En el post de esta semana vamos a tratar un tema que está causando verdaderos quebraderos de cabeza en el ámbito empresarial: la protección de datos de carácter personal a nivel de Grupo de Empresas.
Con respecto al concepto de Grupo de Empresas, tomaremos el ofrecido por el artículo 42 del Código de Comercio, en virtud del cual “existe un grupo de empresas cuando una sociedad ostente, directa o indirectamente, el control de otras u otras …”
Es criterio uniforme de la Agencia Española de Protección de Datos que cada una de las empresas integrantes de un mismo Grupo Empresarial mantiene diferenciada su personalidad jurídica. En ese sentido, el hecho de que dos sociedades diferentes formen parte de un mismo grupo de empresas no va a evitar que, para todos los efectos jurídicos, hablemos de dos sociedades claramente diferenciadas, cada una de ellas con personalidad jurídica propia.
¿Qué consecuencia tendría todo ello en el ámbito de la protección de los datos personales?
Este criterio, llevado a una visión más practica en el ámbito de la Protección de los Datos Personales, se traduce en que cada una de las empresas integrantes del grupo va a ser Responsable del Tratamiento de los datos contenidos en sus correspondientes registros/sistemas (clientes, proveedores, trabajadores, etc.). Por tanto, el formar parte de un grupo empresarial no conlleva la desaparición de fronteras entre cada una de sus empresas integrantes y no se va a poder proceder a intercambiar datos personales entre ellas sin contar con la correspondiente y necesaria base jurídica que nos habilite para ello.
Dentro del flujo de datos personales que se pueden producir entre las empresas integrantes de un grupo empresarial podemos distinguir dos situaciones claramente diferenciadas:
1.- Aquellas en las que una empresa del grupo va a acceder a datos personales de otra de las empresas integrantes del grupo en el marco de una prestación de servicios que la primera ejecuta en favor de la segunda. Nos encontraríamos ante una prestación de servicios con acceso a datos personales en la que será necesario suscribir el denominado “Contrato de Encargo de Tratamiento”, esto es, un contrato que se firma entre el Responsable del Tratamiento (entidad responsable de los datos que decide cual es la finalidad del tratamiento) y el Encargado de Tratamiento (entidad que presta un servicio al Responsable del Tratamiento y accede a datos personales de este último), y que tiene como principal objetivo estipular las condiciones en las que el encargado del tratamiento tratará los datos personales a los que accede en el marco de la prestación de servicios realizada. Dentro de estas situaciones encontraríamos, por ejemplo, aquellas en las que una de las sociedades del grupo presta servicios corporativos al resto de sociedades. El centralizar en una sociedad del grupo diferentes departamentos y servicios corporativos es una práctica usual en el día a día empresarial de los grupos de sociedades con la que se consigue reducir notoriamente los costes dentro del grupo. En estos supuestos es importante aclarar que la empresa prestadora de servicios (Encargado del Tratamiento) se va a limitar a tratar los datos personales a los que accede siguiendo los pasos e instrucciones que el Responsable le haya indicado, sin que pueda bajo ningún concepto tratar los mismos para una finalidad diferente.
2.- La cuestión no acaba aquí ni mucho menos, ya que dentro del “flujo de datos” entre empresas de un mismo grupo encontramos un segundo supuesto de mayor complejidad. Nos referimos a aquellas situaciones en las que la empresa del grupo que recibe los datos los utiliza en su propio beneficio, estableciendo ella misma la finalidad del tratamiento que va a realizar. A efectos legales, ya no estaríamos ante un mero “acceso de datos” a cuenta del Responsable del Tratamiento, sino ante una comunicación de datos de conformidad con lo dispuesto en la normativa vigente. Aquí la empresa cesionaria ya no actúa siguiendo las órdenes y pautas establecidas por la empresa cedente, sino que se convierte en Responsable del Tratamiento al disponer de plena libertad para decidir sobre la finalidad del tratamiento a aplicar.
¿Qué consecuencias y obligaciones trae consigo la existencia de una cesión de datos?
Básicamente dos:
i.- Este tratamiento de datos personales (comunicación) tiene que estar legitimado por alguna de las bases jurídicas incluidas en el Reglamento Europeo en su artículo sexto.
ii.- El afectado, esto es, la persona física cuyos personales se transfieren, tiene que ser informado de ello dentro de un plazo razonable (no más tarde de un mes desde que tiene lugar la comunicación) o en la primera comunicación que se le envíe.
El flujo de datos entre empresas de un mismo grupo empresarial es una práctica habitual e inevitable en el mundo actual empresarial. Sin embargo, no hay que olvidar que, previamente a proceder con ello, debemos tomar las medidas y garantías legalmente previstas.
En 451.Legal contamos con un equipo profesional altamente especializado en el cumplimiento normativo en protección de datos, privacidad y comercio electrónico, con una notoria experiencia asesorando a grandes grupos empresariales, tanto en el ámbito nacional como internacional.
– Socio en 451Legal – Abogado especializado en Derecho de Internet, propiedad intelectual y tecnología. Consultado frecuentemente por medios de comunicación.
