Cesión de datos en las empresas

Cesión de datos en las empresas

La cesión de datos personales se entiende del cedente al cesionario, para cumplir con una o varias finalidades y habiendo obtenido previamente el consentimiento del interesado.

Aunque esto último no será de aplicación cuando exista una obligación legal o se realice para satisfacer los intereses de la persona titular de los datos cedidos o persona interesada.

Requisitos para la cesión de datos personales

Una empresa podrá ceder datos personales a un tercero cuando se reúnan los siguientes requisitos, con carácter general:

Consentimiento expreso

Cuando se cuenta con el consentimiento explícito del titular de los datos

Licitud del tratamiento

La cesión de datos debe estar legitimada en alguna de las bases legales recogidas en la normativa de protección de datos, principalmente en el artículos 6 y 49 del RGDP y artículo 8 de la LOPDGDD.

Garantías del cesionario

Para que la cesión cuente con una seguridad total de los datos, el cesionario debe cumplir cuente con las garantías adecuadas para el tratamiento de los datos cedidos.

Celebración de un contrato

La existencia de un contrato entre cedente y cesionario, donde se establezcan las condiciones de la cesión y las garantías que cada parte deberá cumplir.

Información al interesado

Deber de informar al titular de los datos de la cesión de los mismos, identificando la entidad a la cual se cederán los datos, la finalidad de la cesión y por tanto del tratamiento, así como de  cuáles son sus derechos.

Aunado a los requisitos detallados, debemos recordar que siempre debe aplicarse el principio de minimización de los datos, llevando a cabo el tratamiento únicamente de los datos estrictamente necesarios para la finalidad establecida, minimizando así los riesgos para los derechos y libertades de las personas afectadas o interesadas.

Ejemplos de Cesiones Legitimas de Datos

Las empresas podrán ceder datos personales a terceros, siempre con la obligación de informar al  titular de los datos, con su consentimiento previo y expreso como norma general, aunque existen excepciones legales en donde no será necesario recabar dicho consentimiento.

Cesiones a un Encargado del Tratamiento (Sin Consentimiento)

En algunos casos, la cesión de datos se realiza porque el Responsable del tratamiento, ha delegado alguna de sus obligaciones a un tercero (ej. un proveedor), el cual ostentaría la condición de Encargado del tratamiento y al cual se le podrían ceder datos personales.

Un ejemplo, sería que una empresa ceda datos de trabajadores a su Asesor laboral (encargado del tratamiento), para que este ayude a cumplir al Responsable del tratamiento con sus obligaciones en materia laboral (ej. confección de contratos laborales, nóminas. Pago de seguros sociales, etc.).

En cualquiera de estos supuestos, el Responsable del tratamiento deberá informar a las/los trabajadores sobre dicha cesión al Encargado del tratamiento y la finalidad de dicha cesión. Además deberá de poder demostrar que lo ha hecho.

Cesiones a un Cesionario (Sin Consentimiento)

En otros casos, la cesión de datos se realiza cuando el Responsables del tratamiento contrata los servicios de un tercero, pero este no se considera un encargado del tratamiento. En estos casos la cesión se realiza entre Responsables del tratamiento, siendo uno el cedente y el otro cesionario.

Para determinar si el proveedor es Encargado del tratamiento o Responsable del tratamiento, se precisará de un análisis previo y alguno de estos ejemplos serían:

–Auditores Contables

–Empresas de transporte (ciertos servicios)

–Agencias de viajes

–Vigilancia de la salud

–Grupos empresariales (servicios centralizados)

En cualquiera de estos casos, el Responsable del tratamiento deberá informar a las/los trabajadores sobre dicha cesión, a que entidad los cederá y la finalidad de dicha cesión. Además deberá de poder demostrar que lo ha hecho.

Cesiones a Entidades Públicas y Legales

No se requiere consentimiento cuando los datos deben ser cedidos a Juzgados, Tribunales, Administraciones Públicas o para cumplir obligaciones legales específicas, como la subrogación empresarial o planes de recolocación en despidos colectivos.

Cesiones donde se necesita consentimiento expreso

La cesión de datos ha sido en ocasiones objeto de resoluciones por parte de la AEPD, en donde analiza los supuestos en los que la cesión se ciñó o no a lo estipulado en el RGPD.

Una empresa que cedió datos de salud de un empleado sin su consentimiento fue multada con 50.000 euros. (PS/00324/2021)

Una Asesoría fiscal compartió datos de un cliente con otra sin autorización, recibiendo una multa de 4.000 euros. (PS/00116/2021)

Una inmobiliaria cedió datos de clientes a una empresa de limpieza sin consentimiento, lo que derivó en otra sanción de 4.000 euros. (PS/00109/2022).

Confía en Expertos: Business Adapter®

Si necesitas asesoramiento sobre la cesión de datos en tu empresa y su cumplimiento legal, en Business Adapter® estamos para ayudarte.

Correo electrónico: info@businessadapter.es 
Teléfono: 96 131 88 04
Formulario de contacto: Haz clic aquí

¡Consúltanos! Estaremos encantados de ayudarte a garantizar la seguridad y legalidad de tus procesos de datos.

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!