La Agencia Española de Protección de Datos (en adelante AEPD) ha impuesto una sanción de 260.000 euros a la compañía CAMERDATA por el tratamiento ilícito de datos personales de más de 1,6 millones de autónomos en España.
La resolución de nuestra autoridad de control parte de una denuncia recibida a finales de 2022 en la que se alertaba de la exposición pública de datos de trabajadores autónomos. Estos datos –nombre, DNI, dirección, correo electrónico, teléfono y, en ocasiones, información financiera– aparecían en buscadores y eran accesibles a través de empresas del sector denominado “infomediario”, destinadas a la reutilización y distribución de la información que libremente se puede obtener de las diferentes fuentes públicas existentes. (Axesor, Datacentric, Iberinform, Informa y también Equifax.)
Se atribuye a CAMERDATA una infracción del artículo 6.1 del RGPD al haber tratado sin una base jurídica adecuada con arreglo al RGPD datos personales de los empresarios personas físicas, pues recoge los datos que le cede la CDE, los procesa en su propio sistema de información y los cede a terceras entidades para su explotación o para la realimentación de su propio fichero (denominado Fichero de Empresas Españolas o FEE) o a personas individuales para su tratamiento con fines propios.
El acuerdo de inicio de este procedimiento imputó a CAMERDATA tres presuntas infracciones del artículo 6.1 del RGPD concretadas cada una de ellas en estos tratamientos:
a) Haber recogido y procesado en su propio sistema de información los datos transmitidos por la CDE sin un fundamento de licitud.
b) Haber cedido a terceras entidades, sin un fundamento de licitud, su Fichero de Empresas Españolas, cuyos datos más relevantes, como el NIF, los obtuvo de la CDE.
c) Haber cedido a la empresa KOMPASS su Fichero con la doble finalidad de que le preste un servicio de realimentación de la información recogida en él y para el uso por esta entidad para sus propias actividades.
Contexto del tratamiento
La CDE y CAMERDATA suscribieron en 2016 un contrato de “Cesión de Bases de Datos Empresariales” cuyo objeto es la cesión y transferencia por la primera a la segunda de “una copia de la totalidad de los datos empresariales obrantes en el Censo Básico de Empresas que incluía datos de empresarios individuales. Si bien en dicho contrato en su apartado 7 se contemplaba de forma expresa que la cesionaria no podría ceder a un tercero dichas bases de datos, se excluía de dicha prohibición si la base de datos cedida se incorporaba a los ficheros propiedad de CAMERDATA, que posteriormente utilizaba con fines comerciales. La empresa denunciante aportó capturas de pantalla de los resultados obtenidos – tras una búsqueda en Google efectuada por el nombre y apellidos de un empresario autónomo. de tal forma que, al entrar en alguno de esos enlaces, se accede además de a nombre y apellidos, a datos tales como el DNI, la dirección, el correo electrónico, el teléfono, la actividad comercial e, incluso, a información financiera, incidencias judiciales y probabilidades de impago.
El censo público de empresas, esto es, aquel que se publica en la página web de la CDE y al que alude el art. 8 de la Ley 4/2014, básica de cámaras de comercio establece la obligación de elaborar un censo público de empresas accesible a través de la web, para cuya elaboración no utiliza todos los datos que les transmite las AD tributarias sino solo aquellos que sean necesarios.
La habilitación que le otorga el artículo 8 de la Ley 4/2014, no incluye el dato del NIF de los empresarios personas físicas. Los datos que constan en el censo público son, exclusivamente, nombre, apellidos, dirección, código postal, municipio y actividad.
Por tanto, dicho censo no es el censo público del art. 8 de la ley 4/2014 al contener datos adicionales sujetos al deber de confidencialidad.
la base de datos que CDE cede a CAMERDATA con el nombre de “Censo Básico de Empresas”, tiene un contenido más amplio que el censo público strictu sensu, pues en ella se incluye el dato de NIF de los empresarios individuales obtenido por CDE a través de la información recibida de las Administraciones públicas y que, en virtud del Convenio suscrito con la AEAT tiene prohibido.
Si bien CAMERDATA no recibe el dato del DNI en texto plano sino el HASH de los NIF que luego revertía por sus propios medios no significa que CDE no le facilite el dato del NIF. Lo que el CDE cede a CAMERDATA es el dato del NIF seudoanonimizado y por tanto dentro del ámbito de aplicación del RGPD.
Infracción del art. 6.1 RGPD: ausencia de base de legitimación
CAMERDATA defendió que su tratamiento se amparaba en:
El interés legítimo del art. 6.1.f) RGPD, invocando además la presunción de licitud del art. 19.2 LOPDGDD para datos de contacto profesionales. Si bien esta presunción iuris tantum se circunscribe al tratamiento de dados de contacto de los empresarios personas físicas como es la localización en su condición de empresario. Una interpretación extensiva del artículo 19.2 de la LOPDGDD que propugnara que todos los datos de carácter personal de un empresario autónomo, cuando el tratamiento guarde alguna relación con la actividad empresarial, están excluidos de la protección que el RGDP garantiza a “todas las personas físicas” sería radicalmente contraria al espíritu del RGPD y no tendría soporte en uno solo de sus preceptos.
