análisis jurídico del tratamiento de los datos de los accionistas por

Anuncio
ANÁLISIS JURÍDICO DEL TRATAMIENTO DE LOS DATOS DE LOS
ACCIONISTAS POR PARTE DE LAS SOCIEDADES EMISORAS
BROSETA ABOGADOS, S.L.P. C.I.F. B-96818828 Inscrito en el Registro Mercantil de Valencia, Tomo 9361, Libro 6643, Folio 181, Sección 8, Hoja V-63108
1.
ANTECEDENTES
Actualmente todas las sociedades cotizadas, con independencia del carácter de sus
acciones (nominativas o al portador), tienen habilitación legal para solicitar y recibir de
la entidad que lleva el registro de los valores representados por anotaciones en
cuenta, la información relativa a la identidad y datos de contacto de sus accionistas
(artículo 497 del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba
el texto refundido de la Ley de Sociedades de Capital).
Atendiendo a lo dispuesto en la normativa sobre protección de datos, la entidad que
gestiona los registros de valores remite a las sociedades emisoras por imperativo legal
información que únicamente puede utilizarse por las entidades receptoras en el marco
de la relación societaria-accionarial que les vincula 1. Dicha cesión de datos comporta
una serie de implicaciones en materia de protección de datos. Por ello, las entidades
emisoras se plantean, en primer lugar, el procedimiento a seguir para cumplir con la
citada normativa sobre protección de datos y, con carácter adicional, surge la cuestión
de si es posible el uso de estos datos de los accionistas con otros fines (e.g.:
comerciales o publicitarios).
2.
OBJETO DE LA CONSULTA
A tenor de lo expuesto, en la presente nota se analizarán las siguientes cuestiones:
1
(i)
Conceptos básicos en materia de protección de datos.
(ii)
Cesión de datos realizada por la entidad encargada de llevar los registros de los
valores representados por medio de anotaciones en cuenta a las entidades
emisoras.
(iii)
Depuración o cruce de datos de ficheros preexistentes en las entidades
emisoras.
(iv)
Implicaciones de la recogida de los nuevos datos de los accionistas para la nueva
finalidad comercial en relación a los ficheros de las entidades emisoras.
Informe del Gabinete Jurídico AEPD 0338/2012
http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/common/pdf_destacados/20120338_Acceso-a-libro-de-registro-de-socios..pdf.
Pascual y Genís, 5. 46002 Valencia. Tel. 963 921 006/07 Fax. 963 921 088 info@broseta.com www.broseta.com
Fernando el Santo, 15. 28010 Madrid. Tel. 914 323 144 Fax. 914 323 255 info@broseta.com www.broseta.com
(v)
Necesidad de consentimiento informado del afectado para el uso de sus datos
con fines comerciales (tácito / expreso). Procedimiento y formas de obtención
del consentimiento. Importancia de la prueba.
(vi)
Cesión de datos a filiales.
(vii)
Relación de la entidad emisora con el encargado del tratamiento o prestador de
servicios auxiliares. Contrato de acceso a datos.
Como anexo se incluye una propuesta de cláusula de protección de datos o de
privacidad que sometemos a la valoración de las entidades emisoras. En la misma se
informa y recaba el consentimiento de los antiguos y nuevos socios para el uso de sus
datos con fines comerciales y publicitarios.
3.
NORMATIVA APLICABLE Y DOCTRINA AUTORIZADA
La normativa que, con carácter especial, se tendrá en consideración para el análisis del
tratamiento y cesión de datos con fines publicitarios es la que se indica a continuación:
(i)
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y
Comercio Electrónico (en adelante la “LSSICE”).
(ii)
Ley Orgánica de Protección de Datos de carácter personal 15/1999, de 13 de
diciembre (en adelante la “LOPD”) y su Reglamento de Desarrollo aprobado por
el Real Decreto 1720/2007, de 21 de diciembre, (en adelante el “RLOPD”).
(iii)
Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto
refundido de la Ley de Sociedades de Capital (en adelante “LSC”).
4.
ANÁLISIS JURÍDICO DE LAS IMPLICACIONES DEL TRATAMIENTO DE DATOS DE LOS
ACCIONISTAS POR LAS SOCIEDADES EMISORAS
4.1.
Conceptos básicos en materia de protección de datos
(i)
Dato de carácter personal
Se considera dato de carácter personal cualquier información concerniente a
las personas físicas identificadas o identificables. Dicha información podrá ser
numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo
concerniente a personas físicas identificadas o identificables.
2
Por ejemplo, se consideran datos personales el nombre y los apellidos del
accionista, así como el número de acciones y la numeración de las mismas que
éste ostenta 2.
Quedan excluidos de la noción de dato personal los referidos a:
(ii)
-
Personas fallecidas.
-
Personas jurídicas.
-
Ciertos datos profesionales. En concreto, los datos de las personas
físicas que presten sus servicios a personas jurídicas, consistentes
únicamente en su nombre y apellidos, las funciones o puestos
desempeñados, así como la dirección postal o electrónica, teléfono y
número de fax profesionales.
