protección de Datos (AEPD) se ha pronunciado al respecto para clarificar que, aunque se trate de datos accesibles por cualquiera, esto no implica necesariamente que el tratamiento sea lícito, debiendo respetarse los demás principios del RGPD(5) y por lo tanto concurrir alguna causa legitimadora del tratamiento. La AEPD, en el informe jurídico relacionado con el tratamiento de datos personales por parte de los partidos políticos(6), también ha establecido que puede aplicarse como criterio interpretativo de este concepto la definición que contenía la antigua LOPD en su artículo 3.j) según la cual eran fuentes de acceso público “aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación”, excluyendo de esta definición las fuentes cuyo “acceso está restringido a un círculo determinado, ya sea como “amigo” u otro concepto similar”.
-
• Apuntes sobre la cesión de datos de la Agencia Tributaria a las Cámaras de Comercio
Tras recoger los datos personales de los autónomos, la Agencia Tributaria debe cumplir no solo con las obligaciones establecidas por el RGPD y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (en adelante, LOPDGDD), pero también con las establecidas en otras normativas. Un ejemplo es la obligación que le impone el artículo 8 de la Ley 4/2014, de 1 de abril, Básica de las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación de facilitar a las Cámaras de Comercio los datos recogidos para que dichas cámaras elaboren un censo público de las empresas (personas jurídicas y físicas) que se encuentran en su jurisdicción.
-
“Artículo 8. Censo público.
Las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación elaborarán un censo público de empresas del que formarán parte las personas físicas o jurídicas, nacionales o extranjeras, que ejerzan las actividades comerciales, industriales, de servicios y navieras en territorio nacional, para cuya elaboración contarán con la colaboración de la administración tributaria competente así como de otras administraciones que aporten la información necesaria, garantizando, en todo caso, la confidencialidad en el tratamiento y el uso exclusivo de dicha información.
Para la elaboración del censo público de empresas las administraciones tributarias facilitarán a la Cámara Oficial de Comercio, Industria, Servicios y Navegación de España y a las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación los datos del Impuesto sobre Actividades Económicas y los censales de las empresas que sean necesarios. Únicamente tendrán acceso a la información facilitada por la administración tributaria los empleados de cada Cámara que determine el pleno.
Esta información se empleará para la elaboración del censo público de empresas, para el cumplimiento de las funciones público-administrativas que la presente Ley atribuye a las Cámaras así como para la elaboración del censo electoral a que se hace referencia en el artículo 17 de la misma.
Dicho personal tendrá, con referencia a los indicados datos, el mismo deber de sigilo que los funcionarios de la administración tributaria. El incumplimiento de este deber constituirá, en todo caso, infracción muy grave de conformidad con su régimen disciplinario.”
• Apuntes sobre la legitimación del tratamiento
El artículo 5 del RGPD establece los principios que deben regir todo tratamiento de datos personales, uno de los cuales es el principio de “licitud, lealtad y transparencia” según el cual los datos personales serán “tratados de manera lícita, leal y transparente en relación con el interesado” (artículo 5.1.a), por lo tanto, debe existir una base jurídica que legitime el tratamiento de datos personales.
Legitimación de la Agencia Tributaria para el tratamiento y cesión de datos del censo a las Cámaras de Comercio.
El cumplimiento de obligaciones legales está expresamente previsto en el artículo 6.1.c) del RGPD, desarrollado por el artículo 8.1 de la LOPDGDD, como base jurídica que legitima el tratamiento de datos personales, la noción de tratamiento incluyendo en este caso, tanto la recogida de datos, elaboración del censo público de Empresarios, Profesionales y Retenedores y su posterior comunicación a las Cámaras de Comercio. El tratamiento por parte de la Agencia Tributaria además también estaría legitimado por el cumplimiento de misiones realizadas en interés público o ejercicio de poderes públicos, base jurídica que se encuentra prevista en el artículo 6.1.e) del RGPD y el artículo 8.2 de la LOPDGDD.
Artículo 6. Licitud del tratamiento.
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
(…) c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
(…) e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;”
Artículo 8. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos.
“1. EI tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.
2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.”
Legitimación de las Cámaras de Comercio para el tratamiento y cesión de datos del censo a terceras entidades.
El mismo artículo 8 de la Ley 4/2014 junto con el artículo 6.1.c) del RGPD legitimarían la recepción de los datos, así como elaboración del censo por parte de las Cámaras de Comercio.
Aun así, la cesión posterior a otras entidades, como CAMERDATA, S.A., ya no entraría dentro de este supuesto y para la cesión del censo a terceros debería disponer de otra base jurídica que legitimase dicho tratamiento.
No se encuentran previstas por Ley las comunicaciones de datos a terceras entidades privadas por parte de las Cámaras de Comercio. Así, la comunicación de datos a estas entidades no puede realizarse fundamentándose en el interés público o el ejercicio de poderes públicos de las Cámaras de Comercio (artículo 6.1.e) del RGPD) y se subscribiría dentro de sus intereses privados, debiendo legitimarse mediante otros fundamentos que lo permitan como: el consentimiento del interesado, el cumplimiento de medidas (pre-)contractuales o el interés legítimo del responsable.
Encontramos la disposición adicional décima de la LOPDGDD relativa a las comunicaciones de datos por los sujetos enumerados en el artículo 77.1 (entre los cuales pueden subsumirse las Cámaras de Comercio por ser corporaciones de derecho público, durante el ejercicio de competencias públicas, comprendidas en el artículo 77.1.g)) que dice lo siguiente:
-
“Los responsables enumerados en el artículo 77.1 de esta ley orgánica podrán comunicar los datos personales que les sean solicitados por sujetos de derecho privado cuando cuenten con el consentimiento de los afectados o aprecien que concurre en los solicitantes un interés legítimo que prevalezca sobre los derechos e intereses de los afectados conforme a lo establecido en el artículo 6.1 f) del Reglamento (UE) 2016/679.”
Tanto durante el ejercicio de competencias públicas que le atribuya la Ley, como cuando no las ejerce, la Cámara de Comercio debería disponer del consentimiento de los interesados para ceder los datos a terceros o considerar que prima el interés legítimo de los mismos(7) sobre los derechos, libertades e intereses de los afectados, siendo su responsabilidad la de demostrar que prevalecen uno a los otros:
-
Artículo 6. Licitud del tratamiento.
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
(…) f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”
Considerando (69) “En los casos en que los datos personales puedan ser tratados lícitamente porque el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento o por motivos de intereses legítimos del responsable o de un tercero, el interesado debe, sin embargo, tener derecho a oponerse al tratamiento de cualquier dato personal relativo a su situación particular. Debe ser el responsable el que demuestre que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y libertades fundamentales del interesado.”
Para valorar si prima el interés legítimo de los sujetos de derecho privado por encima de los derechos e intereses de los autónomos, la Cámara de Comercio debe tener en cuenta las previsiones del artículo 6.1.f), y del considerando 47 del RGPD.
-
Considerando (47) “El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable. En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. Dado que corresponde al legislador establecer por ley la base jurídica para el tratamiento de datos personales por parte de las autoridades públicas, esta base jurídica no debe aplicarse al tratamiento efectuado por las autoridades públicas en el ejercicio de sus funciones. El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo.”(8)
Para facilitar la tarea de llevar a cabo la ponderación entre los derechos del interesado y los intereses del responsable, la Information Commissioner’s Office (ICO), la Autoridad de Protección de Datos del Reino Unido, publicó un test de tres partes, basándose en la Sentencia del Tribunal de Justicia de la Unión Europea de 4 de mayo de 2017, Rigas C-13/16(9), que evalúa(10):
-
• Purpose test: La finalidad del tratamiento, cuestionándose si hay un interés legítimo que lo ampare.
• Necessity test: La necesidad del tratamiento, cuestionándose si el tratamiento de datos personales es necesario para la finalidad prevista
• Balancing test: La valoración sobre si el interés legítimo del tratamiento prevalece sobre los intereses, derechos y libertades del interesado.
Para evaluar estas tres partes, y facilitar aún más la tarea, la ICO elaboró un cuestionario(11), (12) en el que se tiene en cuenta, entre otras cosas:
-
• La existencia de beneficios públicos,
• El impacto si no se realiza el tratamiento,
• Si se cumplen la normativa de protección de datos y otras leyes aplicables,
• Si hay problemas éticos con el tratamiento,
• Si el tratamiento pudiera realizarse de otra manera más obvia o menos intrusiva,
• Si son datos de categorías especiales o datos profesionales,
• Si existe una relación con el interesado o se han obtenido de otra fuente,
• Si hace tiempo que fueron recogidos,
• Si el interesado puede prever que se realizará dicho tratamiento,
• Cuáles pueden ser los posibles impactos del tratamiento,
• Si los interesados perderán el control sobre el uso de sus datos y pueden considerar que el tratamiento es intrusivo.
• Si el responsable del tratamiento estaría dispuesto a explicar el tratamiento de datos que se realiza a los interesados.
En este caso, la Cámara de Comercio parece haber considerado que el interés legítimo de CAMERDATA y otras terceras entidades prima por encima de los derechos e intereses de los autónomos. En nuestra opinión, es lesivo para los derechos fundamentales el uso masivo y no debidamente justificado ni, como se verá más adelante, informado que se está haciendo del concepto de “interés legítimo” incluido en el RGPD. A menudo se utiliza como “cajón de sastre” cuando no saben qué base jurídica es aplicable o cuando ninguna lo es.
En este caso, no podemos estar de acuerdo con la valoración que parece haber hecho la Cámara de Comercio ya que, al inscribirse en el censo de la Agencia Tributaria, los autónomos no pueden prever que sus datos serán comunicados a la Cámara de Comercio y luego a terceras entidades que las utilizaran para su propio beneficio, como se verá más adelante. Por otra parte, si consideramos que algunos de los datos proporcionados a la Agencia Tributaria son, además de profesionales, personales, como direcciones (sobre todo en el caso de los autónomos que trabajan desde casa) o teléfonos, el tratamiento sucesivo por estas entidades y su difusión pública puede considerarse como intrusivo, sobre todo por parte de las terceras empresas que se lucran con la publicación y venta de estos datos. Finalmente, y como se verá más adelante, debe tenerse en cuenta que ni las Cámaras de Comercio, ni los terceros parecen dispuestos a informar correctamente a los autónomos de esta comunicación de datos ni para qué son tratados factor que influye en la pérdida de control sobre sus datos. Vemos, por lo tanto, serios problemas éticos con el tratamiento de datos que será realizado por terceras entidades.
Además, debemos recordar el Informe 2018/175 de la AEPD(13), que en el caso de cesiones de datos entre administraciones públicas y citando la jurisprudencia del Tribunal Constitucional concluía que “el acceso deberá ser siempre “específico en cada caso ajustado a los datos que resulten precisos para la tramitación de un expediente determinado y no de un acceso masivo e indiscriminado”; “tal acceso sólo podría producirse cuando ese dato resulte necesario o pertinente en relación con la tramitación de un concreto expediente, lo que permite analizar o determinar en cada caso la conformidad del acceso con lo establecido en el régimen General que le resulte de aplicación.”(STC 19/2013, FJ 7º)”, debiendo la cesión de datos entre Administraciones Públicas “regirse por las normas generales previstas en el RGPD, y en concreto cabe fijarse en este momento en los artículos 5.1, letra b); 6.2, 6.3 y 6.4 RGPD.”
