Aviso Legal para Empresarios Autónomos: Protección de Datos y Requisitos Clave

En el panorama digital actual, los empresarios autónomos en Internet deben cumplir con una serie de leyes que regulan aspectos fundamentales como la protección de datos personales, el comercio electrónico y las transacciones online, así como la propiedad intelectual. El desconocimiento de estas normativas puede acarrear importantes sanciones, por lo que es vital comprender las implicaciones de cada una.

Protección de Datos Personales: RGPD y LOPDGDD

La Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) es la adaptación a la legislación española del Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Esta ley vela por la protección de los datos de carácter personal, es decir, por la privacidad de las personas y, en particular, por la seguridad de la información propia o que pueda identificarlas. La protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales.

Principios Fundamentales de la Protección de Datos:

• Principio de licitud, lealtad y transparencia: Los datos personales no pueden ser recogidos de forma fraudulenta, desleal o ilícita.
• Principio de limitación de la finalidad: Los datos deben recogerse para fines específicos y legítimos.
• Principio de minimización de datos: Solo se deben recoger los datos estrictamente necesarios.
• Principio de exactitud de datos: Los datos deben ser precisos y estar actualizados.
• Principio de limitación del plazo de conservación de los datos: Los datos no deben conservarse más tiempo del necesario.
• Principio de integridad y confidencialidad: Los datos deben ser tratados de forma segura para evitar accesos no autorizados.

Las autoridades competentes podrán investigar y corregir las infracciones. En caso de dudas, se recomienda llamar al 017, la Línea de Ayuda en Ciberseguridad de INCIBE.

Tratamiento de Datos de Contacto y Empresarios Individuales

El Artículo 19 de la LOPDGDD, referente al tratamiento de datos de contacto y de empresarios individuales, establece que, salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1 f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:

1. Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
2. Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

El artículo 6.1.f del RGPD dice que el tratamiento es lícito si es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales.

Sin embargo, esta presunción iuris tantum se circunscribe al tratamiento de datos de contacto de los empresarios personas físicas como es la localización en su condición de empresario. En consecuencia, la Agencia Española de Protección de Datos (AEPD) entiende que el tratamiento de datos personales de un empresario persona física que no sean datos de contacto no goza de la presunción de licitud basada en el artículo 6.1.f) del RGPD. Y esto, aunque el tratamiento se refiera a datos de la persona física en su condición de empresario y aunque el tratamiento no tenga por finalidad entablar una relación personal.

La consecuencia es, de conformidad con el principio de responsabilidad proactiva (artículo 5.2 RGPD), que el responsable del tratamiento de datos personales de empresarios individuales distintos de los datos de contacto no goza de la presunción prevista en el artículo 19 de la LOPDGDD y tiene la carga de acreditar que el tratamiento efectuado está amparado en un fundamento de licitud conforme al art. 6.1 del RGPD.

El 16 de mayo de 2025, la Agencia Española de Protección de Datos (AEPD) publicó varias resoluciones que marcan un antes y un después en el uso de los datos personales de los empresarios autónomos. Estas resoluciones refuerzan la protección de los autónomos frente a usos comerciales no autorizados de sus datos. La AEPD ha emitido varias resoluciones en las que aborda el tratamiento y la comunicación de datos personales de empresarios autónomos por parte de diversas entidades. Como consecuencia de las mismas, se ordena lo siguiente:

• El cese en la comunicación de datos personales de empresarios individuales por parte de Cámara de España a la empresa Camerdata.
• Camerdata debe cesar en el tratamiento de todos los datos personales relativos a empresarios individuales que tengan su origen en la cesión por parte de Cámara de España y suprimir los mismos.
• Además, ordena el fin de la comunicación que Camerdata realiza a las empresas infomediarias Informa, Iberinform Internacional y Datacentric.
• Informa, Iberinform Internacional y Datacentric deben finalizar el tratamiento de estos datos personales de empresarios autónomos hasta que cuenten con una base de legitimación de las contempladas en el art. 6.1 del RGPD, y suprimir dichos datos personales.

A continuación se recogen los elementos jurídicos más relevantes de las resoluciones, que pueden ser recurridas en vía administrativa presentando un recurso de reposición ante la propia Agencia o directamente ante la Audiencia Nacional.

