Laboratorio de Interés Legítimo: Grupos de Empresas
En este post voy a tratar de explicar mi punto de vista sobre cómo puede (no: cómo debe) jugar el interés legítimo corporativo para legitimar flujos de datos personales dentro de un grupo de empresas.
Lo digo porque en el 120% de los casos, los flujos de datos entre sociedades de un mismo grupo, se formalizan como “prestaciones de servicios intragrupo” a través de “contratos de acceso a datos por cuenta de terceros” o “contratos de encargado de tratamiento” para los amigos. Y tan pichis, oiga.
Pero entonces… ¿a qué demonios se refiere ese considerando 48 del RGPD que ha hecho correr ríos de tinta?.
Bueno, es posible que no haya hecho correr ríos de tinta, pero debería.
“Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisión de datos personales, dentro de un grupo empresarial, a una empresa situada en un país tercero no se ven afectados.”
Tengan paciencia, tardaré un poquito en llegar hasta ahí, pero creo que “el resultado les sorprenderá”.
Vamos con esos dibujitos de los Simpson que tanto molan para explicar cosas.
EL GRUPO DE SOCIEDADES
El Grupo Burns, está compuesto, a los efectos de este post, por tres niveles de sociedades:
1.- “BURNS INC”, sociedad cabecera del grupo Burns. El Grupo Burns entre otras actividades tiene la de generación de energía nuclear –glups- limpia.
2.- “BURNS NUCLEAR SERVICIOS, S.L.” es la sociedad que coordina los servicios centrales del Grupo Burns para una zona determinada de EEUU (no digo la zona, porque nunca me ha quedado claro dónde estaba exactamente Springfield). Estos servicios se prestan aguas abajo, hacia el tercer nivel.
3.- En el tercer nivel están “SPRINGFIELD NUCLEAR, S.L.”, pero también “SHELBYVILLE NUCLEAR, S.L.”, “CIUDAD CAPITAL NUCLEAR, S.L.” y en fin, las que ustedes quieran…
“SPRINGFIELD NUCLEAR, S.L.” es la sociedad que paga la nómina a Homer Simpson, la titular de las autorizaciones administrativas, etc, correspondientes a esa central nuclear en concreto.
Cada sociedad es titular de una planta productiva.
Se trata de la clásica y ubicua estructura societaria “en peine”, con separación de actividades económicas en ramas y separación de instalaciones en sociedades, que busca organizar mejor la estructura, y tratar de encapsular riesgos y responsabilidades de modo que un siniestro o fracaso en una de las actividades no comprometa la viabilidad de las demás.
Pongo por caso, que algún pez de tres ojos salga en prensa.
¿Y aquí qué pasa?
Pasa que la protección de datos es una disciplina transversal como pocas.
Y pasa que uno tiene el culo pelao de trabajar con grupos de sociedades.
Prestaciones de servicios centralizados
El bueno de Smithers trabaja en “BURNS NUCLEAR SERVICIOS, S.L.”. Smithers asume la gestión de la contabilidad, financiera, las nóminas de todos los empleados de las tres sociedades.
Centraliza en la sociedad “SERVICIOS” todas las labores de gestión de facturación, cobros y pagos, recruiting, gestión de personal, elaboración de nóminas, seguridad social y esas cosas.
Para hacerlo tiene impepinablemente que acceder a los datos personales de los trabajadores y, al menos, personas de contacto de las empresas –y profesionales- proveedores y clientes.
Todos esos servicios se regulan, en el mundo de protección de datos, mediante los populares “contratos de prestación de servicios con acceso a datos” o “contratos de encargado de tratamiento”.
En consecuencia, claro, la sociedad “BURNS NUCLEAR SERVICIOS” que presta esos servicios es un “encargado de tratamiento”. Da igual que los preste una gestoría ajena al grupo Burns, o Smithers desde la sociedad preparada para ello, son servicios que se prestan en interés de las sociedades productivas.
Porque aquí lo importante es que el Responsable del tratamiento es cada una de las sociedades productivas. SPRINGFIELD NUCLEAR le tiene que pagar la nómina a Homer. Encarga la elaboración de la nómina a BURNS NUCLEAR SERVICIOS y Smithers se limita a coger los datos de Homer, y sin decidir nada sobre los fines y medios del tratamiento, preparar “mecánicamente” la nómina correspondiente, siguiendo las instrucciones al efecto. Y no puede tratar esos datos para nada más. Rien de rien.
En esta relación, la sociedad de Homer “ordena y manda” sobre la sociedad de Smithers.
Como digo, esto se regulaba con la LOPD, y se sigue regulando con el Reglamento General de Protección de Datos mediante un “contrato de acceso a datos por cuenta de tercero” o “contrato de encargado de tratamiento”, y chimpún.
- Posfale, posbueno.
- Muy bien.
- Esto lo sabe todo el mundo.
- Este calvo seboso ha comido demasiados mazapanes (muy cierto. Y turrón a la piedra) y se le ha ablandado el “celebro” (espero que no. No tan pronto).
Paciencia, per favore. Que viene lo bueno.
Pluralidad de responsables de tratamiento
Pero ¡Un momento! Las cosas no son siempre así de fáciles. De hecho, casi nunca lo son.
¿Qué pasa cuando el señor Burns percibe de pronto que no está ganando todo lo que debía ganar, que algo está pasando con la rama de actividad nuclear?
