Transmisión de base de datos entre sociedades (Laboratorio del Interés Legítimo)
La transmisión de una base de datos entre sociedades parece una cosa muy tonta, pero cuando la miras así de cerca, resulta que tiene, como todo en esta vida, sus cositas.
Esto te puede interesar si…
- Tienes un grupo de empresas que, por alguna razón, ha decidido centralizar sus tratamientos de datos y la facturación de todo el grupo… en el mismo sitio. Teniendo en cuenta que las sanciones pueden tener en cuenta el “volumen de negocio total anual”, quizá hayas cometido un error estratégico que, ejem, urge resolver.
- Tienes una startup tecnológica que no va muy bien y quizá, quizá, ves posibilidades de rentabilidad no en el negocio, sino en esa base de datos (quizá quizá de categoría especial y todo) que tu novedosa actividad o app ha amasado.
- Te has dado cuenta de que ha llegado el momento de asumir la digitalización de todas o alguna de tus ramas de negocio, y de reestructurar tu grupo de sociedades en consecuencia.
- El tsunami COVID 19 te ha pasado por encima y como ocurrirá con muchos miles de empresas españolas, tendrá que concursar o, empleando el eufemismo popularizado en la anterior crisis, hacer una “reestructuración defensiva”.
En todos estos estos casos, hay que hacerse la misma pregunta. Para que se entienda mejor, la vamos a formular en términos viejunos de la LOPD-1999:
De acuerdo con la normativa de protección de datos personales…
¿Es posible transmitir de la base de datos de clientes/proveedores/usuarios/o lo que sea de una sociedad a otra sin recabar previamente el consentimiento de cada uno de los interesados incluidos en la misma?
Como todos ustedes saben (o no) me pasé veinte años en la obligación del derecho mercantil y del societario antes de centrarme en mi devoción de la protección de datos personales y privacidad: así que algo sé de todo esto.
Pero me voy a centrar en la protección de datos, salvo donde sea imposible no hablar de mercantil y fiscal, porque lo bonito de este tema es que se entrecruzan las normativas.
Perspectiva mercantil de la transmisión de base de datos entre sociedades
Una base de datos es un activo que puede mercantilmente ser transmitido de una sociedad a otra mediante múltiples operaciones contractuales (contrato de compra-venta o donación de empresa) o una operación societaria (escisión parcial, filialización, aportación no dineraria, cesión global de activos y pasivos…).
Pero en relación con el tema tratado las opciones más interesantes serían, a priori, las que surten efecto de “sucesión universal” sobre las relaciones jurídicas a las que afectan.
Estas, por definición –y con ciertas excepciones- tienen efecto con independencia de la voluntad de los interesados “cedidos”, a los que sólo se les debe comunicar el hecho de la transmisión y cambio de titular.
Analizaremos primero la normativa de protección de datos, y después el punto de conexión entre ésta y la societaria.
Perspectiva de la protección de datos personales entre sociedades
Para evaluar la transmisión lo primero que hay que hacer es examinar la información suministrada a los interesados sobre el tratamiento: en no pocos casos, con lo que ya tienes, puedes entrar a vivir.
Donde eso no sea posible, habrá que estar a la normativa en materia de protección de datos personales en general.
De acuerdo con las normas generales aplicables en materia de protección de datos, una base de datos puede ser “cedida” de un responsable a otro, sustancialmente cuando:
- El titular de los datos haya sido informado de la comunicación al prestar su consentimiento,
- Lo exige el cumplimiento de un contrato en el que el interesado es parte, o vaya a serlo.
- Una norma con rango de ley lo imponga con carácter concreto y sin dejar excesivo ámbito de discrecionalidad al obligado sobre las circunstancias del tratamiento.
- El interés público concretado en, asimismo, una norma con rango de ley, lo requiera,
- Intereses vitales del interesado o de tercero lo exijan, o
- Cuando el interés legítimo del responsable lo requiera, siempre que sobre éste no prevalezcan los derechos e intereses del/los interesado/s.