Puntos clave de las resoluciones:

• Finalidad institucional del censo cameral, no comercial: El censo público de empresas tiene como único fin legal servir a las funciones institucionales de las Cámaras de Comercio, como órganos públicos representativos y de promoción empresarial, y conformar el censo electoral cameral. No ha sido diseñado como fuente de publicidad económica ni como base de datos abierta para otros usos.
• Ausencia de un marco normativo habilitante para la reutilización de la información: A diferencia de otros países de la UE, no existe en el ordenamiento jurídico español un marco normativo que disponga de forma abierta, y con respaldo legal expreso, el tratamiento de los datos personales de empresarios individuales, con garantías adecuadas para los fines con los que se estaban utilizando. La ausencia de un establecimiento de marco normativo por parte del legislador impide presumir la licitud de tratamientos generalizados de esta naturaleza, por muy extendidos que estén en la práctica empresarial.
• Necesidad de una reforma legal si se quiere ampliar el uso del censo: El texto de las resoluciones apunta que una intervención legislativa podría abrir el censo a finalidades más amplias, permitiendo, con garantías adecuadas, su uso para fines legítimos que hoy quedan excluidos por el marco jurídico vigente. Únicamente si se produce una reforma legal que lo autorice de manera expresa y con garantías de protección.
• Interés legítimo: Las resoluciones distinguen entre el interés legítimo cuando está recogido en una ley y cuando no lo está. En el presente caso, no se superaría la prueba de ponderación ni el tratamiento sería compatible con el espíritu, la letra y los objetivos de la norma sectorial que ampara la recogida inicial de los datos.
• Prohibición de uso: Las resoluciones rechazan que los datos personales de empresarios autónomos del censo puedan utilizarse para estructurar productos de información empresarial por parte de terceros. Tales finalidades no están previstas por el legislador, aunque puedan responder a una demanda del mercado.
• Acceso restringido y confidencialidad reforzada: La regulación impone límites estrictos de acceso y uso interno, lo que refuerza la idea de que no se trata de una base de datos disponible para el público o para finalidades diversas, por lo que los tratamientos realizados no se han considerado respetuosos con la normativa.
• Desconexión del artículo 19 LOPDGDD respecto al censo: Aunque el artículo 19 LOPDGDD permite, bajo condiciones, el tratamiento de datos profesionales, esto no legitima el uso del censo cameral con fines distintos a los previstos legalmente. Cualquier tratamiento con otra finalidad deberá encontrar su base legal fuera de esta figura.
• Inexistencia de expectativa razonable: Los empresarios individuales no podían prever razonablemente que sus datos, recogidos con fines institucionales, acabarían siendo tratados con fines comerciales por terceros. La AEPD protege tu derecho a que tus datos no se utilicen para fines que no podías prever.
• Aplicación plena del RGPD y la LOPDGDD: La resolución de nuestra autoridad de control parte de una denuncia recibida a finales de 2022 en la que se alertaba de la exposición pública de datos de trabajadores autónomos. Estos datos -nombre, DNI, dirección, correo electrónico, teléfono y, en ocasiones, información financiera- aparecían en buscadores y eran accesibles a través de empresas del sector denominado “infomediario”, destinadas a la reutilización y distribución de la información que libremente se puede obtener de las diferentes fuentes públicas existentes.

La CDE y CAMERDATA suscribieron en 2016 un contrato de “Cesión de Bases de Datos Empresariales” cuyo objeto es la cesión y transferencia por la primera a la segunda de “una copia de la totalidad de los datos empresariales obrantes en el Censo Básico de Empresas que incluía datos de empresarios individuales. Si bien en dicho contrato en su apartado 7 se contemplaba de forma expresa que la cesionaria no podría ceder a un tercero dichas bases de datos, se excluía de dicha prohibición si la base de datos cedida se incorporaba a los ficheros propiedad de CAMERDATA, que posteriormente utilizaba con fines comerciales. La empresa denunciante aportó capturas de pantalla de los resultados obtenidos - tras una búsqueda en Google efectuada por el nombre y apellidos de un empresario autónomo. El censo público de empresas, esto es, aquel que se publica en la página web de la CDE y al que alude el art. La habilitación que le otorga el artículo 8 de la Ley 4/2014, no incluye el dato del NIF de los empresarios personas físicas. Por tanto, dicho censo no es el censo público del art. Si bien CAMERDATA no recibe el dato del DNI en texto plano sino el HASH de los NIF que luego revertía por sus propios medios no significa que CDE no le facilite el dato del NIF. Infracción del art.

No obstante, cabe referirse al supuesto de hecho particular que aquí nos ocupa: el tratamiento de los datos de los empresarios individuales procedentes de las Administraciones tributarias, en virtud de la Ley 4/2014, para los fines expresamente determinados en la ley como son la elaboración del censo público, el cumplimiento de funciones público-administrativas y la elaboración del censo electoral, sin que puedan ser utilizados para otra finalidad distinta de la establecida en la ley. La comunicación de datos que realizan las Administraciones tributarias tiene su amparo en la base de legitimación contenida en el art. 6.1.c) del RGPD, por cuanto viene impuesta en la Ley 4/2014. En conclusión, el censo público de empresas tiene como único fin legal servir a las funciones institucionales de las Cámaras de Comercio, como órganos públicos representativos y de promoción empresarial, y conformar el censo electoral cameral.

