en Empresa y Gestión, General, Protección de datos de carácter personal

¿Debo recabar el consentimiento de mis clientes y empleados para comunicar sus datos personales en una reestructuración empresarial?

Autor: Bernardo Cabo. Abogado Derecho.com


Con la coyuntura económica actual los procesos de reestructuración empresarial se encuentran a la orden del día con el objetivo de encontrar sinergias que permitan la armonización y reducción de costes y con ello aumentar los márgenes de beneficios. Sin embargo, dentro de dichos procesos de reestructuración no solo las cuestiones puramente societarias deben ser tenidas en cuenta, de ahí que el propósito de este artículo sea ofrecer unas nociones básicas sobre el cumplimiento con la normativa de protección de datos de carácter personal en el marco de dichas operaciones de reestructuración.

Un elemento común a todas las modalidades de reestructuración (fusión, absorción, escisión, cesión global de activo y pasivo, etcétera) sería el cambio en la figura del responsable del fichero o del tratamiento de los datos de carácter personal con lo que se produciría una cesión o comunicación de datos a los efectos del artículo 11 de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (en adelante, “LOPD“). Dicha cesión conforme a la literalidad de la LOPD comportaría dos acciones: 1) Deber de información al afectado (art.5 LOPD) 2) Recabar el consentimiento del afectado. (art.11 LOPD).

A pesar de lo anterior, queda fuera de toda duda lo irracional de llevar a cabo dicho procedimiento de comunicación de datos dentro de un proceso de reestructuración empresarial, cuestión que vino a ser resuelta por el Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (en adelante,”RLOPD“) en su artículo 19 donde se dispone lo siguiente:

“Artículo 19. Supuestos especiales.

En los supuestos en que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivo, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de Diciembre.”

De tal forma que en el marco de un proceso de reestructuración societaria no se requiere el consentimiento del afectado pero si será preceptivo el deber de información contemplado en el artículo 5 LOPD.

Formas de llevar a cabo el Deber de Información al Interesado.

Los principales grupos de afectados en materia de protección de datos de carácter personal dentro de una operación de reestructuración empresarial serían los empleados y los clientes.

La vía para llevar a cabo la comunicación a los empleados del cambio de responsable así como todas las exigencias contempladas por el artículo 5 LOPD (existencia de un fichero o tratamiento de datos, finalidad de la recogida de los datos, destinatarios de la información, identidad y dirección del responsable, etcétera) podría realizarse de un modo sencillo por vía interna a través de la intranet de la compañía, en caso de existir.

En el caso de los clientes debería remitirse una carta en la que se especifiquen las circunstancias mencionadas anteriormente o bien tratar de acudir a la vía contemplada por los artículos 153 a 156 del RLOPD con el fin de obtener una resolución de la Agencia Española de Protección de Datos que exima del deber de informar al interesado acerca del tratamiento de sus datos de carácter personal, siempre y cuando se justifique que dicho deber resulta imposible o implica esfuerzos desproporcionados.

¿Desde qué momento se entiende la comunicación de datos como lícita en el marco de una reestructuración empresarial?.

Una vez más, acogernos a la literalidad de la LOPD nos daría una respuesta poco o nada práctica a las necesidades de los supuestos contemplados en este artículo, puesto que debería completarse todo el proceso de reestructuración con la correspondiente inscripción en el Registro Mercantil para que el nuevo responsable del tratamiento pueda tener acceso a los datos de carácter personal. Sin embargo, el Informe 0518/2009 de la AEPD amparándose en el artículo 3.1 del Código Civil sobre la interpretación de las normas tiene en cuenta que dentro de un proceso de reestructuración empresarial “[…]resulta necesaria la armonización de los sistemas de información existentes en las compañías involucradas, de forma que se garantice adecuadamente su funcionamiento una vez la fusión o absorción tenga definitivamente lugar[…]

Dicho razonamiento se basa en la posibilidad de que la nueva compañía pueda operar desde el día primero tras completarse la reestructuración en el Registro Mercantil, permitiéndole entre otras muchas cosas facturar a todos los clientes intregados y operar con los proveedores. De tal modo, la solución dada por la AEPD sería permitir al nuevo responsable del tratamiento acceder a los datos de carácter personal “[…]con la única finalidad de garantizar el adecuado funcionamiento de los sistemas de información en caso de que la fusión o absorción tenga efectivamente lugar[…]” desde el momento en que se aprueba el Proyecto Conjunto de Fusión por parte de los administradores de las compañías implicadas. (artículos 36 a 46 de la “Ley 3/2009, de 3 de Abril, de Modificaciones Estructurales de las sociedades mercantiles“).

________________________________________________________________________________________
Si necesita asistencia legal sobre éste u otros asuntos relacionados con la protección de datos y/o el comercio electrónico puede contactar con nosotros llamando al 902 01 44 02 o bien accediendo a cualquiera de los siguientes enlaces:

Adaptación protección de datos
Auditoría protección de datos
Revisión textos legales para página web