Es criterio uniforme de la Agencia Española de Protección de Datos, que la existencia de un grupo de empresas no afecta para que cada una de las sociedades, integradas en el mismo, no mantenga diferenciada y plena su personalidad jurídica. A todos los efectos jurídicos, la circunstancia de que una sociedad esté participada por otra, no afecta al hecho de que ambas sean distintas personas.
Un criterio uniforme, ratificado por Sentencia de la Sección Novena de la Sala de lo Contencioso-administrativo del Tribunal Superior de Justicia de Madrid, de 16 de octubre de 2000, cuando en su fundamento de derecho cuarto señala que, «(….) Si la recurrente ha preferido constituir dos sociedades y trabajar con ellas de manera independiente, beneficiándose así del mantenimiento de dos personas jurídicas distintas, no puede, al mismo tiempo, pretender justificar el conocimiento por parte de la matriz de los datos que le constan a la filial por las operaciones que esta última ha intervenido pues ello supone olvidarse de que se trata de personas jurídicas distintas«.
Por lo tanto, y atendiendo a lo que acabamos de indicar, cada una de las empresas que integran un grupo serán responsables de sus propios ficheros de carácter personal.
Una vez sentadas las bases, vamos a analizar dos circunstancias, que se dan con bastante asiduidad en los grupos de empresas, y tienen un impacto directo en materia de protección de datos:
1. Comunicación de datos (empleados, clientes etc.) entre las empresas que conforman el grupo:
El artículo 11.1 de la LOPD establece que «Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado».
El artículo 3 h) de la Ley Orgánica define el consentimiento como «Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen«
Analizando los cuatro requisitos estipulados en el artículo 3 h) y siguiendo los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa, el consentimiento deberá de ser:
a) Libre, lo que supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.
b) Específico, es decir referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la Ley Orgánica 15/1999.
c) Informado, es decir que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. Precisamente por ello el artículo 5.1 de la Ley Orgánica impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen.
d) Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento.
Por lo tanto, para que no sea nulo, el consentimiento que se solicita a los empleados, clientes y terceros afectados, se deberá facilitar la información que les permita conocer la finalidad a la que se destinarán los datos cuya comunicación se autoriza o el tipo de actividad del cesionario.
El cumplimiento de estos requisitos se logra, esencialmente, mediante el cumplimiento del deber de información, impuesto por el artículo 5 de la Ley Orgánica 15/1999.
Por otro lado, no debemos olvidar lo que establece el artículo 11.4 «El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable»
Por último señalar, que es importante tener en cuenta lo detallado en el presente artículo, pues tanto la Agencia Española de Protección de Datos, así como ha avalado la Audiencia Nacional y como ha ratificado Tribunal Supremo las resoluciones sancionadoras de la Agencia Española de Protección de Datos. En más de una y de dos ocasiones, empresas pertenecientes a un mismo grupo, han sido sancionadas por ceder datos personales de sus clientes, empleados etc…sin consentimiento de los afectados.
Cómo por ejemplo en los siguientes casos:
1. Sentencia del Tribunal Supremo de 27 de Enero de 2007– La recurrente decidió enviar una carta personalizada a sus clientes reseñando que si en el plazo de un mes desde su envío no recibían contestación negándose a la cesión, se consideraba que habían obtenido consentimiento.
Dada la escasa rigurosidad de los términos de dicha carta, el consentimiento obtenido no pudo considerarse válido, teniendo en cuenta el calificativo de «inequívoco» que la Ley de Protección de Datos exige del consentimiento. El Tribunal Supremo entiende: «que toda persona física o jurídica que pretenda obtener el citado consentimiento deberá arbitrar los medios necesarios para que no haya ninguna duda de que el mismo se presta de forma inequívoca»
Las sanciones ratificadas por el Tribunal Supremo eran de 300.506 euros una y otra de 60.101 euros, por no cumplir con los requisitos analizados en el presente artículo.
2. Resolución de la Agencia Española de Protección de Datos PS/00110/2010, en este procedimiento sancionador, la Agencia sanciona con 60.001 euros a un empresa perteneciente a un grupo de empresas, tras la denuncia de un exempleado, en la que afirmaba que los datos de su currículo vitae habían sido cedidos de una empresa del grupo a otra sin su consentimiento.
En un próximo artículo analizaremos:
2. Prestación de servicios entre las empresas del mismo grupo. Responsable del fichero y encargado de tratamiento.