Afectado o interesado
El afectado o interesado es la persona física titular de los datos que sean
objeto del tratamiento.
Por ejemplo, el accionista cuyos datos son objeto de tratamiento por parte de
las entidades emisoras para la convocatoria de una Junta General de
accionistas.
(iii)
Fichero
Fichero es un conjunto organizado de datos de carácter personal, cualquiera
que sea la forma o modalidad de su creación, almacenamiento, organización y
acceso.
El fichero comprende tanto los datos de carácter personal en formato papel
como automatizado.
Por ejemplo, comprende tanto los datos personales contenidos en carpetas
físicas como los almacenados en el ordenador. Así, una entidad emisora tendrá
su fichero “Accionistas”, porque organiza los datos de sus accionistas
necesarios para el correcto desarrollo de la vida societaria.
Es importante tener en cuenta que para que se trate de un fichero con datos
sujeto a la normativa de protección de datos, éste debe permitir el acceso a los
2
Informe del Gabinete Jurídico AEPD 0306/2008
http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/20080306_No-se-admite-publicaci-oo-n-en-el-BORME-del-nombre-c--apellidos-c--n-uu-mero-de-accionista-y-numeracioo-n-de-las-acciones-de-cada-accionista.pdf
3
datos con arreglo a criterios determinados. Por ello, el fichero debe contar con
algún criterio de ordenación que permita recuperar los datos de una persona
determinada.
(iv)
Consentimiento del interesado
El consentimiento en materia de protección de datos es una manifestación de
voluntad libre, inequívoca, específica e informada, en virtud de la cual el
afectado acepta el tratamiento de los datos que le conciernen. No resulta
admisible deducir el consentimiento de los meros actos realizados por el
afectado, siendo preciso que exista expresamente una acción u omisión que
implique la existencia del consentimiento.
(v)
Tratamiento de datos de carácter personal
Por tratamiento entendemos cualquier operación o procedimiento técnico que
permita la recogida, grabación, conservación, elaboración, modificación,
consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones
de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
Por ejemplo, se entiende por tratamiento de datos:
(vi)
-
Comunicar o entregar los datos a un tercero, por ejemplo, la
comunicación o entrega de datos que realice la entidad encargada del
registro de los valores a la entidad emisora.
-
Obtener los datos de los accionistas a través de la entidad encargada del
registro de los valores.
-
Guardar los datos de los accionistas en una carpeta del servidor de la
entidad emisora.
-
Utilizar los datos de los accionistas para convocarles a la Junta General de
accionistas.
Responsable del fichero
Responsable del fichero es cualquier persona física o jurídica, de naturaleza
pública o privada que decide sobre la finalidad y contenido del tratamiento de
los datos, así como sobre el uso que se va a dar a los datos de carácter
personal resultantes del tratamiento.
Por ejemplo, la entidad emisora es responsable de todos los ficheros de datos
personales de los accionistas, de sus trabajadores, de sus proveedores, etc.
4
(vii)
Encargado del tratamiento
El encargado del tratamiento es aquella persona física o jurídica, autoridad
pública, servicio o cualquier otro organismo que, siguiendo las instrucciones
del responsable del fichero, trata aquellos datos personales a los que el
responsable del fichero autoriza el acceso.
Por ejemplo, aquellos prestadores de servicios auxiliares contratados por la
entidad emisora para la prestación del servicio puntual de envío de
notificaciones para la convocatoria de la Junta General.
(viii)
Cesión o comunicación de datos
La cesión es toda revelación de datos realizada por una persona distinta del
interesado.
Por ejemplo, la cesión de datos de los accionistas que realiza la entidad
encargada del registro de los valores a la entidad emisora.
4.2.
Cesión de datos realizada por la entidad encargada del registro de los valores
representados por medio de anotaciones en cuenta a las entidades emisoras
Actualmente el artículo 497 de la LSC recoge el derecho de las sociedades emisoras a
conocer la identidad de sus accionistas en los siguientes términos:
“Las entidades que, de acuerdo con la normativa reguladora del mercado de
valores, hayan de llevar los registros de los valores representados por medio
de anotaciones en cuenta están obligadas a comunicar a la sociedad emisora,
en cualquier momento que lo solicite y con independencia de que sus acciones
tengan o no que ser nominativas por disposición legal, los datos necesarios
para la identificación de los accionistas, incluidas las direcciones y medios de
contacto de que dispongan, para permitir la comunicación con aquellos.
Reglamentariamente se podrán concretar los aspectos técnicos y formales
necesarios para el ejercicio de este derecho por parte de la sociedad
emisora.” 3[El subrayado y la negrita son nuestras].
De conformidad con el precepto legal citado, las entidades emisoras pueden recabar
cierta información con respecto a sus accionistas. Dicha previsión legal se debe enlazar
3
El Anteproyecto de la LSC para la mejora del gobierno corporativo plantea la reforma del precepto reproducido en
los párrafos precedentes. La reforma prevista pretende ampliar el derecho de información de forma que toda
entidad emisora, las asociaciones de accionistas y los accionistas que individual o conjuntamente tengan una
participación de, al menos, el tres por ciento del capital social, tengan derecho a obtener en cualquier momento
de las entidades que lleven los registros de valores los datos correspondientes a los accionistas, incluidos
direcciones y medios de contacto de que disponga.
