Traspasos de datos entre empresas del grupo

1622

El Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) responde en el Informe 0494/2008 a la duda de si es necesario para las empresas del grupo consultante formalizar un contrato con la central donde se encuentra la base de datos centralizada que se sustenta de los datos de los empleados que envían a la misma las distintas empresas que forman el grupo.
En primer lugar conviene señalar que es criterio uniforme de la AEPD, que la existencia de un grupo de empresas no afecta para que cada una de las sociedades integradas en el mismo no mantenga diferenciada y plena su personalidad jurídica. A todos los efectos jurídicos, la circunstancia de que una sociedad esté participada por otra, no afecta al hecho de que ambas sean distintas personas, de modo que la comunicación de datos se produce entre dos personas distintas, sin que exista una previsión legal que flexibilice los requisitos para la legitimidad de dicha cesión.

Siguiendo el criterio citado en el párrafo inicial, cada una de las empresas que integran el grupo será responsable del fichero de datos de sus correspondientes empleados, y por lo tanto la empresa central, que realmente estaría prestando un servicio de hosting (alojamiento de los ficheros) se configuraría como encargado de tratamiento, en el sentido del apartado g) del artículo 3 de la LOPD. Ello sucederá siempre que la empresa prestataria del servicio de alojamiento no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de albergar la base de datos, sin utilizarla en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero, existiendo una cesión de datos de carácter personal que, tal y como exige el artículo 11.1 de la Ley Orgánica 15/1999, requerirá el consentimiento de los afectados.

En consecuencia, cada empresa deberá proceder a notificar de manera independiente sus propios ficheros y cualquier acceso a los datos entre las diferentes sociedades que componen el grupo constituiría un supuesto de cesión que requeriría el consentimiento del afectado o la habilitación legal para la misma.

Además si por parte de alguna de las empresas pertenecientes al grupo, se produce un acceso a los datos de cualquiera de las otras que componen dicho grupo, nos encontraríamos ante una situación clara de comunicación o cesión de datos entre empresas y esta cesión requerirá el consentimiento del afectado.

En resumen, la incorporación de los datos de los empleados a la base de datos centralizada, exige que cada empresa haya informado debidamente a los afectados en los términos del artículo 5.1 de la Ley Orgánica 15/1999 y que haya obtenido el consentimiento de éstos para la incorporación de su información personal en dicha base de datos. Y por lo tanto, en buena lógica, deberán formalizarse los correspondientes contratos de tratamiento de datos entre las diferentes empresas y la central.

Traspasos de datos entre empresas del grupo
4.5 (90%) 4 votos

4 Comentarios

  1. Buenos días,
    no me ha quedado del todo clara esta relación entre empresas. en caso de que exista una empresa desde la que, por ejemplo, se gestionen los RRHH (seleccion, nominas, etc) para el resto de empresas del grupo, habria que establecer un contrato de tratamiento de datos entre ellas o solo habria que recabar consentimiento para la cesion de datos a los empleados? en este caso la cesión podría ser implícita en una cláusula?

  2. Hola Carmen: la respuestas son sí, quizás y no 🙂
    Al tratarse de un “tercero” en terminología LOPD, la empresa de gestión debería tener contratos de tratamiento con el resto. Esto no exime de consentimiento en la cesión, excepto si se trata de cumplir obligaciones legales (como ocurre con las asesorías, que las empresas no han de recabar un consentimiento expreso de cesión de sus trabajadores para que les hagan las nóminas), con lo que la necesidad de ese consentimiento estaría en función del uso de la información. Por último, en el caso de que sí fuera necesario el consentimiento, éste debería ser explícito, nunca implícito.

  3. Valdría entonces un contrato de tratamiento de datos entre empresas y una cláusula de cesión de datos a la otra empresa del grupo que viniera aceptada con la propia firma del contrato por el empleado, no?

    Muchas gracias!

Dejar respuesta