Hola freegirl.

He visto esta consulta una y otra vez en este y otros foros.

¿Deben considerarse las facturas y documentos mercantiles de similar naturaleza (albaranes, recibos de pago, etc.) sujetos a la normativa de protección de datos?

Lo cierto es que el Real Decreto 1496/2003, de 28 de noviembre, por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación, y se modifica el Reglamento del Impuesto sobre el Valor Añadido establece la obligación de emitir facturas por la entrega de bienes y prestación de servicios (…) en su artículo 2, cuyo contenido concreto en cuanto a datos identificativos se encuentra regulado en el artículo 6, según la literalidad impuesta por la última reforma por el Real Decreto 1789/2010, de 30 de diciembre, por el que se modifica el Reglamento del Impuesto sobre el Valor Añadido y el Reglamento por el que se regulan las obligaciones de facturación, en relación con el cumplimiento de determinadas obligaciones formales.

En este artículo 6 se establece una larga serie de especificaciones, entre las que se encuentra la obligación de incluir datos personales tales como nombre y apellidos, domicilio y, ciertas ocasiones, el número de identificación fiscal.

Normativa que, además, impone la obligación a la que haces referencia en relación al archivo de tales documentos durante un período determinado.

Llegados a este punto, debemos determinar si el contenido de tales archivos o conjunto de documentos mercantiles debe ser considerado o no objeto de la legislación de protección de datos. Para lo cual debemos remitirnos, en principio, al contenido de los artículos 2.1 y 3 a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

El artículo 2.1 establece el ámbito de aplicación de la norma:

“La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.”

Y el artículo 3 a) acota lo que debe ser entendido como datos de carácter personal. Literalmente:

“…cualquier información concerniente a personas físicas identificadas o identificables”.

Llegados a este punto, debe tenerse también en cuenta que los datos personales no constituyen por sí solos objeto de la competencia de la legislación de protección de datos, sino que deben concatenarse con otras circunstancias y conceptos jurídicos para dar lugar a la aparición del objeto propio de esta normativa.

Conceptos que son definidos en el artículo 3 de la LOPD. Y particularmente y en relación a esta consulta, haremos especial referencia a los términos “fichero” y “tratamiento de datos”.

Es la propia LOPD la que define el término “Fichero” en el artículo 3 b) como:

“… todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.”

El apartado c) del mismo artículo define el tratamiento de datos como:

“… operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”

Se trata de conceptos jurídicos resultantes del proceso de regulación nacional tras la aprobación de la directiva Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, que establece en su artículo 2:

“todo conjunto estructurado de datos personales accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica…”


Criterios que son apuntalados por el contenido del considerando 27 de esta misma directiva, estableciendo la independencia del modelo de tratamiento de los datos para su consideración como tal, sea automática o manual:

“Considerando que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; que, en particular, el contenido de un fichero debe estructurarse conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a los datos personales; que, de conformidad con la definición que recoge la letra c) del artículo 2, los distintos criterios que permiten determinar los elementos de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos pueden ser definidos por cada Estado miembro; que, las carpetas y conjuntos de carpetas, así como sus portadas, que no estén estructuradas conforme a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva.”

Lo cual se ha visto reflejado en la normativa reglamentaria de desarrollo de los preceptos de la LOPD arriba expuestos por parte del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre, en sus artículos 5.1 letras k) y n):

“Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.”

“Fichero no automatizado: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.”


En cuanto a la interpretación jurisprudencial de todo ello, nuestra Audiencia Nacional también se ha pronunciado en relación a estos conceptos en su sentencia emitida el 16 de febrero de 2006 por la Sala de lo Contencioso-Administrativo, Sección Primera, sobre un asunto relativo a cesión inconsentida de datos protegido. Donde, entre otras cosas, establece:

“… para que una actuación manual sobre datos personales (recogida, grabación, conservación, elaboración, modificación, bloqueo...) tenga la consideración de "tratamiento de datos personales" sujeto al sistema de protección de la Ley Orgánica 15/1999 es necesario que dichos datos estén contenidos o destinados a ser incluidos en un fichero, esto es, en un conjunto estructurado u organizados de datos con arreglo a criterios determinados. Si no es así, el tratamiento manual de datos personales quedará fuera del ámbito de aplicación de la ley, no será un "tratamiento de datos personales" según el concepto normativo que la ley proporciona."

"En realidad la existencia del "fichero" en el sentido legal es siempre precisa para que un tratamiento de datos personales esté sujeto al sistema de protección de la ley. En los casos de tratamiento automatizado de datos -siempre sometidos a la ley- es difícil imaginar la inexistencia de un fichero (aunque no se exija expresamente) puesto que los datos que se tratan mediante sistemas automatizados lo son siempre bajo unos criterios de estructura u organización previa”.


Así, pues, y como ya ha quedado recogido en dictámenes de los propios órganos consultivos de la Agencia Española de Protección de Datos, para determinar si nos encontramos ante un fichero de los regulados por nuestra legislación de protección de datos, debe tenerse en cuenta si se trata de un conjunto de datos organizados de forma sistemática y con arreglo a criterios que han posible una búsqueda y localización de los mismos en relación a personas identificadas o identificables.


Dicho todo esto, y para concluir, debería considerarse fichero de datos personales al conjunto de facturas, albaranes y documentos de pago de esta naturaleza si constituyen un conjunto estructurado y organizado con arreglo a criterios que hagan posible la búsqueda y recuperación de datos de personas físicas identificadas.

En otro caso, no tienen tal denominación y, por tanto, no constituyen objeto de regulación de nuestra normativa de protección de datos.

Para los que quieran una exposición más rústica y accesible:

Montón de facturas dentro de un cajón o carpeta: NO ES FICHERO DE DATOS PERSONALES.

En este caso, se mantienen dichos datos sin necesidad de abrir fichero en la AEPD.

Facturas inclusas en base de datos (MS Access, SQL, MySQL o cualquier otra aplicación de gestión de base de datos) que permita la búsqueda de personas a través de criterios como pueda ser el nombre, teléfono, DNI, etc.: SÍ SON FICHERO DE PROTECCIÓN DE DATOS CON OBLIGACIÓN.

En este supuesto, deberá mantenerse el fichero en la AEPD mientras se mantenga el archivo de facturas por imperativo de la normativa fiscal.

Espero que con esta exposición haya quedado claro el tema.

Un saludo.