|
Cesión de datos,
fusión y escisión de sociedades. Los grupos de empresas. Los procesos de concentración y separación de sociedades inciden de forma directa en la protección de los datos de carácter personal, pues los mismos generan sujetos responsables de ficheros, diferentes de aquellos que inicialmente poseían los mismos. Jesús Alberto
Messía de la Cerda Ballesteros. Profesor de Derecho Civil de la Universidad
Rey Juan Carlos (Madrid). Miembro del Consejo de Protección de Datos de la
Comunidad de Madrid a propuesta de la Asamblea de Madrid. |
|
Actualmente, la actividad empresarial
se desarrolla en un escenario de elevada competencia, factor que propicia la
búsqueda de mecanismos que faciliten el logro de la rentabilidad. Entre
éstos, se encuentran los procesos de concentración y separación de
sociedades, fundamentalmente los primeros, pues permiten ganar tamaño, lo
cual parece ser muy positivo desde un punto de vista económico[1]. Claro está, tales procesos inciden de
forma directa en la protección de los datos de carácter personal, pues los
mismos generan sujetos responsables de ficheros, diferentes de aquellos que
inicialmente poseían los mismos. A este respecto, se han defendido dos
posiciones: por una parte, se sostiene que, como supuesto de traspaso a otro
sujeto, implica una cesión o comunicación de datos, que determinaría la
aplicación del régimen jurídico propio de las mismas. Por otra, se entiende
que se trata de una operación que, si bien conlleva el citado traspaso, sin
embargo no puede considerarse tal cesión o, en su caso, no será de aplicación
el régimen de las cesiones. En el borrador del Proyecto de la LOPD
se establecía, a este respecto, lo siguiente: Cuando se produzca un cambio en la responsabilidad del
tratamiento, ya sea por su transmisión a un tercero, ya por la absorción,
fusión o segregación empresarial, el nuevo responsable deberá notificar su
identidad a los interesados, informándoles de los derechos de acceso,
rectificación y cancelación y del lugar en que puedan ejercerse. El cambio en la
responsabilidad del tratamiento no se considerará comunicación de datos. Parece que, inicialmente, el
legislador quería eximir a las compañías de la farragosa tarea de la
solicitud del consentimiento para ceder los datos a la compañía resultante.
Es innegable que el volumen de operaciones que implica tales estrategias
empresariales se dificulta aún más con la necesidad de satisfacer los
requisitos de la legislación sobre protección de datos. En este sentido, Miralles Miravet y
Baches Opi[2] sostienen que las cesiones que se ocasionan
como consecuencia de estos procesos de concentración pudieran haberse
exceptuado de los requisitos del artículo 11, a la luz de la Directiva.
Concretamente, el artículo 7 f) de la misma evita la necesidad de consentimiento
para la cesión cuando la misma se requiera para satisfacer un interés
legítimo del responsable del tratamiento o de los cesionarios, siempre, claro
está, que no prevalezcan los derechos fundamentales de los afectados. A este
respecto, señala Heredero Higueras que este precepto comunitario acoge el
concepto de interés prevalente, propio de la legislación alemana de 1990[3], sin determinar específicamente cuáles son
esos intereses prevalentes, es decir, los supuestos concretos en los que
entra en juego esta regla, sino que tal decisión es competencia de los
Estados miembros[4]. En este sentido, parece que hubiera sido
conveniente una previsión legislativa al respecto. Sea como fuere, lo cierto es que la
voluntad definitiva del legislador, a la luz de la LOPD, parece haber sido la
contraria. El silencio a este respecto de la Ley, cuando en el iter
parlamentario de la LOPD se había pretendido introducir sin éxito una
excepción en el sentido mencionado, permitiría afirmar que tales casos
conllevan cesiones de datos de carácter personal, como de hecho se puede
observar en la práctica[5]. No obstante y como vamos a observar a
continuación, la posición adoptada respecto de los procesos de fusión no es,
con mucho, pacífica. Por el contrario, son muchas las voces (entre ellas, la
propia Agencia de protección de datos) que niegan la consideración de tales
supuestos como cesiones de datos. Para ello, se recuerda la configuración de
las fusiones de sociedades como un caso de sucesión universal. En efecto,
establece el artículo 233.1 de la LSA que La fusión de cualesquiera sociedades
en una sociedad anónima nueva implicaría la extinción de cada una de ellas y
la transmisión en bloque de los respectivos patrimonios sociales a la nueva
entidad que haya de adquirir por sucesión universal los derechos y
obligaciones de aquellas.