5
con lo dispuesto en la normativa de protección de datos, porque la información que se
va a obtener por la entidad emisora son datos de carácter personal (e.g.:nombre,
apellidos, dirección postal, número de acciones, etc.).
A la luz de la normativa de protección de datos, la LSC exige que las entidades
encargadas de llevar los registros de valores representados por medio de anotaciones
en cuenta deben ceder los datos de contacto de los accionistas si las entidades
emisoras se los requieren. El artículo 11.2.a) de la LOPD contempla que cuando “la
cesión está autorizada por una ley” no es necesario contar con el consentimiento de
los afectados toda vez que, como ya quedó puesto de relieve con el propio precepto
transcrito, la cesión deriva de un mandato legal y, por ende, queda autorizada
legalmente. Asimismo, tampoco será necesario informar al accionista de dicha cesión,
porque el artículo 27.2 de la LOPD no impone la obligación de informar sobre la cesión
“cuando la cesión venga impuesta por ley”, como ocurre en el caso que nos ocupa.
La finalidad de esta cesión será facilitar la comunicación de la sociedad emisora con
sus propios accionistas. En consecuencia, los datos que se cederán son únicamente los
necesarios para el adecuado desarrollo de la actividad societaria que requiere de cierta
información del socio. En este sentido, el artículo 497 LSC prevé expresamente solo la
cesión de datos personales de “identificación, direcciones y medios de contacto de que
se dispongan”.
Así, la relación que surge entre la entidad encargada del registro de los valores y la
entidad emisora es de cedente y cesionario respectivamente. La cesión de datos queda
habilitada por el artículo 497 LSC, por lo que el depositario de valores tiene la
obligación de ceder toda información identificativa de los accionistas a la entidad
encargada de la llevanza del registro de los valores representados por medio de
anotaciones en cuenta, y ésta, a la sociedad emisora para que, a su vez, pueda
comunicarse con los accionistas a los meros efectos del adecuado desarrollo de la
relación societaria.
4.3.
Depuración o actualización de datos de ficheros preexistentes en las entidades
emisoras
Una de las obligaciones del responsable del fichero es garantizar que los datos de
carácter personal sean exactos y puestos al día de forma que se correspondan con
veracidad a la situación actual del afectado (artículo 4.3 de la LOPD). Con esta práctica
se cumple con el principio de calidad del dato. Por este motivo, una vez la entidad
encargada del registro de los valores ceda los datos requeridos, la sociedad emisora ha
de confrontar esa nueva información con la que disponía en sus ficheros para depurar
aquellos datos de los accionistas que ya no han de constar en sus registros e incluir los
nuevos que van a pasar a nutrir su fichero. De este modo evitará tratar datos que no
sean pertinentes y adecuados.
6
La actualización de datos analizada con anterioridad nada tiene que ver con el tipo de
depuración que contempla el artículo 47 del RLOPD. Dicho precepto hace referencia a
la venta cruzada. A través de este procedimiento se contrastan bases de datos de
clientes de varios responsables del fichero (por ejemplo: de varias empresas de un
mismo grupo) para conocer las personas que ya son clientes de una de ellas, pero
todavía no lo son del resto y sin embargo son potenciales clientes nuevos 4. Esta
depuración de datos con fines comerciales constituye una cesión de datos, que
normalmente va a requerir del consentimiento informado del afectado.
4.4.
Implicaciones de la recogida de los datos de los accionistas para la nueva finalidad
comercial en relación al fichero de accionistas
La entidad emisora en su condición de responsable del fichero tiene el deber de
notificar, con anterioridad al uso de los datos de carácter personal incluidos en un
fichero, el tratamiento que efectuará sobre los datos y su finalidad ante el Registro
General de Protección de Datos (en adelante el “RGPD”) de la Agencia Española de
Protección de Datos (en adelante la “AEPD”). De igual manera, deberá asegurarse que
los datos declarados ante el RGPD se encuentren actualizados, por lo que cada
modificación al respecto debe ser notificada al mismo Registro. El RGPD es público y
puede ser consultado por todo aquel que quiera conocer la finalidad del fichero y los
datos que en él se incluyen, de ahí la importancia de que lo que allí se notifique se
corresponda con la realidad material 5. Además, la base de datos del RGPD se
encuentra
disponible
en
Internet
en
la
siguiente
dirección:
http://www.agpd.es/portalwebAGPD/ficheros_inscritos/index-ides-idphp.php
Así, por ejemplo, si se ha declarado un fichero denominado “Accionistas” en el que se
indica que los datos a tratar son el D.N.I. /N.I.F., nombres y apellidos, dirección y
teléfono, pero en realidad, además de estos datos se tratan los números de acciones
que corresponden al accionista y esto no ha sido declarado, el responsable del fichero
estaría incumpliendo con su deber de notificación.