Regulación específica sobre operaciones societarias con transmisión de base de datos
La normativa de protección de datos personales prevé dos referencias evidentes en relación con operaciones societarias que impliquen comunicación de datos personales.
1. El art. 19 del RD 1720/2007
La transmisión de bases de datos detentadas por sociedades, en el marco de transacciones u operaciones entre empresas estaba específicamente regulado en el reglamento de desarrollo de la LOPD de 1999, el RD 1720/2007. En su art. 19, dentro del Capítulo II “Consentimiento para el tratamiento de los datos y deber de información”:
“Artículo 19. Supuestos especiales.
En los supuestos en que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.”
De este precepto se pueden extraer las siguientes conclusiones:
En cuanto al objeto: Se regula la transmisión de un “negocio o rama de actividad” empresarial en bloque (es decir, un conjunto organizado de activos orientado a una finalidad económica). Y entre dichos activos, datos personales.
El concepto mercantil de “unidad económica” o “unidad de negocio” es equiparable al concepto fiscal de “rama de actividad”, y hace referencia al conjunto de activos materiales y, en su caso, personales, que permiten a una sociedad el desarrollo de una determinada actividad económica, y que, como bloque, se pueden transmitir de acuerdo con un régimen normativo especial como el mercantil de las operaciones estructurales o el régimen de neutralidad fiscal.
En cuanto a la transmisión. De acuerdo con la demencial redacción del RLOPD, la transmisión de una base de datos entre dos sociedades a través de alguna de las fórmulas mencionadas no se considera cesión de datos y sí sólo “modificación del responsable del fichero”. ¡¡Toma ya!!
Estas cosas eran asín en la antigua regulación.
Pero sigamos: la consecuencia es que no es necesario el consentimiento de los titulares de los datos personales, aunque se les debe informar de la transmisión.
Esta idea es plenamente coherente con el efecto de sucesión universal, o subrogación de la sociedad receptora en la titularidad del activo o relación jurídica, que reconoce el derecho de sociedades a algunas operaciones societarias.
2. El art. 19 del RD 1720/2007, desde el punto de vista mercantil
Ustedes tienen que estar observando que este post me está quedando super-serio para lo que viene siendo este blog: échenle la culpa al societario. ¿Se acuerdan del chiste del chorizo que se pone un tricornio y ya le entran ganas de meterle a su amigo?. Pues eso.
Desde el punto de vista mercantil, lo que sorprende es que el efecto de subrogación se reconoce no solamente a operaciones que mercantilmente producen el efecto de sucesión universal, sino también a otras que no lo producen:
- La mera “aportación de activos” –ampliación de capital por aportación no dineraria- obliga a solicitar el consentimiento de las contrapartes de la aportante–por ejemplo, proveedores y clientes- en las relaciones jurídicas cedidas, salvo que te reservaras el derecho de ceder el contrato.
- La transmisión de un negocio o rama de actividad –“compraventa de empresa o negocio”- (si se ejecuta como venta de un conjunto de activos, en vez de, p. ej. venderse las participaciones de la sociedad que explote el negocio) es una venta de un montón de cosas o un montón de ventas, y por esa razón también exige mercantilmente la previa obtención del consentimiento de las contrapartes en las relaciones jurídicas cedidas.
Por si fuera poco la enumeración no es exhaustiva, y se cierra con un “o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil”.
Este inciso final resulta contradictorio –desde el punto de vista mercantil- porque por una parte habla de “cualquier operación de reestructuración societaria” (y ya hemos visto que algunas de las citadas –como la transmisión de negocio- no lo son).
Recordemos que sólo son modificaciones estructurales las descritas en el art.1 de la propia Ley de Modificaciones Estructurales de las Sociedades Mercantiles 3/2009 de 3 de abril.
Y además añade que estas operaciones tienen que ser “de análoga naturaleza” (lo que puede interpretarse (a) como “operación societaria” sin más o como (b) operación que implique “transmisión de negocio o rama de actividad”.
