Supuesto práctico. Cesión de datos entre empresas – deGerencia.com

Supuesto práctico. Cesión de datos entre empresas

En el presente artículo se analiza de forma práctica un supuesto que se produce de forma habitual en la actualidad. Se trata de analizar la comunicación de los datos personales de los clientes de varios concesionarios a un fabricante, cuando dicha cesión no fue prevista inicialmente. Es el típico supuesto en el que se recibe una carta en cuyo tenor aparece una frase similar a esta: “en el caso de que no manifieste lo contrario en el plazo de \’n\’ días sus datos serán cedidos a fabricante con la finalidad de ……….”; ¿es lícita esta cesión? A esta pregunta se trata de responder con este artículo.

Con carácter previo al análisis de la “comunicación de datos” propuesta, se considera prioritario analizar si los concesionarios están en posesión de los datos de carácter personal de sus clientes de manera legítima, puesto que en caso contrario sería irrelevante entrar a analizar la licitud o no de la cesión, en tanto en cuanto, si los datos de carácter personal hubiesen sido recabados en un primer momento sin cumplir adecuadamente con todos los requisitos dispuestos por la LOPD cualquier actividad que se hiciese con los mismos sería ilícita.

En primer lugar, se ha de poner de manifiesto que los concesionarios no están obligados a recabar el consentimiento de los clientes en virtud del epígrafe 6.2 LOPD como a continuación se expone:


“2. No será preciso el consentimiento cuando ….. se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento;”

Sin embargo, la no obligación de recabar el consentimiento de los clientes, no exime en ningún caso, al concesionario de informar de los parámetros recogidos en el artículo 5 LOPD. Asimismo, en el supuesto de que los datos hayan procedido de fuentes externas, habrá que estar a lo dispuesto por el artículo 5.4. LOPD que a continuación se transcribe:


“Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.”

De acuerdo con lo anteriormente expuesto es necesario que los concesionarios hubiesen informado de forma expresa, precisa e inequívoca dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del artículo 5 LOPD.

Suponiendo que los concesionarios estén en posesión legítima de los datos de sus clientes al haber cumplido correctamente con los postulados recogidos en la LOPD respecto al deber de información (artículo 5 LOPD), se procederá a analizar la figura de la cesión de datos que se produciría en el supuesto de que los concesionarios facilitasen sus datos al fabricante.

De acuerdo con lo estipulado en la LOPD, la distinta personalidad jurídica de las partes intervinientes, así como el hecho de la absoluta independencia de las mismas en lo que al régimen de personal y clientela se refiere, pone de manifiesto que cada una de las entidades resultará obligada independiente y separadamente al cumplimiento de sus correspondientes obligaciones legales, entre las que se encontrarán las previstas en la LOPD y, en particular, la notificación de sus tratamientos para su inscripción en el Registro General de Protección de Datos.

La regla general, por tanto, es que los datos de carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legitimas del cedente y del cesionario con el previo consentimiento del interesado tal y como establece el artículo 11 LOPD. Consentimiento que la Agencia Española de Protección de Datos define \»toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen\», de lo cual se desprende la necesaria concurrencia para que el consentimiento pueda ser considerado conforme a derecho de los cuatro requisitos enumerados en dicho precepto.

Un adecuado análisis del concepto exigirá poner de manifiesto cuál es a juicio de la Agencia la interpretación que ha de darse a estas cuatro notas características del consentimiento, siguiendo a tal efecto los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa en relación con la materia que nos ocupa. A la luz de dichas recomendaciones, el consentimiento habrá de ser:

a) Libre, lo que supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.

b) Específico, es decir referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la LOPD.

c) Informado, es decir que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. Precisamente por ello el artículo 5.1 de la LOPD impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen.

d) Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento.

