Cesión de datos, fusión y escisión de sociedades. Los grupos de empresas.

 

Los procesos de concentración y separación de sociedades inciden de forma directa en la protección de los datos de carácter personal, pues los mismos generan sujetos responsables de ficheros, diferentes de aquellos que inicialmente poseían los mismos. 

Jesús Alberto Messía de la Cerda Ballesteros. Profesor de Derecho Civil de la Universidad Rey Juan Carlos (Madrid). Miembro del Consejo de Protección de Datos de la Comunidad de Madrid a propuesta de la Asamblea de Madrid.

Actualmente, la actividad empresarial se desarrolla en un escenario de elevada competencia, factor que propicia la búsqueda de mecanismos que faciliten el logro de la rentabilidad. Entre éstos, se encuentran los procesos de concentración y separación de sociedades, fundamentalmente los primeros, pues permiten ganar tamaño, lo cual parece ser muy positivo desde un punto de vista económico[1].

Claro está, tales procesos inciden de forma directa en la protección de los datos de carácter personal, pues los mismos generan sujetos responsables de ficheros, diferentes de aquellos que inicialmente poseían los mismos. A este respecto, se han defendido dos posiciones: por una parte, se sostiene que, como supuesto de traspaso a otro sujeto, implica una cesión o comunicación de datos, que determinaría la aplicación del régimen jurídico propio de las mismas. Por otra, se entiende que se trata de una operación que, si bien conlleva el citado traspaso, sin embargo no puede considerarse tal cesión o, en su caso, no será de aplicación el régimen de las cesiones.

En el borrador del Proyecto de la LOPD se establecía, a este respecto, lo siguiente:

Cuando se produzca un cambio en la responsabilidad del tratamiento, ya sea por su transmisión a un tercero, ya por la absorción, fusión o segregación empresarial, el nuevo responsable deberá notificar su identidad a los interesados, informándoles de los derechos de acceso, rectificación y cancelación y del lugar en que puedan ejercerse.

El cambio en la responsabilidad del tratamiento no se considerará comunicación de datos.

Parece que, inicialmente, el legislador quería eximir a las compañías de la farragosa tarea de la solicitud del consentimiento para ceder los datos a la compañía resultante. Es innegable que el volumen de operaciones que implica tales estrategias empresariales se dificulta aún más con la necesidad de satisfacer los requisitos de la legislación sobre protección de datos.

En este sentido, Miralles Miravet y Baches Opi[2] sostienen que las cesiones que se ocasionan como consecuencia de estos procesos de concentración pudieran haberse exceptuado de los requisitos del artículo 11, a la luz de la Directiva. Concretamente, el artículo 7 f) de la misma evita la necesidad de consentimiento para la cesión cuando la misma se requiera para satisfacer un interés legítimo del responsable del tratamiento o de los cesionarios, siempre, claro está, que no prevalezcan los derechos fundamentales de los afectados. A este respecto, señala Heredero Higueras que este precepto comunitario acoge el concepto de interés prevalente, propio de la legislación alemana de 1990[3], sin determinar específicamente cuáles son esos intereses prevalentes, es decir, los supuestos concretos en los que entra en juego esta regla, sino que tal decisión es competencia de los Estados miembros[4]. En este sentido, parece que hubiera sido conveniente una previsión legislativa al respecto.

Sea como fuere, lo cierto es que la voluntad definitiva del legislador, a la luz de la LOPD, parece haber sido la contraria. El silencio a este respecto de la Ley, cuando en el iter parlamentario de la LOPD se había pretendido introducir sin éxito una excepción en el sentido mencionado, permitiría afirmar que tales casos conllevan cesiones de datos de carácter personal, como de hecho se puede observar en la práctica[5].

No obstante y como vamos a observar a continuación, la posición adoptada respecto de los procesos de fusión no es, con mucho, pacífica. Por el contrario, son muchas las voces (entre ellas, la propia Agencia de protección de datos) que niegan la consideración de tales supuestos como cesiones de datos. Para ello, se recuerda la configuración de las fusiones de sociedades como un caso de sucesión universal. En efecto, establece el artículo 233.1 de la LSA que

La fusión de cualesquiera sociedades en una sociedad anónima nueva implicaría la extinción de cada una de ellas y la transmisión en bloque de los respectivos patrimonios sociales a la nueva entidad que haya de adquirir por sucesión universal los derechos y obligaciones de aquellas.