Por esta razón, es importante realizar un examen jurídico interno en cada una de las
sociedades emisoras para determinar qué ficheros declarados afectan al tratamiento
de los datos de los accionistas. Con ello se examinará si el alcance de los ficheros
inscritos es suficiente o requiere de alguna modificación (e.g.: la tipología de datos, la
finalidad del tratamiento, etc.).
4
5
Informe del Gabinete Jurídico de la AEPD: 0257/2011
http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestiones/common/pdfs/2
011-0257_tratamiento-de-datos-en-campa-n-as-publicitarias..pdf
El artículo 14 de la LOPD dispone :
“Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección
de datos, la existencia de tratamiento de datos de carácter personal, sus finalidades y la identidad del responsable
del tratamiento. El Registro General será de consulta pública y gratuita.”
7
En lo que respecta a la nueva finalidad comercial, además de comprobar que existe un
fichero que soporte ese nuevo tratamiento, es necesario conocer si el accionista o
interesado ha manifestado su negativa u oposición a que sus datos sean objeto de
tratamiento con fines de publicidad o prospección comercial.
También será necesario verificar que el interesado no haya solicitado su inclusión en
ficheros comunes de exclusión (las denominadas listas “Roobinson”). Dichos ficheros
pueden ser de carácter general o sectorial y permiten al afectado manifestar su
negativa u oposición a recibir publicidad. La consulta de este tipo de ficheros permite
evitar el tratamiento de datos de los afectados que hubieran manifestado su oposición
o negativa a ese tratamiento (artículos 48 y 49 del RLOPD).
4.5.
Necesidad de recabar el consentimiento informado del afectado para el uso de sus
datos con fines comerciales
4.5.1.
Consentimiento tácito o expreso
La AEPD ha señalado que el consentimiento, salvo cuando el tratamiento se refiere a
los datos especialmente protegidos (como los datos de salud, ideología, origen racial,
etc.), podrá obtenerse de forma expresa o tácita 6, es decir, tanto como consecuencia
de una afirmación específica del afectado en ese sentido (expreso), como mediante la
falta de manifestación contraria al tratamiento (tácito) 7.
Como ya hemos mencionado en el epígrafe 4.1 de este documento, al contar con la
habilitación legal del artículo 497 LSC, no es preciso recabar el consentimiento de los
accionistas para acceder a sus datos y tratarlos con la finalidad de comunicarse con
ellos a los meros efectos del desarrollo de la relación societaria. No obstante, si el
propósito es enviarles además publicidad o realizar promociones comerciales será
necesario contar con su consentimiento inequívoco, ya que este tratamiento excede
de la finalidad con la que se recabaron inicialmente los datos. El envío de mensajes
comerciales sin consentimiento previo está prohibido por la legislación española 8. Con
ello se trata de equilibrar el respeto a la intimidad personal con las técnicas de
publicidad.
6
7
8
Informe del Gabinete Jurídico AEPD 0201/2010
http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/2010
-0201_Cesi-oo-n-datos-trabajadores-a-base-datos-com-uu-n.-Lista-negra.-consentimiento-no-libre-deltrabajador.pdf
Informe del Gabinete Jurídico de la AEPD: 0049/2007
http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/consentimiento/common/pdfs/20
07-0049_tratamiento-de-datos-a-traves-de-p-aa-ginas-web.pdf
Procedimiento sancionador de la AEPD: 00463/2013
http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2014/common/pdfs/PS00463-2013_Resolucion-de-fecha-14-01-2014_Art-ii-culo-21.2-LSSI.pdf.
8
4.5.2.
Procedimiento y formas de obtención del consentimiento
El artículo 45 del RLOPD establece que para tratar los datos con fines publicitarios o de
prospección comercial habrá que recabar el consentimiento de los afectados,
habiéndoles informado “a los interesados sobre los sectores específicos y concretos de
actividad respecto de los que podrá recibir información y publicidad” 9.
Cuando se señale el sector sobre el cual se enviará la publicidad o prospección
comercial se debe tener en consideración la doctrina autorizada de la AEPD. En este
sentido, se rechazan vocablos como “financiero”, ya que per se resulta demasiado
genérico. Esa amplitud del término hace que no se pueda inferir que con esta
información el afectado pueda prestar un consentimiento inequívoco. Por ello, se
deberá recabar el consentimiento de los interesados especificando claramente el
sector concreto de la actividad sobre el que va a recibir publicidad.
Para que las sociedades emisoras puedan obtener el consentimiento de los accionistas
afectados con fines publicitarios, el artículo 14 del RLOPD nos ofrece una vía. En
atención a la misma se podría recabar el consentimiento tácito para el envío de
publicidad a los accionistas en una primera comunicación remitida por la entidad
emisora el accionista una vez conocidos sus datos de identificación. En esta misiva la
sociedad emisora debería advertir a los accionistas que cuentan con un plazo mínimo
de treinta días para manifestar su negativa al tratamiento de los datos con fines
publicitarios 10, advirtiéndoles de que en caso de no pronunciarse a tal efecto se
entenderá que consienten el tratamiento de sus datos de carácter personal (artículo
14.2 del RLOPD).
