La cesión de datos a terceros es la transferencia de información de carácter personal desde la empresa que los recopiló hacia otra entidad, como puede ser un proveedor de servicios. Esta acción debe estar regulada de acuerdo con el Reglamento General de Protección de Datos (RGPD) en la Unión Europea, de manera que se respeten los derechos de las personas cuyos datos se comparten.
¿Puede una empresa transferir datos a otra?
Una preocupación común entre los usuarios es si una empresa puede dar sus datos a otra. En este sentido, las organizaciones deben asegurarse de que solo transfieren información personal bajo las circunstancias que marca la ley.
Cuando una empresa obtiene el consentimiento de un usuario sobre el tratamiento de sus datos personales, no significa que pueda compartirlos de manera libre y aleatoria, sino que debe informar expresamente sobre los terceros con los que vaya a traspasar cualquier clase de datos. Asimismo, se debe obtener permiso para ello de manera específica.
Requisitos para que una empresa pueda ceder datos
Es posible que una empresa necesite facilitar datos de sus clientes a otra, por ejemplo, para externalizar algún servicio. El RGPD establece unas condiciones concretas para que se puedan compartir datos recopilados de los usuarios.
- Se requiere el consentimiento explícito del titular de los datos
- La cesión debe estar justificada por una de las bases legales que recoge el RGPD
- Existe adecuación, por ejemplo, que el país de destino proteja también los datos
- Las transferencias están sujetas a salvaguardas apropiadas
- Existen un contrato vinculante para la empresa cedente y cesionaria
Además, se debe informar al interesado acerca de la cesión de sus datos, especificando detalles como:
- Identidad del cesionario
- Finalidad del tratamiento
- Derechos del usuario
Una vez transferidos los datos, la responsabilidad del cesionario no termina. La empresa que comparte los datos debe asegurarse de que los terceros tratan la información de forma segura y confidencial, así como de que se ajustan a la legislación vigente.
La importancia del consentimiento
Como ya se ha mencionado, el consentimiento del usuario es fundamental para poder ceder sus datos. Sin embargo, no es suficiente con un consentimiento tácito, sino que éste debe ser explícito.
Por tanto, el hecho de que el usuario continúe usando un servicio o visitando una web no implica que esté de acuerdo. El consentimiento explícito implica una manifestación clara e inequívoca de la voluntad del usuario de aceptar la cesión de sus datos a un tercero. En otras palabras, el interesado debe realizar una acción positiva, como marcar una casilla o hacer clic en un botón.
Además, el consentimiento debe ser libre, informado, específico y revocable. Esto es especialmente importante cuando se tratan datos sensibles, como información de salud, bancaria o sobre creencias religiosas, por ejemplo.
¿Cómo realizar correctamente una cesión de datos a terceros?
La cesión de datos personales implica que un cesionario comparte datos con otra empresa. En todo caso, la primera sigue siendo la responsable de la protección de datos, mientras que la empresa que recibe dicha información es la encargada del tratamiento de los mismos.
Para llevar a cabo la cesión de datos se debe firmar un contrato específico para ello.
¿Qué incluir en el contrato de cesión?
En el documento se deben detallar las obligaciones que tiene la entidad que va a recibir el fichero de datos. Además, se deben incluir estos datos:
- Identidad de las partes
- Finalidad de la cesión de los datos
- Duración del tratamiento
- Plazo de conservación de los datos
- Datos personales a los que se tendrá acceso
- Obligaciones de las partes
Una vez dicho esto, cada cesión debe ser analizada por separado, ya que es fundamental que el contrato se adapte a las circunstancias específicas de cada caso. Asimismo, puede ser útil contar con el asesoramiento de un experto legal en materia de protección de datos.
¿Cómo obtener y documentar el consentimiento?
Las empresas pueden utilizar herramientas tecnológicas para solicitar el consentimiento explícito, tal y como como exige la ley. Una CMP es una plataforma de gestión del consentimiento que está diseñada precisamente para ello y que permite, por ejemplo, añadir banners de cookies en el sitio web para que los usuarios aprueben cualquier clase de tratamiento de sus datos de manera fácil.
Además, es necesario documentar el consentimiento tanto para poder pasar cualquier auditoría y demostrar el cumplimiento legal, como para asegurarse de tener los recursos necesarios en caso de que el usuario decida ejercer sus derechos. Todo ello se puede realizar a través de la CMP, que registra todas las acciones realizadas con el sistema.