[1] La concentración de empresas ha sido intensa en Internet. Por ejemplo, tuvo particular interés la fusión de Double Click, empresa de publicidad y marketing en Internet, con Abacus Direct Corporation, la cual explotaba ficheros de datos personales con los mismos fines. Doubleclick anunció que cruzaría los ficheros de ambas entidades, lo cual provocó reacciones de los usuarios, que llegaron hasta los tribunales.

[2] MIRALLES MIRAVET, SERGIO y BACHES OPI, SERGIO. La cesión de datos de carácter personal: análisis de la legislación vigente y su aplicación a algunos supuestos prácticos. Revista de Derecho de Derecho Privado. Mayo de 2001. Págs. 438-439.

[3] HEREDERO HIGUERAS, MANUEL. La Directiva comunitaria de protección de datos de carácter personal. Ed. Aranzadi. PAMPLONA, 1997. Pág. 112.

[4] HEREDERO HIGUERAS, MANUEL. Op. cit. Pág. 112.

[5] En efecto, en numerosos procesos de concentración y absorción de empresas se ha solicitado el consentimiento de los afectados por carta o correo electrónico. Particular interés para los profesionales del derecho, tiene algún supuesto: por ejemplo, la editorial Aranzadi o, recientemente, la editorial Anaya. La citada misiva debía estar completada con las informaciones que exige el artículo 5.4 de la LOPD (procedencia de los datos, existencia del fichero, finalidad del tratamiento y destinatarios; ejercicio de los derechos de acceso, rectificación, cancelación y oposición y, finalmente, identidad y dirección del responsable del fichero y de su representante), según recuerdan Miralles Miravet y Baches Opi. MIRALLES MIRAVET, SERGIO y BACHES OPI, SERGIO. Op. cit. Pág. 438. No obstante lo anterior, no debe olvidarse que tales exigencias de información se predican de la recogida de los datos, no de las cesiones, lo cual incide de forma decisiva en la calificación de tales actos.

Tal consideración elimina la posibilidad de aplicar, en tales casos, el artículo 1205 del Código Civil, que concluiría en la necesidad de que concurra el consentimiento de los acreedores para el traspaso de las distintas relaciones que se pretenden transmitir, lo que mermaría los beneficios de los procesos de fusión[1]. También se afirma por algunos que los traspasos en bloque que se producen con motivo de la sucesión universal, no sólo tienen por objeto elementos de naturaleza puramente patrimonial, sino que pueden afectar también a relaciones de carácter personal[2].

La tesis favorable a la exoneración del consentimiento del afectado en las cesiones de datos provocadas por los procesos de fusión encuentra su mayor apoyo en la concepción amplia de la sucesión universal, como ya hemos dicho anteriormente, y en la propia LOPD. Según el artículo 11.2 a), no se requiere consentimiento alguno cuando la cesión esté amparada por una Ley. Pues bien, sobre la base de la referencia expresa de la LSA, estas cesiones no exigirían aquel requisito. Esto, a su vez, explicaría que el silencio de la LOPD.

Es conveniente recordar que los datos de carácter personal son objeto de un derecho de la personalidad. Así, las bases de clientes de una sociedad forman parte del activo de la misma, sin embargo ello no conlleva su consideración exclusiva como un elemento patrimonial de la misma. Es decir, no es posible adoptar una decisión que únicamente tenga en cuenta intereses de naturaleza puramente patrimonial.

No es discutible, en ningún caso, la consideración de las fusiones como un caso de sucesión universal: lo contrario sería negar la propia norma. La sucesión universal implica el traspaso en bloque del conjunto de relaciones, activas y pasivas, del o los sujetos fusionados a otro sujeto. Así, no se produce el efecto extintivo-constitutivo de aquéllas, a la vez que se eliminan los inconvenientes que se derivarían de la realización de una serie de actos de transmisión, diversos en función del tipo y naturaleza de la relación de que se trate: en la fusión no hay liquidación[3]. Sin embargo, es igualmente innegable que todo ello se produce junto con la desaparición de un sujeto y la aparición de otro diferente. Según el artículo 233.1 de la LSA,

La fusión de cualesquiera sociedades en una sociedad anónima nueva implicaría la extinción de cada una de ellas…

Es decir, la sucesión universal, si bien permite la permanencia inmodificada de la mayoría de los elementos de una situación jurídica, sin embargo supone la alteración de uno de los elementos subjetivos de la misma. Es más, si no existiese dicha alteración, entonces no se justificaría la existencia de tal construcción, pues si nada cambia, no es necesario adoptar soluciones que permitan la mínima modificación. En palabras de Garrigues, “sin disolución no hay fusión”[4].

