This post is also available in: enEnglish

¿Se pueden tratar datos personales en operaciones de fusión y adquisición de empresas?

En una fusión de empresas, así como en otras modificaciones estructurales o en operaciones de transmisión de negocio o rama de actividad, es inevitable la comunicación de datos personales entre las entidades implicadas. Así, por ejemplo, en una fusión por absorción, la sociedad absorbente pasará a tratar datos que antes trataba la absorbida. ¿Cuál es la base jurídica que ampara la comunicación de los datos personales al nuevo responsable?

Antes del Reglamento General de Protección de Datos (RGPD), las comunicaciones de datos en el marco de modificaciones estructurales estaban amparadas por el artículo 19 del Real Decreto 1720/2007, de 21 de diciembre, que aprobó el Reglamento de desarrollo de la antigua LOPD. En este artículo se establecía que el cambio del responsable del fichero como consecuencia de una modificación estructural no constituía una cesión de datos, sin perjuicio de las obligaciones de información establecidas en la LOPD.

Sin embargo, el RGPD no establece ninguna excepción para este supuesto concreto. La nueva LOPD ha introducido en su artículo 19 una previsión específica por la que se presume, salvo prueba en contrario, la licitud de “los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial”. Si bien el artículo no expresa cuál es la base jurídica en la que se basa la licitud, la exposición de motivos apunta concretamente a la prevalencia del interés legítimo del responsable del tratamiento.

La presunción de licitud establecida en la nueva LOPD exige la concurrencia de dos condiciones:

  1. Que el tratamiento de datos sea necesario para el buen fin de la operación.
  2. Que el tratamiento de datos garantice, cuando proceda, la continuidad en la prestación de los servicios.

La norma prevé también qué sucede en el caso de que la operación no llegue a concluirse, imponiendo en tal caso a la sociedad cesionaria de los datos la obligación de suprimir con carácter inmediato los datos que le han sido cedidos, añadiendo que no será de aplicación la obligación de bloquear los datos, regulada en el art. 32 de la nueva LOPD.

Autora: Esther Ballesteros

 

This post is also available in: enEnglish

Autores:

Graduada

51 artículos



esther.ballesteros@cuatrecasas.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *