Suscríbase y conozca cada mes novedades de GESCONSULTOR y mejores prácticas para
sus proyectos de Sistemas de Gestión. Consulte y acepte la Política de Privacidad

Modificación del Responsable del Fichero

responsable ficheroDiariamente, nos encontramos que las entidades sufren cambios, ya sea por el momento  económico que estamos atravesando,  porque necesitan una reestructuración para poder seguir siendo competitivas en el mercado, o por motivos tales como, que sean objeto de una fusión, escisión o cesión global de activos y pasivos.  En este artículo, vamos hacer hincapié en este último motivo.

Son muchas las consultas que recibimos en el día a día respecto a cómo se debe proceder cuando una empresa va a sufrir una  transformación de este tipo.  ¿Qué pasa con los datos de carácter personal? La empresa que va ser objeto de absorción, ¿debe cumplir obligación alguna, con respecto a  los datos de sus clientes? la empresa resultante, ¿puede utilizar la base de datos de los clientes “ipso facto”,   por el contrario, debe esperar un tiempo determinado?

Bien, para poder abordar todas estas cuestiones, es necesario que determinemos la base legal pertinente.

Para ello, debemos acudir al  artículo 19 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RDLOPD),  que dispone lo siguiente;

 “En los supuestos en que se produzca una modificación del Responsable del Fichero, como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.”

En consecuencia, dando respuesta a las cuestiones planteadas al inicio, podemos interpretar que:

1. No estamos ante una cesión de datos, sino una simple modificación del responsable de Fichero, en consecuencia, no se debe dar cumplimiento a las obligaciones que establece el artículo 11  de la LOPD.

2. Al producirse la absorción,  la entidad resultante será responsable de los ficheros de lo que lo eran hasta ese momento, la preexistente o absorbida.

3. Tal y como recoge el art. 19 del RDLOPD, se debe dar cumplimiento al “deber de información” establecido en el artículo 5 de la LOPD.

Ahora bien, la duda surge, cuando los responsables de las entidades se preguntan, quién debe informar a los clientes del cambio que se ha producido,  es decir, quien debe informar a los clientes, de las obligaciones que establece el artículo 5 de la LOPD ¿El nuevo Responsable de Fichero o el Responsable de Fichero de la empresa que está siendo objeto de absorción?

El artículo 19 del RDLOPD, no determina quién debe remitirlo;

“sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.”

Pero, teniendo en cuenta que el artículo 5 de la LOPD, establece la obligación de informar al interesado, de forma previa acerca del tratamiento que se va a efectuar con sus datos personales, parece lógico que sea la empresa absorbida quien remita la pertinente circular a sus “exclientes” o interesados.

En el caso contrario, si quien informa es el nuevo responsable de Fichero, puede provocar una incómoda situación, con el titular de los datos, y algún cliente cabreado, puesto que se puede interpretar que se ha informado a posteriori del tratamiento de sus datos, incumpliendo la obligación establecida, y a mayor abundamiento,  tampoco se le ha dado la posibilidad de revocar su consentimiento a dicho tratamiento.

Dejado claro que el Responsable de la empresa objeto de absorción es quien debe informar a sus exclientes, la siguiente cuestión que debemos abordar es: ¿Cómo se debe  informar? ¿Por qué medio?

Es recomendable que el formato sea a modo de circular.  Por otro lado, no es necesario la realización de los envíos en que se materialice el deber de información mediante correo certificado con acuse de recibo, por ello, es válido un correo electrónico, siempre y cuando la entidad pueda aportar, al menos, indicios suficientes de que se realizó la mencionada comunicación. Así se pronunció la Agencia Española de Protección de Datos en el Informe 0452/2010.

Por último y retomando la legitimación que le otorga el artículo 19 del RDLOPD al Responsable de la entidad absorbente la  cuestión que debemos tratar es la siguiente;

¿Cuándo podrá entenderse lícitamente producido el mencionado acceso?  Es decir: ¿cuándo podrá procederse a ceder o  transmitir efectiva o materialmente los datos?