Sobre la base de todo lo anterior, debemos recordar que el dato decisivo de una cesión o comunicación de datos es, precisamente, la aparición de un nuevo sujeto, sin distinguir si con ello se constituye una nueva relación o si, por el contrario, se produce tal efecto mediante la conservación de la ya existente. Recordemos que se considera cesión, según el artículo 3 de la LOPD, toda revelación de datos a persona distinta de su titular, sin necesidad de que concurran otras circunstancias.

Los supuestos de comunicación de datos como consecuencia de las fusiones de sociedades, pudieran acaso subsumirse en el supuesto de hecho del artículo 11.2 c) de la LOPD. Según este precepto, no es necesario el consentimiento del afectado cuando el mismo sea parte en una relación contractual, entre otras, para cuyo mantenimiento, control y ejecución sea necesaria la comunicación de los datos. No obstante, tal precepto tan sólo sería aplicable en aquellos casos en los que todavía existiera una relación pendiente de cumplimiento, es decir, aquellos que constituyen un supuesto de cesión de contrato. Tal exigencia excluiría esta solución respecto de los supuestos en los que los datos de carácter personal obran en poder del responsable como consecuencia de una relación ya concluida.

Como se puede observar, hasta ahora se han ofrecido razones que permiten abogar por una u otra de las dos opciones planteadas. En realidad, la solución a este problema debe buscarse en los propios conceptos de cesión o comunicación, por una parte, y de sucesión universal, por otra. En el primer caso, el concepto de cesión hace alusión, no tanto a la transmisión efectiva de la información, sino, por la propia naturaleza de ésta, a su puesta en común por el tenedor. Así, lo que se pretende evitar, en última instancia, es la desmesurada amplitud del círculo de conocedores de los datos.

En la sucesión universal producida por las fusiones de sociedades, la desaparición de uno de los sujetos, el fusionado, impide hablar de ampliación del citado círculo. Se produce la sustitución de un sujeto por otro, el cual se despoja totalmente de los datos, en cuanto deja de existir. Así, aunque en sentido estricto existe revelación de datos a un sujeto distinto, sin embargo no se puede hablar de puesta en común, dado que el supuesto cedente de poseer la información. Por lo tanto, el sentido del concepto de cesiones o comunicación es de datos que recoge el artículo 3 de la LOPD no parece coincidir con el de los casos de sucesión universal. En realidad, podría sostenerse que no llega a producirse tal comunicación, pues no existe en este proceso la dualidad de partes requerida.


[1] URIA, RODRIGO. Derecho Mercantil. Ed. Marcial Pons. MADRID, 1998. Pág. 395.

[2] No obstante, esta posición no es, con mucho, unánime. Uría alude únicamente a transmisión de patrimonios. URIA, RODRIGO. Op. cit. Págs. 395-396. En el mismo sentido se pronuncia Sánchez Calero. SANCHEZ CALERO, FERNANDO. Instituciones de Derecho Mercantil. Vol. I. Ed. MCGraw Hill. Madrid, 2000. Pág. 551.

[3] Entre otros, se puede citar GARRIGUES DIAZ-CAÑABATE, JOAQUIN. Tratado de derecho mercantil. Tomo I, vol. 3º. Revista de derecho mercantil. MADRID, 1947-1964. Pág. 1273-4.

[4] GARRIGUES DIAZ-CAÑABATE, JOAQUIN. Op. cit. Pág. 1271.

La solución aportada respecto de los procesos de fusión de sociedades, es predicable de todos ellos, tanto los que constituyen la fusión propia, con creación de una entidad diferente de las fusionadas, como de los casos de fusión impropia o por absorción, en los que se mantiene la personalidad jurídica de sociedad absorbente. En uno y otro caso se observa la misma realidad: falta el dato de la dispersión de la información, dado que la sociedad “cedente” forma parte, al desaparecer, de la estructura de la sociedad nueva o de la absorbente. Por lo tanto, es aplicable lo dicho hasta ahora con carácter general. Todo ello, sin desconocer que el artículo 233.2 de la LSA configura también este supuesto como otro caso de sucesión universal.

No obstante lo anterior, en la práctica las sociedades inmersas en estos procesos comunican a sus clientes la realización de tales operaciones y solicitan su consentimiento, según ya hemos manifestado en líneas previas. Tal solución resulta muy recomendable, pues supone un respeto de los responsables por los derechos de los afectados, más allá de la norma.