Legitimación de CAMERDATA
Como hemos visto, CAMERDATA S.A. aparece como referencia directa desde el censo de empresarios de la Cámara de Comercio para obtener más información sobre empresas y autónomos.
En su página web, cuando informa sobre el tratamiento de los datos que no han sido obtenidos del interesado(14), indica en el apartado denominado como “legitimidad del tratamiento”:
-
“Este tratamiento se realiza sobre datos que han sido obtenidos de un Censo oficial elaborado por organismo público, y la persona sujeto pasivo de los datos (el interesado) o ejerce una actividad de las recogidas en el Real Decreto de 2007 (RD 475/ 2007) o ejerce un cargo de responsabilidad que aparece publicado en el registro mercantil, sin la necesidad de obtener su consentimiento previo, en base al interés legítimo en conocer esta información que requieren los Clientes de CAMERDATA, habilitado en el artículo 6.1 f del RGPD, y en el Considerando 47 del RGPD, dado que la finalidad pretendida por nuestros clientes es la realización de campañas de comunicaciones comerciales y de marketing, ofreciendo diferentes bienes o servicios que pudieran ser de su interés. En otros casos, la legitimidad del tratamiento de estos datos por parte de los Clientes de CAMERDATA, puede corresponder a los supuestos previstos en las letras b) o c) del artículo 6.1 del RGPD.”
Así, también CAMERDATA antepone de facto el interés de sus clientes a los derechos, libertades e intereses de los autónomos cuya información personal les vende.
Tanto el considerando 47 del RGPD como la ICO indican que el tratamiento relativo al marketing directo puede estar legitimado por los intereses legítimos(15), pero no siempre el marketing directo constituirá un interés legítimo, dependiendo de las circunstancias del caso concreto. Deberá realizarse una ponderación entre los derechos del interesado y los intereses del responsable para determinar si el tratamiento por parte de los clientes en este caso está, o no, legitimado.
Si respecto a la comunicación de datos de la Cámara de Comercio a CAMERDATA hemos considerado que el interés legítimo no se encontraba justificado, en este caso tampoco.
También la ICO, cuando considera el contacto entre contactos de empresas dice claramente que es posible que el interés legítimo pueda justificar el tratamiento pero que no hay una regla absoluta, y deberá también realizarse una ponderación.
En lo que respecta al tratamiento por parte de los clientes de CAMERDATA, además de la manca de interés legítimo para el tratamiento de los datos que realicen y haciendo referencia a la mención por CAMERDATA de campañas de marketing, si las mismas se realizan a través de medios electrónicos, también deberá tenerse en cuenta el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE):
-
Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes
“1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. (…)”
Adicionalmente, cabe destacar el artículo 19 de la actual LOPDGDD, en la que se establece la facultad de tratar datos personales relativos a empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición, se limiten a los datos mínimos e imprescindibles para su localización profesional (en cumplimiento del principio de minimización) y no se traten para entablar una relación con los mismos como personas físicas, sino sólo para mantener relaciones jurídicas en el entorno profesional, requisitos que en el caso del tratamiento por parte de terceras entidades que obtienen los datos del Registro Mercantil y de la Agencia Tributaria no están reflejados en la ley, al no estar incluida la difusión de estos datos.
Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.
“1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.”
Este artículo ha sido introducido en la LOPDGDD para mantener el statu quo del artículo 2 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que fue el fundamento de diversas resoluciones de la AEPD(16), pero no se fundamenta en ninguna disposición prevista en el RGPD, el cual NO excluye de su ámbito de aplicación los datos profesionales.
Artículo 2 (Real Decreto 1720/2007). Ámbito objetivo de aplicación
“(…) 2. Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal. (…)”
Artículo 2 (RGPD). Ámbito de aplicación material
“1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. El presente Reglamento no se aplica al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención. (…)”
Artículo 2 (LOPDGDD). Ámbito de aplicación de los Títulos I a IX y de los artículos 89 a 94
“(…) 2. Esta ley orgánica no será de aplicación:
a) A los tratamientos excluidos del ámbito de aplicación del Reglamento general de protección de datos por su artículo 2.2, sin perjuicio de lo dispuesto en los apartados 3 y 4 de este artículo.
b) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo 3.
c) A los tratamientos sometidos a la normativa sobre protección de materias clasificadas. (…)”
• Apuntes sobre la finalidad del tratamiento
El artículo 5 del RGPD sobre los principios que deben regir todo tratamiento de datos personales, establece, además del principio de “licitud, lealtad y transparencia” el principio de “limitación de la finalidad” según el cual los datos personales serán “recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1 del RGPD, “el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales” (artículo 5.1.b) RGPD). De acuerdo con este principio, los datos podrán recabarse para cumplir cualquier finalidad que no pudiese realizarse sin recabarlos, debiendo tratarse de una finalidad determinada y no genérica, explícita y no confusa, y legítima.
Como hemos podido observar, la finalidad de tratamiento de los datos de los autónomos por parte de la Agencia Tributaria, la finalidad de la cesión de estos datos a las Cámaras de Comercio y el posterior tratamiento por parte de estas últimas se encuentran establecidas por ley:
• En el primer caso, la Agencia Tributaria recoge los datos de los autónomos para elaborar el Censo de Empresarios, Profesionales y Retenedores que forma parte del Censo de Obligados Tributarios.
• En el segundo y tercer casos, la finalidad de la cesión y las distintas finalidades de tratamiento de los datos se encuentran recogidas en el artículo 8 de la Ley 4/2014:
“Para la elaboración del censo público de empresas las administraciones tributarias facilitarán a la Cámara Oficial de Comercio, Industria, Servicios y Navegación de España y a las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación los datos del Impuesto sobre Actividades Económicas y los censales de las empresas que sean necesarios. Únicamente tendrán acceso a la información facilitada por la administración tributaria los empleados de cada Cámara que determine el pleno.
Esta información se empleará para la elaboración del censo público de empresas, para el cumplimiento de las funciones público-administrativas que la presente Ley atribuye a las Cámaras así como para la elaboración del censo electoral a que se hace referencia en el artículo 17 de la misma.”
Así, siguiendo las indicaciones del artículo 6.3 y considerando 45 del RGPD y del artículo 8.2 de la LOPDGDD las finalidades del tratamiento por parte de la Agencia Tributaria y de las Cámaras de Comercio se encuentran establecidas por ley, pero no se encuentran previstas por Ley las comunicaciones de datos a terceras entidades privadas por parte de las Cámaras de Comercio. Así, las Cámaras de Comercio realizan un tratamiento de datos cuya finalidad es distinta de la que inicialmente está prevista.
El tratamiento posterior de los datos con otras finalidades está previsto por el RGPD el cual indica que no pueden utilizarse los datos para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. Al respecto, el Tribunal Constitucional ya utilizaba como equivalente al término ”incompatible” el término “distinto”, en la STC 94/1998, de 4 de mayo(17), citando la STC 254/1993, de 20 de julio(18), según las cuales:
STC 94/1998, de 4 de mayo, FJ 4º:
“La STC 254/1993 declaró que el art. 18.4 C.E. incorpora un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad. La garantía de la intimidad adopta hoy un entendimiento positivo que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada libertad informática es así derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención (fundamento jurídico 7.o).
STC 254/1993, de 20 de julio, FJ 7º:
“ (…) En este sentido, las pautas interpretativas que nacen del convenio de protección de datos personales de 1981 conducen a una respuesta inequívocamente favorable a las tesis del demandante de amparo. La realidad de los problemas a los que se enfrentó la elaboración y la ratificación de dicho tratado internacional, así como la experiencia de los países del Consejo de Europa que ha sido condensada en su articulado, llevan a la conclusión de que la protección de la intimidad de los ciudadanos requiere que éstos puedan conocer la existencia y los rasgos de aquellos ficheros automatizados donde las Administraciones Públicas conservan datos de carácter personal que les conciernen, así como cuáles son esos datos personales en poder de las autoridades.
Los argumentos que esgrime el Abogado del Estado en contra de este juicio no son convincentes. Si, como acepta dialécticamente en sus alegaciones, el derecho fundamental a la intimidad puede justificar en determinados casos que un ciudadano se niegue a suministrar a las autoridades determinados datos personales, no se ve la razón por la que no podría justificar igualmente que ese mismo ciudadano se oponga a que esos mismos datos sean conservados una vez satisfecho o desaparecido el legítimo fin que justificó su obtención por parte de la Administración o a que sean utilizados o difundidos para fines distintos, y aun ilegales o fraudulentos, o incluso a que esos datos personales que tiene derecho a negar a la Administración sean suministrados por terceros no autorizados para ello.
Toda la información que las Administraciones Públicas recogen y archivan ha de ser necesaria para el ejercicio de las potestades que les atribuye la Ley, y ha de ser adecuada para las legítimas finalidades previstas por ella, como indicamos en la STC 110/1984, especialmente fundamentos 3º y 8º, pues las instituciones públicas, a diferencia de los ciudadanos, no gozan del derecho fundamental a la libertad de expresión que proclama el art. 20 C.E. (…).”
En concreto, el artículo 6.4 y el considerando 50 del RGPD establecen que sólo podrán tratarse los datos cuando el tratamiento posterior de los mismos sea compatible con los fines de su recogida inicial, teniendo en cuenta el contexto de recogida de los datos y la naturaleza de los mismos, la relación del interesado con el responsable del tratamiento y las expectativas razonables del interesado respecto al tratamiento de sus datos. Así, si el interesado no puede prever que sus datos serán tratados más tarde para cumplir con una finalidad distinta el tratamiento posterior de sus datos no sería compatible con los fines de la recogida inicial, como en el caso de los autónomos, y no debería llevarse a cabo, y más teniendo en cuenta que una vez que el tratamiento ha perdido su finalidad originaria, los datos deben ser devueltos o destruidos y no está permitida su reutilización o tratamiento para otras actividades.
Artículo 6. Licitud del tratamiento.
“4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;
b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;
c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;
d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;
e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.”
Considerando (50) “El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte, distinta de la que permitió la obtención de los datos personales. Si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible y lícito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Unión o de los Estados miembros. Las operaciones de tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles. La base jurídica establecida en el Derecho de la Unión o de los Estados miembros para el tratamiento de datos personales también puede servir de base jurídica para el tratamiento ulterior. Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas, cualquier relación entre estos fines y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.
Si el interesado dio su consentimiento o el tratamiento se basa en el Derecho de la Unión o de los Estados miembros que constituye una medida necesaria y proporcionada en una sociedad democrática para salvaguardar, en particular, objetivos importantes de interés público general, el responsable debe estar facultado para el tratamiento ulterior de los datos personales, con independencia de la compatibilidad de los fines. En todo caso, se debe garantizar la aplicación de los principios establecidos por el presente Reglamento y, en particular, la información del interesado sobre esos otros fines y sobre sus derechos, incluido el derecho de oposición. La indicación de posibles actos delictivos o amenazas para la seguridad pública por parte del responsable del tratamiento y la transmisión a la autoridad competente de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la seguridad pública debe considerarse que es en interés legítimo del responsable. Con todo, debe prohibirse esa transmisión en interés legítimo del responsable o el tratamiento ulterior de datos personales si el tratamiento no es compatible con una obligación de secreto legal, profesional o vinculante por otro concepto.”
La finalidad del tratamiento de los datos personales debe ser específica pero también conocida por el interesado al momento de proporcionar sus datos o, como veremos, al momento en que sus datos lleguen a manos de un tercero que deba tratarlos, o en el momento en que el responsable quiera tratarlos para fines distintos de los iniciales. El interesado, en este caso el autónomo, sólo podrá conocer la finalidad específica, o las finalidades específicas, del tratamiento de los datos que proporciona mediante la información que le sea proporcionada por el responsable del tratamiento.
