En muchas ocasiones, los grupos empresariales necesitan o desean transmitir internamente datos personales manejados por las diferentes empresas que los forman. El caso más reconocible de esta situación es la cesión de datos que realiza WhatsApp en favor de Meta (conocida hasta hace poco como Facebook); y que tanta controversia suscitó en el momento de salir a la luz.
En este caso, nos encontramos ante una comunicación de datos entre dos Responsables del Tratamiento diferentes. Sin embargo, en otras ocasiones también podrá tratarse de un encargo de tratamiento. Entonces, ¿cómo podemos diferenciar ante qué figura nos encontramos?
Primero de todo, debemos definir qué es una cesión de datos y qué es un encargo de tratamiento:
- La cesión de datos personales se produce cuando una entidad comunica datos personales a otra, la cual podrá decidir “libremente” sobre la finalidad de su tratamiento. Es decir, ambas empresas actúan como Responsables del Tratamiento, definiendo los fines y medios utilizados para el tratamiento y respondiendo del cumplimiento de la normativa de datos vigente.
- El encargo de tratamiento se produce en aquellos casos en que el Responsable del Tratamiento transmite los datos a otra empresa, a fin de que trate los datos en nombre suyo. Es decir, la finalidad del tratamiento viene determinada por la entidad de origen, quien además establece cómo se usarán los datos y dará las instrucciones que deben ser tenidas en cuenta.
Una vez distinguidas ambas figuras, debemos conocer en qué casos aplica cada una de ellas.
Cesión de datos
Se producirá en aquellos casos en que concurra alguna de las circunstancias recogidas en el artículo 6 del Reglamento General de Protección de Datos. De esta forma, debe existir una base legitimadora que habilite la comunicación de los datos entre distintos Responsables del Tratamiento. Los casos más recurrentes que nos podemos encontrar es el interés legítimo de alguna de las empresas, como en el caso de que sean necesario para el cumplimiento de actividades administrativas; la prestación del consentimiento por parte del interesado; así como cuando en el marco de una relación contractual o de prestación de servicios, se necesita la intervención de dos o más empresas.
La regulación de la relación debe realizarse por medio de un contrato de cesión de datos, debiendo ser los interesados informados de tal comunicación, en cumplimiento de los artículos 12 y 13 RGPD.
Encargo del tratamiento
Lo relevante en este caso es la formalización de la relación por medio de un contrato de encargo de tratamiento, siguiendo las disposiciones recogidas en el artículo 28 RGPD. De esta manera, la empresa que recibe los datos lo hará para prestarle un servicio a la empresa que ostenta la condición de Responsable del Tratamiento, actuando como cualquier otro proveedor externo al grupo empresarial.
Un ejemplo sería en el caso de que una entidad del grupo prestase servicios (a través de su personal o de otros recursos) para la gestión de recursos humanos o para garantizar la seguridad de la información de la compañía. De esta forma, otras empresas del grupo se benefician de estos “servicios intragrupo”, que implican el acceso a datos personales de empleados, por cuenta de las empresas que son responsables de los datos.
De esta forma, en el contrato se debe plasmar, entre otras variables, cuáles son las instrucciones que deberá seguir el Encargado con el fin de realizar el tratamiento de datos personales; las medidas de seguridad que debe adoptar; o si los datos serán eliminados o devueltos al final de la relación.
Desde UBT Legal & Compliance, como expertos en protección de datos y privacidad, podemos ayudar a tu grupo de empresas a formalizar adecuadamente la relación entre las mismas. Para saber más, contacta con nosotros.