Implicaciones en la protección de datos por causa de transmisiones de empresa o modificaciones estructurales
La normativa sobre protección de datos contemplada, principalmente
en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal (LOPD) y el Real Decreto 1720/2007, de 21 de diciembre, por el que se
aprueba el Reglamento de desarrollo de la LOPD (RLOPD), establece obligaciones
y sanciones estrictas para garantizar el correcto tratamiento de la información
de terceros.
El tratamiento de los datos de carácter personal requiere un
conjunto de medidas complejas o, por lo menos, laboriosas, que se ven
especialmente afectadas cuando la información recibida se pretende ceder (hay
que comprobar: el estado del cumplimiento normativo, tomar las medidas para
ceder la información, adaptar el cumplimiento a la nueva situación y analizar si
dicha cesión puede revelar incumplimientos del anterior responsable).
Para proteger el tráfico jurídico, la normativa facilita la cesión
de los datos en las operaciones de modificación estructural y en las
transmisiones de empresas, a la vez que mantiene a salvo los derechos
reconocidos en la LOPD y el RLOPD.
Por un lado, ante la transmisión de una empresa lo primero que
debe ser tenido en cuenta es que, en caso de cederse la información de un
sujeto a otro, el adquirente de ésta queda afectado por las circunstancias
previas. Por ello, en la pertinente due diligence el adquirente, tanto si
mantiene la personalidad jurídica de la empresa adquirida como si no, deberá
conocer primero el estado del tratamiento de datos. Para ver las distintas
formas de adquirir una empresa se puede ver: “Las
formas de adquisición de empresas en los distintos ordenamientos jurídicos”.
Cuando la forma de adquisición de la empresa por el tercero se
instrumenta vía compraventa de acciones o participaciones, la información personal
no es cedida, puesto que se halla a nombre de la sociedad, no de sus socios
transmitentes. Sin embargo, cuando se ejecuta, por ejemplo, una fusión, una compraventa
de unidad
económica o una cesión global de activo y pasivo, la información de la adquirida
pasa a nombre de un tercero, debido a que el nuevo titular de la base de datos
no será la misma persona jurídica. Ante esta situación el art. 19 RLOPD
establece:
“En los supuestos en que se produzca una
modificación del responsable del fichero como consecuencia de una operación de
fusión, escisión, cesión global de activos y pasivos, aportación o transmisión
de negocio o rama de actividad empresarial, o cualquier operación de
reestructuración societaria de análoga naturaleza, contemplada por la normativa
mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por
el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de
13 de diciembre.”
Como se puede ver, en estas operaciones el
legislador permite considerar que no estamos ante una cesión de datos a los
efectos de la LOPD y RLOPD. Todo ello, sin perjuicio del art. 5 LOPD, que
reconoce el derecho de los interesados a estar informados de la posesión de la información
y de ejercer sus derechos reconocidos en la normativa aplicable. Este derecho a
estar informados incluye que se les comunique el cambio de responsable de los
datos personales. Sin embargo, el traspaso de la información no requiere consentimiento
previo de los interesados.
Ante esta situación, la cesión de datos de
carácter personal resultante de una compraventa o una operación de modificación
societaria, dará lugar a las siguientes dos cuestiones básicas: i) el estado
actual del cumplimiento con la normativa de protección de datos (por ejemplo,
si los datos fueron recabados de forma lícita y se registraron en la AEPD) y
ii) si una vez comunicado el cambio de responsable, sin necesidad de recabar el
consentimiento del interesado, éstos ejercerán sus derechos (denominados ARCO)
que hasta la fecha no se habían planteado ejercer (como por ejemplo el derecho
de cancelación). Esto se debe a que los interesados pueden haber mostrado una actitud
de dejadez hasta que reciben la comunicación del nuevo responsable comunicando
que ha habido una cesión permitida por el art. 19 RLOPD.
Finalmente, vale la pena remarcar que el art. 10
RLOPD permite la cesión de datos sin consentimiento en determinados casos, pero
éstos no se refieren a modificaciones estructurales ni compraventas de
empresas.
Comentarios
Publicar un comentario