Cesión de datos interempresarial
Uno de los casos que surge frecuentemente es la recepción de comunicaciones de empresas con las que el usuario no tenía ninguna relación previa. Es decir, una empresa a la que no hemos facilitado nuestros datos o email nos sorprende enviándonos comunicaciones a nuestro correo.
A menudo, una de las razones detrás de estas comunicaciones es la existencia de una relación interempresarial entre la empresa a la que hemos cedido nuestros datos y la que nos ofrece sus servicios o productos por correo. Según la doctrina de la Agencia Española de Protección de Datos, tal y como señala en su Informe Jurídico 494/2008, dicha cesión de datos entre empresas, pese a su poetenencia al mismo grupo, participación u otro tipo de relación mercantil, requiere del consentimiento explícito del usuario. Así se ha señalado también en la jurisprudencia:
“Si la recurrente ha preferido constituir dos sociedades y trabajar con ellas de manera independiente, beneficiándose así del mantenimiento de dos personas jurídicas distintas, no puede, al mismo tiempo, pretender justificar el conocimiento por parte de la matriz de los datos que le constan a la filial por las operaciones que esta última ha intervenido pues ello supone olvidarse de que se trata de personas jurídicas distintas”. (STSJ de
Madrid, de 16 de octubre de 2000)
En estos casos un simple acuerdo de procesamiento de datos no será suficiente para justificar el tratamiento de datos por una empresa del grupo, sino que requerirá del consentimiento explícito del usuario y se entenderá como una cesión en toda regla.
De esta forma, cada empresa será la responsable de su fichero y como tal la responsable de determinar las finalidades y usos del tratamiento.
“En consecuencia, cada empresa deberá proceder a notificar de manera independiente sus propios ficheros y cualquier acceso a los datos entre las diferentes sociedades que componen el grupo constituiría un supuesto de
cesión que requeriría el consentimiento del afectado o la habilitación legal para la misma.”
Así el acceso a los datos de una empresa del grupo a los de otra, por no hablar del tratamiento conjunto de datos recabados por cada una de las empresas, ha de ser considerada una cesión.
En el caso en que el encargado, parte del grupo de empresas, dedicase dichos datos a un fin diferente de aquél con el que fueron recabados, será a su vez responsable del tratamiento.
Por último recordar que el art. 44.4 de la LOPD señala la cesión de datos como infracción muy grave con la consecuente sanción de 300.000 a 600.000 Euros (art. 45.3).
