Modificacions societàries i protecció de dades


Manuel Castilleja Toscano     31/05/2022

En la transmissió d'una societat o negoci, cal sol·licitar el consentiment als clients per cedir les dades personals a l'entitat a què es transmet?

No cal sol·licitar el consentiment, ja amb anterioritat a l'entrada en vigor de la LOPDGDD, l'AEPD al vostre informe jurídic 194/2017 sobre l'avantprojecte de la LOPDGDD, reconeixia que la base de legitimació per a aquesta cessió de dades és l'interès legítim de les societats intervinents que juntament amb el propi interès de l'interessat les dades personals del qual són cedides, justifiquen la transmissió.

L'entrada en vigor de la LOPDGDD va suposar la ratificació del que preveu l'informe anteriorment esmentat, i en aquests casos de transformacions societàries, la transmissió de dades personals no necessita el consentiment previ dels interessats, la legitimació es troba en l'interès legítim del responsable del tractament, i així es contempla al preàmbul de la LOPDGDD (preàmbul V, paràgraf 10), on es presumeix la prevalença d'aquest interès legítim del responsable quan es duguin a terme amb una sèrie de requisits, cosa que no exclou la licitud d'aquest tipus de tractaments quan no es compleixen estrictament les condicions previstes al text, si bé en aquest cas el responsable haurà de dur a terme la ponderació legalment exigible, ja que no es presumirà la prevalença del seu interès legítim.

Així, en el primer apartat de l'article 21 de la LOPDGDD, s'estableix que, llevat de prova en contra, es presumiran lícits els tractaments de dades, inclosa la seva comunicació amb caràcter previ, que es puguin derivar del desenvolupament de qualsevol operació de modificació estructural de societats o l'aportació o transmissió de negoci o de branca d'activitat empresarial, sempre que els tractaments:

  • fossin necessaris per a la bona fi de l'operació i
  • garanteixin, quan escaigui, la continuïtat en la prestació dels serveis.

Quan no es compleixin estrictament les condicions assenyalades anteriorment, també es podrà legitimar el tractament sobre la base de l'interès legítim, si bé en aquest cas el responsable, com s'estableix al preàmbul de la LOPDGDD, haurà de dur a terme la ponderació legalment exigible, al no presumir-ne la prevalença.

A l'apartat 2 del mateix precepte s'adverteix que en el cas de no concloure's l'operació, l'entitat cessionària (receptora de les dades personals) ha de procedir de forma immediata a la supressió de les dades personals, i en aquest cas no és aplicable obligació de bloqueig prevista a l'article 32 de la LOPDGDD.

S'haurà de facilitar als interessats tota la informació sobre aquest tractament de dades personals que suposa aquesta comunicació de dades personals, conforme a allò estipulat a l'article 13 el RT cedent i conforme a l'article 14 del GDPR el RT cessionari, informació que segons sigui el cas haurà d'incloure entre altres qüestions:

  • Nou responsable del tractament, si escau.
  • Els interessos legítims del responsable del tractament
  • Destinatari de les dades personals, en el cas del cedent
  • Font de procedència i categoria de les dades personals, en el cas del cessionari
  • La possibilitat d'exercir tots els drets, entre ells el oposar-se a la comunicació de les dades personals.

Tot i que a la normativa no obliga en cap precepte específic a la formalització d'un contracte de comunicació o cessió de dades personals entre el cedent (entitat que transmet les dades personals) i el cessionari (entitat que rep les dades personals), és una mesura contractual recomanable.

Així ho fa la pròpia AEPD, a la seva guia pràctica per a les avaluacions d'impacte en la protecció de les dades subjectes al GDPR, al seu Annex VI, catàleg d'amenaces i possibles solucions (pàgina 51), quan proposa: “si se cedeixen dades personals, establir per escrit acords que prevegin les condicions sota les quals es produeix la cessió i, si escau, les relatives a cessions ulteriors, així com les possibilitats de supervisió i control del compliment de l'acord”.