En la transmisión de una sociedad o negocio, ¿se debe solicitar el consentimiento a los clientes para ceder sus datos personales a la entidad a la que se transmite?
No es necesario solicitar el consentimiento, ya con anterioridad a la entrada en vigor de la LOPDGDD, la AEPD en su informe jurídico 194/2017 sobre el anteproyecto de la LOPDGDD, reconocía que la base de legitimación para esta cesión de datos es el interés legítimo de las sociedades intervinientes que junto con el propio interés del interesado cuyos datos personales son cedidos, justifican la transmisión.
La entrada en vigor de la LOPDGDD supuso la ratificación de lo contemplado en el informe anteriormente citado, y en estos casos de transformaciones societarias, la transmisión de datos personales no necesita el consentimiento previo de los interesados, la legitimación se encuentra en el interés legítimo del responsable del tratamiento, y así se contempla en el preámbulo de la LOPDGDD (preámbulo V, párrafo 10), donde se presume la prevalencia de este interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos cuando no se cumplen estrictamente las condiciones previstas en el texto, si bien en este caso el responsable deberá llevar a cabo la ponderación legalmente exigible, al no presumirse la prevalencia de su interés legítimo.
Así en el primer apartado del artículo 21 de la LOPDGDD, se establece que, salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos:
- fueran necesarios para el buen fin de la operación y
- garanticen, cuando proceda, la continuidad en la prestación de los servicios.
Cuando no se cumplan estrictamente las condiciones señaladas anteriormente, también se podrá legitimar el tratamiento en base al interés legítimo, si bien en este caso el responsable, como se establece en el preámbulo de la LOPDGDD, deberá llevar a cabo la ponderación legalmente exigible, al no presumirse la prevalencia del mismo.
En el apartado 2 del mismo precepto se advierte que en el caso de no concluirse la operación, la entidad cesionaria (receptora de los datos personales) deberá proceder de forma inmediata a la supresión de los datos personales, no siendo en este caso de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD.
Se deberá facilitar a los interesados toda la información sobre este tratamiento de datos personales que supone esta comunicación de datos personales, conforme a lo estipulado en el artículo 13 el RT cedente y conforme al artículo 14 del GDPR el RT cesionario, información que según sea el caso deberá incluir entre otras cuestiones:
- Nuevo responsable del tratamiento, si es el caso.
- Los intereses legítimos del responsable del tratamiento
- Destinatario de los datos personales, en el caso del cedente
- Fuente de procedencia y categoría de los datos personales, en el caso del cesionario
- La posibilidad de ejercer todos los derechos, entre ellos el de oponerse a la comunicación de los datos personales.
Aunque en la normativa no obliga en ningún precepto específico a la formalización de un contrato de comunicación o cesión de datos personales entre el cedente (entidad que transmite los datos personales) y el cesionario (entidad que recibe los datos personales), es una medida contractual recomendable.
Así lo hace la propia AEPD, en su guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al GDPR, en su Anexo VI, catálogo de amenazas y posibles soluciones (página 51), cuando propone: “si se ceden datos personales, establecer por escrito acuerdos que contemplen las condiciones bajo las que se produce la cesión y, en su caso, las relativas a cesiones ulteriores, así como las posibilidades de supervisión y control del cumplimiento del acuerdo”.