Inicio > Guías Prácticas de: > Adaptación a la LOPD

La cesión de datos: supuestos permitidos.

Uno de los aspectos que más consultas y procedimientos sancionadores ha generado desde la entrada en vigor de la LOPD es la Cesión de Datos.

_{Por: María González Moreno de Manaca Consulting, S.L.}

Delimitar con precisión a quién, para qué y cómo se ceden los datos puede evitarnos muchos problemas. Por ello, debemos empezar definiendo claramente qué es la cesión de datos, en qué supuestos puede realizarse, cuáles son sus requisitos y las excepciones que la ley establece.

¿Qué entendemos por cesión de datos? La LOPD la define como –“toda revelación de datos realizada por persona distinta del interesado”-. Este concepto es muy amplio, puesto que revelación recoge tanto la entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma que facilite el acceso a los datos de un fichero a un tercero, distinto del interesado.

¿Cuáles son los requisitos necesarios para la cesión de datos? Se establecen dos requisitos iniciales y concurrentes que deberán darse en toda cesión:

1º.- Que sólo será posible la cesión de los datos para el cumplimiento de fines directamente relacionados con las funciones de cedente y cesionario. Este es el principal punto de interés, puesto que la ley pretende evitar que se realicen cesiones por cualquier motivo, caprichosas, superficiales o que tengan poco o nada que ver con el ámbito de las funciones, atribuciones o competencias de la empresa cedente y la empresa cesionaria.

Por ejemplo, si nuestra empresa es una Gestoría Contable no podría ceder los datos de sus clientes a otra empresa que se dedicase a la venta de automóviles. Siempre debe existir una conexión entre las actividades y fines de la comunicación de las empresas cedente y cesionaria.

2º.- El previo consentimiento informado del interesado; es decir, que antes de proceder a la cesión hemos de recabar el consentimiento informado del interesado para efectuar la cesión de sus datos, informándole de:

a)Identificación, actividad y dirección del cesionario.

b)Finalidad a la cual se destinarán los datos cedidos.

Además, el art.27 de la LOPD referente a la comunicación de la cesión de datos en los ficheros de titularidad privada, establece la obligación al cedente responsable del fichero a informar a los afectados, en el momento en que se efectúe la cesión de los datos al cesionario, de:

a)La identidad y dirección del cesionario,

b)La naturaleza de los datos cedidos,

c)La finalidad del fichero.

Con esta comunicación la Ley pretende que se informe al interesado del momento en que se produce efectivamente la cesión de sus datos, pudiendo contrastar de esa forma que se han cumplido los requisitos, finalidad, tipología de datos cedidos, etc…, a la que él, el interesado, previamente había dado su consentimiento.

No será necesario proporcionar esta información al interesado cuando resulte imposible o exija esfuerzos desproporcionados a criterio de la Agencia Española de Protección de Datos, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

¿Cuándo el consentimiento previo del interesado no es necesario en la cesión de sus datos? La LOPD establece supuestos tasados en los que no será preceptivo informar y recabar el consentimiento previo de los interesados para ceder los datos. Estos supuestos son:

1º.- Cuando la cesión esté autorizada por una Ley. Así encontramos supuestos en los que están permitidas las cesiones de datos como en la Ley General Tributaria y en la Ley de Enjuiciamiento Civil.

2º.- Cuando se trate de datos recogidos de fuentes accesibles al público, siempre que el tratamiento de los datos sea necesario para la satisfacción del interés legítimo perseguido por el cedente o por el cesionario y se respeten los derechos de los interesados.

Dentro de este supuesto encontramos los casos de venta de bases de datos; bases de datos que se adquieren a empresas especializadas, principalmente para realizar acciones de publicidad o prospección comercial, que han obtenido los datos de fuentes accesibles al público.

El cesionario que utilice estas bases de datos para acciones de publicidad y prospección comercial deberá informar al interesado, en cada comunicación que le realice, del origen de los datos y de la identidad del cesionario, así como los derechos que le asisten.

3º.- Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

Este el supuesto de cesión de datos más habitual y común; la cesión no necesitará de consentimiento previo del interesado porque la misma se realiza en su beneficio, en cuanto que si no pudiera realizarse dicha comunicación o conexión con ficheros de terceros, se imposibilitaría el desarrollo de la relación jurídica (negocial, contractual, laboral, administrativa, etc..) que media entre el responsable del fichero y el interesado.

Por ello, la ley establece que la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

4º.- Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

5º.- Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos y científicos. Además, no se permiten por ley las cesiones de datos entre distintas Administraciones Públicas para el ejercicio de competencias diferentes o para fines distintos a los que motivaron la recogida de los datos.

6º.- Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

¿Cuándo es nulo el consentimiento dado en la cesión? Establece la ley que será nulo el consentimiento para la cesión, cuando la información que se facilita al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.

La Ley persigue, por tanto, que el interesado otorgue su consentimiento a la cesión con pleno conocimiento de quién es el destinatario de la misma, cuál es su actividad y para qué finalidad va a utilizar sus datos.

¿Es revocable el consentimiento dado a la cesión de los datos? El consentimiento siempre es revocable, pero no tendrá efectos retroactivos a las cesiones que se realizaron mientras el consentimiento estaba activo.

¿Cabe la cesión de datos disociados? La ley permite que se cedan los datos que previamente hayan sido disociados. Así, la información que se obtenga del tratamiento de los datos disociados no pueda asociarse a persona determinada o determinable.

¿A qué se obliga el cedente con la cesión? Como hemos indicado anteriormente, el cedente se obliga a informar al interesado en dos momentos, salvo que entren en juego las excepciones fijadas expresamente por la ley en los arts.11.2 y 27.2:

1º.- En el momento de la recogida de los datos, donde deberá recabar el previo consentimiento informado para la cesión de los datos.

2º.- En el momento de proceder a la cesión efectiva de los datos, deberá comunicarle al interesado los datos del cesionario, finalidad del fichero y datos que han sido cedidos.

¿A qué se obliga el cesionario con la cesión? Establece la Ley que el cesionario, por el sólo hecho de la cesión, se obliga a cumplir con todas las obligaciones y derechos dispuestos en la LOPD.

Por ello, en la primera comunicación que dirija al interesado, deberá informarle de forma expresa, precisa e inequívoca de:

a)Procedencia de los datos.

b)Su incorporación a un fichero.

c)Finalidad del tratamiento.

d)Derechos que puede ejercitar (acceso, rectificación, cancelación y oposición).

e)Datos identificativos y dirección.

Agencia Española de Protección de Datos (AEPD). http://www.agpd.es