• Apuntes sobre la información que debe proporcionarse a los interesados
Un tratamiento no debe cumplir solamente con los principios y obligaciones analizados hasta el momento, sino que es necesario cumplir con el resto de requisitos establecidos en la normativa de protección de datos. Como se ha visto, el artículo 5 del RGPD sobre los principios que deben regir todo tratamiento de datos personales, establece, además del principio de “licitud, lealtad y transparencia”. La vertiente de transparencia de este principio se refiere en gran parte a la información de qué deben disponer los interesados cuando sus datos personales van a ser objeto de tratamiento, a la cual hacía ya referencia, en relación con el tratamiento por parte de Administraciones Públicas, la Sentencia del Tribunal Constitucional 254/1999, de 20 de julio, en su Fundamento Jurídico 7º(19):
“(…) Las facultades precisas para conocer la existencia, los fines y los responsables de los ficheros automatizados dependientes de una Administración pública donde obran datos personales de un ciudadano son absolutamente necesarias para que los intereses protegidos por el art. 18 C.E., y que dan vida al derecho fundamental a la intimidad, resulten real y efectivamente protegidos. Por ende, dichas facultades de información forman parte del contenido del derecho a la intimidad, que vincula directamente a todos los poderes públicos y ha de ser salvaguardado por este Tribunal, haya sido o no desarrollado legislativamente (STC 11/1981, fundamento jurídico 8º, y 101/1991, fundamento jurídico 2º).”
El artículo 12 y considerandos 39 y 58 del RGPD concretan este principio y establecen que esta información debe permitir que el interesado sepa y comprenda cual es la finalidad del tratamiento y los datos que se recogen, además de informar sobre la identidad del responsable. La información a los interesados, como cuando se informa a consumidores y usuarios, debe ser gratuita, clara, transparente, accesible y fácil de entender, utilizando un lenguaje sencillo, pudiendo utilizar incluso iconos, y el RGPD incide en ello.
-
Artículo 12. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado.
“1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.
(…) 5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito.
(…) 7. La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente. (…)”
Considerando (39) “Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.“
Considerando (58) “El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice. Esta información podría facilitarse en forma electrónica, por ejemplo, cuando esté dirigida al público, mediante un sitio web. Ello es especialmente pertinente en situaciones en las que la proliferación de agentes y la complejidad tecnológica de la práctica hagan que sea difícil para el interesado saber y comprender si se están recogiendo, por quién y con qué finalidad, datos personales que le conciernen, como es en el caso de la publicidad en línea. Dado que los niños merecen una protección específica, cualquier información y comunicación cuyo tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea fácil de entender.”
Los artículos 13 y 14 del RGPD establecen respectivamente la información mínima que debe proporcionarse a los interesados según si los datos personales los proporciona directamente el interesado (artículo 13) o si los datos son obtenidos de terceras fuentes (artículo 14), siendo precisados por los considerandos 60, 61 y 62 del mismo RGPD.
El artículo 11 de la LOPDGDD permite reducir la información que se proporciona y aplicar un modelo de “información por capas” que las Agencias y Autoridades de Protección de Datos de España ya han concretado mediante una “guía para el cumplimiento del deber de informar”(20).
-
Artículo 11. Transparencia e información al afectado
“1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.
3. Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a aquél la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
En estos supuestos, la información básica incluirá también:
a) Las categorías de datos objeto de tratamiento.
b) Las fuentes de las que procedieran los datos.”
El objetivo de este modelo es proporcionar sólo información considerada como básica en un primer lugar para dirigir al interesado que quiera más información a un segundo nivel de información dónde pueda encontrar la información requerida por el RGPD.
La guía de las Autoridades y Agencias lo expone del siguiente modo en su página 5:
En cuanto al momento en que debe proporcionarse la información, varía según las circunstancias de la recogida de la información y de utilización de los datos:
Tras conocer los requisitos informativos que deben cumplir los responsables del tratamiento en cada caso, es preciso analizar si se cumplen dichas obligaciones en el caso de las sucesivas transmisiones de los datos personales de los autónomos desde que se inscriben en el Censo de Empresarios, Profesionales y Retenedores de la Agencia Tributaria hasta que su información es divulgada por terceras entidades privadas que puede que ni conozcan e indexada por los motores de búsqueda.
Información proporcionada por la Agencia Tributaria
La Agencia Tributaria es quien recoge los datos de las y los autónomos, y, por lo tanto, debe informar según lo previsto en el artículo 13 del RGPD en el momento mismo de la recogida de los datos, es decir, en el momento en que se realiza la declaración de alta en el Censo de Empresarios, Profesionales y Retenedores mediante los formularios 036 y 037 disponibles en el siguiente enlace:
https://www.agenciatributaria.gob.es/AEAT.sede/procedimientoini/G322.shtml
En el mismo encontramos más enlaces que nos dirigen, entre otras, a las páginas que seguramente consultan más los autónomos cuando realizan este trámite:
-
• de ayuda para la cumplimentación del formulario de forma telemática.
• de cumplimentación del formulario 036(21) y 037(22) para su posterior impresión.
• de información general sobre la presentación de los formularios(23), donde a su vez se encuentran:
-
◦ las instrucciones para realizar la declaración censal mediante el modelo 036(24).
◦ las instrucciones para realizar la declaración censal mediante el modelo 037(25).
• de información sobre la normativa aplicable, guías y manuales(26) para hacer la declaración censal, donde a su vez se encuentran:
-
◦ la orden HAC/1416/2018, de 28 de diciembre, por la que modifica (…) la Orden EHA/1274/2007, de 26 de abril, por la que se aprueban los modelos 036 de Declaración censal de alta, modificación y baja en el censo de empresarios, profesionales y retenedores y 037 de Declaración censal simplificada de alta, modificación y baja en el censo de empresarios, profesionales y retenedores (…)(27).
◦ la guía práctica de la declaración censal de alta, modificación y baja en el censo de empresarios, profesionales y retenedores, actualizada el mes de enero de 2019.(28)
En ninguno de los enlaces consultados encontramos información relacionada con la protección de los datos personales de quienes se inscriben en el mencionado censo.
La información sobre protección de datos personales se encuentra dividida en distintos sitios de la página web:
– El aviso legal, el cual contiene la política de privacidad, remite a otro enlace que denomina “ayuda tratamiento de datos personales”(29)– dónde se proporciona acceso a información general sobre protección de datos y a normativa, guías y manuales.
Es en la información general(30) sobre protección de datos donde a su vez, encontramos la “información al interesado sobre protección de datos(31)”. Es aquí donde los autónomos podrán encontrar información sobre el tratamiento de sus datos personales una vez que los proporcionan a la Agencia Tributaria, concretamente, una vez entren en el apartado de “información detallada”, y aún más concretamente en el “5. Registro de las actividades de tratamiento”(32) (accesible desde los puntos 3.3, 3.4, 3.5, 3.6 y 3.7 de la página de “información detallada”), que dedica su punto 5.42. al Censo de actividades económicas(33), donde indica como destinatarios de los datos, entre otros, las “Cámaras de comercio, industria y navegación”.
– También encontramos un apartado denominado “datos personales”(34) en el pie de la página web, que contiene información muy genérica sobre el tratamiento de datos por parte de la Agencia Tributaria. Para mayor concreción, debe accederse al enlace “información al interesado sobre protección de datos”(35), que dirige al mismo enlace que el accesible desde la “ayuda tratamiento de datos personales” del aviso legal, o directamente al registro de las actividades de tratamiento.
En conclusión, no se cumple debidamente con el deber de información de acuerdo con el artículo 13 del RGPD en lo referido al tratamiento de datos personales de los autónomos , al encontrarse la información esparcida por la página web y al hecho de que no encontramos cláusulas informativas específicas sobre este tratamiento, ni incluso información básica en una primera capa que nos dirija a información más concreta, y tenemos que dirigirnos hasta el Registro de Actividades de Tratamiento para poder acceder a dicha información.
Información proporcionada por la Cámara de Comercio de España
El artículo 8 de la Ley 4/2014 establece que las administraciones tributarias facilitaran los datos del Impuesto sobre Actividades Económicas y los censales que sean necesarios para que las Cámaras de Comercio elaboren un censo público de empresas que ejerzan actividades comerciales, industriales, de servicios y navieras en territorio nacional. Al estar la comunicación de datos prevista por Ley, las Cámaras de Comercio pueden aplicar la excepción al deber de información prevista por el artículo 14 del RGPD según la cual no deben informar a los interesados cuando la obtención o la comunicación de los datos que no recogen de los interesados está expresamente establecida por el Derecho de los Estados Miembros. Siguiendo este precepto, la Cámara de Comercio de España no informa ni en el Censo Nacional de Empresas(36) ni en su política de privacidad(37) sobre el tratamiento de datos personales de los autónomos.
Aun así, el legislador debió cuestionarse la constitucionalidad de la previsión de esta cesión porque la redacción del artículo 14.5.c) del RGPD es la siguiente:
-
“5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:
(…) c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, (…)”
El derecho nacional, cuando establece una comunicación de datos personales debe prever las medidas adecuadas aplicables para proteger los intereses legítimos del interesado(38), pero el artículo 8 de la Ley 4/2014 prevé como única medida para proteger los intereses de los interesados guardar la confidencialidad de los datos y que el personal de las Cámaras de Comercio que tenga acceso a la información facilitada por la Agencia Tributaria tendrá el mismo deber de sigilo que los funcionarios de esta administración.
Viendo que los datos personales comunicados a las Cámaras de Comercio, recogidos para el cumplimiento por parte de los autónomos de obligaciones legales, constituyen el negocio de algunas entidades privadas mediante su publicación y difusión, parece que nos encontramos ante un posible incumplimiento de las condiciones de confidencialidad establecidas por la Ley. El legislador debería limitar estas posibilidades de negocio por parte de las Cámaras de Comercio y de terceros modificando la Ley 4/2014 para incluir la aplicación de más garantías con el objetivo de proteger los derechos e intereses de los autónomos cuyos datos son vendidos sin que puedan tener control sobre su difusión, sobre todo en el caso de aquellos autónomos cuyos datos profesionales coinciden con los personales, cuya información personal, como la dirección de su domicilio, no debería ser objeto de difusión sin su consentimiento ni conocimiento.
Información proporcionada por CAMERDATA
La excepción anterior no se aplica a CAMERDATA, S.A ni a terceras entidades que reciban los datos tratados por la Cámara de Comercio, por lo tanto, estas empresas deberían cumplir con lo establecido en el artículo 14 del RGPD, es decir, informar del tratamiento de sus datos a los autónomos dentro de un plazo razonable desde que los obtienen y como máximo en el plazo de un mes.
Para informar a los autónomos cuyos datos son vendidos, CAMERDATA lo hace a través de su aviso legal(39), en cuyo apartado sexto incluye toda la “información sobre el tratamiento de los datos (FEE y productos comercializados) no obtenidos del interesado, relativos a marketing y publicidad”, indicando como base jurídica una vez más el interés legítimo de sus clientes de conocer la información para realizar “campañas de comunicaciones comerciales y marketing”, siendo la finalidad la misma.