En consecuencia, esta Agencia entiende por ello que el tratamiento de datos personales de un empresario persona física que no sean datos de contacto no goza de la presunción de licitud basada en el artículo 6.1.f) del RGPD. Y esto, aunque el tratamiento se refiera a datos de la persona física en su condición de empresario y aunque el tratamiento no tenga por finalidad entablar una relación personal. La consecuencia es, de conformidad con el principio de responsabilidad proactiva (artículo 5.2 RGPD), que el responsable del tratamiento de datos personales de empresarios individuales distintos de los datos de contacto no goza de la presunción prevista en el artículo 19 de la LOPDGDD y tiene la carga de acreditar que el tratamiento efectuado está amparado en un fundamento de licitud conforme al art. 6 del RGPD.
El sentido que a juicio de esta Agencia tiene el artículo 19.2 de la LOPDGDD únicamente excluiría de la presunción de licitud los datos de contacto, por lo que el responsable estará obligado a demostrar que el tratamiento de otros datos de los empresarios individuales fue lícito por concurrir una base jurídica conforme al RGPD.
No obstante, sentado lo anterior, cabe referirse al supuesto de hecho particular que aquí nos ocupa: el tratamiento de los datos de los empresarios individuales procedentes de las Administraciones tributarias, en virtud de la Ley 4/2014, para los fines expresamente determinados en la ley como son la elaboración del censo público, el cumplimiento de funciones público-administrativas y la elaboración del censo electoral, sin que puedan ser utilizados para otra finalidad distinta de la establecida en la ley. La comunicación de datos que realizan las Administraciones tributarias tiene su amparo en la base de legitimación contenida en el art. 6.1.c) del RGPD, por cuanto viene impuesta en la Ley 4/2014. Se hace especialmente complejo admitir un tratamiento basado en el interés legítimo a partir de una finalidad impuesta por la ley.
En conclusión, el censo público de empresas tiene como único fin legal servir a las funciones institucionales de las Cámaras de Comercio, como órganos públicos representativos y de promoción empresarial, y conformar el censo electoral cameral. No ha sido diseñado como fuente de publicidad económica ni como base de datos abierta para otros usos.
En consecuencia, considera acreditada la existencia de una infracción del artículo 6.1 del RGPD que se materializa en haber recogido de la CDE, procesado en sus sistemas, cedido a terceras entidades, tanto para finalidades de marketing como para realimentar el fichero de su propiedad o a personas para fines propios, sin una base jurídica, toda vez que no opera sobre dicho tratamiento la presunción iuris tantum de licitud del artículo 19.2 de la LOPDGDD.
Infracción del art. 14 RGPD: Transparencia e información al interesado
Otro de los puntos clave es la obligación de información prevista en el art. 14 RGPD, aplicable cuando los datos no se recogen directamente del interesado. CAMERDATA no informó individualmente a los autónomos incluidos en sus bases de datos, alegando que ello suponía un esfuerzo desproporcionado (más de 1,6 millones de personas y un coste millonario en envíos postales).
La AEPD recuerda que la exención del art. 14.5.b) RGPD solo es aplicable si se acredita de forma clara el esfuerzo desproporcionado y, además, si se adoptan medidas alternativas efectivas. Las publicaciones en algunas webs de Cámaras de Comercio no garantizan que todos los interesados reciban la información, ni permiten ejercer con facilidad los derechos de acceso, oposición o supresión. Por tanto, Camerdata incumplió también el art. 14 RGPD.
En consecuencia, la AEPD declara cometidas infracciones de los artículos 6.1 RGPD (licitud del tratamiento) y 14 RGPD (información al interesado) e impone las siguientes medidas:
- Suprimir de todos los datos personales relativos a empresarios autónomos que obren en los ficheros de CAMERDATA que tengan origen en la cesión de bases de datos efectuada por la Cámara de Comercio de España.
- Cesar en el tratamiento de datos personales relativos a empresarios autónomos procedentes de la Cámara de Comercio de España hasta que cuente con una base de legitimación,Además, ordena el fin de la comunicación que Camerdata realiza a las empresas infomediarias Informa, Iberinform Internacional y Datacentric.
- Informar en los términos del artículo 14 del RGPD del tratamiento de los datos personales de los empresarios autónomos que ha efectuado mediante un anuncio personalizado o relevante por su formato y caracteres, sin que sea suficiente la inclusión de un anuncio general en la página web de las Cámaras de Comercio.
La Agencia Española de Protección de Datos ha emitido varias resoluciones en las que aborda el tratamiento y la comunicación de datos personales de empresarios autónomos por parte de diversas entidades.De ella se extraen varias lecciones clave:
Finalidad institucional del censo cameral, no comercial. El censo público de empresas tiene como único fin legal servir a las funciones institucionales de las Cámaras de Comercio, como órganos públicos representativos y de promoción empresarial, y conformar el censo electoral cameral. No ha sido diseñado como fuente de publicidad económica ni como base de datos abierta para otros usos.
Prohibición de uso de los datos personales de empresarios autónomos del censo para que puedan utilizarse para estructurar productos de información empresarial por parte de terceros.
Desconexión del artículo 19 LOPDGDD respecto al censo. Aunque el artículo 19 LOPDGDD permite, bajo condiciones, el tratamiento de datos profesionales, esto no legitima el uso del censo cameral con fines distintos a los previstos legalmente. Cualquier tratamiento con otra finalidad deberá encontrar su base legal fuera de esta figura.
Inexistencia de expectativa razonable. Los empresarios individuales no podían prever razonablemente que sus datos, recogidos con fines institucionales, acabarían siendo tratados con fines comerciales por terceros.
Aplicación plena del RGPD y la LOPDGDD. Incluso para los tratamientos que se ajusten a la finalidad legal del censo, deben observarse todas las obligaciones del RGPD, incluyendo los principios de minimización, transparencia, limitación de la finalidad y responsabilidad proactiva.