[1] La concentración de empresas ha sido intensa en
Internet. Por ejemplo, tuvo particular interés la fusión de Double Click,
empresa de publicidad y marketing en Internet, con Abacus Direct Corporation,
la cual explotaba ficheros de datos personales con los mismos fines.
Doubleclick anunció que cruzaría los ficheros de ambas entidades, lo cual
provocó reacciones de los usuarios, que llegaron hasta los tribunales. [2] MIRALLES MIRAVET, SERGIO y BACHES OPI, SERGIO. La
cesión de datos de carácter personal: análisis de la legislación vigente y su
aplicación a algunos supuestos prácticos. Revista de Derecho de Derecho
Privado. Mayo de 2001. Págs. 438-439. [3] HEREDERO HIGUERAS, MANUEL. La Directiva
comunitaria de protección de datos de carácter personal. Ed. Aranzadi.
PAMPLONA, 1997. Pág. 112. [4] HEREDERO HIGUERAS, MANUEL. Op. cit. Pág.
112. [5] En efecto, en numerosos procesos de concentración
y absorción de empresas se ha solicitado el consentimiento de los afectados
por carta o correo electrónico. Particular interés para los profesionales del
derecho, tiene algún supuesto: por ejemplo, la editorial Aranzadi o,
recientemente, la editorial Anaya. La citada misiva debía estar completada
con las informaciones que exige el artículo 5.4 de la LOPD (procedencia de
los datos, existencia del fichero, finalidad del tratamiento y destinatarios;
ejercicio de los derechos de acceso, rectificación, cancelación y oposición
y, finalmente, identidad y dirección del responsable del fichero y de su
representante), según recuerdan Miralles Miravet y Baches Opi. MIRALLES
MIRAVET, SERGIO y BACHES OPI, SERGIO. Op. cit. Pág. 438. No obstante
lo anterior, no debe olvidarse que tales exigencias de información se
predican de la recogida de los datos, no de las cesiones, lo cual incide de
forma decisiva en la calificación de tales actos. Tal consideración elimina la
posibilidad de aplicar, en tales casos, el artículo 1205 del Código Civil,
que concluiría en la necesidad de que concurra el consentimiento de los
acreedores para el traspaso de las distintas relaciones que se pretenden
transmitir, lo que mermaría los beneficios de los procesos de fusión[1]. También se afirma por algunos que los
traspasos en bloque que se producen con motivo de la sucesión universal, no
sólo tienen por objeto elementos de naturaleza puramente patrimonial, sino
que pueden afectar también a relaciones de carácter personal[2]. La tesis favorable a la exoneración
del consentimiento del afectado en las cesiones de datos provocadas por los
procesos de fusión encuentra su mayor apoyo en la concepción amplia de la
sucesión universal, como ya hemos dicho anteriormente, y en la propia LOPD.
Según el artículo 11.2 a), no se requiere consentimiento alguno cuando la
cesión esté amparada por una Ley. Pues bien, sobre la base de la referencia
expresa de la LSA, estas cesiones no exigirían aquel requisito. Esto, a su
vez, explicaría que el silencio de la LOPD. Es conveniente recordar que los datos
de carácter personal son objeto de un derecho de la personalidad. Así, las
bases de clientes de una sociedad forman parte del activo de la misma, sin
embargo ello no conlleva su consideración exclusiva como un elemento
patrimonial de la misma. Es decir, no es posible adoptar una decisión que
únicamente tenga en cuenta intereses de naturaleza puramente patrimonial. No es discutible, en ningún caso, la
consideración de las fusiones como un caso de sucesión universal: lo
contrario sería negar la propia norma. La sucesión universal implica el
traspaso en bloque del conjunto de relaciones, activas y pasivas, del o los
sujetos fusionados a otro sujeto. Así, no se produce el efecto
extintivo-constitutivo de aquéllas, a la vez que se eliminan los
inconvenientes que se derivarían de la realización de una serie de actos de
transmisión, diversos en función del tipo y naturaleza de la relación de que
se trate: en la fusión no hay liquidación[3]. Sin embargo, es igualmente innegable que todo
ello se produce junto con la desaparición de un sujeto y la aparición de otro
diferente. Según el artículo 233.1 de la LSA, La fusión de cualesquiera sociedades
en una sociedad anónima nueva implicaría la extinción de cada una de ellas… Es decir, la sucesión universal, si
bien permite la permanencia inmodificada de la mayoría de los elementos de
una situación jurídica, sin embargo supone la alteración de uno de los
elementos subjetivos de la misma. Es más, si no existiese dicha alteración,
entonces no se justificaría la existencia de tal construcción, pues si nada
cambia, no es necesario adoptar soluciones que permitan la mínima
modificación. En palabras de Garrigues, “sin disolución no hay fusión”[4]. Sobre la base de todo lo anterior,
debemos recordar que el dato decisivo de una cesión o comunicación de datos
