Implicaciones en la protección de datos por causa de transmisiones de empresa o modificaciones estructurales


La normativa sobre protección de datos contemplada, principalmente en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (RLOPD), establece obligaciones y sanciones estrictas para garantizar el correcto tratamiento de la información de terceros.

El tratamiento de los datos de carácter personal requiere un conjunto de medidas complejas o, por lo menos, laboriosas, que se ven especialmente afectadas cuando la información recibida se pretende ceder (hay que comprobar: el estado del cumplimiento normativo, tomar las medidas para ceder la información, adaptar el cumplimiento a la nueva situación y analizar si dicha cesión puede revelar incumplimientos del anterior responsable).

Para proteger el tráfico jurídico, la normativa facilita la cesión de los datos en las operaciones de modificación estructural y en las transmisiones de empresas, a la vez que mantiene a salvo los derechos reconocidos en la LOPD y el RLOPD.

Por un lado, ante la transmisión de una empresa lo primero que debe ser tenido en cuenta es que, en caso de cederse la información de un sujeto a otro, el adquirente de ésta queda afectado por las circunstancias previas. Por ello, en la pertinente due diligence el adquirente, tanto si mantiene la personalidad jurídica de la empresa adquirida como si no, deberá conocer primero el estado del tratamiento de datos. Para ver las distintas formas de adquirir una empresa se puede ver: “Las formas de adquisición de empresas en los distintos ordenamientos jurídicos”.

Cuando la forma de adquisición de la empresa por el tercero se instrumenta vía compraventa de acciones o participaciones, la información personal no es cedida, puesto que se halla a nombre de la sociedad, no de sus socios transmitentes. Sin embargo, cuando se ejecuta, por ejemplo, una fusión, una compraventa de unidad económica o una cesión global de activo y pasivo, la información de la adquirida pasa a nombre de un tercero, debido a que el nuevo titular de la base de datos no será la misma persona jurídica. Ante esta situación el art. 19 RLOPD establece:

En los supuestos en que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.

Como se puede ver, en estas operaciones el legislador permite considerar que no estamos ante una cesión de datos a los efectos de la LOPD y RLOPD. Todo ello, sin perjuicio del art. 5 LOPD, que reconoce el derecho de los interesados a estar informados de la posesión de la información y de ejercer sus derechos reconocidos en la normativa aplicable. Este derecho a estar informados incluye que se les comunique el cambio de responsable de los datos personales. Sin embargo, el traspaso de la información no requiere consentimiento previo de los interesados.

Ante esta situación, la cesión de datos de carácter personal resultante de una compraventa o una operación de modificación societaria, dará lugar a las siguientes dos cuestiones básicas: i) el estado actual del cumplimiento con la normativa de protección de datos (por ejemplo, si los datos fueron recabados de forma lícita y se registraron en la AEPD) y ii) si una vez comunicado el cambio de responsable, sin necesidad de recabar el consentimiento del interesado, éstos ejercerán sus derechos (denominados ARCO) que hasta la fecha no se habían planteado ejercer (como por ejemplo el derecho de cancelación). Esto se debe a que los interesados pueden haber mostrado una actitud de dejadez hasta que reciben la comunicación del nuevo responsable comunicando que ha habido una cesión permitida por el art. 19 RLOPD.

Finalmente, vale la pena remarcar que el art. 10 RLOPD permite la cesión de datos sin consentimiento en determinados casos, pero éstos no se refieren a modificaciones estructurales ni compraventas de empresas.

Comentarios