Según el artículo 42 del Código de Comercio, hablamos de grupo de empresas cuando una sociedad ostente o pueda ostentar, directa o indirectamente, el control de otra u otras.
En la misma dirección, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, (Reglamento general de protección de datos), define el grupo empresarial como un grupo constituido por una empresa que ejerce el control y sus empresas controladas.
Es criterio reiterado por la Agencia Española de Protección de Datos (AEPD) que, el hecho de que exista un grupo empresarial no significa que cada una de las empresas que lo forman no cuenten con su propia personalidad jurídica y que, por tanto, sea cada una de ellas responsable de sus ficheros de carácter personal.
En la práctica de protección de datos, es muy habitual encontrar a grandes grupos empresariales constituidos por diferentes empresas dedicadas a actividades distintas y que se comunican entre ellas datos de clientes, proveedores, empleados, etc.
En esos casos, estaríamos ante comunicaciones o cesiones de datos; sin embargo, debemos plantearnos si esa cesión dentro del grupo es legítima y si, para que pueda llevarse a cabo, necesita de alguna garantía adicional.
¿Cesión de datos o encargo de tratamiento?
Para ello, lo primero que debe tener claro la organización que vaya a comunicar datos a otra u otras organizaciones del grupo, es si esa comunicación puede catalogarse como una cesión de datos o si se trata de un encargo de tratamiento, ya que las garantías para poder realizar la comunicación serán diferentes en una y otra situación.
Estamos ante un encargo de tratamiento cuando lo que se produce es un acceso a los datos por parte de una de las empresas, que será considerada encargada del tratamiento, necesariamente para la prestación de un servicio a otra u otras empresas del grupo que será la responsable del tratamiento de esos datos. La empresa responsable del tratamiento será la que tenga la facultad de decidir la finalidad, el contenido y el uso del tratamiento de esos datos.
Es decir, en un encargo de tratamiento la empresa encargada del tratamiento se limita a seguir las instrucciones de la empresa responsable.
Por otro lado, la cesión de datos existe cuando una o varias empresas del grupo comunican datos a otra u otras de forma unidireccional o bidireccional, pudiendo decidir cada una sobre la finalidad, contenido y uso del tratamiento de los datos. Es decir, en la cesión de datos ambas empresas son responsables del tratamiento y, quien recibe los datos, puede aplicarlos a sus propias finalidades, decidiendo de este modo sobre el objeto y la finalidad del tratamiento de esos datos.
¿Qué garantías son necesarias en ambas situaciones?
Una vez aclaradas ambas situaciones, para que puedan producirse en la práctica, las empresas deberán cumplir una serie de garantías según se encuentren en una u otra situación.
En el caso del “encargo del tratamiento”, según lo dispuesto en el artículo 28 Reglamento General de Protección de Datos (RGPD) y artículo 33 Ley Orgánica de Protección de Datos (LOPDGDD) será necesario la existencia de un contrato o un acto jurídico vinculante entre la empresa que actúa como encargada del tratamiento y la empresa o empresas que actúan como responsables del tratamiento. Este contrato o acto será el que delimite el encargo.
Por su parte, en el caso de “cesión de datos” entre las empresas del mismo grupo, éstas deberán, en primer lugar, informar de esta circunstancia a los afectados cuyos datos se pretenden ceder (proveedores, clientes, trabajadores, etc.), esta información se hará de conformidad con el artículo 12 y 13 RGPD y 11 LOPDGDD, es decir, deberán ser informados de la cesión de sus datos, identificando a las empresas de grupo, la finalidad de la cesión y la base que legitima esa cesión.
En segundo lugar, deberán analizar si la cesión puede ampararse en el Considerando 48 RGPD o, en caso contrario, será necesario recabar el consentimiento de los afectados para llevar a cabo la cesión.
El Considerando 48 del RGPD entiende que las empresas del grupo pueden cederse datos alegando interés legítimo para fines administrativos siempre que no prevalezcan los intereses o los derechos y libertades del interesado: “Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisión de datos personales, dentro de un grupo empresarial, a una empresa situada en un país tercero no se ven afectados”.
Podemos concluir, que lo fundamental es analizar la comunicación que se vaya a efectuar entre las empresas del grupo y saber determinar si se trata de una cesión o si por el contrario la empresa a la que se comunican simplemente accede a esos datos, tratándose entonces de un encargo de tratamiento y así poder cumplir con las garantías necesarias en cada caso.