La entidad no informó ni solicitó el consentimiento de su cliente a la hora de ceder sus datos a otra compañía

Tienes contratado tu servicio de asesoría fiscal con una empresa desde hace años y, de repente, te llega una factura de otra gestoría. No has cambiado de compañía. ¿Qué ha ocurrido? ¿Por qué tiene esta empresa tus datos?

Esta ha sido una de las reclamaciones que ha recibido la Agencia Española de Protección de Datos (AEPD) en junio del pasado año. La denunciante alegaba que desde el año 2017 tenía contratado los servicios de asesoría fiscal con una gestoría.

Sin embargo, en marzo de 2020 recibió una factura por los servicios a nombre de otra compañía. Y sin haber recibido ninguna comunicación al respecto o una solicitud de autorización para la cesión de sus datos.

Con motivo de comprobar un posible incumplimiento de la normativa en materia de protección de datos, la Agencia requirió de información a la gestoría que era responsable del tratamiento realizado.

Tras haber emitido varias notificaciones por vía postal y electrónica y al no haber obtenido respuesta por parte de la gestoría, la AEPD estimó sancionar a la compañía con 4.000 euros. Cuantía que fue fijada teniendo en cuenta como agravantes la nula cooperación de la denunciada y los datos personales básicos afectados (nombre, apellidos, domicilio).

Tratamiento de datos sin consentimiento

La denunciada había vulnerado el artículo 6.1 del General Data Protection Regulation (RGPD). Atendiendo a las pruebas que ha podido obtener la Agencia, la gestoría había comunicado los datos a un tercero llevando a cabo un tratamiento sin legitimación.  

¿Qué es una cesión de datos personales?

Entenderemos por cesión de datos cualquier revelación o acceso de datos realizada a un tercero (particular o empresa) distinto del interesado.

El tratamiento será lícito si se cumple, al menos, alguna de las siguientes condiciones establecidas en el artículo 6.1 del RGPD. Por tanto, podríamos decir que los datos podrían ser cedidos cuando:

  1. El interesado dio su consentimiento para la comunicación de sus datos personales.
  2. Lo exige la ejecución la ejecución de un contrato en el que el interesado es parte.
  3. El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
  4. Sea necesario para proteger intereses vitales del interesado.
  5. Se requiera para el cumplimiento de una misión realizada en interés público.
  6. Cuando así lo exija el interés legítimo del responsable del tratamiento. Siempre y cuando sobre dichos intereses no prevalezcan los derechos y libertades del interesado.

¿Y se pueden ceder los datos ante una operación societaria (fusión, escisión, cesión, etc.)?

Aunque algo controvertido, este escenario venía contemplado ya en el artículo 19 del Real Decreto 1720/2007 (reglamento de desarrollo de la Ley Orgánica de Protección de Datos de 1999) como supuesto especial en el capítulo relativo al consentimiento para el tratamiento de los datos y deber de información.

En los supuestos en que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.

Por tanto, ante una empresa que cede, por ejemplo, una rama de su actividad podría intentar legitimar la comunicación de los datos sobre este precepto.

En estos casos se entiende que no será necesario el consentimiento del interesado, pero sí se deberá cumplir con el derecho a la información. Es decir, se debería informar de la cesión de datos practicada a los titulares de los mismos.

Por su parte, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD), en su artículo 21 «Tratamientos relacionados con la realización de determinadas operaciones mercantiles» establece que:

Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.

Un precepto en el que tanto la propia LOPD-GDD como la AEPD a través de sus anteriores informes reconocen el interés legítimo corporativo como base de legitimación para la cesión de datos personales entre las entidades que intervengan. Sin embargo, continuando con el artículo 21, se exige que se concluya la transmisión de los datos, ya que en caso de que no se finalice, la entidad cesionaria (tercero que recibe los datos) debería suprimir los datos.


Sigue esta y otras noticias a través de nuestro canal de Telegram

Imagen de stevepb en Pixabay