Entradas guardadas para Agencia Española de Protección de Datos

Cesión de datos interempresarial

Uno de los casos que surge frecuentemente es la recepción de comunicaciones de empresas con las que el usuario no tenía ninguna relación previa. Es decir, una empresa a la que no hemos facilitado nuestros datos o email nos sorprende enviándonos comunicaciones a nuestro correo.
A menudo, una de las razones detrás de estas comunicaciones es la existencia de una relación interempresarial entre la empresa a la que hemos cedido nuestros datos y la que nos ofrece sus servicios o productos por correo. Según la doctrina de la Agencia Española de Protección de Datos, tal y como señala en su Informe Jurídico 494/2008, dicha cesión de datos entre empresas, pese a su poetenencia al mismo grupo, participación u otro tipo de relación mercantil, requiere del consentimiento explícito del usuario. Así se ha señalado también en la jurisprudencia:

“Si la recurrente ha preferido constituir dos sociedades y trabajar con ellas de manera independiente, beneficiándose así del mantenimiento de dos personas jurídicas distintas, no puede, al mismo tiempo, pretender justificar el conocimiento por parte de la matriz de los datos que le constan a la filial por las operaciones que esta última ha intervenido pues ello supone olvidarse de que se trata de personas jurídicas distintas”. (STSJ de
Madrid, de 16 de octubre de 2000)

En estos casos un simple acuerdo de procesamiento de datos no será suficiente para justificar el tratamiento de datos por una empresa del grupo, sino que requerirá del consentimiento explícito del usuario y se entenderá como una cesión en toda regla.
De esta forma, cada empresa será la responsable de su fichero y como tal la responsable de determinar las finalidades y usos del tratamiento.

“En consecuencia, cada empresa deberá proceder a notificar de manera independiente sus propios ficheros y cualquier acceso a los datos entre las diferentes sociedades que componen el grupo constituiría un supuesto de
cesión que requeriría el consentimiento del afectado o la habilitación legal para la misma.”

Así el acceso a los datos de una empresa del grupo a los de otra, por no hablar del tratamiento conjunto de datos recabados por cada una de las empresas, ha de ser considerada una cesión.
En el caso en que el encargado, parte del grupo de empresas, dedicase dichos datos a un fin diferente de aquél con el que fueron recabados, será a su vez responsable del tratamiento.
Por último recordar que el art. 44.4 de la LOPD señala la cesión de datos como infracción muy grave con la consecuente sanción de 300.000 a 600.000 Euros (art. 45.3).

Instruccion 0494-2008 Grupo de empresas

Google España como reponsable del tratamiento

Una reciente resolución de la AGPD ha vuelto a señalar la obligación que pesa sobre Google de eliminar los datos de su registro ante la petición de un titular haciendo valer su derecho de cancelación.
Google.es con razón se opone ante esta pretensión que de repetirse comúnmente con otros usuarios requeriría la manipulación del algoritmo con el que muestra los resultados a sus usuario.
La excepción principal que opone es que la información es recopilada y tratada por Google Inc con sede en California y que la filial en España no lleva a cabo tratamiento alguno de los datos.
Para la Agencia esto resulta inadmisible. No sólo porque Google tiene establecimiento en España y los proveedores de servicios de la sociedad de la información pueden verse sometidos a diversas jurisdicciones. La interpretación de la Agencia va más lejos y se centra en los robots o ‘spiders’ que utiliza cualquier servicio de búsqueda para obtener la información de los sitios webs que luego se encarga de ordenar automáticamente.
Para la Agencia existe un tratamiento de medios situados en territorio español y este tratamiento no se hace con simple finalidad de tránsito. De ahí la inaplicabilidad de la excepción:

“Cuando el proveedor de servicios de búsqueda es un responsable de tratamiento situado fuera del EEE, existen dos casos en los que se aplica la legislación comunitaria en materia de protección de datos. En primer lugar, cuando el proveedor de servicios de búsqueda cuenta con un establecimiento en un Estado miembro, de acuerdo con el artículo 4(1) (a). En segundo lugar, cuando el buscador recurre a medios situados en el territorio de un Estado miembro, de acuerdo con el artículo 4(1) (c). En este último caso, el buscador, de acuerdo con el artículo 4 (2), debe designar un representante en el territorio de dicho Estado miembro concreto.”

La Agencia fundamenta su decisión en la LSSI. Concretamente el artículo 8 c) prevee la protección del derecho a la intimidad de la persona ante un prestador de la sociedad de la información, e incluye la posibilidad de retirar datos que incumplan este precepto. Así, al encuadrar el servicio que presta Google en España dentro de prestador de servicios de la sociedad de información, se refiere al consabido artículo 17 de la LSSI que mantiene la doctrina de ‘safe harbor’.

“1. Los prestadores de servicios de la sociedad de la información que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios, siempre que:
a) No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o
b) Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente.”

Esta doctrina de gran calado en el derecho europeo y en el americano mediante el 47 USC 230 del Telecommunication Act de 1996, permite a los agregadores de contenido tener una salvaguarda en procesos automatizados de tratamiento de datos. Aún así dicha cláusula prevé la obligatoria remoción de contenido por parte del prestador de servicios en caso de que un órgano decrete su eliminación. Este fue el resultado de esta decisión por parte de la Agencia. Desde luego un quebradero de cabeza más para Google que habrá de velar por la eliminación de cualquier mención a Doña A.A.A. Pero, ¿es tecnológicamente posible una medida de este tipo?

RSS Feed.