LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 12:33:53

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

¿Cómo notificar las modificaciones de los responsables de ficheros tras una operación de reestructuración societaria?

asociada senior de Information Technology de ECIJA

Habitualmente entre las due diligences que se realizan con anterioridad a una operación de fusión o de reestructuración societaria el tratamiento y la seguridad de los datos se considera un problema informático y de negocio, y muchas veces se olvida comunicar a los afectados el cambio de marca, de responsable del fichero, del tratamiento, la dirección (física o virtual) donde ejercitar sus derechos ARCO, etc. No obstante este tipo de transacciones tienen su impacto también en materia de protección de datos.

Un candado rojo con número binarios

Tal y como señala el art. 19 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal "en los supuestos en que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos".

Sin embargo, una vez exonerados de las obligaciones que establece la normativa en materia de protección de datos, para los casos en que se produce una comunicación de datos, queda dar cumplimiento a la obligación de informar, en los términos que establece el art. 5 la L.O. 15/1999, de 13 de diciembre de protección de datos de carácter personal, tal y como recoge el propio art.19 del Real Decreto 1720/2007, de 21 de diciembre. Es decir, se habrá de informar:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

No obstante, según señala dicho artículo 5 de la L.O. 15/1999, no será necesaria la información a que se refieren los apartados b), c) y d) si del contenido del texto informativo se deduce claramente la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

En virtud de lo establecido, para informar a los interesados de la modificación de un responsable del fichero como consecuencia de una operación de reestructuración societaria, lo habitual será informar conforme establecen los apartados a), d) y e) de dicho artículo 5.

Llegados a este punto, la empresa que se encuentra inmersa en un procedimiento de reestructuración societaria deberá analizar a quien debe informar acerca de dicha modificación del responsable del fichero, por ejemplo: los empleados que constan en los ficheros, aquellas personas que se encuentren suscritas a newsletters, abonados a un determinado servicio y/o clientes en general y todo ello teniendo en cuenta que, en materia de protección de datos, la obligación de informar, no será extensible a las personas jurídicas, ya que según establece el art. 2.2 del Real Decreto 1720/2007, de 21 de diciembre, la protección conferida por dicha normativa no es aplicable a las personas jurídicas.

Sin embargo, lo que no queda tan claro es si los profesionales o comerciantes individuales quedan amparados por la normativa en materia de protección de datos y por tanto, si han de ser informados en los términos que prevé el art. 19 del Real Decreto 1720/2007, de 21 de diciembre. En este sentido, el art. 2.3 de dicho Real Decreto establece: "los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal."

Por tanto en principio, dichos profesionales no quedarían amparados por la protección que otorga la Ley Orgánica 15/1999, de 13 de diciembre. Sin embargo, la cuestión no es tan sencilla ya que según ha señalado la agencia española de protección de datos (AEPD) "tanto los profesionales como los comerciantes individuales quedarían bajo el ámbito de aplicación de la Ley Orgánica 15/1999, y por tanto, amparados por ella cuando los primeros no tuvieran organizada su actividad profesional bajo la forma de empresa, no ostentando en consecuencia la condición de comerciante (es el caso de los profesionales liberales cuyas actividades están expresamente excluidas del ámbito de aplicación de la Ley Básica 3/1993 por su artículos 6) y los segundos cuando no fuera posible diferenciar su actividad mercantil de la propia actividad privada".

Es decir, la normativa en materia de protección de datos no será de aplicación en aquellos casos en los que los datos del comerciante, industrial o naviero, hacen referencia únicamente a su actividad empresarial sin embargo, si la utilización de dichos datos se produjera en relación con un ámbito distinto quedaría plenamente sometida a las disposiciones de la Ley Orgánica.

En cualquier caso, según han establecido nuestra jurisprudencia y la propia AEPD, para discernir si dichos datos han de ser considerados de carácter personal habrá que ir caso por caso y ante, cualquier duda, se ha de optar por la solución más conservadora y por tanto,  por informar a dichos profesionales sobre el cambio del responsable del fichero.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

RECOMENDAMOS