En la transmisión de una sociedad o negocio, ¿se debe solicitar el consentimiento a sus clientes para ceder sus datos personales a la entidad a la que se transmite?.
No es necesario solicitar el consentimiento; ya con anterioridad a la entrada en vigor de la LOPDGDD, la AEPD en su informe jurídico 194/2017 sobre el anteproyecto de esta misma norma, reconocía que la base de legitimación para esta cesión de datos es el interés legítimo de las sociedades intervinientes junto con el propio interés del interesado cuyos datos personales son cedidos.
La entrada en vigor de la LOPDGDD supuso la ratificación de lo contemplado en el informe anteriormente citado, así en estos casos de transformaciones societarias, la transmisión de datos personales no necesita el consentimiento previo de los interesados, la legitimación se encuentra en el interés legítimo del responsable del tratamiento, y así se contempla en el preámbulo de la LOPDGDD, donde se presume la prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos cuando no se cumplen estrictamente las condiciones previstas en el texto, si bien en este caso el responsable deberá llevar a cabo la ponderación legalmente exigible, al no presumirse la prevalencia de su interés legítimo.
Así en el primer apartado del artículo 21 de la LOPDGDD, se establece que, salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.
En el apartado 2 del mismo precepto se advierte que en el caso de no concluirse la operación, la entidad cesionaria (receptora de los datos personales) deberá proceder de forma inmediata a la supresión de los datos personales, no siendo en este caso de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD.
Del mismo modo, se deberá facilitar a los interesados toda la información sobre este tratamiento de datos personales, conforme a lo estipulado en los artículos 13 y 14 del GDPR, información que según sea el caso deberá incluir entre otras cuestiones:
- Nuevo responsable del tratamiento, si es el caso.
- Los intereses legítimos del responsable del tratamiento.
- Destinatario de los datos personales, en el caso del cedente.
- Procedencia y categoría de los datos personales, en el caso del cesionario.
- La posibilidad de ejercer todos los derechos, entre ellos el de oponerse a la comunicación de los datos personales.
Aunque en la normativa (GDPR y LOPDGDD) no obliga en ningún precepto específico a la formalización de un contrato de comunicación o cesión de datos personales entre el cedente (entidad que transmite los datos personales) y el cesionario (entidad que recepciona los datos personales), es una medida de seguridad contractual recomendable.
Así lo hace la propia AEPD, en su guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al GDPR, en su Anexo VI, catálogo de amenazas y posibles soluciones (página 51), cuando propone: “si se ceden datos personales, establecer por escrito acuerdos que contemplen las condiciones bajo las que se produce la cesión y, en su caso, las relativas a cesiones ulteriores así como las posibilidades de supervisión y control del cumplimiento del acuerdo”.