De lo que se ha indicado se desprende que de las características del consentimiento no se infiere necesariamente su carácter expreso en todo caso, razón por la cual en aquellos supuestos en que el legislador ha pretendido que el consentimiento deba revestir ese carácter, lo ha indicado expresamente; así sucede en el caso de tratamiento de datos especialmente protegidos indicando el artículo 7.2 la necesidad de consentimiento expreso y escrito para el tratamiento de los datos de ideología, religión, creencias y afiliación sindical, y el artículo 7.3 la necesidad de consentimiento expreso aunque no necesariamente escrito para el tratamiento de los datos relacionados con la salud, el origen racial y la vida sexual.

Por tanto, el consentimiento podrá ser tácito, en el tratamiento de datos que no sean especialmente protegidos (artículo 7.2 y 7.3 de la LOPD), si bien para que ese consentimiento tácito pueda ser considerado inequívoco será preciso otorgar al afectado un plazo prudencial para que pueda claramente tener conocimiento de que su omisión de oponerse al tratamiento implica un consentimiento al mismo.

En resumen, es lícita la cesión de datos de carácter personal de los concesionarios al fabricante. siempre y cuando se recabe el consentimiento del afectado, (artículo 11 LOPD) y se cumpla con los requisitos dispuestos al efecto por la LOPD en su artículo 27 que se dispone a continuación, para la realización de la primera cesión:


“1. El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.
2. La obligación establecida en el apartado anterior no existirá en el supuesto previsto en los apartados 2, letras c), d), e) y 6 del artículo 11, ni cuando la cesión venga impuesta por Ley.”

No obstante, a la hora de solicitar el consentimiento para llevar a cabo la cesión de los datos al fabricante, los concesionarios deben tener en cuenta que el medio utilizado, habitualmente carta, debe ser fehaciente, es decir, en el caso de la carta que se envíe certificada, a fin de garantizar en la medida de lo posible que los clientes están informados sobre el uso de los datos. Asimismo, y con el fin de cumplir las exigencia normativa de que los clientes cuenten con medios gratuitos y sencillos para poder oponerse al tratamiento de sus datos, es recomendable que la misiva vaya acompañado de un sobre franqueado, de esta forma cualquiera de los clientes de forma sencilla y gratuita pueda ejercitar su derecho de oposición.

Por último hay que señalar que independientemente del cumplimiento por parte de los concesionarios de las anteriores obligaciones que garantizan la legitimidad de la cesión de los datos de carácter personal, el fabricante cuando reciba dichos datos de carácter personal, deberá dar cumplimiento al artículo 5.4. LOPD, anteriormente transpuesto, e informar a los afectados de los extremos en él dispuestos.

A pesar de todo lo dispuesto anteriormente, se recomienda que cada supuesto de cesión sea analizado de forma específica ya que existen matices que no permiten establecer una esquema para todo los casos. Asimismo, y además de los preceptos legales que se han mencionado no se debe olvidar a la hora de analizar este tipo de supuestos, el espíritu de la LOPD que trata de evitar los tratamientos indiscriminados de los datos personales, por lo que es importante que este tipo de supuestos de cesión respondan a una finalidad concreta, determinada y necesaria y no a la exclusiva finalidad de envíos comerciales y publicitarios.

Jesús Sánchez Echeverría

Audea

ÁUDEA, SEGURIDAD DE LA INFORMACIÓN, S.L., ha nacido con una clara vocación de ser referente obligado en la prestación de los servicios jurídicos-informáticos especializados en protección de datos y gestión de la seguridad de la información Compuesta por un equipo joven y dinámico altamente especializado, Áudea está orientada a prestar...

Más sobre Audea

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Este artículo es Copyright de su autor(a). El autor(a) es responsable por el contenido y las opiniones expresadas, así como de la legitimidad de su autoría.

El contenido puede ser incluido en publicaciones o webs con fines informativos y educativos (pero no comerciales), si se respetan las siguientes condiciones:

  1. se publique tal como está, sin alteraciones
  2. se haga referencia al autor (Audea)
  3. se haga referencia a la fuente (degerencia.com)
  4. se provea un enlace al artículo original (https://degerencia.com/articulo/supuesto_practico_cesion_de_datos_entre_empresas/)
  5. se provea un enlace a los datos del autor (https://www.degerencia.com/autor/audea)