Es importante tener en cuenta que si la sociedad emisora utiliza esta vía es necesario
tener constancia de si la comunicación ha sido objeto de devolución por cualquier
causa, en cuyo caso no se podría proceder al uso de los referidos datos con fines
publicitarios o de prospección comercial.
Asimismo, la sociedad emisora ha de facilitar a los accionistas un medio sencillo y
gratuito para manifestar su negativa al tratamiento de los datos 11. En concreto, se
podrían utilizar procedimientos como, por ejemplo, los envíos prefranqueados o el
9
10
11
Informe del Gabinete Jurídico de la AEPD: 0352/2009
http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/consentimiento/common/pdfs/
2009-0352_Solicitud-de-consentimiento-para-env-ii-o-de-publicidad-de-terceros.pdf
Archivo de actuaciones de la AEPD E/01295/2010
http://www.agpd.es/portalwebAGPD/resoluciones/archivo_actuaciones/archivo_actuaciones_2010/common/p
dfs/E-01295-2010_Resolucion-de-fecha-16-06-2010_Art-ii-culo-11.1-LOPD.pdf
Informe del Gabinete Jurídico AEPD: 0047/2009
http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/deber_informacion/common/pd
fs/2009-0047_Deber-de-informaci-oo-n-en-el-caso-de-relaci-oo-n-contractual.-consentimiento-para-uso-de-losdatos-con-fines-comerciales.pdf
9
facilitar un número telefónico gratuito o el recurso a los servicios de atención
dispuestos para los clientes (artículo 14.4 del RLOPD) 12.
Ahora bien, si el accionista afectado comunica a la entidad emisora su oposición al
tratamiento de los datos planteado, la sociedad emisora no podrá solicitarle
nuevamente su consentimiento para enviarle publicidad de cualquier tipo hasta
transcurrido un año desde la fecha del envío (artículo 14.5 del RLOPD).
En esta nota se adjunta una propuesta de cláusula de cesión de datos que la entidad
emisora podría remitir al accionista siguiendo el procedimiento expuesto (Vid. Anexo
I). Dicho texto se podría, por ejemplo, insertar en una carta de bienvenida a la
sociedad o en cualquier tipo de comunicación periódica que se pudiera remitir al
accionista.
Otra alternativa para recabar el consentimiento de los accionistas a la recepción de
publicidad de la entidad emisora podría ser solicitar el consentimiento para el citado
uso de sus datos en el propio contrato de depositaría y administración de valores que
cada accionista suscribe con la entidad depositaria. Ahora bien, ello supondría que la
entidad depositaria sería responsable del control de la recepción del consentimiento.
En este sentido, no contemplamos en la presente nota esta posibilidad por entender
que, a efectos prácticos, plantea importantes problemas de ejecución, lo que
entendemos la hace escasamente viable.
4.5.3.
Importancia de la prueba del consentimiento
La entidad emisora que pretenda obtener el consentimiento de los afectados para
tratar sus datos deberá valerse de los medios necesarios para que no quepa ninguna
duda sobre el efectivo consentimiento prestado, es decir, que el tratamiento ha sido
consentido de modo claro y expreso 13. Dichos medios deberán ser fiables y
auditables 14.
La sociedad emisora debe poder acreditar con algún medio de prueba válido en
Derecho que ha obtenido el consentimiento de los afectados a fin de enviarles
publicidad. Normalmente se efectuará acreditando que se ha ofrecido al accionista o
interesado información clara y suficiente, así como evidenciando que ha gestionado
12
13
14
Informe del Gabinete Jurídico de la AEPD: 0291/2009
http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/derecho_acceso_rectificacion_c
ancelacion_oposicion/common/pdfs/2009-0291_Derecho-de-oposici-oo-n-al-tratamiento-de-datos-paraactividades-de-publicidad-y-prospecci-oo-n-comercial.pdf.
Sentencia Audiencia Nacional (Sala de lo Contencioso-Administrativo, Sección 1ª) de 17 de noviembre de 2011
(JUR\2011\429813).
Informe del Gabinete Jurídico AEPD: 0047/2009
http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/deber_informacion/common/pd
fs/2009-0047_Deber-de-informaci-oo-n-en-el-caso-de-relaci-oo-n-contractual.-consentimiento-para-uso-de-losdatos-con-fines-comerciales.pdf
10
adecuadamente el envío de la comunicación y la verificación de la entrega de la
misma, así como que no obra respuesta negativa del afectado.
Si las entidades emisoras generan información periódica o reiterada, la comunicación
en la que se ofrece al afectado la información del tratamiento de datos y el plazo de
oposición puede hacerse conjuntamente con la información o comunicaciones
enviadas a los accionistas. Ahora bien, convendría reflejarlo de forma clara y visible,
por ejemplo, como apunta la doctrina, resaltando el mensaje en otro color o
ubicándolo de manera que el interesado lo visualice fácilmente.
4.5.4.