La información no se proporciona entonces individualmente a cada autónomo porque CAMERDATA debe haber considerado que proporcionar la información a través del aviso legal constituye una medida adecuada para proteger los derechos, libertades e intereses de los interesados y es de aplicación la excepción al deber de información del artículo 14.5.b) del RGPD y del considerando 62 según los cuales:
Artículo 14. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado.
“(…) 5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:
(…) b) la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información;”
Considerando (62) “Sin embargo, no es necesario imponer la obligación de proporcionar información cuando el interesado ya posea la información, cuando el registro o la comunicación de los datos personales estén expresamente establecidos por ley, o cuando facilitar la información al interesado resulte imposible o exija un esfuerzo desproporcionado. Tal podría ser particularmente el caso cuando el tratamiento se realice con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. A este respecto, debe tomarse en consideración el número de interesados, la antigüedad de los datos y las garantías adecuadas adoptadas.”
El principal problema que nos encontramos con la aplicación del apartado 5 del artículo 14 del RGPD es que no hay aún interpretación expresa por parte de la AEPD, de acuerdo con el RGPD, de la aplicación de esta excepción y de lo que considera como “esfuerzo desproporcionado”. Sin embargo, la AEPD sancionó la Mancomunidad de Pamplona por incumplir el artículo 14 del RGPD, obligándola al envío a las personas afectadas de comunicaciones informativas sobre protección de datos personales(40). La ICO ha establecido que el responsable debe realizar y documentar una evaluación de la situación analizando si el esfuerzo que implica proveer a los individuos con la información es proporcional con las consecuencias que el tratamiento por parte del responsable, CAMERDATA en este caso, puede tener sobre ellos. Cuanto más significantes son las consecuencias menos puede confiarse en la aplicación de esta excepción, que debe ser interpretada de forma restrictiva para que no se convierta en la norma general.(41)
No podemos compartir la interpretación supuestamente realizada por CAMERDATA ya que disponiendo de las direcciones de los autónomos no consideramos un esfuerzo desproporcionado comunicarles que sus datos son objeto de tratamiento y que disponen de ciertos derechos, como el derecho de oposición, supresión y limitación del tratamiento (artículos 17, 18, 21 del RGPD y 15,16, 18 de la LOPDGDD) para que los mismos puedan controlar el uso de sus datos por parte de terceros a quienes no les han proporcionado dichos datos.
Además, el considerando 70 del RGPD establece claramente que debe comunicarse explícitamente al interesado, al margen de cualquier otra información, que tiene derecho de oponerse al tratamiento de sus datos personales cuando sean tratados con fines de mercadotecnia directa (finalidad indicada en el aviso legal de CAMERDATA cuanto a la justificación del interés legítimo del tratamiento de los datos: “la finalidad pretendida por nuestros clientes es la realización de campañas de comunicaciones comerciales y de marketing, ofreciendo diferentes bienes o servicios que pudieran ser de su interés”):
-
Considerando (70) “Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a oponerse a dicho tratamiento, inclusive a la elaboración de perfiles en la medida en que esté relacionada con dicha mercadotecnia directa, ya sea con respecto a un tratamiento inicial o ulterior, y ello en cualquier momento y sin coste alguno. Dicho derecho debe comunicarse explícitamente al interesado y presentarse claramente y al margen de cualquier otra información.”
En este sentido, cabe recordar que el responsable del tratamiento está obligado a eliminar los datos y conceder el derecho de oposición a los interesados, salvo cuando acredite motivos legítimos imperiosos que prevalezcan sobre los intereses, derechos y libertades de los interesados, y que toda rectificación, supresión o limitación deberá comunicarse a cada uno de los destinatarios a los que se hayan comunicado los datos para que realicen la misma acción que el responsable de acuerdo con el artículo 19 del RGPD:
-
Artículo 19. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento.
El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales o limitación del tratamiento efectuada con arreglo al artículo 16, al artículo 17, apartado 1, y al artículo 18 a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.
• Conclusión
Tradicionalmente, el derecho a la protección de datos se ha configurado como un derecho de control sobre el uso y destino de los datos personales,(42)que debe ser respetado tanto por entes privados como públicos. Además, el RGPD establece en su artículo 25 el principio de privacidad desde el diseño y por defecto, que debe tenerse en cuenta, tanto en la concepción de un tratamiento de datos personales como en su desarrollo.
En el presente informe hemos constatado que los datos que los autónomos deben proporcionar obligatoriamente a las administraciones pasan a formar parte de “fuentes de acceso público”, tales como el Registro Mercantil cuya misión principal es dar publicidad los actos y relaciones jurídicas relativas a los sujetos que deben inscribirse en él y el Censo Público de empresas elaborado por parte de las Cámaras de Comercio.
Xnet entiende que para el bien de la transparencia deban proporcionarse estos datos pero no está conforme con la posterior publicación y venta de los mismos cuando estos coinciden con los datos personales del interesado y circunstancia donde no dispone de una sede diferente de su domicilio para llevar a cabo la actividad profesional, muchas veces porque no dispone de los ingresos suficientes para tenerlos.
Además, para que las y los autónomos recuperen el poder de control sobre sus datos personales ab initio y no deban ejercer los derechos de oposición y supresión de forma constante, es necesario que por defecto no se realicen las comunicaciones de datos a las terceras entidades que se han descrito y que solo puedan llevarse a cabo cuando los autónomos decidan, de forma expresa en el momento en que proporcionan la información a la Agencia Tributaria, si quieren que estos datos puedan ser objeto de venta en un futuro.
Finalmente, como se ha comentado en informes anteriores, es imperativo que se respeten los principios esenciales previstos por la normativa de protección de datos, tales como el deber de información y el principio de licitud, concretando en qué casos concretos y restrictivos se aplican las excepciones al primero, y prever cuando los intereses legítimos de las empresas constituyen un fundamento válido para el tratamiento de datos personales.
2. LISTADO DE LEGISLACIÓN Y ARTÍCULOS RELEVANTES
-
Ley 58/2003, de 17 de diciembre, General Tributaria.
Disposición adicional quinta. Declaraciones censales.
1. Las personas o entidades que desarrollen o vayan a desarrollar en territorio español actividades empresariales o profesionales o satisfagan rendimientos sujetos a retención deberán comunicar a la Administración tributaria a través de las correspondientes declaraciones censales su alta en el Censo de Empresarios, Profesionales y Retenedores, las modificaciones que se produzcan en su situación tributaria y la baja en dicho censo. El Censo de Empresarios, Profesionales y Retenedores formará parte del Censo de Obligados Tributarios. En este último figurarán la totalidad de personas físicas o jurídicas y entidades a que se refiere el artículo 35 de la Ley General Tributaria, identificadas a efectos fiscales en España.
Las declaraciones censales servirán, asimismo, para comunicar el inicio de las actividades económicas que desarrollen, las modificaciones que les afecten y el cese en las mismas. A efectos de lo dispuesto en este artículo, tendrán la consideración de empresarios o profesionales quienes tuvieran tal condición de acuerdo con las disposiciones propias del Impuesto sobre el Valor Añadido, incluso cuando desarrollen su actividad fuera del territorio de aplicación de este impuesto.
2. Reglamentariamente se regulará el contenido, la forma y los plazos para la presentación de estas declaraciones censales.
3. La declaración censal de alta en el Censo de Empresarios, Profesionales y Retenedores contendrá, al menos la siguiente información:
a) El nombre y apellidos o razón social del declarante.
b) El número de identificación fiscal si se trata de una persona física que lo tenga atribuido. Si se trata de personas jurídicas o entidades del apartado 4 del artículo 35 de la Ley General Tributaria, la declaración de alta servirá para solicitar este número, para lo cual deberán aportar la documentación que se establezca reglamentariamente y completar el resto de la información que se relaciona en este apartado. De igual forma procederán las personas físicas sin número de identificación fiscal que resulten obligadas a la presentación de la declaración censal de alta, porque vayan a realizar actividades económicas o vayan a satisfacer rendimientos sujetos a retención.
c) El domicilio fiscal, y su domicilio social, cuando sea distinto de aquél.
d) La relación de establecimientos y locales en los que vaya a desarrollar actividades económicas, con identificación de la comunidad autónoma, provincia, municipio, y dirección completa de cada uno de ellos.
e) La clasificación de las actividades económicas que vaya a desarrollar según la codificación de actividades establecida a efectos del Impuesto sobre Actividades Económicas.
f) El ámbito territorial en el que vaya a desarrollar sus actividades económicas, distinguiendo si se trata de ámbito nacional, de la Unión Europea o internacional. A estos efectos, el contribuyente que vaya a operar en la Unión Europea solicitará su alta en el Registro de operadores intracomunitarios en los términos que se definan reglamentariamente.
g) La condición de persona o entidad residente o no residente. En este último caso, se especificará si cuenta o no con establecimientos permanentes, identificándose todos ellos, con independencia de que éstos deban darse de alta individualmente. Si se trata de un establecimiento permanente, en la declaración de alta se identificará la persona o entidad no residente de la que dependa, así como el resto de los establecimientos permanentes de dicha persona o entidad que se hayan dado de alta en el Censo de Empresarios, Profesionales y Retenedores.
h) El régimen de tributación en el Impuesto sobre Sociedades, en el Impuesto sobre la Renta de las Personas Físicas o en el Impuesto sobre la Renta de no Residentes, según corresponda, con mención expresa de los regímenes y modalidades de tributación que le resulten de aplicación y los pagos a cuenta que le incumban.
i) El régimen de tributación en el Impuesto sobre el Valor Añadido, con referencia a las obligaciones periódicas derivadas de dicho impuesto que le correspondan y el plazo previsto para el inicio de la actividad, distinguiendo el previsto para el inicio de las adquisiciones e importaciones de bienes y servicios del previsto para las entregas de bienes y prestaciones de servicios que constituyen el objeto de su actividad, en el caso de que uno y otro sean diferentes.
j) El régimen de tributación en los impuestos que se determinen reglamentariamente.
k) En el caso en que se trate de entidades en constitución, la declaración de alta contendrá, al menos, los datos identificativos y domicilio completo de las personas o entidades que promuevan su constitución.
4. La declaración censal de modificación contendrá cualquier variación que afecte a los datos consignados en la declaración de alta o en cualquier otra declaración de modificación anterior, en los términos que se establezcan reglamentariamente.
5. La declaración censal de baja se presentará cuando se produzca el cese efectivo en todas las actividades a que se refiere este artículo, de acuerdo con lo que se disponga reglamentariamente.
6. La Administración tributaria llevará conjuntamente con el Censo de Empresarios, Profesionales y Retenedores un Registro de operadores intracomunitarios en el que se darán de alta los sujetos pasivos del Impuesto sobre el Valor Añadido que realicen entregas y adquisiciones intracomunitarias de bienes, así como determinadas prestaciones de servicios en los términos que se establezcan reglamentariamente.
7. Las personas o entidades a que se refiere el apartado uno de este artículo podrán resultar exoneradas reglamentariamente de presentar otras declaraciones de contenido o finalidad censal establecidas por las normas propias de cada tributo.
8. Las sociedades en constitución y los empresarios individuales que presenten el documento único electrónico para realizar telemáticamente sus trámites de constitución e inicio de actividad, de acuerdo con lo previsto en la Ley 14/2013 de Apoyo a los Emprendedores y su Internacionalización, quedarán exoneradas de la obligación de presentar la declaración censal de alta, pero quedarán obligadas a la presentación posterior de las declaraciones de modificación o de baja que correspondan en la medida en que varíe o deba ampliarse la información y circunstancias contenidas en dicho documento único electrónico en caso de que el emprendedor no realice estos trámites a través de dicho documento.
