Revés a la Cámara de Comercio de España por desproteger los datos personales de millones de autónomos

La Agencia Española de Protección de Datos (AEPD) ha ordenado borrar los datos personales de millones de trabajadores autónomos de las bases de datos empresariales. En un comunicado publicado el martes, el regulador español exige a la Cámara de Comercio de España, que representa los intereses generales de las empresas españolas, que cese la comunicación de esa información sensible a la compañía Camerdata, una firma al servicio de las cámaras.

Además, la AEPD también ordena cortar el cauce entre Camerdata e Informa D&B, Iberinform Internacional y Datacentric, tres plataformas que recopilan la información financiera de las compañías, a las que se obliga a finalizar el tratamiento de datos personales de empresarios autónomos "hasta que cuenten con una base de legitimación", así como a suprimirlos.

Para darse de alta, los trabajadores por cuenta propia están obligados a inscribirse en el censo de actividades económicas de la Agencia Tributaria, aportando datos privados como su NIF, su número de teléfono o su dirección postal. Hacienda cede esos datos a las Cámaras de Comercio, que elaboran un censo público de las empresas españolas —como estipula la Ley 4/2014— que, a través de Camerdata, permite consultar y comprar datos de esas compañías.

Agujero legal que perjudica a los autónomos

Sin embargo, los autónomos operan como empresas a título individual, lo que hace que, en la mayoría de casos, su número de contacto de trabajo sea el mismo que el personal o que su dirección sea también su domicilio. Ese agujero legal ha expuesto los datos personales de decenas de miles de autónomos, fácilmente accesibles en Internet bajo un módico precio.

En su resolución, la AEPD denuncia que el censo público "no ha sido diseñado como fuente de publicidad económica ni como base de datos abierta para otros usos", pues su única misión legal es la de servir a las Cámaras de Comercio, y considera que su uso comercial no está recogido en la ley como interés legítimo. "Los empresarios individuales no podían prever razonablemente que sus datos, recogidos con fines institucionales, acabarían siendo tratados con fines comerciales por terceros", señala.

Investigación de Xnet

La resolución de la agencia, que podrá ser recurrida en vía administrativa, nace de una demanda interpuesta en 2022 por Xnet, una organización activista en defensa de los derechos digitales. En 2018, la organización empezó a investigar el caso tras recibir la denuncia de una persona afectada. Cuatro años después destapó que "era la mismísima Cámara de Comercio que permitía y facilitaba esta violación de derechos", alertando que, en muchos casos, los trabajadores por cuenta propia más afectados son los de menores ingresos. Xnet comunicó esas infracciones a la AEPD, que abrió el expediente que ahora resuelve. Aunque el regulador no lo señala, los activistas apuntan que las "sanciones totales" por estas prácticas pueden ascender al millón de euros.