LOPD -- dar de baja fichero de la AEPD

hola hace tiempo tenia una tienda virtual, y di de alta el fichero en la agencia española de proteccion de datos (AEPD) para cumplir con la ley organica de proteccion de datos (LOPD).

ahora he cerrao la tienda virtual y me preguntaba si tengo que comunicarme otra vez con la AEPD para que eliminen el fichero o no hace falta.

gracias.

Hola peta555.

Debes dar de baja el fichero.

Para ello, puedes optar por enviar un modelo de notificación indicando el código de inscripción del fichero, el motivo de la supresión y el destino que se va a dar a la información contenida en dicho fichero, ya sea la transmisión o la destrucción. En uno u otro caso, deberás seguir los procedimientos correspondientes.

Lo puedes encontrar aquí (mientras no cambien la dirección URL):

https://www.agpd.es/portalwebAGPD/ca...ad_Privada.pdf

También puedes cumplimentar el formulario electrónico establecido por la Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos.

Pregunta:

si la tienda ha facturado a particulares, y por ley debes guardarlo durante 4-5 años por posibles inspecciones. entonces conservaría los datos, por lo que no podría dar de baja hasta no expire ¿o no?

Hola freegirl.

He visto esta consulta una y otra vez en este y otros foros.

¿Deben considerarse las facturas y documentos mercantiles de similar naturaleza (albaranes, recibos de pago, etc.) sujetos a la normativa de protección de datos?

Lo cierto es que el Real Decreto 1496/2003, de 28 de noviembre, por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación, y se modifica el Reglamento del Impuesto sobre el Valor Añadido establece la obligación de emitir facturas por la entrega de bienes y prestación de servicios (…) en su artículo 2, cuyo contenido concreto en cuanto a datos identificativos se encuentra regulado en el artículo 6, según la literalidad impuesta por la última reforma por el Real Decreto 1789/2010, de 30 de diciembre, por el que se modifica el Reglamento del Impuesto sobre el Valor Añadido y el Reglamento por el que se regulan las obligaciones de facturación, en relación con el cumplimiento de determinadas obligaciones formales.

En este artículo 6 se establece una larga serie de especificaciones, entre las que se encuentra la obligación de incluir datos personales tales como nombre y apellidos, domicilio y, ciertas ocasiones, el número de identificación fiscal.

Normativa que, además, impone la obligación a la que haces referencia en relación al archivo de tales documentos durante un período determinado.

Llegados a este punto, debemos determinar si el contenido de tales archivos o conjunto de documentos mercantiles debe ser considerado o no objeto de la legislación de protección de datos. Para lo cual debemos remitirnos, en principio, al contenido de los artículos 2.1 y 3 a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

El artículo 2.1 establece el ámbito de aplicación de la norma:

“La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.”

Y el artículo 3 a) acota lo que debe ser entendido como datos de carácter personal. Literalmente:

“…cualquier información concerniente a personas físicas identificadas o identificables”.

Llegados a este punto, debe tenerse también en cuenta que los datos personales no constituyen por sí solos objeto de la competencia de la legislación de protección de datos, sino que deben concatenarse con otras circunstancias y conceptos jurídicos para dar lugar a la aparición del objeto propio de esta normativa.

Conceptos que son definidos en el artículo 3 de la LOPD. Y particularmente y en relación a esta consulta, haremos especial referencia a los términos “fichero” y “tratamiento de datos”.

Es la propia LOPD la que define el término “Fichero” en el artículo 3 b) como:

“… todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.”

El apartado c) del mismo artículo define el tratamiento de datos como:

“… operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”

Se trata de conceptos jurídicos resultantes del proceso de regulación nacional tras la aprobación de la directiva Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, que establece en su artículo 2:

“todo conjunto estructurado de datos personales accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica…”


Criterios que son apuntalados por el contenido del considerando 27 de esta misma directiva, estableciendo la independencia del modelo de tratamiento de los datos para su consideración como tal, sea automática o manual:

“Considerando que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; que, en particular, el contenido de un fichero debe estructurarse conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a los datos personales; que, de conformidad con la definición que recoge la letra c) del artículo 2, los distintos criterios que permiten determinar los elementos de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos pueden ser definidos por cada Estado miembro; que, las carpetas y conjuntos de carpetas, así como sus portadas, que no estén estructuradas conforme a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva.”

Lo cual se ha visto reflejado en la normativa reglamentaria de desarrollo de los preceptos de la LOPD arriba expuestos por parte del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre, en sus artículos 5.1 letras k) y n):

“Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.”

“Fichero no automatizado: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.”


En cuanto a la interpretación jurisprudencial de todo ello, nuestra Audiencia Nacional también se ha pronunciado en relación a estos conceptos en su sentencia emitida el 16 de febrero de 2006 por la Sala de lo Contencioso-Administrativo, Sección Primera, sobre un asunto relativo a cesión inconsentida de datos protegido. Donde, entre otras cosas, establece:

“… para que una actuación manual sobre datos personales (recogida, grabación, conservación, elaboración, modificación, bloqueo...) tenga la consideración de "tratamiento de datos personales" sujeto al sistema de protección de la Ley Orgánica 15/1999 es necesario que dichos datos estén contenidos o destinados a ser incluidos en un fichero, esto es, en un conjunto estructurado u organizados de datos con arreglo a criterios determinados. Si no es así, el tratamiento manual de datos personales quedará fuera del ámbito de aplicación de la ley, no será un "tratamiento de datos personales" según el concepto normativo que la ley proporciona."