Real Decreto 1065/2007, de 27 de julio, por el que se aprueba el Reglamento General de las actuaciones y los procedimientos de gestión e inspección tributaria y de desarrollo de las normas comunes de los procedimientos de aplicación de los tributos.
Artículo 3. Formación de los censos tributarios en el ámbito de competencias del Estado.
2. El Censo de Empresarios, Profesionales y Retenedores estará formado por las personas o entidades que desarrollen o vayan a desarrollar en territorio español alguna de las actividades u operaciones que se mencionan a continuación:
a) Actividades empresariales o profesionales. Se entenderá por tales aquellas cuya realización confiera la condición de empresario o profesional, incluidas las agrícolas, forestales, ganaderas o pesqueras.
No se incluirán en el Censo de Empresarios, Profesionales y Retenedores quienes efectúen exclusivamente arrendamientos de inmuebles exentos del Impuesto sobre el Valor Añadido, conforme al artículo 20.uno.23.º de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido, siempre que su realización no constituya el desarrollo de una actividad empresarial de acuerdo con lo dispuesto en la normativa reguladora del Impuesto sobre la Renta de las Personas Físicas. Tampoco se incluirán en este censo quienes efectúen entregas a título ocasional de medios de transporte nuevos exentas del Impuesto sobre el Valor Añadido en virtud de lo dispuesto en el artículo 25.uno y dos de su ley reguladora, y adquisiciones intracomunitarias de bienes exentas en virtud de lo dispuesto en el artículo 26.tres de la misma ley.
b) Abono de rentas sujetas a retención o ingreso a cuenta.
c) Adquisiciones intracomunitarias de bienes sujetas al Impuesto sobre el Valor Añadido efectuadas por quienes no actúen como empresarios o profesionales.
También se integrarán en este censo las personas o entidades no residentes en España de acuerdo con lo dispuesto en el artículo 6 del texto refundido de la Ley del Impuesto sobre la Renta de no Residentes, aprobado por Real Decreto Legislativo 5/2004, de 5 de marzo, que operen en territorio español mediante establecimiento permanente o satisfagan en dicho territorio rentas sujetas a retención o ingreso a cuenta, y las entidades a las que se refiere el párrafo c) del artículo 5 de la citada ley.
De igual forma, las personas o entidades no establecidas en el territorio de aplicación del Impuesto sobre el Valor Añadido quedarán integradas en este censo cuando sean sujetos pasivos de dicho impuesto.
Asimismo, formarán parte de este censo las personas o entidades que no cumplan ninguno de los requisitos previstos en este apartado pero sean socios, herederos, comuneros o partícipes de entidades en régimen de atribución de rentas que desarrollen actividades empresariales o profesionales y tengan obligaciones tributarias derivadas de su condición de miembros de tales entidades.
El Censo de Empresarios, Profesionales y Retenedores formará parte del Censo de Obligados Tributarios.”
Artículo 4. Contenido del Censo de Obligados Tributarios.
1. Los datos que se incluirán en el Censo de Obligados Tributarios serán para las personas físicas los siguientes:
a) Nombre y apellidos, sexo, fecha de nacimiento, lugar de nacimiento, estado civil y fecha del estado civil.
b) Número de identificación fiscal español.
c) Número de identificación fiscal de otros países, en su caso, para los residentes.
d) Código de identificación fiscal del Estado de residencia, en su caso, para no residentes.
e) Número de pasaporte, en su caso.
f) Condición de residente o no residente en territorio español.
g) Domicilio fiscal en España y la referencia catastral del inmueble, salvo que no esté obligado a ello de acuerdo con la normativa que le sea de aplicación.
h) En su caso, domicilio en el extranjero.
i) Nombre y apellidos o razón social o denominación completa y número de identificación fiscal de los representantes legales para las personas que carezcan de capacidad de obrar en el orden tributario.
2. Los datos que se incluirán en el Censo de Obligados Tributarios serán para las personas jurídicas y demás entidades los siguientes:
a) Razón social o denominación completa, así como el anagrama, si lo tuviera.
b) Número de identificación fiscal español.
c) Número de identificación fiscal de otros países, en su caso, para los residentes.
d) Código de identificación fiscal del Estado de residencia, en su caso, para no residentes.
e) Condición de persona jurídica o entidad residentes o no residentes en territorio español.
f) Constitución en España o en el extranjero. En este último caso incluirá el país de constitución.
g) Fecha de constitución y, en su caso, fecha del acuerdo de voluntades a que se refiere el artículo 24.2 y fecha de inscripción en el registro público correspondiente.
h) Capital social de constitución.
i) Domicilio fiscal en España y la referencia catastral del inmueble, salvo que no esté obligado a ello de acuerdo con la normativa que le sea de aplicación.
j) En su caso, domicilio en el extranjero.
k) Nombre y apellidos o razón social o denominación completa y número de identificación fiscal de los representantes legales.
l) La declaración de que la entidad se constituye con la finalidad específica de la posterior transmisión a terceros de sus participaciones, acciones y demás títulos representativos de los fondos propios, y de que no realizará actividad económica hasta dicha transmisión.
Hasta ese momento estas entidades no formarán parte de los registros a que se refieren los apartados 3, 4, 5 y 6 del artículo 3.
Artículo 5. Contenido del Censo de Empresarios, Profesionales y Retenedores.
En el Censo de Empresarios, Profesionales y Retenedores, además de los datos mencionados en el artículo 4 de este reglamento, para cada persona o entidad constará la siguiente información:
a) Las declaraciones o autoliquidaciones que deba presentar periódicamente por razón de sus actividades empresariales o profesionales, o por satisfacer rentas sujetas a retención o ingreso a cuenta, en los términos previstos en la orden a que se refiere el artículo 13 de este reglamento.
b) Su situación tributaria en relación con los siguientes extremos:
1.º La condición de entidad total o parcialmente exenta a efectos del Impuesto sobre Sociedades, de acuerdo con el artículo 9 del texto refundido de la Ley del Impuesto sobre Sociedades, aprobado por Real Decreto Legislativo 4/2004, de 5 de marzo.
2.º La opción o la renuncia al régimen fiscal especial previsto en el título II de la Ley 49/2002, de 23 de diciembre, de régimen fiscal de las entidades sin fines lucrativos y de los incentivos fiscales al mecenazgo.
3.º El método de determinación del rendimiento neto de las actividades económicas que desarrolle y, en su caso, la modalidad aplicada en el Impuesto sobre la Renta de las Personas Físicas.
4.º La inclusión, renuncia, revocación de la renuncia o exclusión del método de estimación objetiva o de la modalidad simplificada del régimen de estimación directa en el Impuesto sobre la Renta de las Personas Físicas.
5.º La sujeción del obligado tributario al régimen general o a algún régimen especial en el Impuesto sobre el Valor Añadido.
6.º La inclusión, renuncia, revocación de la renuncia o exclusión del régimen simplificado, del régimen especial de la agricultura, ganadería y pesca y del régimen especial del criterio de caja del Impuesto sobre el Valor Añadido.
7.º La inclusión o baja en el Registro de operadores intracomunitarios.
8.º La inclusión o baja en el Registro de exportadores y otros operadores económicos en régimen comercial a que se refiere el artículo 30 del Reglamento del Impuesto sobre el Valor Añadido, aprobado por el Real Decreto 1624/1992, de 29 de diciembre.
9.º La inclusión o baja en el Registro de grandes empresas.
10.º La clasificación de las actividades económicas desarrolladas de acuerdo con la codificación prevista en el Real Decreto 475/2007, de 13 de abril, por el que se aprueba la Clasificación Nacional de Actividades Económicas 2009 (CNAE-2009).
11.º La relación, en su caso, de los establecimientos o locales en los que desarrolle sus actividades económicas, con identificación de la comunidad autónoma, provincia, municipio, dirección completa y la referencia catastral de cada uno de ellos.
c) El número de teléfono y, en su caso, la dirección de correo electrónico y el nombre de dominio o dirección de Internet, mediante el cual desarrolle, total o parcialmente, sus actividades.
Artículo 6. Información censal complementaria respecto de las personas físicas residentes en España incluidas en el Censo de Empresarios, Profesionales y Retenedores.
Respecto de las personas físicas residentes en España, constarán en el Censo de Empresarios, Profesionales y Retenedores, además de su domicilio fiscal, el lugar donde tengan efectivamente centralizada la gestión administrativa y la dirección de sus negocios en territorio español, cuando sea distinto del domicilio fiscal.
Artículo 7. Información censal complementaria respecto de las entidades residentes o constituidas en España incluidas en el Censo de Empresarios, Profesionales y Retenedores.
Respecto de las entidades residentes o constituidas en España, constarán en el Censo de Empresarios, Profesionales y Retenedores los siguientes datos adicionales:
a) El domicilio social, cuando exista y sea distinto al domicilio fiscal, y la referencia catastral del inmueble.
b) La fecha de cierre del ejercicio económico.
c) La forma jurídica o clase de entidad de que se trate.
d) El nombre y apellidos o razón social o denominación completa, número de identificación fiscal y domicilio fiscal de cada uno de los socios, miembros o partícipes fundadores o que promuevan su constitución. También se harán constar esos mismos datos, excepto para las entidades que tengan la condición de comunidades de propietarios constituidas en régimen de propiedad horizontal, para cada uno de los miembros o partícipes que formen parte, en cada momento, de las entidades a que se refiere el artículo 35.4 de la Ley 58/2003, de 17 de diciembre, General Tributaria, con indicación de su cuota de participación y de atribución en caso de que dichas cuotas no coincidan. En el caso de que los socios, miembros o partícipes no sean residentes en España, se deberá hacer constar su residencia fiscal y la identificación de su representante fiscal en España si lo hubiera.
e) El nombre y apellidos o razón social o denominación completa, número de identificación fiscal de los sucesores de entidades extintas ya sea por trasformación o en los supuestos mencionados en el artículo 40 de la Ley 58/2003, del 17 de diciembre, General Tributaria.
Artículo 8. Información censal complementaria respecto de las personas o entidades no residentes o no establecidas, así como de las no constituidas en España, incluidas en el Censo de Empresarios, Profesionales y Retenedores.
1. En el caso de personas o entidades no residentes o no establecidas, así como en el de las no constituidas en España, que hayan de formar parte del Censo de Empresarios, Profesionales y Retenedores constarán en dicho censo los siguientes datos complementarios:
a) El Estado o territorio de residencia.
b) La nacionalidad y la forma jurídica o clase de entidad sin personalidad jurídica de que se trate, de acuerdo con su derecho nacional.
c) En su caso, nombre y apellidos o razón social o denominación completa, con el anagrama, si lo hubiera, número de identificación fiscal, domicilio fiscal y nacionalidad de su representante en España.
2. Cuando una persona o entidad no residente opere en territorio español por medio de uno o varios establecimientos permanentes que realicen actividades claramente diferentes y cuya gestión se lleve de modo separado, de acuerdo con lo dispuesto en el artículo 17 del texto refundido de la Ley del Impuesto sobre la Renta de no Residentes, aprobado por Real Decreto Legislativo 5/2004, de 5 de marzo, cada establecimiento deberá inscribirse individualmente en el Censo de Empresarios, Profesionales y Retenedores, con los mismos datos y en las mismas condiciones que las personas o entidades residentes y, además, cada uno de ellos deberá identificar la persona o entidad no residente de la que dependan y comunicar los datos relativos a aquella relacionados en el apartado anterior.
