Cesión de Datos entre Empresas del grupo para la LOPD
Las empresas del Grupo tienen que cumplir con la LOPD de manera independiente ya que tienen personalidad jurídica propia, por lo que para la LOPD son empresas distintas, que no tienen nada que ver unas con las otras. Se produce una cesión de datos entre empresas del grupo, requiere el consentimiento del propietario de los datos, y deben formalizarse los contratos de tratamiento de datos.
La consulta (informe 0494/2008) que justifica esta norma viene del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD), que responde a la duda de si es necesario, para las empresas del grupo, formalizar un contrato con la central o holding donde se encuentra la base de datos centralizada en la que se reciben los datos de los empleados de las distintas empresas del grupo.
En primer lugar conviene señalar que es criterio uniforme de la AEPD, que la existencia de empresas del grupo no afecta para que cada una de las sociedades integradas en el mismo no mantenga diferenciada y plena su personalidad jurídica. A todos los efectos jurídicos, la circunstancia de que una sociedad esté participada por otra, no afecta al hecho de que ambas sean distintas personas, de modo que la cesión de datos entre empresas del grupo se produce entre dos personas distintas, sin que exista una previsión legal que flexibilice los requisitos para la legitimidad de dicha cesión.
Cesión de datos entre empresas del grupo y prestación de servicio
Siguiendo el criterio citado en el párrafo inicial, cada una de las empresas del grupo será responsable del fichero de datos de sus correspondientes empleados, y por lo tanto la empresa central, que realmente estaría prestando un servicio de hosting (alojamiento de los ficheros) se configuraría como encargado de tratamiento, en el sentido del apartado g) del artículo 3 de la LOPD. Ello sucederá siempre que la empresa prestataria del servicio de alojamiento no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de albergar la base de datos, sin utilizarla en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero, existiendo una cesión de datos de carácter personal que, tal y como exige el artículo 11.1 de la Ley Orgánica 15/1999, requerirá el consentimiento de los afectados.
En consecuencia, cada empresa del grupo deberá proceder a notificar de manera independiente sus propios ficheros y cualquier acceso a los datos entre las diferentes sociedades que componen el grupo constituiría un supuesto de cesión que requeriría el consentimiento del afectado o la habilitación legal para la misma.
Además si por parte de alguna de las empresas del grupo, se produce un acceso a los datos de cualquiera de las otras que componen dicho grupo, nos encontraríamos ante una situación clara de comunicación o cesión de datos entre empresas del grupo y esta cesión requerirá el consentimiento del afectado.
En resumen, la incorporación de los datos de los empleados a la base de datos centralizada, exige que cada empresa haya informado debidamente a los afectados en los términos del artículo 5.1 de la Ley Orgánica 15/1999 y que haya obtenido el consentimiento de éstos para la incorporación de su información personal en dicha base de datos. Y por lo tanto, en buena lógica, deberán formalizarse los correspondientes contratos de tratamiento de datos entre las diferentes empresas y la central.