modificaciones societarias y protección de datos

Comentario de Manuel Castilleja 17 de febrero de 2025

En cualquier operación de modificación estructural de una sociedad o de aportación o transmisión de negocio o rama de actividad empresarial (venta, absorción, traspaso, etc.), ¿se debe solicitar el consentimiento a los interesados para ceder sus datos personales de un responsable del tratamiento a otro?

No es necesario solicitar el consentimiento, ya con anterioridad a la entrada en vigor de la LOPDGDD, la AEPD en su informe jurídico 194/2017 sobre el anteproyecto de la LOPDGDD, reconocía que la base de legitimación para esta cesión de datos es el interés legítimo (art. 6.1.f RGPD) de las sociedades intervinientes que junto con el propio interés del interesado cuyos datos personales son cedidos, justifican la transmisión.

La entrada en vigor de la LOPDGDD supuso la ratificación de lo contemplado en el informe anteriormente citado, y en estos casos de transformaciones societarias, la transmisión de datos personales no necesita el consentimiento previo de los interesados, la legitimación se encuentra en el interés legítimo del responsable del tratamiento, y así se contempla en el preámbulo de la LOPDGDD (preámbulo V, párrafo 10), donde se presume la prevalencia de este interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos cuando no se cumplen estrictamente las condiciones previstas en el texto, si bien en este caso el responsable deberá llevar a cabo la ponderación legalmente exigible, al no presumirse la prevalencia de su interés legítimo.

Así en el primer apartado del artículo 21 de la LOPDGDD, se establece que, salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos:

  • fueran necesarios para el buen fin de la operación y
  • garanticen, cuando proceda, la continuidad en la prestación de los servicios.

Como indicábamos en el segundo párrafo, cuando no se cumplan estrictamente las condiciones señaladas anteriormente, también se podrá legitimar el tratamiento en base al interés legítimo, si bien en este caso el responsable, como se establece en el preámbulo de la LOPDGDD, deberá llevar a cabo la ponderación legalmente exigible, al no presumirse la prevalencia del mismo.

En el apartado 2 del mismo precepto se advierte que en el caso de no concluirse la operación, la entidad cesionaria (receptora de los datos personales) deberá proceder de forma inmediata a la supresión de los datos personales, no siendo en este caso de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD.

Se deberá facilitar a los interesados toda la información sobre este tratamiento de datos personales que supone esta comunicación:

  • El responsable del tratamiento cedente conforme al art. 13 RGPD, facilitará de manera previa a la cesión la siguiente información:
    • En cualquier caso:
      • Identificación del responsable cedente: su identidad y datos de contacto.
      • Fines y legitimación: al tratarse del interés legítimo, cuáles y de quiénes son esos interese legítimos. Ej.: comunicación de sus datos personales a otro responsable del tratamiento (responsable cesionario) debido al proceso de …………………………………, para poder seguir prestando los servicios que le veníamos prestando hasta ahora con nuestra entidad, en base al interés legítimo de las sociedades intervinientes junto con el suyo propio (art. 6.1.f RGPD).
      • Comunicaciones: los destinatarios o las categorías de destinatarios de los datos personales, en este caso el responsable cesionario.
      • Conservación: al tratarse de una cesión no se conservarán datos al transmitirse todos al responsable cesionario.
      • Derechos: al tratase de interés legítimo el derecho de oposición.
    • Sólo si es el caso:
      • Representante en la UE: datos de contacto.
      • DPD: datos de contacto.
      • Transferencias internacionales: si el responsable cesionario está establecido fuera del EEE información sobre la transferencia internacional que supone la cesión a dicho tercer país y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición.
  • El responsable del tratamiento cesionario conforme al art. 14 RGPD. facilitará:
    • Dentro de un plazo razonable, una vez obtenidos los datos personales del responsable cedente y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos.
    • A más tardar en el momento de la primera comunicación al interesado, si los datos personales han de utilizarse para comunicarse con él. O
    • A más tardar en el momento en que los datos personales sean comunicados por primera vez, si está previsto comunicarlos a otro destinatario.

La siguiente información:

    • En cualquier caso:
      • Identificación del responsable cesionario: su identidad y datos de contacto.
      • Fines y legitimación: los mismos fines y legitimación para los que el responsable cedente venía tratando los datos, que dependiendo de los colectivos de interesados variarán:
        • Clientes: para la prestación de servicios en base a la relación contractual y cumplimiento de obligaciones legales (art. 6.1.b y 6.1.c RGPD).
        • Personas trabajadoras para la gestión de la relación laboral y cumplimiento de obligaciones legales (art. 6.1.b y 6.1.c RGPD).
        • Etc.
      • Categorías de datos: las categorías de datos personales de que se trate.
      • Comunicaciones: si se prevé comunicar datos, los destinatarios o las categorías de destinatarios a quienes se van a ceder.
      • Conservación: plazos o criterios de conservación.
      • Derechos: los que sean de aplicación.
      • Fuente de procedencia: en este caso el responsable del tratamiento cedente.
    • Sólo si es el caso:
      • Representante en la UE: datos de contacto.
      • DPD: datos de contacto.
      • Transferencias internacionales: la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición.

 

Aunque la normativa no obliga en ningún precepto específico a la formalización de un contrato de comunicación o cesión de datos personales entre el responsable cedente y el responsable cesionario es una medida contractual recomendable.

Así lo hacía la propia AEPD, en su primera guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al GDPR, en su Anexo VI, catálogo de amenazas y posibles soluciones (página 51), cuando propone: “si se ceden datos personales, establecer por escrito acuerdos que contemplen las condiciones bajo las que se produce la cesión y, en su caso, las relativas a cesiones ulteriores, así como las posibilidades de supervisión y control del cumplimiento del acuerdo”.

 

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Requerido