Acceso a datos tras traspaso empresarial

6688
Modelo informativo a clientes cesión datos

Cuestión que nos llega a través de un lector:

ejemplos proteccion de datos

Trabajo en una clínica dental en la que todos los pacientes que entran forman parte de una base de datos. El caso es que ahora yo me voy a hacer cargo de la clínica, la voy a trasladar a otro local, creando una sociedad nueva en la que los antiguos dueños no entrarán a formar parte ya que se retiran de su actividad. 

Me surgen dudas de la forma en la que yo puedo aprovechar el fichero de pacientes, ya que es muy extenso: 

¿Podría la antigua sociedad venderme esa base de datos? Si es así, ¿tendríamos que avisar a los pacientes?

Cesión de datos de pacientes o clientes

Resumiendo, la respuesta es sí en ambos casos.

Las bases de datos de clientes son parte valorable de lo que en contabilidad se denomina “Fondo de comercio” y por tanto pueden ser objeto de compra venta.

¿Es necesario el consentimiento de los clientes para ceder sus datos?

Respecto a los datos personales de los clientes, esta situación ya está prevista en la ley, concretamente  en el artículo 19 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).

En los supuestos en que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de Diciembre.

Artículo 19  LOPD

 

Obligatorio informar del traspaso de los datos personales

Es decir, que siempre y cuando se mantenga la condición de continuidad de la misma actividad no es necesario un consentimiento previo de los clientes incluidos en la bases de datos, aunque si existe la obligación de informarles del cambio en el responsable del fichero.

Cambio del responsable del fichero

Lo que el citado artículo 19 aclara es que este caso no estamos, al ser los datos utilizados para la misma finalidad a que se dedicaban antes de producirse la transmisión, ante una cesión o comunicación de datos personales, sino una mera sustitución de la persona responsable del tratamiento que resulta, en consecuencia, conforme con lo dispuesto en la normativa de protección de datos.

Cuándo y cómo hay que informar de la cesión de datos personales

Respecto a la obligación de información que corresponde al responsable del fichero de acuerdo,  el artículo 5 de la LOPD indica en sus apartados 1 y 4 lo siguiente:

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
B. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
C. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
D. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
E. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a, d y e del apartado 1 del presente artículo.

Apartados 1 y 4 del artículo 5 LOPD

 

Por consiguiente, el nuevo responsable del fichero deberá informar a los interesados del cambio, de su identidad y del modo en que podrían ejercer sus derechos ARCO.

Modelo comunicado cesión de datos a otra empresa

La empresa ___________________________ con NIF/CIF ______________ y domicilio en _______________________.

COMUNICA:

En cumplimiento de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal, le informamos que los datos que nos proporciona pasarán a formar parte de un fichero denominado clientes titularidad de _________________, cuyas finalidades exclusivas son las derivadas de la actividad contratada_____________, así como la gestión de tipo administrativa necesaria para dicho servicio.

Asimismo le informamos que, con motivo del cambio de titularidad, los datos personales han dejado de ser responsabilidad de __________________, pasando a ser responsabilidad de _____________________

El interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición, expresamente reconocidos en la citada Ley Orgánica 15/1999, mediante escrito, acompañado de fotocopia de DNI, dirigido a la dirección postal  _______________________, o bien a través de correo electrónico _______________

En ____________, a ____ de ___________ del 201__

Firmado:

Representante de la empresa

Modificación del fichero en la Agencia de Protección de Datos

También deberá en buena lógica proceder al oportuno cambio en la inscripción del fichero en el Registro General de Protección de Datos.

Acceso a datos tras traspaso empresarial
4.5 (90%) 8 votos

19 Comentarios

  1. Interesante post y muy claro,si existe la obligación de informarles del cambio en el responsable del fichero, una forma de hacerlo ¿podría ser por correo ordinario ya que se tienen todas las direcciones?, de esta manera se informaría del cambio del responsable y de la nueva ubicación de la clínica.

    O la forma correcta de hacerlo sería informando a los pacientes según vayan yendo a la nueva clínica.

    • Manuel: por correo ordinario estaría bien. La segunda opción no sería correcta: si ya se está en la nueva oficina significa que ya se ha hecho el cambio y estaríamos informando a posteriori. Además, si ha habido un cambio de dirección ¿cómo podrían los clientes saberlo si no les hemos avisado previamente?