Cada establecimiento permanente se identificará con una denominación específica que, en cualquier caso, comprenderá una referencia a la persona o entidad no residente de la que dependa y un número de identificación fiscal propio e independiente del asignado, en su caso, a esta última y la referencia catastral del inmueble donde esté situado el establecimiento permanente.
Asimismo, deberá especificarse la forma de determinación de la base imponible del establecimiento permanente que se constituye en España, de acuerdo con lo dispuesto en el artículo 18 del texto refundido de la Ley del Impuesto sobre la Renta de no Residentes, aprobado por Real Decreto Legislativo 5/2004, de 5 de marzo.
3. En el caso de que una persona o entidad no residente opere en territorio español por sí misma y por medio de uno o varios establecimientos permanentes, la inclusión en el Censo de Empresarios, Profesionales y Retenedores deberá realizarse tanto por la persona o entidad no residente como por sus establecimientos permanentes.
En todas estas inclusiones, además de los datos exigidos con carácter general en este reglamento, se comunicarán los relacionados en el apartado 1 de este artículo referentes a la persona o entidad no residente.
Asimismo, cada establecimiento permanente se identificará e indicará la clase de establecimiento que constituya de acuerdo con lo dispuesto en el apartado anterior y la referencia catastral del inmueble.
4. En el caso de entidades en régimen de atribución de rentas con presencia en territorio español, de acuerdo con lo dispuesto en el artículo 38.2 del texto refundido de la Ley del Impuesto sobre la Renta de no Residentes, aprobado por Real Decreto Legislativo 5/2004, de 5 de marzo, en el Censo de Empresarios, Profesionales y Retenedores deberán constar el nombre y apellidos o razón social o denominación completa, número de identificación fiscal, domicilio fiscal y nacionalidad de cada uno de los miembros o partícipes de aquella, con indicación de su cuota de participación y de atribución.
Artículo 9. Declaración de alta en el Censo de Empresarios, Profesionales y Retenedores.
1. Quienes hayan de formar parte del Censo de Empresarios, Profesionales y Retenedores deberán presentar una declaración de alta en dicho censo.
2. La declaración de alta deberá incluir los datos recogidos en los artículos 4 a 8 de este reglamento, ambos inclusive.
3. Asimismo, esta declaración servirá para los siguientes fines:
a) Solicitar la asignación del número de identificación fiscal provisional o definitivo, con independencia de que la persona jurídica o entidad solicitante no esté obligada, por aplicación de lo dispuesto en el apartado 1 anterior, a la presentación de la declaración censal de alta en el Censo de Empresarios, Profesionales y Retenedores. La asignación del número de identificación fiscal, a solicitud del interesado o de oficio, determinará la inclusión automática en el Censo de Obligados Tributarios de la persona o entidad de que se trate.
b) Comunicar el régimen general o especial aplicable en el Impuesto sobre el Valor Añadido.
c) Renunciar al método de estimación objetiva y a la modalidad simplificada del método de estimación directa en el Impuesto sobre la Renta de las Personas Físicas o a los regímenes especiales simplificado, y de la agricultura, ganadería y pesca del Impuesto sobre el Valor Añadido.
d) Indicar, a efectos del Impuesto sobre el Valor Añadido, si el inicio de la realización habitual de las entregas de bienes o prestaciones de servicios que constituyen el objeto de la actividad será posterior al comienzo de la adquisición o importación de bienes o servicios destinados al desarrollo de la actividad empresarial o profesional.
e) Proponer a la Agencia Estatal de Administración Tributaria el porcentaje provisional de deducción a que se refiere el artículo 111.dos de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.
f) Optar por la determinación de la base imponible mediante el margen de beneficio global en el régimen especial de los bienes usados, objetos de arte, antigüedades y objetos de colección a que se refiere el apartado dos del artículo 137 de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.
g) Solicitar la inclusión en el Registro de operadores intracomunitarios.
h) Optar por la no sujeción al Impuesto sobre el Valor Añadido de las entregas de bienes a que se refiere el artículo 68.cuatro de la ley de dicho impuesto.
i) Comunicar la sujeción al Impuesto sobre el Valor Añadido de las entregas de bienes a que se refieren el artículo 68. tres y cinco de la ley de dicho impuesto, siempre que el declarante no se encuentre ya registrado en el censo.
j) Optar por la aplicación de la regla de prorrata especial en el Impuesto sobre el Valor Añadido, prevista en el artículo 103.dos.1.º de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.
k) Optar por la determinación del pago fraccionado del Impuesto sobre Sociedades, de acuerdo con la modalidad prevista en el artículo 45.3 del texto refundido de la Ley del Impuesto sobre Sociedades, aprobado por Real Decreto Legislativo 4/2004, de 5 de marzo.
l) Comunicar el periodo de liquidación de las autoliquidaciones de retenciones e ingresos a cuenta del Impuesto sobre la Renta de las Personas Físicas, del Impuesto sobre la Renta de no Residentes y del Impuesto sobre Sociedades, en atención a la cuantía de su último presupuesto aprobado cuando se trate de retenedores u obligados a ingresar a cuenta que tengan la consideración de Administraciones públicas, incluida la Seguridad Social.
m) Optar por la aplicación del régimen general previsto para los establecimientos permanentes, en los términos del artículo 18.5.b) del texto refundido de la Ley del Impuesto sobre la Renta de no Residentes, aprobado por Real Decreto Legislativo 5/2004, de 5 de marzo, para aquellos establecimientos permanentes cuya actividad en territorio español consista en obras de construcción, instalación o montaje cuya duración exceda de seis meses, actividades o explotaciones económicas de temporada o estacionales, o actividades de exploración de recursos naturales.
n) Optar por el régimen fiscal especial previsto en el título II de la Ley 49/2002, de 23 de diciembre, de régimen fiscal de las entidades sin fines lucrativos y de los incentivos fiscales al mecenazgo.
ñ) Comunicar aquellos otros hechos y circunstancias de carácter censal previstos en la normativa tributaria o que determine el Ministro de Economía y Hacienda.
o) Comunicar la condición de empresario o profesional revendedor de los bienes a que se refiere el artículo 84.Uno.2.ºg) de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.
p) Optar por la aplicación del diferimiento del ingreso de las cuotas de Impuesto sobre el Valor Añadido en las operaciones de importación liquidadas por la Aduana, a que se refiere el artículo 167.Dos de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.
q) Optar por la llevanza de los libros registro del Impuesto sobre el Valor Añadido a través de la Sede electrónica de la Agencia Estatal de Administración Tributaria de acuerdo con lo previsto en el artículo 62.6 del Reglamento del Impuesto sobre el Valor Añadido.
r) Comunicar la opción por el cumplimiento de la obligación de expedir factura por los destinatarios de las operaciones o por terceros, en los términos del artículo 5.1 del Reglamento por el que se aprueban las obligaciones de facturación, aprobado por el Real Decreto 1619/2012, de 30 de noviembre, en el caso de las personas y entidades a que se refiere el artículo 62.6 del Reglamento del Impuesto sobre el Valor Añadido.
s) Optar por la no sujeción al Impuesto sobre el Valor Añadido de las prestaciones de servicios a que se refiere el artículo 70.Uno.8.º de la ley de dicho impuesto.
t) Comunicar la sujeción al Impuesto sobre el Valor Añadido de las prestaciones de servicios a que se refiere el artículo 70.Uno.4.ºa) de la ley de dicho impuesto, siempre que el declarante no se encuentre ya registrado en el censo.
4. Esta declaración deberá presentarse, según los casos, con anterioridad al inicio de las correspondientes actividades, a la realización de las operaciones, al nacimiento de la obligación de retener o ingresar a cuenta sobre las rentas que se satisfagan, abonen o adeuden o a la concurrencia de las circunstancias previstas en este artículo.
A efectos de lo dispuesto en este reglamento, se entenderá producido el comienzo de una actividad empresarial o profesional desde el momento que se realicen cualesquiera entregas, prestaciones o adquisiciones de bienes o servicios, se efectúen cobros o pagos o se contrate personal laboral, con la finalidad de intervenir en la producción o distribución de bienes o servicios.
Artículo 10. Declaración de modificación en el Censo de Empresarios, Profesionales y Retenedores.
1. Cuando se modifique cualquiera de los datos recogidos en la declaración de alta o en cualquier otra declaración de modificación posterior, el obligado tributario deberá comunicar a la Administración tributaria, mediante la correspondiente declaración, dicha modificación.
2. Esta declaración, en particular, servirá para:
a) Comunicar el cambio de domicilio fiscal, de acuerdo con lo previsto en el artículo 48.3 de la Ley 58/2003, de 17 de diciembre, General Tributaria, por las personas jurídicas y demás entidades, así como por las personas físicas incluidas en el Censo de Empresarios, Profesionales y Retenedores.
b) Comunicar la variación de cualquiera de los datos y situaciones tributarias recogidas en los artículos 4 a 9 de este reglamento, ambos inclusive.
c) Comunicar el inicio de la realización habitual de las entregas de bienes o prestaciones de servicios correspondientes a actividades empresariales o profesionales, cuando la declaración de alta se hubiese formulado indicando que el inicio de la realización de dichas entregas de bienes o prestaciones de servicios se produciría con posterioridad al comienzo de la adquisición o importación de bienes o servicios destinados a la actividad.
Asimismo, la declaración de modificación servirá para comunicar el comienzo de la realización habitual de las entregas de bienes o prestaciones de servicios correspondientes a una nueva actividad constitutiva de un sector diferenciado a efectos del Impuesto sobre el Valor Añadido, cuando se haya presentado previamente una declaración censal mediante la que se comunique que el inicio de la realización de las entregas de bienes y prestaciones de servicios en desarrollo de dicha nueva actividad se produciría con posterioridad al comienzo de la adquisición o importación de bienes o servicios destinados a aquella.
d) Optar por la determinación de la base imponible mediante el margen de beneficio global en el régimen especial de los bienes usados, objetos de arte, antigüedades y objetos de colección a que se refiere el apartado dos del artículo 137 de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.
e) Solicitar la inclusión en el Registro de operadores intracomunitarios cuando se vayan a producir, una vez presentada la declaración censal de alta, las circunstancias que lo requieran previstas en el artículo 3.3 de este reglamento.
Los sujetos pasivos del Impuesto sobre el Valor Añadido que cesen en el desarrollo de las actividades sujetas al mismo sin que ello determine su baja en el Censo de Empresarios, Profesionales y Retenedores, y las personas o entidades que durante los 12 meses anteriores no hayan realizado entregas o adquisiciones intracomunitarias de bienes sujetas al Impuesto sobre el Valor Añadido o no hayan prestado o sido destinatarios de las prestaciones de servicios a que se refieren los párrafos c) y d) del artículo 3.3 de este reglamento, deberán presentar, asimismo, una declaración censal de modificación solicitando la baja en el Registro de operadores intracomunitarios.
f) Optar por la no sujeción al Impuesto sobre el Valor Añadido de las entregas de bienes a que se refiere el artículo 68.cuatro de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.
g) Comunicar la sujeción al Impuesto sobre el Valor Añadido de las entregas a que se refieren el artículo 68.tres y cinco de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.
h) Revocar las opciones o modificar las solicitudes a que se refieren los párrafos d), e), f), p), q) y r) de este apartado y los párrafos f), h), q), r) y s) del artículo 9.3 de este Reglamento, así como la comunicación de los cambios de las situaciones a que se refieren el párrafo g) de este apartado y los párrafos i), o) y t) del artículo 9.3 de este Reglamento.
i) (Suprimida)
j) En el caso de aquellos que, teniendo ya la condición de empresarios o profesionales por venir realizando actividades de tal naturaleza, inicien una nueva actividad empresarial o profesional constituya o no, a efectos del Impuesto sobre el Valor Añadido, un sector diferenciado respecto de las actividades que venían desarrollando con anterioridad, y se encuentren en cualesquiera de las circunstancias que se indican a continuación, para comunicar a la Administración su concurrencia:
1.º Que ejercen la opción por la regla de prorrata especial prevista en el artículo 103.dos.1.º de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.
