5 de noviembre de 2009

Grupos de empresas y la LOPD

Otro clásico en cuestiones planteadas por clientes: si tengo varias empresas que comparten bases de datos, basta con que la central cumpla la LOPD, ¿cierto? Pues no. Independientemente de que una serie de empresas compartan propietario o estén participadas, cada una es una persona jurídica con sus propias obligaciones legales, y de la misma forma que presentarán sus declaraciones de IVA o IRPF, su impuesto de sociedades, etc, de forma individual, cada una deberá afrontar el cumplimiento de sus obligaciones en el ámbito de la protección de datos.

El caso específico de la creación de una base de datos centralizada, que se sustenta de los datos de los empleados que envían a la misma las distintas empresas que forman el grupo, se trató en el Informe 0494/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD).

Siguiendo el criterio citado en el párrafo inicial, cada una de las empresas que integran el grupo será responsable del fichero de datos de sus correspondientes empleados, y por lo tanto la empresa central, que realmente estaría presntando un servicio de hosting (alojamiento de los ficheros) se configuraría como encargado de tratamiento, en el sentido del apartado g) del artículo 3 de la LOPD. Ello sucederá siempre que la empresa prestataria del servicio de alojamiento no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de albergar la base de datos, sin utilizarla en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero, existiendo una cesión de datos de carácter personal que, tal y como exige el artículo 11.1 de la Ley Orgánica 15/1999, requerirá el consentimiento de los afectados.

En definitiva, la incorporación de los datos de los empleados a la base de datos centralizada, exige que cada empresa haya informado debidamente a los afectados en los términos del artículo 5.1 de la Ley Orgánica 15/1999 y que haya obtenido el consentimiento de éstos para la incorporación de su información personal en dicha base de datos. Y por lo tanto, en buena lógica, deberán formalizarse los correspondientes contratos de tratamiento de datos entre las diferentes empresas y la central.

4 comentarios:

Rubén Mateo dijo...

Para mí que esta es una de las cuestiones que menos se cumplen en LOPD, y mucho menos cuando hay UTE y las cosas se hacen deprisa y corriendo. Especialmente en la construcción.

Anónimo dijo...

Unas palabras de un interviniente extranjero en la Conferencia Internacional de Autoridades de Protección de Datos: la AEPD es conocida internacionalmente por el número e importe de sus sanciones, pero el Director de la misma ha dicho que el importe se va a reducir, si bien el numero de sanciones va a aumentar.
Y es que la idea parece ser que es automátizar lo mas posible las sanciones.
Otra cuestión: todos los intervinientes han declarado sentirse abrumados por la hospitalidad de la Agencia. Y es que parece ser que los han tratado a cuerpo de rey. Con el dinero de las sanciones, ¡bien podrán!

Pit.-

Paco dijo...

No veas que bien me viene este informe. Gracias.

Ibercide dijo...
Este comentario ha sido eliminado por un administrador del blog.

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.