1. ¿Cómo afecta a las pymes el derecho a la protección de datos de carácter personal?
La normativa relativa a protección de datos afecta a todas aquellas entidades que traten datos de carácter personal, independientemente de su tamaño. Desafortunadamente la ley no distingue entre empresas pequeñas, medianas o grandes, por lo que todas aquella empresas que traten datos de carácter personal estarán obligadas a su cumplimiento.
El derecho a la protección de datos es la capacidad que tiene cualquier ciudadano para decidir sobre el uso y destino de la información referida a él. Desde la perspectiva empresarial el derecho a la protección de datos supone una serie de obligaciones que las empresas deben cumplir, puesto que como responsables del tratamiento de los datos personales, son las garantes del cumplimiento de la normativa y por lo tanto del respeto al derecho a la protección de datos.
2. ¿Quién debe comunicar a los titulares de los datos, la sociedad que deja de ser la responsable de los mismos o la nueva?
El Reglamento de la Ley de Protección de Datos habla de que deberá ser el responsable de los ficheros, sin especificar si debe ser el que los transfiere o el que, después de la reestructuración societaria, pasará a ser el nuevo responsable de los mismos. En principio, parece lógico que sea la empresa cedente la que comunique el cambio de responsable del fichero, ya que es a esta empresa a la que los titulares permitieron la recogida de los datos en un primer momento, no teniendo éstos noticia alguna de quién es el nuevo responsable. La ley, por otro lado, establece que cuando los datos personales no hayan sido recabados por parte del interesado, el nuevo responsable deberá informar dentro de los tres meses siguientes a su recogida, siempre que no se hubiera informado ya con anterioridad.
En cualquier caso y teniendo en cuenta que lo importante es garantizar que el titular de los datos resulta debidamente informado del cambio de responsable del fichero y de la identidad del mismo en aras al ejercicio de sus derechos ARCO (acceso, rectificación, cancelación y oposición), puede decidirse llevar a cabo una comunicación conjunta, sobre todo en los casos en los que cada empresa informe de una cosa distinta, como por ejemplo cuando la finalidad de la recogida de los datos que tenga el nuevo responsable sea distinta a aquella para la que la empresa cedente los recabó. Así mismo, tiene sentido que la empresa cedente comunique que deja de ser la destinataria de los derechos ARCO, mientras que la nueva informará sobre el nuevo lugar y la nueva forma de ejercicio de dichos derechos
3. ¿Qué se puede hacer cuando el cumplimiento del deber de información sea exageradamente costoso para la pyme?
Cuando el volumen de los datos que maneje una empresa sea tal que la comunicación individual a cada titular pueda producir un perjuicio considerable a la empresa por la inversión que económica que supone (tiempo, recursos humanos, franqueos, etc. ), la ley prevé un procedimiento mediante el cual se podrá solicitar la exención del deber de informar.
A modo de ejemplo, tenemos el caso de Port Aventura, que escindió en 2009 una parte de su actividad, debiendo informar a aproximadamente 212.000 titulares, lo que para la empresa suponía un total aproximado de 613.000.-€, permitiendo la Agencia que como medida alternativa publicara la información correspondiente en un periódico de tirada nacional y en su página web. También vimos el caso de una empresa que prestaba servicios de prevención de riesgos laborales que debía informar a más de 15.000 trabajadores, y que de no haberse aprobado su solicitud de exención del deber de información, hubiera tenido que invertir alrededor de 25.000.-€.
4. ¿Dónde está el límite del deber de información?
Ante una transferencia de datos personales como consecuencia de una operación de reestructuración, no hay límite al deber de información salvo lo ya comentado con anterioridad, es decir, si resulta demasiado gravoso y así se consigue demostrar por parte de la empresa.
6. ¿Qué papel debe tomar la pyme ante esta disyuntiva?
Si la pyme posee un volumen de datos tal que el deber de información resulta demasiado costoso podrá o bien tratar de justificar las dificultades y el alto coste de informar ante la Agencia Española de Protección de Datos para que ésta le autorice no informar o bien perder los datos.
A veces algunas empresas no piden el consentimiento por no ocasionar una inspección más profunda de la Agencia, pero dicha actitud, desde mi punto de vista, resulta totalmente reprobable, puesto que la empresa está tratando con datos personales que merecen una protección y un control exhaustivo sobre su destino y uso. Las empresas, especialmente las pymes, deben empezar a tomar conciencia de que manejan datos que afectan a la privacidad de las personas y que por ello deben asumir su responsabilidad.
7. ¿Es lícito el acceso a los datos contenidos en los sistemas de información de la empresa absorbida con anterioridad a la fusión, es decir cuando ésta se está planificando y preparando?
Sí, siempre que se cumplan ciertos requisitos que la Agencia Española de Protección de Datos estableció con ocasión de una consulta al respecto. Según la Agencia, el acceso a los datos con ocasión de un procedimiento de reestructuración societaria debe ser permitido, pues con anterioridad al cierre de la operación de que se trate, las empresas inmersas en la misma deben coordinar la armonización de sus sistemas de información y confirmar los ajustes que deberán hacerse con posterioridad a la operación con el fin de disponer de un nuevo sistema perfectamente operativo, sin embargo el acceso a los datos deberá producirse en todo caso una vez se haya iniciado efectivamente la operación de que se trate, que en los casos de fusión se producirá cuando los correspondientes órganos de administración hayan firmado el proyecto de fusión y siempre que los datos se utilicen única y exclusivamente para garantizar el adecuado funcionamiento y la coordinación de los diferentes sistemas de información.