Otro de los puntos clave es la obligación de información prevista en el art. 14 RGPD, aplicable cuando los datos no se recogen directamente del interesado. La AEPD recuerda que la exención del art. 14.5.b) RGPD solo es aplicable si se acredita de forma clara el esfuerzo desproporcionado y, además, si se adoptan medidas alternativas efectivas. Las publicaciones en algunas webs de Cámaras de Comercio no garantizan que todos los interesados reciban la información, ni permiten ejercer con facilidad los derechos de acceso, oposición o supresión. Por tanto, Camerdata incumplió también el art. 14 del RGPD.

¿Es lícito ahora el tratamiento de los datos de los contactos de un empresario individual (secretaria, comercial, repartidor)?

Sí. Estas resoluciones refuerzan la protección de los autónomos frente a usos comerciales no autorizados de sus datos. Sin embargo, el Artículo 19 LOPDGDD, bajo ciertas condiciones, permite el tratamiento de datos profesionales para su localización profesional y para mantener relaciones con la persona jurídica en la que el afectado preste sus servicios. Es crucial que se cumplan estos requisitos y que la finalidad sea legítima y no comercial.

Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE)

La finalidad de esta ley es la protección de los derechos de los consumidores de servicios contratados a través de Internet. En el caso de que tengamos un portal web o una tienda online, la mayoría de requisitos que establece la ley tienen que ver con la identificación del prestador de servicios. Entre los requisitos obligatorios se encuentra la solicitud de consentimiento del usuario en caso de utilizar cookies propias o de terceros. En caso de incumplimiento las sanciones establecidas pueden ser leves, graves o muy graves, según el artículo 38 de la LSSI.

Ley de Propiedad Intelectual

Esta ley nace de la necesidad de proteger las obras de propiedad intelectual, abarcando cualquier tipo de creación literaria, artística o científica fruto de nuestra actividad empresarial. La vulneración de derechos de propiedad intelectual, ya sea en formato físico o digital, constituye un delito y permite la interposición de la correspondiente demanda con el fin especialmente de indemnizar el daño causado.

Responsabilidad, Propiedad Intelectual y Jurisdicción

El prestador de servicios se exime de cualquier tipo de responsabilidad derivada de la información publicada en su sitio web, siempre que esta información haya sido manipulada o introducida por un tercero ajeno al mismo. Desde este sitio web es posible que se redirija a contenidos de terceros sitios. Dado que el prestador no puede controlar siempre los contenidos introducidos por los terceros en su sitio, éste no asume ningún tipo de responsabilidad respecto a dichos contenidos. El prestador no se hace responsable de la información y contenidos almacenados, a título enunciativo pero no limitativo, en foros, chats, generadores de blogs, comentarios, redes sociales o cualesquier otro medio que permita a terceros publicar contenidos de forma independiente en la página web del prestador. No obstante y en cumplimiento de lo dispuesto en el art. 11 y 16 de la LSSI-CE, el prestador se pone a disposición de todos los usuarios, autoridades y fuerzas de seguridad, y colaborando de forma activa en la retirada o en su caso bloqueo de todos aquellos contenidos que pudieran afectar o contravenir la legislación nacional, o internacional, derechos de terceros o la moral y el orden público.

Propiedad Intelectual e Industrial

El sitio web, incluyendo a título enunciativo pero no limitativo su programación, edición, compilación y demás elementos necesarios para su funcionamiento, los diseños, logotipos, texto y/o gráficos son propiedad del prestador o en su caso dispone de licencia o autorización expresa por parte de los autores. Independientemente de la finalidad para la que fueran destinados, la reproducción total o parcial, uso, explotación, distribución y comercialización, requiere en todo caso de la autorización escrita previa por parte del prestador.

Ley Aplicable y Jurisdicción

Esta página web se encuentra sometida a la legislación española y en caso de litigio o controversia surgida del uso de esta página web ambas partes se someten a la jurisdicción de los tribunales de la ciudad de Granada (España). Esta cláusula de sumisión expresa a los tribunales de la ciudad de Granada no será aplicable para los supuestos de litigio con los usuarios de la web que, según la legislación vigente, ostenten la condición de consumidores, en cuyo caso ambas partes estarán sometidos a la jurisdicción de los Juzgados y Tribunales de residencia del consumidor.