2.º Que en los casos de inicio de actividad que constituya un sector diferenciado, el comienzo de la realización habitual de las entregas de bienes o prestaciones de servicios correspondientes a la nueva actividad se producirá con posterioridad al comienzo de la adquisición o importación de bienes o servicios destinados a su desarrollo y resulte aplicable el régimen de deducción previsto en los artículos 111, 112 y 113 de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido. En este caso, la declaración contendrá también la propuesta del porcentaje provisional de deducción a que se refiere el citado artículo 111.dos de dicha ley.
k) Solicitar la inclusión en el Registro de exportadores y otros operadores económicos en régimen comercial, así como la baja en dicho registro, de acuerdo con el artículo 30 del Reglamento del Impuesto sobre el Valor Añadido, aprobado por el Real Decreto 1624/1992, de 29 de diciembre.
l) Comunicar a la Administración tributaria el cambio de periodo de liquidación en el Impuesto sobre el Valor Añadido y a efectos de las autoliquidaciones de retenciones e ingresos a cuenta del Impuesto sobre la Renta de las Personas Físicas, Impuesto sobre la Renta de no Residentes y del Impuesto sobre Sociedades por estar incluidos en el Registro de grandes empresas regulado en el artículo 3 de este reglamento, o en atención a la cuantía de su último presupuesto aprobado cuando se trate de retenedores u obligados a ingresar a cuenta que tengan la consideración de Administraciones públicas, incluida la Seguridad Social.
m) Optar o renunciar a la opción para determinar el pago fraccionado del Impuesto sobre Sociedades, de acuerdo con la modalidad prevista en el artículo 45.3 del texto refundido de la Ley del Impuesto sobre Sociedades, aprobado por Real Decreto Legislativo 4/2004, de 5 de marzo.
n) Renunciar a la aplicación del régimen de consolidación fiscal en el caso de los grupos fiscales que hayan ejercitado esta opción.
ñ) Optar o renunciar al régimen fiscal especial previsto en el título II de la Ley 49/2002, de 23 de diciembre, de régimen fiscal de las entidades sin fines lucrativos y de los incentivos fiscales al mecenazgo.
o) Solicitar la rectificación de datos personales a que se refiere el artículo 2.5 de este reglamento.
p) Optar por la llevanza de los libros registro del Impuesto sobre el Valor Añadido a través de la Sede electrónica de la Agencia Estatal de Administración Tributaria de acuerdo con lo previsto en el artículo 62.6 del Reglamento del Impuesto sobre el Valor Añadido.
q) Comunicar la opción del cumplimiento de la obligación de expedir factura por los destinatarios de las operaciones o por terceros, en los términos del artículo 5.1 del Reglamento por el que se regulan las obligaciones de facturación, aprobado por el Real Decreto 1619/2012, de 30 de noviembre, en el caso de las personas y entidades a que se refiere el artículo 62.6 del Reglamento del Impuesto sobre el Valor Añadido.
r) Optar por la no sujeción al Impuesto sobre el Valor Añadido de las prestaciones de servicios a que se refiere el artículo 70.uno.8.º de la Ley de dicho impuesto.
s) Comunicar otros hechos y circunstancias de carácter censal previstos en las normas tributarias o que determine el Ministro de Hacienda.
3. Esta declaración no será necesaria cuando la modificación de uno de los datos que figuren en el censo se haya producido por iniciativa de un órgano de la Agencia Estatal de Administración Tributaria.
4. La declaración deberá presentarse en el plazo de un mes desde que se hayan producido los hechos que determinan su presentación, salvo en los casos que se indican a continuación:
a) En los supuestos en que la normativa propia de cada tributo o la del régimen fiscal aplicable establezca plazos específicos, la declaración se presentará de conformidad con estos.
b) Las declaraciones a que se refiere el apartado 2.j).1.º de este artículo, deberán presentarse con anterioridad al momento en que se inicie la nueva actividad empresarial que vaya a constituir, a efectos del Impuesto sobre el Valor Añadido, un sector diferenciado de actividad respecto de las que se venían desarrollando con anterioridad.
c) La comunicación prevista en el apartado 2.l) de este artículo se formulará en el plazo general y, en cualquier caso, antes del vencimiento del plazo para la presentación de la primera declaración periódica afectada por la variación puesta en conocimiento de la Administración tributaria o que hubiese debido presentarse de no haberse producido dicha variación.
d) La solicitud a que se refiere el primer párrafo del apartado 2.e) de este artículo deberá presentarse con anterioridad al momento en el que se produzcan las circunstancias previstas en el artículo 3.3 de este reglamento.
e) Cuando el Ministro de Economía y Hacienda establezca un plazo especial atendiendo a las circunstancias que concurran en cada caso.
Ley 4/2014, de 1 de abril, Básica de las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación
Artículo 8. Censo público.
Las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación elaborarán un censo público de empresas del que formarán parte las personas físicas o jurídicas, nacionales o extranjeras, que ejerzan las actividades comerciales, industriales, de servicios y navieras en territorio nacional, para cuya elaboración contarán con la colaboración de la administración tributaria competente así como de otras administraciones que aporten la información necesaria, garantizando, en todo caso, la confidencialidad en el tratamiento y el uso exclusivo de dicha información.
Para la elaboración del censo público de empresas las administraciones tributarias facilitarán a la Cámara Oficial de Comercio, Industria, Servicios y Navegación de España y a las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación los datos del Impuesto sobre Actividades Económicas y los censales de las empresas que sean necesarios. Únicamente tendrán acceso a la información facilitada por la administración tributaria los empleados de cada Cámara que determine el pleno.
Esta información se empleará para la elaboración del censo público de empresas, para el cumplimiento de las funciones público-administrativas que la presente Ley atribuye a las Cámaras así como para la elaboración del censo electoral a que se hace referencia en el artículo 17 de la misma.
Dicho personal tendrá, con referencia a los indicados datos, el mismo deber de sigilo que los funcionarios de la administración tributaria. El incumplimiento de este deber constituirá, en todo caso, infracción muy grave de conformidad con su régimen disciplinario.
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
Artículo 5. Principios relativos al tratamiento
1.Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).
Considerando (39)
Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.
Artículo 6. Licitud del tratamiento
1.El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
2.Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.
3.La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:
a) el Derecho de la Unión, o
b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.
4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;
b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;
c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;
d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;
e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.
Considerando (40)
Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.
Considerando (45)
Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tener una base en el Derecho de la Unión o de los Estados miembros. El presente Reglamento no requiere que cada tratamiento individual se rija por una norma específica. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. La finalidad del tratamiento también debe determinase en virtud del Derecho de la Unión o de los Estados miembros. Además, dicha norma podría especificar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento lícito y leal. Debe determinarse también en virtud del Derecho de la Unión o de los Estados miembros si el responsable del tratamiento que realiza una misión en interés público o en el ejercicio de poderes públicos debe ser una autoridad pública u otra persona física o jurídica de Derecho público, o, cuando se haga en interés público, incluidos fines sanitarios como la salud pública, la protección social y la gestión de los servicios de sanidad, de Derecho privado, como una asociación profesional.
Considerando (31)
Las autoridades públicas a las que se comunican datos personales en virtud de una obligación legal para el ejercicio de su misión oficial, como las autoridades fiscales y aduaneras, las unidades de investigación financiera, las autoridades administrativas independientes o los organismos de supervisión de los mercados financieros encargados de la reglamentación y supervisión de los mercados de valores, no deben considerarse destinatarios de datos si reciben datos personales que son necesarios para llevar a cabo una investigación concreta de interés general, de conformidad con el Derecho de la Unión o de los Estados miembros. Las solicitudes de comunicación de las autoridades públicas siempre deben presentarse por escrito, de forma motivada y con carácter ocasional, y no deben referirse a la totalidad de un fichero ni dar lugar a la interconexión de varios ficheros. El tratamiento de datos personales por dichas autoridades públicas debe ser conforme con la normativa en materia de protección de datos que sea de aplicación en función de la finalidad del tratamiento.
Considerando (47)
El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable. En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. Dado que corresponde al legislador establecer por ley la base jurídica para el tratamiento de datos personales por parte de las autoridades públicas, esta base jurídica no debe aplicarse al tratamiento efectuado por las autoridades públicas en el ejercicio de sus funciones. El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo.
Considerando (50)
El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte, distinta de la que permitió la obtención de los datos personales. Si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible y lícito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Unión o de los Estados miembros. Las operaciones de tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles. La base jurídica establecida en el Derecho de la Unión o de los Estados miembros para el tratamiento de datos personales también puede servir de base jurídica para el tratamiento ulterior. Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas, cualquier relación entre estos fines y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista. Si el interesado dio su consentimiento o el tratamiento se basa en el Derecho de la Unión o de los Estados miembros que constituye una medida necesaria y proporcionada en una sociedad democrática para salvaguardar, en particular, objetivos importantes de interés público general, el responsable debe estar facultado para el tratamiento ulterior de los datos personales, con independencia de la compatibilidad de los fines. En todo caso, se debe garantizar la aplicación de los principios establecidos por el presente Reglamento y, en particular, la información del interesado sobre esos otros fines y sobre sus derechos, incluido el derecho de oposición. La indicación de posibles actos delictivos o amenazas para la seguridad pública por parte del responsable del tratamiento y la transmisión a la autoridad competente de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la seguridad pública debe considerarse que es en interés legítimo del responsable. Con todo, debe prohibirse esa transmisión en interés legítimo del responsable o el tratamiento ulterior de datos personales si el tratamiento no es compatible con una obligación de secreto legal, profesional o vinculante por otro concepto.
Artículo 12. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado
1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.
2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado.
3. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.
4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:
a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o
b) negarse a actuar respecto de la solicitud. El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.
7. La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente. 8.La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados.
Considerando (58)
El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice. Esta información podría facilitarse en forma electrónica, por ejemplo, cuando esté dirigida al público, mediante un sitio web. Ello es especialmente pertinente en situaciones en las que la proliferación de agentes y la complejidad tecnológica de la práctica hagan que sea difícil para el interesado saber y comprender si se están recogiendo, por quién y con qué finalidad, datos personales que le conciernen, como es en el caso de la publicidad en línea. Dado que los niños merecen una protección específica, cualquier información y comunicación cuyo tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea fácil de entender.
Artículo 13. Información que deberá facilitarse cuando los datos personales se obtengan del interesado
1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.
4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.
Artículo 14. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado
1.Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;
d) las categorías de datos personales de que se trate;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:
a) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;
b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del tratamiento o de un tercero;
c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
d) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada;
e) el derecho a presentar una reclamación ante una autoridad de control;
f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;
g) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3. El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:
a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;
b) si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o
c) si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.
4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2.
5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:
a) el interesado ya disponga de la información;
b) la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información;
c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o
d) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.