es, precisamente, la aparición de un nuevo sujeto, sin distinguir si con ello
se constituye una nueva relación o si, por el contrario, se produce tal
efecto mediante la conservación de la ya existente. Recordemos que se
considera cesión, según el artículo 3 de la LOPD, toda revelación de datos a
persona distinta de su titular, sin necesidad de que concurran otras
circunstancias. Los supuestos de comunicación de datos
como consecuencia de las fusiones de sociedades, pudieran acaso subsumirse en
el supuesto de hecho del artículo 11.2 c) de la LOPD. Según este precepto, no
es necesario el consentimiento del afectado cuando el mismo sea parte en una
relación contractual, entre otras, para cuyo mantenimiento, control y
ejecución sea necesaria la comunicación de los datos. No obstante, tal
precepto tan sólo sería aplicable en aquellos casos en los que todavía
existiera una relación pendiente de cumplimiento, es decir, aquellos que
constituyen un supuesto de cesión de contrato. Tal exigencia excluiría esta
solución respecto de los supuestos en los que los datos de carácter personal
obran en poder del responsable como consecuencia de una relación ya
concluida. Como se puede observar, hasta ahora se
han ofrecido razones que permiten abogar por una u otra de las dos opciones
planteadas. En realidad, la solución a este problema debe buscarse en los
propios conceptos de cesión o comunicación, por una parte, y de sucesión
universal, por otra. En el primer caso, el concepto de cesión hace alusión,
no tanto a la transmisión efectiva de la información, sino, por la propia
naturaleza de ésta, a su puesta en común por el tenedor. Así, lo que se
pretende evitar, en última instancia, es la desmesurada amplitud del círculo
de conocedores de los datos. En la sucesión universal producida por
las fusiones de sociedades, la desaparición de uno de los sujetos, el
fusionado, impide hablar de ampliación del citado círculo. Se produce la
sustitución de un sujeto por otro, el cual se despoja totalmente de los
datos, en cuanto deja de existir. Así, aunque en sentido estricto existe
revelación de datos a un sujeto distinto, sin embargo no se puede hablar de
puesta en común, dado que el supuesto cedente de poseer la información. Por
lo tanto, el sentido del concepto de cesiones o comunicación es de datos que
recoge el artículo 3 de la LOPD no parece coincidir con el de los casos de
sucesión universal. En realidad, podría sostenerse que no llega a producirse
tal comunicación, pues no existe en este proceso la dualidad de partes
requerida.
[1] URIA, RODRIGO. Derecho Mercantil. Ed.
Marcial Pons. MADRID, 1998. Pág. 395. [2] No obstante, esta posición no es, con mucho,
unánime. Uría alude únicamente a transmisión de patrimonios. URIA, RODRIGO. Op.
cit. Págs. 395-396. En el mismo sentido se pronuncia Sánchez Calero.
SANCHEZ CALERO, FERNANDO. Instituciones de Derecho Mercantil. Vol. I.
Ed. MCGraw Hill. Madrid,
2000. Pág. 551. [3] Entre otros, se puede citar GARRIGUES
DIAZ-CAÑABATE, JOAQUIN. Tratado de derecho mercantil. Tomo I, vol. 3º. Revista de derecho
mercantil. MADRID, 1947-1964. Pág. 1273-4. [4] GARRIGUES DIAZ-CAÑABATE, JOAQUIN. Op. cit.
Pág. 1271. La solución aportada respecto de los
procesos de fusión de sociedades, es predicable de todos ellos, tanto los que
constituyen la fusión propia, con creación de una entidad diferente de las
fusionadas, como de los casos de fusión impropia o por absorción, en los que
se mantiene la personalidad jurídica de sociedad absorbente. En uno y otro
caso se observa la misma realidad: falta el dato de la dispersión de la
información, dado que la sociedad “cedente” forma parte, al desaparecer, de
la estructura de la sociedad nueva o de la absorbente. Por lo tanto, es
aplicable lo dicho hasta ahora con carácter general. Todo ello, sin
desconocer que el artículo 233.2 de la LSA configura también este supuesto
como otro caso de sucesión universal. No obstante lo anterior, en la
práctica las sociedades inmersas en estos procesos comunican a sus clientes
la realización de tales operaciones y solicitan su consentimiento, según ya
hemos manifestado en líneas previas. Tal solución resulta muy recomendable,
pues supone un respeto de los responsables por los derechos de los afectados,
más allá de la norma. En el supuesto de procesos de escisión
de compañías societarias por extinción de la original y creación de otras
diferentes, es claro el resultado de generación o aparición de nuevas
personas jurídicas, de lo que se deduce la transmisión de los datos de carácter
personal a un nuevo sujeto y, por tanto, la existencia de un acto de
comunicación o cesión de los mismos. En el caso de segregación de una parte,
la solución sería idéntica respecto de los datos transmitidos a la segregada.