"En realidad la existencia del "fichero" en el sentido legal es siempre precisa para que un tratamiento de datos personales esté sujeto al sistema de protección de la ley. En los casos de tratamiento automatizado de datos -siempre sometidos a la ley- es difícil imaginar la inexistencia de un fichero (aunque no se exija expresamente) puesto que los datos que se tratan mediante sistemas automatizados lo son siempre bajo unos criterios de estructura u organización previa”.


Así, pues, y como ya ha quedado recogido en dictámenes de los propios órganos consultivos de la Agencia Española de Protección de Datos, para determinar si nos encontramos ante un fichero de los regulados por nuestra legislación de protección de datos, debe tenerse en cuenta si se trata de un conjunto de datos organizados de forma sistemática y con arreglo a criterios que han posible una búsqueda y localización de los mismos en relación a personas identificadas o identificables.


Dicho todo esto, y para concluir, debería considerarse fichero de datos personales al conjunto de facturas, albaranes y documentos de pago de esta naturaleza si constituyen un conjunto estructurado y organizado con arreglo a criterios que hagan posible la búsqueda y recuperación de datos de personas físicas identificadas.

En otro caso, no tienen tal denominación y, por tanto, no constituyen objeto de regulación de nuestra normativa de protección de datos.

Para los que quieran una exposición más rústica y accesible:

Montón de facturas dentro de un cajón o carpeta: NO ES FICHERO DE DATOS PERSONALES.

En este caso, se mantienen dichos datos sin necesidad de abrir fichero en la AEPD.

Facturas inclusas en base de datos (MS Access, SQL, MySQL o cualquier otra aplicación de gestión de base de datos) que permita la búsqueda de personas a través de criterios como pueda ser el nombre, teléfono, DNI, etc.: SÍ SON FICHERO DE PROTECCIÓN DE DATOS CON OBLIGACIÓN.

En este supuesto, deberá mantenerse el fichero en la AEPD mientras se mantenga el archivo de facturas por imperativo de la normativa fiscal.

Espero que con esta exposición haya quedado claro el tema.

Un saludo.

Como él decía que tenía una tienda online, por eso te preguntaba ya que a priori no me parecía que la respuesta fuera sí rotundo, sino que había matices. Porque hace años yo no pude dar de baja un fichero hasta que no no cumplí los años en que la aeat te obliga a guardar esos datos. Pasado ese periodo, destrucción total.

Dado que se trata de una tienda online dudo que trabaje con máquina de escribir y folios....Ojo, que nunca se sabe.

El tema es que peta555 dice que tenía la tienda "hace tiempo". Sin especificar cuánto.

Yo he contestado a si es preciso o no dar de baja un fichero registrado la Agencia. Sin entrar a valorar otras cuestiones, ya que ello nos llevaría a otras serie de consideraciones y problemas que no entran dentro de este hilo de debate.

Aquí lo que se ha preguntado es si tras abandonar la actividad que ha dado lugar a la apertura del fichero en el referido organismo, con destrucción o eliminación (suponemos o no) del conjunto de datos constitutivos del fichero, es preciso darlo de baja o no.

La respuesta es sí. Sin entrar a considerar otras cuestiones.

En cualquier caso, y para responder a lo que dices, tengo que matizar que cuando hago referencia a un facturas dentro de un cajón o carpeta, hago referencia tanto a cajón y carpeta física, como a carpeta en sistema de ficheros en ordenador.

Si se trata de una tienda virtual con archivo de facturas emitidas (en caso de que lo tenga habilitado), por supuesto que tendría que mantener el fichero, ya que este tipo de sistemas utilizan tecnologías de búsqueda interna dentro de base de datos, con lo cual estaríamos ante el primer supuesto que he expuesto.

En caso de no contar con sistema de facturación habilitado o no trabajar con estas funciones (como he conocido casos), y siempre que las facturas (documentos de Word, Excel, WordPress, bloc de notas o como se presente) no hagan posible la extracción identificativa de nombres o datos personales tal y como expone en el tema, estaríamos dentro del segundo supuesto.

En este segundo caso, me estoy refiriendo al que tiene una tienda virtual, que no utiliza para sino para exponer productos y gestionar pedidos y cobros, para después almacenar las facturas que envía a los clientes en una carpeta del tipo, por ejemplo, "Clientes", llena de ficheros correspondientes a las facturas numeradas o haciendo referencia a productos o cualquiera otra clasificación que impidan su tratamiento conjunto mendiate un programa que haga posible la búsqueda de nombres u otro datos personales, tal y como he conocido en numerosos casos de autónomos dedicados a una u otra actividad.