  2. Me encuentro en un caso similar, solo que seguimos en la misma dirección. ¿Cómo hago para avisar del cambio de responsable del fichero? Si pongo un cartel bien visible dentro del establecimiento no estaría informando más que a los que volviesen. Si tengo que avisar personalmente a todos los miles de clientes-pacientes, y teniendo en cuenta que no dispongo de sus direcciones de correo electrónico, tendría que ser por correo, quizá certificado para tener algún tipo de prueba de haberlo hecho si llega una inspección. Carísimo.

    • Cristina: alguna vez se ha planteado algo similar a la Agencia y su respuesta siempre es que ellos no entran en análisis de costes, la ley dice lo que dice y reclamaciones al legislador que la escribió.
      Yo convertiría la acción en un impulso de marketing, es decir, enviar junto a la información del cambio de responsable la publicidad de las novedades que puedas aportar al negocio. De esta forma, bien planteado, mas que un coste puede ser incluso un beneficio.

  3. Buenas tardes, Jesús.
    Primero agradecerte tu tiempo.
    Nosotros nos hayamos en un caso similar, somos una clínica y acabamos de comprar la cartera de alguien que se jubila.
    Usualmente lo que hacemos, es contactar telefónicamente con todos los pacientes de la nueva cartera, para comunicarles el cambio, y que a partir de ahora poseemos nosotros su historial, que pueden modificar o cancelar si ellos quieren.
    Los datos, los incorporamos a nuestros propios archivos, y no damos de alta los archivos del anterior propietario ya que los consideramos “temporales” durante el par de semanas que tardamos en incorporarlos, destruyendolos a continuación.

    La duda viene ahora. Siempre, con el profesional que se jubila, firmamos un compromiso de confidencialidad, de que los datos no se van a usar con otros fines, etc.

    La asesora del profesional que se jubila, nos ha dicho que no es suficiente, que debemos firmar tres documentos, dos aparte del de confidencialidad. Y que no nos dice cuales a no ser, que la contratemos para que nos lleve todo.
    Puedes aclararme que documentos debemos firmar con el anterior propietario? Hacemos correctamente la transacción actualmente?

    Un saludo y gracias por tu atención.

    • Hola Jon: saludos de un bilbaino 🙂 (he visto por el dominio del email que compartimos ciudad).

      Primero aclarar que el sistema telefónico es delicado, ya que no podéis mantener la prueba de la información y la AEPD no admite como prueba un “me lo dijo por teléfono”. Puedes ver un par de sanciones por esto en mi blog anterior a este: http://leyprotecciondatos.blogspot.com.es/2008/10/me-lo-dijo-por-telfono.html

      Respecto a la “asesora”, si las cosas son tal y como las cuentas mas parece una extorsionista que una asesora. Me parece inconcebible su planteamiento, ya que si su cliente es el jubilado, a él le debe cobrar sus servicios, no a vosotros.

      Realmente no puedo responder a tu duda sin ver lo que incluye el contrato de confidencialidad comentado y sin saber a qué se refiere la asesora con lo de “tres documentos”. Lo siento.

  4. Gracias por la contestación.

    Al menos podrías comentar, a grosso modo, que deberíamos firmar al coger esos datos recogidos de la cartera del medico que se jubila?

    Un saludo y gracias de nuevo.

    • Jon: en buena parte dependerá de lo que se haya pactado con la otra parte, pero como mínimo los compromisos de no utilizar la información para un fin distinto del previsto, de no cederlo a terceros sin consentimiento de los afectados, y la correspondiente indemnización en caso de incumplimiento.

  5. Hola Jesús,

    Me encanta tu blog. Te sigo desde hace tiempo. Y ahora, echándole un ojo a este post, me surge una duda en aras a un problema que me ha surgido. Voy a adquirir las participaciones de una sociedad. Voy a cambiar el nombre de la misma, pero se mantiene domicilio, CIF y actividad. ¿Debo comunicar a mis nuevos clientes el hecho de que he comprado la sociedad con todos sus activos, incluidas listas de clientes?

    Gracias

    • Gracias Laia 🙂

      En el caso de una sociedad el consentimiento de los clientes no es respecto a las personas físicas propietarias, sino otorgado a la persona jurídica que es la sociedad, y por tanto un cambio de propiedad no genera ninguna obligación de información.
      Sin embargo el cambio de denominación social sí debe ser informado.

