El art. 11 de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
establece las condiciones en las que se puede o no realizar la cesión o
comunicación de datos de carácter personal, expresando, que únicamente se podrán
ceder datos de carácter personal “para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario”.
Ahora bien, para tales casos el
consentimiento del interesado deberá obtenerse con carácter previo a la cesión.
Y, a mayor abundamiento, el consentimiento será nulo cuando no conste la
finalidad a la que se destinarán los datos o el tipo de actividad a la que se
dedica el cesionario.
Pero la propia Ley y su Reglamento
(aprobado por Real Decreto 1720/2007), establecen una serie de excepciones a
este principio, determinando, por consiguiente, los supuestos en los que no es
necesario dicho consentimiento. A saber, lo siguientes:
1º.- Cuando lo autorice una norma
con rango de ley o una norma de Derecho Comunitario, y, en particular, cuando
concurra uno de los siguientes extremos:
a).- Que el tratamiento o la cesión
tengan por objeto la satisfacción de un interés legítimo del responsable del
tratamiento o del cesionario amparado por dichas normas, siempre que no
prevalezca el interés o los derechos y libertades fundamentales de los
interesados previstos en el art. 1º de la LOPD.
b).- Que el tratamiento o la cesión
de los datos sean necesarios para que el responsable del tratamiento cumpla un
deber que le imponga una de dichas normas.
2º.- Que los datos objeto de
tratamiento o cesión figuren en fuentes accesibles al público y el responsable
del fichero, o el tercero a quien se comuniquen los datos, tenga un interés
legítimo para su tratamiento o conocimiento, siempre que no se vulneren los
derechos y libertades fundamentales del interesado.
Ahora bien, las Administraciones
públicas sólo podrán comunicar, al amparo de este apartado, los datos recogidos
de fuentes accesibles al público a responsables de ficheros de titularidad
privada cuando se encuentren autorizadas para ello por una norma con rango de
ley.
3º.- Tampoco se precisará el
consentimiento del interesado para la cesión de los datos de carácter personal
en los casos siguientes:
a).- Cuando los datos se recojan
para el ejercicio de las funciones propias de las Administraciones Públicas en
el ámbito de las competencias que les atribuya una norma con rango de ley o una
norma de Derecho Comunitario.
b).- Que los datos se recaben por el
responsable del tratamiento con ocasión de la celebración de un contrato o
precontrato o de la existencia de una relación negocial, laboral o
administrativa de la que sea parte el afectado y sean necesarios para su
mantenimiento o cumplimiento.
c).- Que el tratamiento de los datos
tenga por finalidad proteger un interés vital del interesado en los términos
del art. 7.6º de la LOPD.
4º.- Se permite la cesión de los
datos de carácter personal sin contar con el consentimiento del interesado,
cuando:
a).- La cesión responda a la libre y
legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y
control comporte la comunicación de los datos. En este caso la comunicación
sólo será legítima en cuanto se limite a la finalidad que la justifique.
b).- La comunicación que deba
efectuarse tenga por destinatario al Defensor del Pueblo, Ministerio Fiscal o
los Jueces o Tribunales o el Tribunal de Cuentas o a las Instituciones
Autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de
Cuentas y se realice en el ámbito de las funciones que la ley les atribuya
expresamente.
c).- La cesión entre
Administraciones Públicas, cuando concurra uno de los siguientes supuestos:
- Tenga por objeto el
tratamiento de los datos con fines históricos, estadísticos o científicos.
- Los datos de
carácter personal hayan sido recogidos o elaborados por una Administración
Pública con destino a otra.
- La comunicación se realice para el ejercicio
de competencias idénticas o que versen sobre las mismas materias.
5º.- En cuanto a la cesión de datos
especialmente protegidos (ideología, afiliación sindical, religión, creencias,
salud, vida sexual y origen racial o étnico), tenemos que sólo podrán cederse
en los supuestos taxativamente señalados en la ley y con lo requisitos que la
misma determina, conforme a lo dispuesto en los arts. 7 y 8 de la LOPD.
Otros requisitos para la cesión o
comunicación:
El responsable del fichero o
tratamiento deberá informar al titular en el momento en que efectúe la primera
cesión, indicando la finalidad del fichero, la naturaleza de los datos que han
sido cedidos y el nombre y dirección del cesionario. Ahora bien, no será
preciso estos informes cuando la cesión venga impuesta por una ley, cuando se
trate de una cesión sin consentimiento basada en la existencia de una relación
jurídica previa que la justifique, cuando el destinatario sea el Ministerio
Fiscal, Jueces y Tribunales, el Defensor del Pueblo o el Tribunal de Cuentas, o
sus análogos autonómicos, ni cuando se trate de cesiones entre Administraciones
Públicas con fines históricos o estadísticos.
Ahora bien, cabe preguntarse qué
ocurre con la cesión de datos entre empresas pertenecientes a un mismo grupo
empresarial. Aquí debemos entender que la existencia de un grupo de empresas no
impide que cada una de las sociedades que integran el grupo empresarial
mantenga diferenciada y plena su personalidad jurídica. Por ello, la
circunstancia de que una sociedad esté participada por otra u otras no afecta
al hecho de que cada una de ellas tenga su propia personalidad jurídica, de
suerte que cada empresa integrante del grupo empresarial será responsable del
fichero o tratamiento de cada uno de sus ficheros con datos de carácter
personal. Así cada empresa deberá inscribir sus propios ficheros de manera
independiente ante la Agencia Española de Protección de Datos y las
comunicaciones de datos entre las empresas integrantes del grupo requerirán los
mismos requisitos que los generales de la cesión de datos de que nos habla el
art. 11 del la LOPD.
En el supuesto de fusión, escisión,
cesión global de activos y figuras similares, nos dice el Reglamento (RDLOPD)
que estamos ante un supuesto de modificación del responsable del fichero pero
no ante una cesión de datos. Ahora bien, sigue siendo obligatorio el deber de
informar al interesado del cambio del nuevo responsable del fichero.
La Ley considera como infracción muy
grave “la comunicación o cesión de datos de carácter personal, fuera de los
casos en que estén permitidas” (sanción: multa de 300.001 a 600.000 euros).
No hay comentarios:
Publicar un comentario