Algunas Cuestiones LOPD sobre Reestructuraciones Societarias y Grupos de Empresas
Ratio: 5 / 5
- Detalles
- Publicado: Jueves, 18 Abril 2013 14:07
Las reestructuraciones empresariales que realizan dos o más entidades para mantener su rentabilidad y competitividad en el mercado se traducen, en multitud de ocasiones y cada vez con más frecuencia, en operaciones de fusión, escisión, cesión, aportación o transmisión de activos u otras de análoga naturaleza contempladas por la normativa mercantil, que implican necesariamente el acceso a los datos personales de cada entidad por el resto de sociedades miembros.
En muchos casos, las reestructuraciones societarias suponen una modificación en la responsabilidad jurídica de las entidades y por tanto, en el Responsable de los ficheros. Este hecho implica, según lo que establece el artículo 19 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RDLOPD) que los accesos a los datos entre las diferentes entidades que han realizado la operación económica que ha supuesto un cambio en el Responsable de los ficheros, no constituyen supuestos de cesión de datos, por lo que no será necesario obtener el consentimiento del afectado para que dichos accesos se produzcan, sin perjuicio del deber de información del Responsable del fichero, en los términos del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal(LOPD). Un panorama muy distinto surge cuando lo que realizan las diferentes entidades no es, por ejemplo, una fusión, sino una simple agrupación de empresas que colaboran conjuntamente en determinados servicios del grupo de empresas que forman.
Según criterio de la Agencia Española de Protección de Datos (AEPD) establecido mediante Informe Jurídico 0245/2010, el hecho de que dos o varias empresas independientes y con plena capacidad jurídica diferenciada se agrupen y, por ejemplo, una pase a ser propiedad de la otra, no implica una responsabilidad conjunta en materia de protección de Datos de Carácter personal. De esta manera, cada una de las sociedades que forma el grupo será Responsable de sus ficheros. Por lo que deberá cumplir, de forma individual, todas las obligaciones derivadas de la LOPD y su normativa de desarrollo.
Con el mismo criterio se pronunció el Tribunal Superior de Justicia de Madrid en Sentencia de la Sección Novena de la Sala de lo Contencioso-administrativo del Tribunal Superior de Justicia de Madrid, de 16 de octubre de 2000, fundamentando que la libre decisión empresarial de varias sociedades de agruparse no puede traducirse, en ningún caso, en perjuicio del afectado que pueda verse enmarañado intentando dilucidar la responsabilidad final entre un complejo grupo de empresas.
Según ambos criterios, los accesos a datos entre las diferentes empresas que forman el grupo, serán consideradas cesiones de datos, por lo que será necesario obtener el consentimiento del afectado para que este acceso se produzca. Todo ello, sin perjuicio de las relaciones que entre las diferentes sociedades se produzcan, en relación a las prestaciones de servicios que puedan ampararse en lo establecido en el artículo 12 de la LOPD.
Sin embargo tal y como manifiesta la AEPD en el citado informe, este análisis establece conclusiones genéricas en base a una consulta realizada que no proporciona la información completa que permita, en su caso, establecer excepciones al caso general.
Un supuesto en el que cabría matizar las argumentaciones expuestas hasta ahora, es el de, por ejemplo, una Unión Temporal de Empresas (UTE). Las UTES son formadas por empresas que se agrupan para realizar una obra o prestar un servicio determinado. De esta forma, la UTE actúa temporalmente como una única empresa, concretamente durante el tiempo que dure la obra o servicio cuya existencia es la finalidad de la formación de la UTE. Las UTES no disponen de personalidad jurídica propia distinta de la de las empresas que la forman, de ello se deriva que las empresas miembros van a responder de forma subsidiaria de las deudas de la UTE y solidaria e ilimitadamente entre ellas.
A tenor del criterio comentado de la AEPD podríamos considerar que el acceso a los datos entre las sociedades de la UTE es considerado una cesión de datos por no disponer de personalidad jurídica la unión de dichas empresas. Sin embargo, en el caso concreto de las UTES podríamos determinar que no se puede considerar cesión debido a que los ficheros y la finalidad del tratamiento de los datos son idénticos para ambas sociedades y tendrán la vigencia sólo durante el lapso temporal en el que la UTE estuviese activa.
En el caso expuesto, consideraríamos que existe un solo Responsable del fichero que es la UTE, que será la encargada de dar de alta los ficheros necesarios para prestar la obra o servicio objeto de la unión, elaborar un solo documento de seguridad, realizar una sola auditoría de seguridad y cumplir, de forma conjunta, con el resto de obligaciones establecidas por la LOPD y el RDLOPD.
Otro supuesto que puede darse en relación con las UTES es que, en muchos supuestos, los datos no van a ser aportados por las diferentes sociedades de la UTE a una base de datos centralizada, sino que van a ser recabados directamente por la propia UTE. De esta forma, el cliente cuando contrata un servicio proporcionado por la UTE está facilitando los datos directamente a la misma, lo que a mi juicio, la convierte en el Responsable del fichero y por tanto, en responsable de decidir sobre la finalidad, contenido y uso del tratamiento de los datos.
A su vez, en el caso descrito en el párrafo anterior, cabría exceptuar la necesidad de solicitar el consentimiento de los afectados para el acceso a datos entre las diferentes empresas, basándonos en lo establecido en el artículo 11.2 de la LOPD, cuyo apartado c) dispone “cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique”. De esta forma, el tratamiento por parte de la UTE de los datos del cliente descrito es necesario para que se efectúe la relación jurídica que les vincula, por lo que, a mi juicio no se debería considerar cesión de datos y requerir el consentimiento del afectado.
Por lo expuesto, los resultados de los cambios empresariales que impliquen a una o varias entidades deben ser estudiados y analizados según las peculiaridades de la operación económica realizada, para poder determinar la correcta aplicación de la legislación en materia de Protección de Datos de Carácter Personal.
Isabel García Martín
Abogada experta en Nuevas Tecnologías y Auditora de sistemas de información (CISA)
