✔ En la práctica y en lo que a empresas de protección de datos se refiere, es muy habitual encontrarse con auténticos “monstruos empresariales” compuestos por varias empresas, con personalidad jurídica propia, que se dedican a actividades distintas y que, sin embargo, realizan comunicaciones de datos de clientes, proveedores, empleados, etc. de unas a otras sin que exista claridad sobre si esta cesión de datos entre empresas del mismo grupo es legítima y si, por tanto, necesita de alguna garantía adicional para efectuarse.
En el post de hoy explicaremos cuándo esta cesión de datos entre empresas de mismo grupo debe catalogarse como (i) un “encargo del tratamiento” (tratamiento de datos de una empresa por cuenta de la otra) o (ii) “cesión de datos” propiamente dicha (comunicación de datos entre Responsables); y qué deben hacer las organizaciones para legitimar ese encargo del tratamiento o cesión.
Diferencia entre encargo del tratamiento y cesión de datos entre empresas del mismo grupo
El “encargo del tratamiento” tiene lugar cuando a una de las empresas (Encargado del Tratamiento) se le confía la gestión de los datos de una o varias de las otras empresas de grupo (Responsable/s del Tratamiento), quedando a disposición de estas últimas la facultad de decidir acerca de la finalidad, contenido y uso del tratamiento de los datos.
Ejemplo: Grupo empresarial compuesto por una empresa a la cabecera (A), una segunda empresa que coordina los servicios centrales situados en segundo nivel (B) y tres empresas que son las filiales productivas en tercer y último nivel (C, D y E).
La empresa B se encarga de la gestión financiera, contable y laboral de las empresas C, D y E. Para realizar estas gestiones, es necesario que acceda y/o trate datos de carácter personal de las empresas C, D, E como datos de clientes, proveedores y trabajadores. Pero este acceso y/o tratamiento se realiza de forma mecánica, es decir, sin decidir sobre los fines, medios y usos, limitándose a seguir las instrucciones de las empresas C, D, E.
En este caso, en consecuencia, la empresa B sería Encargado del Tratamiento y las empresas C, D y E Responsables del Tratamiento.
La “cesión de datos” tiene lugar cuando se producen comunicaciones de datos de una o varias empresas de grupo a otra u otras de forma unidireccional o bidireccional, pudiendo decidir sobre la finalidad, contenido y uso del tratamiento de los datos.
Ejemplo: Grupo empresarial anterior, en el que la empresa de cabecera (A) le manda a la empresa B que analice el coste de las filiales productivas C, D y E y su rentabilidad, debido a que se ha producido un descenso en los beneficios. Para ello, la empresa B podrá analizar el coste recurrente del personal y preparan un plan de ajuste a la empresa A respecto a las filiales productivas, para concluir si deben realizarse o no despidos para mejorar la situación financiera del grupo. Como puede observarse, aquí existiría una cesión de datos unidireccional de las filiales productivas C, D y E a la empresa B, y a su vez, una cesión de esos mismos datos bidireccional entre la empresa B y la empresa A pues, para tomar la decisión de despedir al personal, tendrán que analizar los datos. En consecuencia, este supuesto no podría tener su encuadre en la situación de “encargo del tratamiento” dado que aquí tanto la empresa B como la empresa A, deciden sobre la finalidad, medios y uso de tratamiento de los datos de las filiales productivas C, D y E, convirtiéndose en Responsables de Tratamiento de esos datos.
Garantías para perfeccionar el encargo del tratamiento y cesión de datos entre empresas del mismo grupo
Una vez que hemos diferenciado entre el “encargo” y la “cesión de datos” entre empresas del mismo grupo, debemos explicar qué garantías deben cumplir las empresas cuando se encuentren en una u otra situación:
En el caso de “encargo del tratamiento”, se debe perfeccionar entre la empresa que actúa como Encargado del Tratamiento y cada una de las empresas que son Responsables del Tratamiento, un contrato u acto jurídico vinculante a tenor de lo dispuesto en el artículo 28 RGPD y 33 LOPDGDD. El contenido mínimo del contrato debe ser el siguiente:
-
-
- Instrucciones del responsable: el encargado tratará los datos conforme a las instrucciones del responsable, no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación a otras personas.
- Deber de confidencialidad: la garantía del encargado de tratamiento de que su personal autorizado para tratar los datos personales está sometido al deber de secreto.
- Medidas de seguridad: el encargado adoptará las medidas de seguridad concretas que haya implantado el responsable para garantizar la seguridad de la información a la que acceda y/o trata.
- Régimen de subcontratación: la posibilidad o no del encargado de subcontratar y en qué condiciones.
- Derechos de los interesados: el encargado asistirá al responsable para atender las solicitudes de ejercicio de los derechos de acceso, rectificación, oposición, supresión, limitación al tratamiento, información y a no ser objeto de decisiones automatizadas (incluida la elaboración de perfiles).
- Colaboración en el cumplimiento de las obligaciones del responsable: el encargado ayudará al responsable, cuando proceda, en lo que respecta a la adopción de las medidas de seguridad, la notificación de las violaciones de seguridad y la realización de Evaluaciones de Impacto.
- Destino de los datos al finalizar la prestación: una vez cumplida la prestación contractual, el encargado destruirá o devolverá los datos de carácter personal al Responsable de Tratamiento.
- Colaboración con el responsable para demostrar el cumplimiento: el encargado pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones así como para permitir y contribuir a la realización de auditorías, incluidas las inspecciones.
-
En caso de “cesión de datos” entre empresas del mismo grupo, se debe informar a los afectados (proveedores, clientes, trabajadores, etc.) en las correspondientes cláusulas informativas, a tenor del artículo 12 y 13 RGPD y 11 LOPDGDD, de la cesión de sus datos, identificando a las empresas de grupo, la finalidad de la cesión y la base que legitima esa cesión. En el caso de las empresas de grupo, siempre y cuando no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el Responsable, se podría alegar interés legítimo en esa cesión para fines administrativos internos de conformidad con el Considerando 48:
“Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisión de datos personales, dentro de un grupo empresarial, a una empresa situada en un país tercero no se ven afectados”
Conclusiones
Las conclusiones del presente artículo sobre cesión de datos entre empresas del mismo grupo, son las siguientes:
- Antes de llevar a cabo una comunicación de datos entre empresas del mismo grupo, debe analizarse si dicho supuesto se corresponde a la figura de “encargo de tratamiento” o “cesión de datos”
- En caso de que se trate de un “encargo de tratamiento”, se deberá firmar un contrato entre la empresa que actúa como Encargada y las empresas Responsables, de conformidad con el artículo 28 RGPD y 33 LOPDGDD. En caso de que se trate de una “cesión de datos”, se deberá informar a los afectados de esta circunstancia y analizar si la cesión puede ampararse en el interés legítimo para fines administrativos internos del Considerando 48 RGPD o, en caso contrario, es necesario recabar el consentimiento de los afectados para llevar a cabo la cesión.
▸Estimado lector, ¡¡gracias por su tiempo!!