La Agencia Española de Protección de Datos, se ha pronunciado al respecto, en su informe jurídico 0518/2009;

“Ciertamente una interpretación literal del precepto implicaría que el acceso a la información por la empresa absorbente o resultante de la fusión, únicamente podría tener lugar una vez que la operación se haya llevado completamente a cabo, dado que sólo a partir de ese momento sería posible entender legalmente la subrogación resultante de la mencionada operación, preexistiendo hasta entonces las entidades intervinientes con personalidad jurídica propia y diferenciada.

No obstante, es preciso efectuar una interpretación del citado artículo 19 acorde con als circunstancias concurrentes en el supuesto de hecho al que el mismo se refiere, tal y como impone el art. 3.1 Código Civil. Por este motivo, la interpretación de la norma exigirá tener en cuenta que como consecuencia de  fusión o absorción resulta necesaria la armonización de los sistemas de información existentes en las compañías involucradas, de forma que se garantice adecuadamente su funcionamiento una vez la fusión o absorción tenga definitivamente lugar. Ello implicará analizar la compatibilidad de ambos sistemas o la migración de datos contenidos en uno de ellos al que resulte de la fusión o absorción.

Tales operaciones no pueden ser llevadas a cabo de un modo instantáneo, exigiendo un proceso de compatibilización o migración de los datos que necesariamente habrá de ser previo a la finalización del proceso de fusión o absorción so pena de que en el momento de llevarse la misma a cabo el sistema resultante sea inoperante.”

En consecuencia, analizado lo anterior, podemos interpretar que la esencia del artículo 19 del Reglamento, se desprende que lógicamente podrá existir con carácter previo a la finalización del proceso de fusión o absorción un acceso a los datos por la entidad preexistente, a los sistemas de información de la entidad absorbida, necesario para la realización de operaciones de migración de los sistemas de información.

Ahora bien, es importante resaltar que para que sea posible el acceso mencionado será necesario que el proceso de fusión o absorción se encuentre efectivamente iniciado.

Asimismo, indicar, que el acceso a los datos a los datos de la entidad absorbida, debería producirse con la única finalidad de garantizar el adecuado funcionamiento de los sistemas de información en caso de que la absorción tenga efectivamente lugar, tal y como se desprende del artículo 4.2 de la ley Orgánica 15/1999. De este modo, en tanto no concluya el procedimiento no será posible que la entidad absorbente utilice los datos para otra finalidad distinta de aquella, lo que solo será posible en el momento de concluir el proceso.

Conclusiones:

1. No estamos ante una cesión de datos, sino una simple modificación del responsable de Fichero.

2. Al producirse la absorción,  la entidad resultante será responsable de los ficheros de la entidad preexistente o absorbida.

3. Tal y como recoge el art. 19 del RDLOPD, se debe dar cumplimiento al “deber de información” establecido en el artículo 5 de la LOPD.

4. Será el responsable de la entidad absorbida, quien cumpla con la obligación de informar.

5. El medio podrá ser una circular a sus exclientes. Y no es necesario que sea por correo certificado con acuse de recibo, siempre y cuando pueda acreditar que se realizó la comunicación.

6.  Finalmente, el acceso a los datos de la empresa absorbente, se producirá con la única finalidad de garantizar el adecuado funcionamiento de los sistemas de información de la entidad absorbente,   teniendo en cuenta que para que sea posible el acceso mencionado será necesario que el proceso de fusión o absorción se encuentre efectivamente iniciado.

Autor: Vanessa Barceló Molina

Abogada especializada en tecnologías de la información

URL corta: http://goo.gl/0iFG5m
Publicado en Noticias por admin el Viernes 25 abril 2014.

Escribir un Comentario

You must be logged in to post a comment.