Debida diligencia
La debida diligencia en el contexto del RGPD es un procedimiento mediante el que se puede investigar a un tercero para revisar si cumple las leyes de protección de datos. Esto es responsabilidad de la empresa cesionaria antes de transferir información de carácter personal.
Por otro lado, también es de interés general saber qué ocurre cuando una empresa se encuentra en un proceso de debida diligencia. Ya sea para una fusión, adquisición o inversión, si su organización está pasando por una due diligence es conveniente conocer las implicaciones que puede tener la ley de protección de datos en todo ello.
Es probable que se deban compartir datos personales con el potencial comprador o inversor para que éste pueda evaluar la viabilidad de la transacción. Sin embargo, esta cesión debe realizarse de forma controlada y respetando los principios del RGPD.
¿Qué tener en cuenta en el traspaso de información?
- Minimizar los datos compartidos, solo a lo estrictamente necesario
- Anonimizar los datos, en lo posible
- Obtener el consentimiento de los interesados
- Firmar un acuerdo de confidencialidad
- Limitar el acceso a los datos (a las personas necesarias)
- Destruir o devolver la información al finalizar la due diligence
Además, se recomienda incluir cláusulas adicionales en cualquier contrato con la empresa para proteger los datos personales.
Casos en los que no es necesario informar sobre la cesión de datos
Hay ciertas excepciones en las que no es obligatorio informar al titular de los datos sobre la cesión. Si bien es fundamental proteger los derechos de la persona, en ocasiones también se deben cumplir otros fines.
Cuando la cesión de datos es necesaria para cumplir con una obligación legal a la que está sujeto el responsable del tratamiento, no es necesario informar ni obtener el consentimiento del interesado. Por ejemplo, para hacer una comunicación de datos a autoridades tributarias o judiciales.
Una factura soportada por una empresa contiene datos personales y, sin embargo, se debe ceder la información a un tercero, en este caso Hacienda, independientemente de si se obtiene o no el consentimiento de la empresa o profesional que emitió la factura.
Esto no significa que se pueda hacer un uso indiscriminado de estos datos, sino que su tratamiento debe limitarse a los fines previstos en la Ley General Tributaria y que se debe garantizar la seguridad y confidencialidad de la información.
Asimismo, hay otros supuestos en los que las cesiones de datos no es obligatorio que se informen al interesado. Estos son algunos de ellos:
- Si la cesión es necesaria para la ejecución de un contrato en el que el interesado es parte
- Si se deben ceder datos por una emergencia médica del interesado u otra persona
- Si la cesión se requiere para la satisfacción de intereses legítimos del responsable o el tercero
Cesión de datos entre empresas del mismo grupo
El Considerando 48 del RGPD establece que las empresas de un mismo grupo pueden tener un interés legítimo en transmitir datos personales dentro del grupo para fines administrativos internos. Esto es así siempre y cuando no prevalezcan los intereses o los derechos y libertades del interesado.
Por otro lado, si la cesión es necesaria para la ejecución de un contrato en el que el interesado es parte, no se requiere su consentimiento, ya que se entiende que se habrá otorgado en el contrato que le vincula previamente de forma tácita.
Consecuencias de no realizar correctamente la cesión de datos a terceros
Incumplir las obligaciones legales derivadas del RGPD en relación a la cesión de datos personales puede acarrear importantes consecuencias para las empresas. En primer lugar, el Reglamento General de Protección de Datos prevé sanciones que pueden llegar a los 20 millones de euros o al 4% del volumen de facturación anual. Estas sanciones pueden ser impuestas por las autoridades de control de protección de datos en cada país miembro de la UE, como es la AEPD (Agencia Española de Protección de Datos) en el caso de España.
Por otra parte, violar las leyes de protección de datos puede suponer litigios con los interesados. Esto no solo afecta a la empresa a nivel económico, sino que además puede perjudicar a la reputación y a la confianza de los propios clientes.
Conclusión
Actualmente, la mayoría de empresas deben compartir información a terceros para poder operar en el día a día. Sin embargo, esta práctica debe realizarse con la máxima responsabilidad y transparencia, respetando escrupulosamente la normativa de protección de datos. El incumplimiento no solo conlleva sanciones económicas significativas, sino que también erosiona la confianza de los clientes y daña la imagen de la marca.
En Usercentrics entendemos la importancia de proteger los datos personales y facilitar el cumplimiento del RGPD. Nuestras soluciones integrales permiten obtener, gestionar y documentar el consentimiento de los usuarios de forma transparente y conforme a la normativa.
–
Descargo de responsabilidad: Usercentrics no provee asesoría legal, y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.