  6. Buenos (lluviosos) días Jesús,

    Aprovecho a hacerte dos preguntas, ya que tras bucear mucho en la LOPD no me ha quedado claro, ya que he encontrado informaciones contradictorias.

    Después de una cesión de datos, que ocurre si nos encontramos con la imposibilidad de informar a algunos pacientes del cambio de titular, si no tenemos dirección, ni forma de contacto?

    En el sector médico, que pasa con los pacientes que ya han fallecido? Ante la dificultad de incluir estos como datos historicos (ya que la actividad para la cual fueron recogidos ya ha finalizado) pero a su vez la utilidad de no borrarlos, ya que los antecedentes son importantes muchas veces en tratamientos de los familiares? Podríamos continuar teniéndolos en nuestras bases, ya que consideramos que el uso todavía no ha terminado?

    • Hola Jon: mas que lluvioso “diluvioso”, aquí ando con un ojo en la ría 😉

      Sobre las cuestiones planteadas: respecto a personas vivas (aunque si no tienes ningún contacto no puedes estar seguro de si siguen vivas o no), tratándose de datos médicos sobre los que el profesional ha adquirido una responsabilidad por su actuación, entiendo que deben ser mantenidos en la base de datos. Quizás lo mas adecuado sería someterlos a un proceso de bloqueo, es decir, mantenerlos pero no usarlos salvo que el afectado dé señales de vida y reclame el ejercicio de alguno de sus derechos.

      Sobre fallecidos hay que recordar que el derecho fundamental a la protección de datos es un derecho personalísimo que, en consecuencia, se extingue por la muerte de las personas.

      Sobre esto, el Reglamento de desarrollo de la LOPD establece en su artículo 2.4

      Este reglamento no será de aplicación a los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos.

      Por tanto, igualmente pueden ser mantenidos, más aún por el motivo que comentas sobre su aplicación para estudio de antecedentes familiares.

  7. Muchas gracias por la aclaración. Me dejas más tranquilo.

    Nosotros también estamos pegados a la ría, si sube un poco más propongo café en piragua.

    Un saludo.

  8. Buenas tardes, tengo una duda. En el municipio donde mi madre tiene una casa residencial, la compañía del agua potable, que no tiene concesión ni contrto municipal, ha traspasado su actvidad a otra compañía filial (parece ser que para evitar el embargo de las cuentas bancarias por deudas con varias administraciones públicas). Este traspaso o cesión de actividad se ha realizado sin conocimiento ni consentimiento municipal. El nombre de las compañías es casi idéntico, pero son empresas diferentes, una SA y la otra SL, con CIF y domicilio social diferente.
    ¿Ha habido infracción de la LOPD? Én el caso de que exista infracción, ¿a cuál de las dos empresas se podría pedir responsabilidad?. Si el equipo de Gobierno del Ayuntamiento ha tenido noticias al respecto y no ha actuado ¿es también responsable?.
    Los datos cedidos son los personales, bancarios y del servicio de suministro de agua.
    Gracias anticipadas por la respuesta.

    • Manuel: si no se ha informado en tiempo y formas correctas a los clientes del cambio sí estaríamos ante una vulneración LOPD, pero para afirmarlo con total seguridad debería conocer todos los extremos del asunto. Respecto al Ayuntamiento, la pregunta excede con mucho el tema LOPD y no sabría qué decirle.

  9. Lo mío no es un comentario, es una solicitud de ayuda:

    Alguien podría ejemplos claros y simples de:
    – datos de negocio en las e-comunicaciones,
    – datos de tráfico en la e-comunicaciones, y
    – datos de localización en las e-comunicaciones.

    Gracias.
    Por favor, ejemplos concretos, porque por ejemplo entre datos de tráfico y de localización, diferencia?

    • Buenas tardes Rufino,
      Datos de tráfico en e-comunicaciones son los listados de llamadas efectuadas o recibidas y la identificación de los visitantes de páginas web, los datos de negocio serían las facturas, albaranes u órdenes de compra y los datos de localización se refieren a la localización física de los intervinientes en esa comunicación electrónica. Espero haber aclarado tus dudas. Muchas gracias por leer nuestro blog y por tu consulta

Dejar respuesta