Principio de información
Además del principio del consentimiento, la normativa de protección de datos
establece el principio de información, que en muchas ocasiones van anudados. En
virtud de éste último, se reconoce al titular de los datos un derecho de información
previo al otorgamiento del consentimiento. Concretamente, se establece que el titular
debe ser informado (expresa, precisa e inequívocamente) acerca de los siguientes
extremos:
(i)
De la existencia de un fichero o tratamiento de datos de carácter personal, de
la finalidad de la recogida de éstos y de los destinatarios de la información.
(ii)
De la identidad y dirección del responsable del tratamiento o, en su caso, de su
representante.
(iii)
De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación
y oposición.
(iv)
Del carácter obligatorio o facultativo de su respuesta a las preguntas que les
sean planteadas.
(v)
De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
En la práctica, los dos últimos puntos señalados (iv y v) no se suelen incluir en las
políticas de privacidad o en las cláusulas de protección de datos. Ello se debe a que
normalmente ya se desprende esa información del resto de los términos contractuales
(artículo 5.3 de la LOPD).
En el caso del tratamiento de los datos de los accionistas por parte de las entidades
emisoras para su uso exclusivo societario no es necesario informar (artículo 27.2 de la
LOPD en relación al artículo 497 de la LSC). Sin embargo, si se desean explotar esos
datos para fines comerciales sí es necesario informar en los términos planteados
(artículo 45.1 del RLOPD).
11
4.6.
Cesión de datos a filiales
Como ya hemos definido en el epígrafe 4.1.viii de esta nota, cesión es toda revelación
de datos realizada por una persona distinta del interesado. Así, la comunicación de los
datos de los accionistas que pudiera realizarse entre las empresas del grupo al que
pertenezca la emisora constituye una cesión.
Con carácter general se exige el consentimiento previo del accionista para la
comunicación de sus datos. Así, a tenor de lo dispuesto en el artículo 11.1 de la LOPD,
“(…) los datos sólo podrán ser comunicados a un tercero para el cumplimiento de fines
directamente relacionados con las funciones legítimas del cedente y del cesionario con
el previo consentimiento del interesado”.
Previa a la cesión de cualquier dato a una de las empresas del grupo será necesario
obtener el consentimiento informado del afectado o accionista en los términos
exigidos por el artículo 11.3 de la LOPD. A tal efecto, se deberá informar al accionista
de la finalidad para la cual el cesionario tratará sus datos, así como del tipo de
actividad de éste último.
La AEPD ha establecido que la comunicación de datos entre las empresas de un mismo
grupo será lícita siempre y cuando se efectúe, en todo caso, dentro de los límites
contenidos en la cláusula que se remita al afectado, y su consentimiento deberá
entenderse en todo caso referido exclusivamente a los términos de dicha cláusula 15.
4.6.1.
Diferencia entre cesión y acceso a datos
Dado que las entidades emisoras efectuarán cesiones y autorizarán el acceso a los
datos de los accionistas bajo determinadas circunstancias, por las consecuencias que
se derivan de uno y de otro tratamiento es importante diferenciar ambas figuras.
No se considera cesión de datos el acceso de un tercero a los datos cuando dicho
acceso es necesario para la prestación de un servicio al responsable del fichero o del
tratamiento.
El acceso de datos es una excepción al régimen legal establecido para los supuestos de
cesión o comunicación de datos, y como tal, debe ser objeto de interpretación
restrictiva.
La figura del acceso a datos tiene cabida en aquellos casos en que la entidad receptora
de los datos se limita a efectuar determinadas operaciones sobre los mismos, sin
decidir sobre su finalidad.
15
Informe del Gabinete Jurídico de la AEPD: 0325/2004
http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/20
04-0325_Comunicaci-oo-n-de-datos-entre-empresas-de-un-mismo-grupo..pdf
12
Existe cesión cuando quien recibe los datos puede aplicar los mismos a sus propios y
particulares intereses, decidiendo sobre el objeto y finalidad del tratamiento,
convirtiéndose en responsable del fichero o del tratamiento 16.
Por ejemplo, si otras empresas del grupo al que pertenece la entidad emisora quieren
también remitir su propia publicidad al accionista, serán esas nuevas destinatarias
quienes decidan como van a gestionar los datos de los accionistas. En consecuencia,
estaríamos ante una cesión. Ahora bien, si la entidad emisora subcontrata el envío de
la publicidad a los accionistas a una agencia, pero el contenido de dicha acción
comercial y los destinatarios de la misma son marcados por la entidad emisora
estaremos ante un acceso a datos, no una cesión.
4.6.2.
Relación de la entidad emisora con el encargado del tratamiento o prestador de
servicios auxiliares. Contrato de acceso a datos
Teniendo en cuenta lo expuesto, entendemos que las entidades emisoras tienen
necesidad de contar con la prestación de servicios para llevar a cabo ciertos
tratamientos (e.g.: para el envío de las comunicaciones dirigidas a sus accionistas). Esta
relación entre la entidad emisora y su prestador de servicios auxiliares o encargado del
tratamiento debe incardinarse dentro de los parámetros previstos por el artículo 12 de
la LOPD. De ahí que es necesario contar con el denominado contrato de acceso a
datos.