3. El art. 19 del RD 1720/2007, desde el punto de vista del RGPD
De acuerdo con el RGPD, obviamente sí existe una comunicación de datos personales, lo que sucede es que se abre la puerta a que dicha comunicación pueda legitimarse, no sólo en el consentimiento de los titulares de los datos, sino en cualquier otra de las bases de legitimación disponibles, como se ha citado anteriormente.
En nuestra opinión, la vigencia de este precepto en su interpretación literal es discutible. O dicho de otro modo: no aporta nada.
4. Una cita doctrinal (muy) relevante
En relación con la interpretación de este precepto, cabe citar aquí un pasaje del manual “Protección de datos. Comentario al reglamento de desarrollo de la LOPD” (VVAA) (Tirant Lo Blanch, 2008) en cuya pg. 60, Agustín Puente Escobar (figura central en la AEPD durante 20 años) comentaba lo siguiente:
“Se pretende así que las normas de protección de datos no puedan actuar como elemento distorsionador de la operación mercantil, impidiendo su efectiva realización práctica.
En todo caso, la operación deberá suponer en la práctica una situación que implique simplemente la modificación de la entidad que ostentará la condición de responsable de un determinado fichero, es decir, no cabrá en ningún caso entender amparada en esta regla una cesión de datos concretos y específicos que no pueda ser concebida como una transmisión en bloque de la totalidad o una parte relevante de un fichero. En este sentido, el RDLOPD se refiere a operaciones de “análoga naturaleza” a las de transmisión global de activos o pasivos (nunca una transmisión singular) o a la transmisión de una rama de negocio o actividad empresarial (nunca a supuestos concretos de transmisión de datos). Cualquier operación que carezca de la generalidad a la que se ha hecho referencia deberá ser considerada como una cesión de datos.”
En mi humilde opinión, el último inciso requiere una interpretación “creativa”. Porque todas las opciones que se están tratando constituyen de hecho “cesiones de datos” aunque el RD con una técnica muy deficiente decida calificar una de ellas como “modificación del responsable de fichero”.
Creo que lo que el autor quiere decir es que la transmisión concreta de una base de datos –fuera del contexto de una transmisión del negocio en bloque- constituiría una cesión ilícita de datos (infracción directa o, indirectamente, fraude de ley).
5. El art 21 de la nueva LOPDGDD de 2018
El texto del nuevo precepto es el siguiente:
“Artículo 21. Tratamientos relacionados con la realización de determinadas operaciones mercantiles.
1.- Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.
2.- En el caso de que la operación no llegara a concluirse, la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos, sin que sea de aplicación la obligación de bloqueo prevista en esta ley orgánica.”
De este precepto se pueden extraer, para lo que aquí interesa, las siguientes conclusiones:
- Este artículo introduce una presunción “iuris tantum” de licitud, es decir, presume la licitud de la transmisión de los datos personales en el ámbito del precepto, salvo prueba en contrario, “siempre que los tratamientos (…) garanticen, cuando proceda, la continuidad de la prestación de los servicios.”
Ya se ha comentado aquí que estas presunciones iuris tantum fueron el “acepto pulpo como mamífero” como solución intermedia aportada por el Consejo de Estado, después de echar por tierra las “evaluaciones de interés legítimo” que se intentaron esculpir en los primeros borradores de la LOPD del 2018.
- En cuanto al objeto. Se sigue hablando de “negocio o rama de actividad empresarial”.
- En cuanto a la operación. La redacción parece ahora más correcta técnicamente, porque habla de “cualquier operación de modificación estructural” o “aportación o transmisión de negocio o rama de actividad empresarial”.
El uso de la disyuntiva “o” permite una interpretación más natural y coherente en el sentido de hacer referencia a dos grupos de operaciones de distinta naturaleza, pero que en todo caso entrañan transmisiones en bloque de activos organizados en torno a una actividad económica.