En el supuesto de procesos de escisión de compañías societarias por extinción de la original y creación de otras diferentes, es claro el resultado de generación o aparición de nuevas personas jurídicas, de lo que se deduce la transmisión de los datos de carácter personal a un nuevo sujeto y, por tanto, la existencia de un acto de comunicación o cesión de los mismos. En el caso de segregación de una parte, la solución sería idéntica respecto de los datos transmitidos a la segregada. Algún autor sostiene que, en los supuestos de escisión, nos encontramos ante un caso de duplicación del tratamiento de los datos de carácter personal[1]. Efectivamente, la escisión, como desdoblamiento de la unidad inicial, supone necesariamente la utilización simultánea de los datos obrantes en los ficheros por las dos o varias sociedades resultantes. Estos casos se observa, no tanto la dualidad pérdida-adquisición propia de los procesos transmisión efectiva, como la puesta en común de la información.

Por otra parte, en los últimos tiempos han aparecido grandes grupos empresariales, que incluyen en su estructura diversas entidades dotadas de personalidad propia, las cuales se ceden la información personal de que disponen bajo una aparente falta de control. La Agencia de Protección de Datos ha manifestado su preocupación al respecto[2]. En efecto, aunque generalmente la recogida de datos se acompaña de una cláusula relativa a estas cesiones, sin embargo la variedad de actividades desarrolladas por estos grupos puede ocasionar que las mismas no fueren del todo acordes con la voluntad inicial del afectado, que desconoce en su totalidad el destino de los datos.

En cualquier caso, no se puede dudar de la existencia de un supuesto de cesión o comunicación en todos estos traspasos de información entre sociedades del mismo grupo. Así lo pone de manifiesto la Agencia de protección de datos[3], la cual coincide con el parecer de diversos pronunciamientos judiciales. Baste, como ejemplo, la sentencia de 16 de Octubre de 2000, del Tribunal Superior de Justicia de Madrid, en la que se puede leer lo siguiente:

…cualquier empresa es libre de constituirse en cualquiera de las formas societarias que el Derecho mercantil regula. Asimismo, las empresas que pueden unirse a través de las distintas formas reguladas en derecho: fusión, absorción, sociedades anónimas y, como tales, independientes y con personalidad jurídica autónoma y que por el hecho de que la una sea propiedad de la otra, el particular que contrata con la primera pueda verse perjudicado, precisamente, por la estructura empresarial que la sociedad ha elegido. Si la recurrente ha preferido constituir dos sociedades y trabajar con ellas de manera independiente, beneficiándose así del mantenimiento de dos personas jurídicas distintas, no puede, al mismo tiempo, pretender justificar el conocimiento por parte de la matriz de los datos que le constan a la filial por las operaciones en que ésta última ha intervenido, pues ello supone olvidarse de que se trata de personas jurídicas distintas. Por otro lado, si el particular contrata con la filial, es a esta sociedad a la que, voluntariamente, se le comunican los datos que, en consecuencia, la filial no puede comunicar a la sociedad matriz en perjuicio del particular

La existencia de personas jurídicas diferentes, siquiera integradas en un grupo empresarial, implica necesariamente la realización de cesiones de datos. A su vez, la prestación del consentimiento para el tratamiento de los datos por una compañía de tales grupos no faculta para realizar cesiones, sino que exige la concurrencia de un consentimiento específico para tales operaciones. De ahí que, en la práctica, las compañías incluyan en los formularios cláusulas relativas a estos actos[4].

Aunque la resolución parece aludir a los procesos de fusión de sociedades como supuesto que requiere consentimiento del afectado, sin embargo no resuelve claramente esta cuestión. De cualquier forma, entendemos que las concentraciones empresariales y los grupos de empresas, no responden al mismo esquema y permiten sostener las mismas soluciones respecto de los ficheros de datos que obran en poder de dichas entidades, por las razones ya apuntadas.

[1] APARICIO SALOM, JAVIER. Estudio sobre la Ley Orgánica… Pág. 34 y 35.

[2] AGENCIA DE PROTECCION DE DATOS. Memoria del año 2000. Págs. 195-196.

[3] AGENCIA DE PROTECCION DE DATOS. Memoria del año 2000. Pág. 431.

[4] APARICIO SALOM, JAVIER. Op. Cit. Pág. 182.

VOLVER A LA PÁGINA DE NOTICIAS PROTECCION DE DATOS