La nueva LOPD facilita la realización de la 'due diligence'
La normativa anterior no contemplaba el tratamiento de datos personales al analizar los riesgos legales a los que se enfrentaba una empresa cuando llevaba a cabo una operación societaria
Con anterioridad al Reglamento General de Protección de Datos y a la Ley Orgánica 3/2018 de Protección de Datos, el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de Protección de datos, establecía en su artículo 19 que, en los casos en los que se produjese una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, no se entendería que se producía una cesión de datos. Es decir, que perviviría el tratamiento originariamente desarrollado, aunque el mismo fuera realizado por un nuevo responsable (la nueva estructura societaria), de lo cual sería necesario informar a los interesados.
Sin embargo, el artículo anterior no regulaba la situación previa a la realización de este tipo de operaciones societarias, toda vez que el mismo, únicamente, se refería a la nueva situación generada tras la consecución de la operación en cuestión, pero no a las actuaciones realizadas con anterioridad a la misma, como sería la realización de la Due Diligence.
Por lo tanto, hasta la entrada en vigor de la nueva LOPD, la realización de una Due Diligence implicaba la realización de una cesión de datos (en este sentido, adviértase que los prestadores de servicios con acceso a datos que decidiesen sobre los usos y medios del tratamiento tendrían la consideración de responsables del tratamiento y no de encargados de tratamiento como podría, erróneamente, pensarse) que no contaba con una legitimación expresa por parte de la normativa.
No obstante lo anterior, con la llegada del Reglamento General de Protección de Datos, este escenario vino a facilitarse ligeramente, en la medida en que la norma venía a definir el interés legítimo del responsable como causa legitimadora del tratamiento de datos personales. En este sentido, si bien la Directiva 95/46/CE ya establecía esta causa legitimadora, lo cierto es que, en la Ley Orgánica 15/1999 de Protección de Datos, que venía a trasponer esta Directiva, no se recogió la misma.
La consideración del interés legítimo como causa legitimadora, implica, sin embargo, la necesidad de cumplir con un triple filtro, conforme indicó la Sentencia del Tribunal de Justicia de la Unión Europea, correspondiente al caso C-13/16, como sería:
- i) la existencia de un interés legítimo por parte del responsable;
- ii) La necesidad del tratamiento para cumplir con dicho interés;
- iii) la no prevalencia de los derechos y libertades del interesado.
Asimismo, conforme estableció en su día el Grupo de Trabajo del Artículo 29 (grupo de trabajo europeo independiente que se ocupó de las cuestiones relacionadas con la protección de la privacidad y los datos personales hasta el 25 de mayo de 2018) en su Opinión 06/2014, el interés legítimo deber ser concreto, de manera que permita el análisis de los intereses en juego; real y no especulativo; y lícito en relación con el derecho nacional y de la UE.
Por lo tanto, si bien es cierto que, de conformidad con lo anterior, podría entenderse que la realización de una Due Diligence por parte del responsable, se encuentra amparada en el interés legítimo de éste y que el tratamiento es necesario para la realización de la misma, no prevaleciendo los derechos y libertades de los interesados, la realidad es que este ejercicio de ponderación debía hacerlo el propio responsable, por no encontrar mención expresa en la norma.
Sin embargo, con la llegada de la nueva LOPD, se resuelve esta situación, ya que el artículo 21 de dicha norma, establece expresamente que se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, necesarios para el buen fin de una operación societaria. Es decir, que si bien mantiene la visión, en su día trasladada, por el Reglamento de Desarrollo de la Ley Orgánica 15/1999, introduce la legitimación para todos aquellos tratamientos anteriores llevados a cabo, lo que, sin género de dudas, ampararía la comunicación de los datos para la realización de la Due Diligence.
Asimismo, si bien no se hace mención al deber de informar a los interesados, deberá entenderse que será imperativo el cumplimiento del mismo salvo cuando, conforme establece el artículo 14 del Reglamento General de Protección de Datos, pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento.
Javier de Miguel es abogado en Écija.
Pincha aquí para conocer todas las novedades de la nueva LOPD.