Considerando (60)
Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede transmitirse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente.
Considerando (61)
Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente, en un plazo razonable, dependiendo de las circunstancias del caso. Si los datos personales pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado en el momento en que se comunican al destinatario por primera vez. El responsable del tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe proporcionar al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria. Cuando el origen de los datos personales no pueda facilitarse al interesado por haberse utilizado varias fuentes, debe facilitarse información general.
Considerando (62)
Sin embargo, no es necesario imponer la obligación de proporcionar información cuando el interesado ya posea la información, cuando el registro o la comunicación de los datos personales estén expresamente establecidos por ley, o cuando facilitar la información al interesado resulte imposible o exija un esfuerzo desproporcionado. Tal podría ser particularmente el caso cuando el tratamiento se realice con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. A este respecto, debe tomarse en consideración el número de interesados, la antigüedad de los datos y las garantías adecuadas adoptadas.
Artículo 25. Protección de datos desde el diseño y por defecto
1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.
Considerando (78)
La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Artículo 5. Deber de confidencialidad.
1. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.
2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.
3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.
Artículo 8. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos.
1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.
2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.
Artículo 77. Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento.
1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
b) Los órganos jurisdiccionales.
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
e) Las autoridades administrativas independientes.
f) El Banco de España.
g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
h) Las fundaciones del sector público.
i) Las Universidades Públicas.
j) Los consorcios.
k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.
Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica.
Disposición adicional décima. Comunicaciones de datos por los sujetos enumerados en el artículo 77.1.
Los responsables enumerados en el artículo 77.1 de esta ley orgánica podrán comunicar los datos personales que les sean solicitados por sujetos de derecho privado cuando cuenten con el consentimiento de los afectados o aprecien que concurre en los solicitantes un interés legítimo que prevalezca sobre los derechos e intereses de los afectados conforme a lo establecido en el artículo 6.1 f) del Reglamento (UE) 2016/679.
Artículo 11. Transparencia e información al afectado.
1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.
3. Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a aquel la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
En estos supuestos, la información básica incluirá también:
a) Las categorías de datos objeto de tratamiento.
b) Las fuentes de las que procedieran los datos.
Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.
1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
3. Los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica podrán también tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de una obligación legal o sea necesario para el ejercicio de sus competencias.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal
Artículo 2. Ámbito objetivo de aplicación
1. El presente reglamento será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
2. Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.
4. Este reglamento no será de aplicación a los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
With contributions from researchers Alba Soler, Carmelo Ordóñez, Jose Luis Ribés, Carlos García, Carlos Amat, G.A.LL. from the postgraduate course on Technopolitics and Rights in the Digital Age.
Last update: november 2022.
Research carried out in part with the support of the Barcelona Metropolitan Area Transparency Agency (AMB) and the Barcelona City Council (in both cases, grants)
It only expresses the opinion of Xnet. The Agència de Transparència de l’Àrea Metropolitana de Barcelona is not responsible for the use that may be made of the information provided.
_____________________________
Royal Decree-Law 11/2018, of 31 August, established the obligation to register in the Registry of Service Providers, in addition to other obligations on a case-by-case basis, applicable to natural persons doing business and natural persons working as professionals where they provide the services indicated in article 2.1.o) of Law 10/2010, of 28 April, on the prevention of money laundering and the financing of terrorism.
(2)
It includes a direct access button to the Camerdata Online Companies File (https://www.camerdata.es), a private company that seems to manage this data and also offers more information, subject to payment.
(3)
Instrucciones relativas al modelo 036 de declaración censal de alta, modificación y baja en el Censo de Empresarios, Profesionales y Retenedores:
https://www.agenciatributaria.es/static_files/AEAT/Contenidos_Comunes/La_Agencia_Tributaria/Modelos_y_formularios/Declaraciones/Modelos_01_al_99/036/Instrucciones/instr_mod036.pdf
(4)
Instrucciones relativas al modelo 037 de declaración censal simplificada de alta, modificación y baja en el Censo de Empresarios, Profesionales y Retenedores:
https://www.agenciatributaria.es/static_files/AEAT/Contenidos_Comunes/La_Agencia_Tributaria/Modelos_y_formularios/Declaraciones/Modelos_01_al_99/037/Instrucciones/instr_mod037.pdf
(5)
Diapositiva nº9 ¿Qué se entiende como fuentes de acceso público? Preguntas de los Asistentes de la 10ª Sesión anual abierta de la AEPD:
https://www.aepd.es/agencia/transparencia/jornadas/common/10-sesion/9-preguntas.pdf
(6)
Informe del Gabinete Jurídico de la AEPD, N/REF: 210070/2018, sobre el tratamiento de datos relativos a opiniones políticas por los partidos políticos al amparo del artículo 58bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, p. 14.
https://www.aepd.es/media/informes/2018-0181-tratamiento-datos-opiniones-politicas-por-partidos-polticos.pdf
(7)
No nos estamos refiriendo al interés legítimo del responsable del tratamiento, es decir, la Cámara de Comercio en tanto que Administración Pública, porque es de aplicación la exclusión prevista en el último inciso del artículo 6.1 del RGPD: Lo dispuesto en la letra f) no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. De este modo lo explica la AEPD en el Informe 0050/2019 (https://www.aepd.es/es/documento/2019-0050.pdf) y 0175/2018 (https://www.aepd.es/es/documento/2018-0175.pdf). Nos referimos al interés legítimo del tercero que se relaciona con ella.
(8)
La AEPD analiza los criterios interpretativos del RGPD en relación con el interés legítimo en el caso de comunicaciones comerciales electrónicas en su Informe 0173/2018, disponible en:
https://www.aepd.es/es/documento/2018-0173.pdf
(9)
https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1515682033041&uri=CELEX:62016CJ0013
(10)
“What is the three-part test?”
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/when-can-we-rely-on-legitimate-interests/#marketing_activities
(11)
https://ico.org.uk/media/for-organisations/forms/2258435/gdpr-guidance-legitimate-interests-sample-lia-template.docx
(12)
Traducción al español por parte de Marcos Rubiales Olmedo:
https://media.licdn.com/dms/document/C4D1FAQE3vKRhZY0DlA/feedshare-document-pdf-analyzed/0?e=1569060000&v=beta&t=9JvxY-fpdF4_rQw7AtFgDR5GOM06YuD1ljg8gohIGOE
(13)
AEPD. Informe 2018/0175, página 19. Disponible en:
https://www.aepd.es/es/documento/2018-0175.pdf
(14)
“En Camerdata cumplimos con el RGPD” https://www.camerdata.es/faq
(15)
“Can we use legitimate interests for our marketing activities?”
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/when-can-we-rely-on-legitimate-interests/#marketing_activities
(16)
Un ejemplo de resolución de la AEPD en que desestima el ejercicio de derechos en base al artículo 2.2 del RDLOPD porque “los datos publicados se refieren a la reclamante en su calidad de médico, es decir, en su actividad profesional, consistente únicamente en su nombre y apellidos, las funciones o puestos desempeñados en su actividad profesional de una empresa, es decir respecto de la que no se aplica la normativa de protección de datos”, aún tratarse de un caso en que los datos a los que se hacía referencia eran erróneos:
https://www.aepd.es/resoluciones/REPOSICION-TD-00546-2018_ORI.pdf
(17)
http://hj.tribunalconstitucional.es/docs/BOE/BOE-T-1998-13334.pdf
(18)
http://hj.tribunalconstitucional.es/docs/BOE/BOE-T-1993-21425.pdf
(19)
http://hj.tribunalconstitucional.es/docs/BOE/BOE-T-1993-21425.pdf
(20)
https://www.aepd.es/media/guias/guia-modelo-clausula-informativa.pdf
(21)
https://www2.agenciatributaria.gob.es/static_files/common/internet/dep/aplicaciones/ov/i903600b.html
(22)
https://www2.agenciatributaria.gob.es/static_files/common/internet/dep/aplicaciones/ov/i803700b.html
(23)
https://www.agenciatributaria.es/AEAT.internet/G322/informacion.shtml
(24)
https://www.agenciatributaria.es/static_files/Sede/Procedimiento_ayuda/G322/instr_mod036.pdf
(25)
https://www.agenciatributaria.es/static_files/Sede/Procedimiento_ayuda/G322/instr_mod037.pdf
(26)
https://www.agenciatributaria.es/AEAT.internet/G322/normativa.shtml
(27)
https://www.boe.es/buscar/doc.php?id=BOE-A-2018-17996
(28)
https://www.agenciatributaria.es/static_files/Sede/Procedimiento_ayuda/G322/Guia_censal.pdf
(29)
https://www.agenciatributaria.gob.es/AEAT.sede/Ayuda/FZ08.shtml
(30)
https://www.agenciatributaria.es/AEAT.internet/FZ08/informacion.shtml
(31)
https://www.agenciatributaria.es/AEAT.internet/FZ08/informacion/interesado.shtml
(32)
https://www.agenciatributaria.es/AEAT.internet/Inicio/Ayuda/Modelos__Procedimientos_y_Servicios/Ayuda_P_FZ08___Tratamiento_de_datos_personales/Informacion_general/_Ayuda_Informacion_al_interesado_sobre_proteccion_de_datos/5__Registro_de_las_actividades_de_tratamient/5__Registro_de_las_actividades_de_tratamiento.html
(33)
https://www.agenciatributaria.es/AEAT.internet/Inicio/Ayuda/Modelos__Procedimientos_y_Servicios/Ayuda_P_FZ08___Tratamiento_de_datos_personales/Informacion_general/_Ayuda_Informacion_al_interesado_sobre_proteccion_de_datos/5__Registro_de_las_actividades_de_tratamiento/5_42__Censo_de_actividades_economicas/5_42__Censo_de_actividades_economicas.html
(34)
https://www.agenciatributaria.gob.es/AEAT.sede/Inicio/_pie_/_Datos_personales_/_Datos_personales_.shtml
(35)
https://www.agenciatributaria.es/AEAT.internet/FZ08/informacion/interesado.shtml
(36)
https://censo.camara.es/
(37)
https://www.camara.es/legal-y-privacidad
(38)
Fue uno de los principales argumentos de inconstitucionalidad del apartado 1 del artículo 58bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general, incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, se encuentra en el fundamento jurídico nº8 de la Sentencia del Tribunal Constitucional 76/2019, de 22 de mayo:
“Las garantías adecuadas deben estar incorporadas a la propia regulación legal del tratamiento, ya sea directamente o por remisión expresa y perfectamente delimitada a fuentes externas que posean el rango normativo adecuado. Solo ese entendimiento es compatible con la doble exigencia que dimana del art. 53.1 CE para el legislador de los derechos fundamentales: la reserva de ley para la regulación del ejercicio de los derechos fundamentales reconocidos en el capítulo segundo del título primero de la Constitución y el respeto del contenido esencial de dichos derechos fundamentales. (…) ”
(39)
https://www.camerdata.es/avisoLegal
(40)
Resolución Procedimiento Nº: PS/00201/2019 de 4 de junio de 2020, disponible en: https://www.aepd.es/es/documento/ps-00201-2019.pdf
(41)
When can we rely on disproportionate effort?
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/the-right-to-be-informed/are-there-any-exceptions/#id4
(42)
STC 292/2000, en su Fundamento Jurídico 6º define el derecho a la protección de datos como aquel derecho que “garantiza a los individuos un poder de disposición sobre esos datos. Esta garantía impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa información sin las debidas garantías; y también el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información. Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen y con qué fin.”