6. El informe 194/2017 de la AEPD (sobre el anteproyecto de LOPD de 2018)
El informe de la AEPD 194/2017 sobre el anteproyecto de la LOPDGDD, hace alguna referencia clarificadora sobre su interpretación del precepto:
(…)
La AEPD señala el precepto como: “otra ficción legal aplicable a estos procesos”. es decir, la autoridad parece entender que lo que aquí se regula no modifica la anterior regulación del artículo 19 de dicho Real Decreto y sólo añade una posibilidad distinta: la cesión de datos personales entre sociedades en el marco de una due diligence o revisión legal previa a la ejecución de una operación de adquisición o reestructuración entre sociedades.
Aunque no se refleje expresamente en el precepto, la AEPD reconoce que la base de legitimación de la cesión de datos es el interés legítimo corporativo de las sociedades intervinientes las cuales, junto con el propio interés del interesado cuyos datos personales son cedidos, justifican la transmisión.
No, las piezas no encajan (pero es que no suelen encajar…)
A tenor de los preceptos legales examinados, hay que concluir que la normativa de protección de datos personales no utiliza de forma rigurosa la conceptualización propia del derecho societario.
Estas discordancias normativas no son exclusivas de la normativa de protección de datos personales y pueden encontrarse igualmente en Derecho Laboral, de Seguridad Social, y Fiscal.
Cualquiera que haya navegado el derecho de empresa conoce los dolores de cabeza que produce sentar en la misma mesa a mercantilistas, fiscalistas, laboralistas para aunar criterios sobre cosas como: la retribución de administradores, la teoría del título y el modo en el devengo de impuestos de transmisión, la cesión de deudas y créditos, la transmisión “universal” a efectos fiscales de derechos de propiedad intelectual, la retroacción de efectos de la inscripción al asiento de presentación, el levantamiento del velo de la responsabilidad de la persona jurídica, y tantas y tantas cosicas graciosas.
Conclusiones
El RLOPD y la LOPDGDD no parecen tomar en consideración tanto la concreta operación mercantil ejecutada (y en concreto, que la misma tenga efectos de sucesión universal o no). Por el contrario, parecen prestar más atención a la cuestión de si las bases de datos se transmiten en bloque, en el marco de un conjunto organizado de activos, y se garantiza una continuidad en los servicios en su caso prestados a los titulares de los datos, por parte del nuevo titular.
Sin entrar en consideraciones de carácter mercantil, fiscal, y atendiendo solamente a la letra de las disposiciones estudiadas, se puede deducir que cualquier operación societaria que implique transmisión en bloque de activos afectos a una actividad empresarial que tenga continuidad, sería subsumible en el art 19 del RLOPD y art 21 de la LOPDGDD, con independencia de que la normativa mercantil les anude efecto de sucesión universal o no.
De acuerdo con lo anterior, para elegir una fórmula mercantil optimizada desde el punto de vista de la protección de datos personales, debería tenerse en cuenta lo siguiente:
La opción más rigurosa –y compleja, claro, aun en su modalidad simplificada- sería una segregación de las reguladas en el art. 71 de la Ley de Modificaciones Estructurales: esta figura constituye una operación de reestructuración, produce efecto de sucesión universal, y es inequívocamente subsumible en la LOPDGDD. La dispensa del consentimiento de los titulares de los datos vendría avalada tanto por la regulación mercantil como por la de protección de datos personales.
Por supuesto, esto sería matar moscas a cañonazos.
Cualquiera que sea la fórmula elegida, lo transmitido debería ser, no una base de datos aislada, sino un conjunto de activos susceptibles de funcionar como una “unidad económica autónoma” -de acuerdo con el concepto mercantil- o una “rama de actividad” -de acuerdo con el concepto fiscal-.
Esta es la consideración que subyace en los dos preceptos legales examinados, y en su interpretación por la AEPD y la doctrina.
Lo que abre otra cuestión: ¿Cómo documento la existencia de esa unidad de negocio?
Ah, el jardín de senderos que se bifurcan…
Feliz semana
Jorge García Herrero
Abogado y Delegado de Protección de Datos
Photo by Benjamin Elliott on Unsplash