You are here

¿Qué ocurre con los ficheros si dos empresas se fusionan manteniendo su personalidad jurídica?

Para aclarar la normativa aplicable en materia de protección de datos, la Agencia Española de Protección de Datos ha creído conveniente señalar en primer lugar que, la existencia de un grupo de empresas no afecta para que cada una de las sociedades integradas en el mismo no mantenga diferenciada y plena su personalidad jurídica. Basándose en todos los posibles efectos jurídicos, la circunstancia de que una empresa esté participada por otra, no debería afectar al hecho de que ambas sean personas distintas, de modo que la comunicación de datos se produce entre dos personas diferentes, sin que exista ninguna prevención legal que permita flexibilizar los requisitos para la legitimidad de dicha cesión.

Cada una de las empresas que integran el grupo será responsable del fichero de datos de sus correspondientes empleados, teniendo en cuenta que la Ley Orgánica de Protección de Datos de Carácter Personal define como responsable de un fichero de datos personales a toda persona física o jurídica, de naturaleza pública o privada u órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento de los datos. Es decir, cada empresa del grupo gestionaría sus propios datos.
Por consiguiente, si alguna de las empresas integrantes del grupo accediese a los datos de cualquiera de las otras empresas que componen dicho grupo, o se produce un acceso a la información porque se crea una base de datos común, nos encontraríamos ante una clara situación de comunicación o cesión de datos entre empresas, definida por la propia Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, como toda revelación de datos realizada a personas distintas del interesado , por lo que esta cesión necesitaría de un consentimiento del afectado conforme el articulo 11.1 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, ya que en dicho articulo se dispone que los datos de carácter personal objeto de un tratamiento sólo podrían ser comunicados a terceros para el cumplimiento de fines directamente relacionados con las funciones legitimas del cedente y del cesionario con el previo consentimiento del interesado.

Sólo se podrá ver exceptuado el consentimiento del interesado cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso, solo se considerará la comunicación como legítima cuando se limite a la finalidad que la justifique.
La cuestión relativa a si sería posible realizar un Documento de Seguridad único para las diferentes empresas ha de resolverse atendiendo al artículo 88 del Real Decreto 1720/2007, el cual establece que el responsable del fichero o tratamiento deberá elaborar un Documento de Seguridad donde estén recogidas las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente, que será de obligado cumplimiento para todo el personal que posea acceso a los sistemas de información.
El Documento de Seguridad podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. También podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios de organizativos del responsable. En todo caso, tendrá el carácter de documento interno de organización.

En cuanto a la obligación de realizar una auditoría, teniendo en  cuenta que su finalidad radica en verificar cada dos años el cumplimiento de las medidas de seguridad, identificar las deficiencias producidas en los sistemas de información e instalaciones y proponer las medidas correctoras al responsable de seguridad competente de cada empresa, que a su vez, las elevará al responsable del fichero, y además, se trata de
un documento propio de la organización de cada empresa, dicha auditoria deberá realizarse por cada responsable de los ficheros, es decir, por cada empresa del grupo.

Link de enlace a noticia:

 https://www.agpd.es/

logo_inverse

...la página se está cargando...