Ya puedes leer la segunda parte y última del artículo escrito por mi compañero Fernando Benítez, «Cómo vender la base de datos de una startup».

Cómo vender la base de datos de una startup

Por Fernando Benítez

La AEPD permite el uso de medios sustitutivos del deber de información como nos ilustra de manera ejemplar la Resolución 17/01/2007, en la cual, se estableció como medida compensatoria o sustitutiva la publicación del cambio de titularidad en un periódico de gran tirada nacional.

Otra de las cuestiones que se plantean de cara a la unión de empresas es si cabría la posibilidad de notificar un único fichero ante la Agencia Española de Protección de Datos para todo el conjunto de empresas que se han unido, pero teniendo presente que cada empresa mantiene su personalidad jurídica propia.

Debido a que esta cuestión fue formulada al gabinete jurídico de la AEPD en multitud de ocasiones, la Agencia publicó el Informe 0061/2010 dando respuesta a esta consulta.

En el citado informe , la AEPD muestra un criterio uniforme al resolver esta cuestión en base a que establece que cada empresa es una persona jurídica diferente aunque formen parte de un grupo de empresas y ,por tanto, cada una será responsable de los datos que recaben de sus clientes, proveedores etc.…

Ahora bien, se daría un supuesto de comunicación o cesión de datos en el caso de que alguna empresa de las del grupo accediera a datos de otra empresa aliada para dirigir sus servicios hacia un cliente de otra o si se realiza una base de datos común para el grupo de cara a la gestión y organización de las tareas de desarrollo de la actividad empresarial en conjunto.

Si se dieran estos supuestos, es una Conditio sine qua non el consentimiento del afectado.

 

 

Derechos de Fotolia

 

Documento de Seguridad

Respecto al Documento de Seguridad, también se plantea la posibilidad de realizar un único documento para todas las empresas que forman parte del grupo.

Como se ha establecido anteriormente, si cada empresa mantiene su personalidad jurídica y tienen la consideración de personas jurídicas  diferentes, lo lógico sería cada una gestionará su propio Documento de Seguridad donde se establezcan las funciones y obligaciones del personal en relación al tratamiento de los datos personales.

La pertenencia a un grupo de empresas no significa que todas las empresas adheridas gestionen la Seguridad de la Información de manera similar, por lo que no se puede exigir un Responsable de Seguridad único para todas, dado que cada empresa posee sus características propias.

Se aplica la misma doctrina respecto a la posibilidad de realizar auditorías de forma conjunta para todo el grupo de empresas, siendo el criterio establecido por la AEPD que cada empresa realice su propia auditoría de manera individual.

Podemos observar que el criterio de la AEPD es claro al respecto sobre la responsabilidad de las empresas que formen parte de un grupo, apostando por la responsabilidad y gestión de la protección de los datos de manera individual al mantener cada empresa su personalidad jurídica propia.

Podemos mencionar otro ejemplo donde se muestra el criterio de la Agencia mediante el Informe Jurídico 0245/2010, donde se establece el supuesto de que dos o varias empresas independientes y con plena capacidad jurídica diferenciada se agrupan y, mediante acuerdo,  una empresa se convierta en propietaria de la otra.

En este supuesto, la responsabilidad en materia de protección de datos sigue siendo de carácter individual y cada empresa poseerá un responsable de fichero.

Por tanto, todas las obligaciones de cara al cumplimiento normativo de la LOPD deberán ser realizadas de manera individual por cada empresa.

El Tribunal Superior de Justicia de Madrid en Sentencia de la Sección Novena de la Sala de lo Contencioso-administrativo de 16 de octubre de 2000,  fundamentó las pautas que se deben seguir de cara a no generar un perjuicio a los usuarios en base a que la decisión de varias empresas de unirse y formar un grupo, no puede provocar confusión a los interesados a la hora de relacionarse con las empresas  y no conocer quién es la empresa que está haciendo uso de sus datos y con qué finalidades,  valorando como fundamental el deber de información de tal forma que los interesados conozcan perfectamente la identidad de aquella entidad que es la que está tratando nuestros datos personales a consecuencia de la unión  de empresas.

Esta sentencia viene a apoyar el criterio de la AEPD al considerar que si se acceden a datos de empresas aliadas, esos accesos tendrán la consideración de comunicación o cesión de datos.

Como podemos vislumbrar, tanto la doctrina como la Jurisprudencia, muestran de forma clara cuál es su posicionamiento de cara a las actuaciones que deben regir por parte de las empresas la hora de realizar actos dentro del tráfico mercantil que suponga la alteración de la situación de las entidades que recurre a la unión con otras empresas para no desaparecer y poder seguir prestando sus servicios.

Resulta lógico que se deba informar a los interesados del cambio de la situación dado que puede darse el caso de que un usuario, al conocer que la empresa que manejaba sus datos ya “no existe” a consecuencia de la unión, decida de forma voluntaria que sus datos no sean tratados por esa “nueva empresa” que ha sido constituida.

Para las empresas, supone una obligación que pueden aprovechar como una ventaja competitiva de cara a su reputación a la hora de establecer los mecanismos de comunicación respecto al cambio de situación hacia los interesados, mostrando su transparencia y claridad a la hora de poner en conocimiento de los usuarios la nueva situación y, si los usuarios lo desean, mantener las relaciones con este nuevo grupo o cesar el tratamiento de los datos mediante el ejercicio del derecho de cancelación.

 

 

Comparte este post en:

¿Tienes alguna duda? Envíanos un correo y contactaremos contigo de inmediato. Consulta aquí

Written by carlos guerrero

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*