Para una mayor referencia, a continuación sintetizaremos los aspectos o requisitos que
con carácter mínimo deberían reflejarse en el contrato de acceso a datos a suscribir
entre la entidad emisora y el encargado del tratamiento 17:
16
17
(i)
El emisor responsable del fichero debe ser diligente en la elección del
encargado del tratamiento y en la supervisión de la prestación del servicio
(artículo 9.1 de la LOPD y artículos 20, 88.5 y 96.1 del RLOPD).
(ii)
El contrato debe constar por escrito o en alguna forma que permita acreditar
su celebración y contenido (artículo 12.2 de la LOPD).
(iii)
El encargado del tratamiento o prestador de los servicios únicamente tratará
los datos conforme a las instrucciones del responsable del fichero (artículo 4
Informe del Gabinete Jurídico de la AEPD: 0227/2010
http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/conceptos/common/pdfs/20100227_Condici-oo-n-de-encargado-del-tratamiento-de-empresa-contratada-para-destruir-documentaci-oo-n.pdf
Informe del Gabinete Jurídico de la AEPD: 0177/2010
(http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/ambito_aplicacion/common/pd
fs/2010-0177_La-externalizaci-oo-n-de-determinados-servicios-puede-estar-excluida-de-la-LOPD-o-constituirun-contrato-de-encargado-del-tratamiento..pdf).
Informe del Gabinete Jurídico de la AEPD: 0620/2009
(http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/medidas_seguridad/common/p
dfs/2009-0620_Adopci-oo-n-de-medidas-de-seguridad-por-el-encargado-del-tratamiento.pdf ).
13
LOPD y artículo 18 del RLOPD). Por ello, no podrá aplicarlos, ni utilizarlos para
un fin distinto al pactado.
Son ilícitas en relación al tratamiento encomendado las delegaciones genéricas
o que no delimiten las actuaciones concretas que debe realizar el encargado
del tratamiento.
(iv)
Enlazando con lo señalado en el párrafo anterior, la finalidad de dicho contrato
debe ser real, específica y determinada. La actuación del encargado del
tratamiento debe limitarse a la prestación de los servicios objeto de la
contratación (artículo 12.1 de la LOPD y artículo 20.1 del RLOPD).
(v)
El contrato debe fijar la duración y el período de vigencia del encargo.
(vi)
Se debe prohibir al encargado del tratamiento dar acceso, ceder o comunicar
los datos que se le suministran a terceros, ni siquiera para su conservación
(artículo 12.2 de la LOPD). En este sentido, resulta conveniente enunciar las
consecuencias que se originarían por la extralimitación del encargado del
tratamiento (artículo 12.4 de la LOPD).
(vii)
El contrato ha de recoger las medidas de seguridad que el encargado del
tratamiento deberá aplicar en el tratamiento de los datos a los que acceda. En
principio, serán las mismas que aquéllas impuestas al responsable del fichero
(artículos 9 y 12.2 de la LOPD y el artículo 82 del RLOPD).
(viii)
El encargado del tratamiento y, por ende, sus empleados deben observar el
deber de secreto profesional (artículo 10 de la LOPD y artículo 82.1 del
RLOPD).
(ix)
Se ha de pactar si los derechos de acceso, rectificación, cancelación y/u
oposición han de ser o no tramitados por el encargado del tratamiento bajo
instrucciones del responsable del fichero (artículo 26 del RLOPD).
(x)
Si el emisor autoriza la subcontratación se deben reflejar los requisitos
normativos previstos para ello en el artículo 21 del RLOPD. En caso contrario
se debe prohibir expresamente la subcontratación.
(xi)
En cuanto a la devolución, destrucción o bloqueo de los datos, una vez
finalizado el servicio, el encargado del tratamiento debe seguir las
instrucciones dictadas por el responsable del fichero (artículo 12.3 LOPD y
artículo 22.1 y 2 del RLOPD).
Como regla general, el encargado del tratamiento no deberá conservar los
datos relacionados con la prestación del servicio, a menos que ello fuera
14
necesario para atender a las responsabilidades derivadas de su contrato y para
esta exclusiva finalidad, en cuyo caso debería bloquearlos.
Fuera de los requisitos intrínsecos del contrato de acceso a datos, es importante tener
en cuenta que deberá incluirse una cláusula en la que se informe a los apoderados de
las partes del contrato: de la existencia de un fichero, del responsable del mismo, de la
tipología de datos tratados, de la finalidad de la recogida y de la posibilidad que tienen
de ejercer sus derechos de acceso, rectificación, cancelación y/u oposición (artículo 5
de la LOPD).
En definitiva, los servicios que la sociedad emisora contrata con cualquier prestador de
servicios auxiliares se enmarca dentro del contrato de acceso a datos, dado que se
trata de un encargo puntual. En la medida en que la entidad emisora siga ostentando
la capacidad de disposición sobre los datos y el prestador de servicios auxiliares se
limite a ejecutar el mandato encomendado, siempre siguiendo los parámetros fijados
por la sociedad emisora, estaremos ante un acceso a datos.