El señor Burns, desde BURNS Inc., lo que hace es ordenarle a Smithers, es decir, a BURNS NUCLEAR SERVICIOS, que analice los datos de rentabilidad y coste de las filiales productivas.
Que estudie a qué demonios se debe el descenso o ausencia de beneficio. Que encuentre las razones que lo expliquen.
O le pide de forma directa e inopinada que ajuste el, habitualmente, mayor gasto recurrente: el de recursos humanos.
Es altamente probable que BURNS Inc, encargue entonces a BURNS NUCLEAR SERVICIOS que estudie el coste recurrente de personal y prepare un plan de ajuste de plantilla en todas o alguna de las filiales. Aquí las circunstancias personales de los trabajadores son importantes: la antigüedad, formación, condición de representante laboral, reducción de jornada, etc… deben ser tenidas en cuenta a la hora de planificar un ERE.
Normalmente el resultado del trabajo de Smithers en SERVICIOS será un listado de nombres y apellidos de trabajadores que causarán baja en sus filiales, para conseguir que vuelvan a ser rentables por la vía rápida.
Puede incluso que este trabajo se realice directamente en BURNS Inc. O que BURNS Inc contrate a un despacho de abogados para que, prestando un servicio a Burns Inc identifique a los trabajadores que hay que despedir (incluso ¡ay! facturándolo a SPRINGFIELD NUCLEAR).
Es más, ¿Qué pasa si la conclusión de Smithers es que hay que cerrar esa planta, por un quítame allá esos riesgos medioambientales, y liquidar la sociedad?
En el acceso a datos necesario para todos estos menesteres no parece que Smithers esté siguiendo exclusivamente las instrucciones impartidas por el “responsable del tratamiento”, o las indicaciones –las limitaciones- establecidas en el contrato.
Parece más bien que Smithers (más bien, Burns) está decidiendo sobre los medios, naturaleza y finalidades del tratamiento de datos personales de Homer y el resto de los trabajadores, de un modo distinto al de “limitarse a hacer las nóminas”.
No parece que, desde ningún punto de vista, la sociedad de Smithers esté prestando un servicio a la sociedad de Homer.
Ni que, por lo mismo, la sociedad de Homer “ordene y mande” sobre la sociedad de Smithers.
Todo lo contrario: aquí, amigos, lo que pasa es que Smithers está prestando un servicio sí, pero al grupo Burns en general, y a BURNS Inc en particular.
Parece que aquí hay una corresponsabilidad de tratamiento de datos personales.
Esto no se soluciona con un “contrato de encargado de tratamiento”.
Aquí hay un tratamiento de datos (eso que llamábamos una cesión de datos) que hay que justificar en alguna de las bases legítimas del art 6 del RGPD.
Sería posible, pero yo no me iría al consentimiento por las razones de siempre. Ver aquí.
No creo que la relación contractual aplique (puede que en algunos casos sí, pero ni mucho menos por defecto). No lo veo.
¿Obligación legal?, ¿interés vital? Meh.
Y por favor, no me vengan, como me he encontrado por ahí, con que en estos casos lo que hay es una inversión de la “relación de encargado de tratamiento” (en la que SERVICIOS, la sociedad de Smithers es responsable y NUCLEAR, la sociedad de Homer es encargado). Sólo decir respecto a esta demencial construcción, que NUCLEAR es en todo caso responsable de los datos de Homer, por imperativo legal, porque es su empleadora, y así lo impone el Estatuto de lo Trabajadores.
Interés Legítimo corporativo de grupo
Sí que veo clarinete que un grupo de sociedades pueda justificar, ponderación de intereses y derechos mediante, que sus intereses corporativos de grupo legitimen el flujo de datos personales aguas arriba (y abajo, y salpicar a derecha e izquierda).
El Considerando 58 del RGPD, copiado al principio del post, va de eso y también lo ve.
No para que la sociedad holding que aloja los servicios centralizados desarrolle tareas de mera gestión, que como hemos visto, no hace falta, porque eso es otra cosa. Muy distinta.
Sino para que, por ejemplo, realice evaluaciones y estudios estratégicos, desde el punto de planificación presupuestaria, financiera, y de recursos humanos. Por ejemplo.
Estos tratamientos pueden acabar dando lugar a la adopción de decisiones estratégicas. De vida o muerte, incluso.
Pero esto último como digo, no se resuelve, no se puede pretender resolver, con un haz de contratitos idénticos de encargado de tratamiento.
El considerando 48 del Reglamento General de Protección de Datos se refiere a estos fenómenos en términos amplios.
Y hay más bastantes más ejemplos de flujos intra grupo que no caben ni de coña en el marco de un contrato de encargado de tratamiento.
Como conclusión, en el ámbito de flujos de datos personales intra-grupo, es posible (y ejem ¿necesario?) demostrar que determinadas cesiones de datos (trabajadores, clientes) son necesarias para conseguir un interés legítimo corporativo.
Pero será, como siempre, necesario identificar dicho interés legítimo específico, justificar cómo dicho tratamiento o cesión de esos datos es necesario para alcanzarlo y realizar el correspondiente juicio de ponderación. Con resultado positivo.
Muy pero que muy buena semana.
Jorge García Herrero
Abogado y Delegado de Protección de Datos