Algún autor sostiene que, en los supuestos de escisión, nos encontramos ante
un caso de duplicación del tratamiento de los datos de carácter personal[1]. Efectivamente, la escisión, como
desdoblamiento de la unidad inicial, supone necesariamente la utilización
simultánea de los datos obrantes en los ficheros por las dos o varias
sociedades resultantes. Estos casos se observa, no tanto la dualidad pérdida-adquisición
propia de los procesos transmisión efectiva, como la puesta en común de la
información. Por otra parte, en los últimos tiempos
han aparecido grandes grupos empresariales, que incluyen en su estructura
diversas entidades dotadas de personalidad propia, las cuales se ceden la
información personal de que disponen bajo una aparente falta de control. La
Agencia de Protección de Datos ha manifestado su preocupación al respecto[2]. En efecto, aunque generalmente la recogida de
datos se acompaña de una cláusula relativa a estas cesiones, sin embargo la
variedad de actividades desarrolladas por estos grupos puede ocasionar que
las mismas no fueren del todo acordes con la voluntad inicial del afectado,
que desconoce en su totalidad el destino de los datos. En cualquier caso, no se puede dudar
de la existencia de un supuesto de cesión o comunicación en todos estos
traspasos de información entre sociedades del mismo grupo. Así lo pone de
manifiesto la Agencia de protección de datos[3], la cual coincide con el parecer de diversos
pronunciamientos judiciales. Baste, como ejemplo, la sentencia de 16 de
Octubre de 2000, del Tribunal Superior de Justicia de Madrid, en la que se
puede leer lo siguiente: …cualquier empresa es libre de
constituirse en cualquiera de las formas societarias que el Derecho mercantil
regula. Asimismo, las empresas que pueden unirse a través de las distintas
formas reguladas en derecho: fusión, absorción, sociedades anónimas y, como
tales, independientes y con personalidad jurídica autónoma y que por el hecho
de que la una sea propiedad de la otra, el particular que contrata con la
primera pueda verse perjudicado, precisamente, por la estructura empresarial
que la sociedad ha elegido. Si la recurrente ha preferido constituir dos
sociedades y trabajar con ellas de manera independiente, beneficiándose así
del mantenimiento de dos personas jurídicas distintas, no puede, al mismo
tiempo, pretender justificar el conocimiento por parte de la matriz de los
datos que le constan a la filial por las operaciones en que ésta última ha
intervenido, pues ello supone olvidarse de que se trata de personas jurídicas
distintas. Por otro lado, si el particular contrata con la filial, es a esta
sociedad a la que, voluntariamente, se le comunican los datos que, en
consecuencia, la filial no puede comunicar a la sociedad matriz en perjuicio
del particular… La existencia de personas jurídicas
diferentes, siquiera integradas en un grupo empresarial, implica
necesariamente la realización de cesiones de datos. A su vez, la prestación
del consentimiento para el tratamiento de los datos por una compañía de tales
grupos no faculta para realizar cesiones, sino que exige la concurrencia de
un consentimiento específico para tales operaciones. De ahí que, en la
práctica, las compañías incluyan en los formularios cláusulas relativas a
estos actos[4]. Aunque la resolución parece aludir a
los procesos de fusión de sociedades como supuesto que requiere
consentimiento del afectado, sin embargo no resuelve claramente esta
cuestión. De cualquier forma, entendemos que las concentraciones
empresariales y los grupos de empresas, no responden al mismo esquema y
permiten sostener las mismas soluciones respecto de los ficheros de datos que
obran en poder de dichas entidades, por las razones ya apuntadas. [1] APARICIO SALOM, JAVIER. Estudio sobre la Ley Orgánica…
Pág. 34 y 35. [2] AGENCIA DE PROTECCION DE DATOS. Memoria del
año 2000. Págs. 195-196. [3] AGENCIA DE PROTECCION DE DATOS. Memoria del
año 2000. Pág. 431. [4] APARICIO SALOM, JAVIER. Op. Cit. Pág. 182. |