5.
CONCLUSIONES
A la luz del análisis realizado, indicamos a continuación las siguientes conclusiones:
(i)
La cesión de datos entre la entidad encargada del registro de los valores
representados por anotaciones en cuenta y la entidad emisora se encuentra
amparada por el artículo 497 LSC. Por esta razón, desde el punto de vista de la
normativa de protección de datos, no será necesario el consentimiento
informado de los interesados siempre que se enmarque dentro de la finalidad
señalada en el precepto apuntado, es decir, se podrá utilizar para comunicarse
con el accionista en el ámbito de la relación societaria que une a la entidad
emisora con aquél.
(ii)
Para el tratamiento de datos de los accionistas con la finalidad de enviar
publicidad o prospección comercial será necesario contar con el
consentimiento expreso o tácito informado de los afectados. El
consentimiento inequívoco requiere especificar el sector concreto de la
actividad sobre el que se desea recibir publicidad.
(iii)
Si la entidad emisora se acoge a la posibilidad del consentimiento tácito,
deberá salvar el espinoso problema de acreditar tanto la recepción de la
comunicación, como que no ha habido oposición expresa al envío de la
publicidad en el plazo de treinta días. En este sentido, se requerirá de un
protocolo detallado de actuación que incluya control de envíos, control de
devoluciones, etc.
15
(iv)
La comunicación de datos a empresas del grupo de la entidad emisora para
que éstas puedan a su vez remitir publicidad constituye una cesión de datos,
que exige del consentimiento informado del accionista.
(v)
Cuando la entidad emisora subcontrate a un tercero un servicio que implique
la necesidad de acceder a los datos de los accionistas (por ejemplo: si cuenta
con una sociedad que se encarga del envío postal de las comunicaciones con
los accionistas) deberá suscribir con dicho tercero un contrato de acceso a
datos.
Valencia, a 6 de marzo de 2014
Área Mercantil
16
ANEXO I
De acuerdo con lo dispuesto en la normativa de protección de datos, le informamos que sus
datos identificativos y relativos a sus acciones [por favor completad en su caso] han sido
incorporados a un fichero del que es responsable [por favor, indicad la razón social de sociedad
emisora que corresponda] con la finalidad de gestionar y desarrollar la relación que
mantenemos con Usted dada su condición de socio de [por favor, indicad la razón social de
sociedad emisora que corresponda].
[OPCIÓN 1: Sin cesión a otras empresas del grupo
Si lo desea le remitiremos información comercial y publicidad comportamental, incluso por
medios electrónicos, sobre nuestros productos y servicios. A tal efecto, si no marca con una X
la casilla que figura a continuación otorga su consentimiento para que [por favor indicad la
razón social de sociedad emisora que corresponda] trate sus datos para la finalidad descrita en
este párrafo ☐].
[OPCIÓN 2: Con cesión a otras empresas del grupo
Si lo desea [por favor indicad la razón social de sociedad emisora que corresponda] tratará sus
datos para remitirle información comercial y publicidad comportamental, incluso por medios
electrónicos, sobre nuestros productos y servicios; y cederá tales datos a otras empresas del
grupo [por favor completad], cuyas actividades se relacionan con los sectores [por favor
completad], con la finalidad de que le informen, incluso por medios electrónicos, de los
productos que comercialicen, que se ajuste a su perfil. La razón social y el domicilio para el
ejercicio de sus derechos de acceso, rectificación, cancelación y oposición de las sociedades del
grupo la puede hallar en www.* [por favor completad].
A tal efecto, si no desea ser informado de nuestros productos y servicios, incluso teniendo en
cuenta sus preferencias, y/o de los de las otras empresas del grupo hágalo constar marcando
las casillas que se muestran a continuación:
No consiento la recepción información comercial y publicidad comportamental, incluso
por medios electrónicos, relativa a los productos y servicios de [por favor indicad la
razón social de sociedad emisora que corresponda] ☐.
No consiento la recepción información comercial y publicidad comportamental, incluso
por medios electrónicos, relativa a los productos y servicios de las empresas del grupo
mencionadas ☐].
Le advertimos que si en un plazo de treinta (30) días desde la recepción de la presente
comunicación no se opone al tratamiento y cesión de sus datos para los fines anteriormente
citados consentirá dicho tratamiento y cesión. Usted puede manifestar su negativa a la
17
comunicación de sus datos y al tratamiento de los mismos para todos o alguno de los fines
distintos de los directamente relacionados con el mantenimiento, desarrollo y gestión de la
relación derivada de su condición de socio, remitiendo este escrito con la casilla
correspondiente marcada a la siguiente dirección: [convendría indicar la msima dirección
concreta inscrita a tal efecto ante el Registro General de Protección de Datos]. Asimismo, le
informamos que podrá ejercitar sus derechos de acceso, cancelación, rectificación y/u
oposición ante la antedicha dirección.
18
Descargar