ANÁLISIS JURÍDICO DEL TRATAMIENTO DE LOS DATOS DE LOS ACCIONISTAS POR PARTE DE LAS SOCIEDADES EMISORAS BROSETA ABOGADOS, S.L.P. C.I.F. B-96818828 Inscrito en el Registro Mercantil de Valencia, Tomo 9361, Libro 6643, Folio 181, Sección 8, Hoja V-63108 1. ANTECEDENTES Actualmente todas las sociedades cotizadas, con independencia del carácter de sus acciones (nominativas o al portador), tienen habilitación legal para solicitar y recibir de la entidad que lleva el registro de los valores representados por anotaciones en cuenta, la información relativa a la identidad y datos de contacto de sus accionistas (artículo 497 del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital). Atendiendo a lo dispuesto en la normativa sobre protección de datos, la entidad que gestiona los registros de valores remite a las sociedades emisoras por imperativo legal información que únicamente puede utilizarse por las entidades receptoras en el marco de la relación societaria-accionarial que les vincula 1. Dicha cesión de datos comporta una serie de implicaciones en materia de protección de datos. Por ello, las entidades emisoras se plantean, en primer lugar, el procedimiento a seguir para cumplir con la citada normativa sobre protección de datos y, con carácter adicional, surge la cuestión de si es posible el uso de estos datos de los accionistas con otros fines (e.g.: comerciales o publicitarios). 2. OBJETO DE LA CONSULTA A tenor de lo expuesto, en la presente nota se analizarán las siguientes cuestiones: 1 (i) Conceptos básicos en materia de protección de datos. (ii) Cesión de datos realizada por la entidad encargada de llevar los registros de los valores representados por medio de anotaciones en cuenta a las entidades emisoras. (iii) Depuración o cruce de datos de ficheros preexistentes en las entidades emisoras. (iv) Implicaciones de la recogida de los nuevos datos de los accionistas para la nueva finalidad comercial en relación a los ficheros de las entidades emisoras. Informe del Gabinete Jurídico AEPD 0338/2012 http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/common/pdf_destacados/20120338_Acceso-a-libro-de-registro-de-socios..pdf. Pascual y Genís, 5. 46002 Valencia. Tel. 963 921 006/07 Fax. 963 921 088 info@broseta.com www.broseta.com Fernando el Santo, 15. 28010 Madrid. Tel. 914 323 144 Fax. 914 323 255 info@broseta.com www.broseta.com (v) Necesidad de consentimiento informado del afectado para el uso de sus datos con fines comerciales (tácito / expreso). Procedimiento y formas de obtención del consentimiento. Importancia de la prueba. (vi) Cesión de datos a filiales. (vii) Relación de la entidad emisora con el encargado del tratamiento o prestador de servicios auxiliares. Contrato de acceso a datos. Como anexo se incluye una propuesta de cláusula de protección de datos o de privacidad que sometemos a la valoración de las entidades emisoras. En la misma se informa y recaba el consentimiento de los antiguos y nuevos socios para el uso de sus datos con fines comerciales y publicitarios. 3. NORMATIVA APLICABLE Y DOCTRINA AUTORIZADA La normativa que, con carácter especial, se tendrá en consideración para el análisis del tratamiento y cesión de datos con fines publicitarios es la que se indica a continuación: (i) Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (en adelante la “LSSICE”). (ii) Ley Orgánica de Protección de Datos de carácter personal 15/1999, de 13 de diciembre (en adelante la “LOPD”) y su Reglamento de Desarrollo aprobado por el Real Decreto 1720/2007, de 21 de diciembre, (en adelante el “RLOPD”). (iii) Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital (en adelante “LSC”). 4. ANÁLISIS JURÍDICO DE LAS IMPLICACIONES DEL TRATAMIENTO DE DATOS DE LOS ACCIONISTAS POR LAS SOCIEDADES EMISORAS 4.1. Conceptos básicos en materia de protección de datos (i) Dato de carácter personal Se considera dato de carácter personal cualquier información concerniente a las personas físicas identificadas o identificables. Dicha información podrá ser numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. 2 Por ejemplo, se consideran datos personales el nombre y los apellidos del accionista, así como el número de acciones y la numeración de las mismas que éste ostenta 2. Quedan excluidos de la noción de dato personal los referidos a: (ii) - Personas fallecidas. - Personas jurídicas. - Ciertos datos profesionales. En concreto, los datos de las personas físicas que presten sus servicios a personas jurídicas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. Afectado o interesado El afectado o interesado es la persona física titular de los datos que sean objeto del tratamiento. Por ejemplo, el accionista cuyos datos son objeto de tratamiento por parte de las entidades emisoras para la convocatoria de una Junta General de accionistas. (iii) Fichero Fichero es un conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso. El fichero comprende tanto los datos de carácter personal en formato papel como automatizado. Por ejemplo, comprende tanto los datos personales contenidos en carpetas físicas como los almacenados en el ordenador. Así, una entidad emisora tendrá su fichero “Accionistas”, porque organiza los datos de sus accionistas necesarios para el correcto desarrollo de la vida societaria. Es importante tener en cuenta que para que se trate de un fichero con datos sujeto a la normativa de protección de datos, éste debe permitir el acceso a los 2 Informe del Gabinete Jurídico AEPD 0306/2008 http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/20080306_No-se-admite-publicaci-oo-n-en-el-BORME-del-nombre-c--apellidos-c--n-uu-mero-de-accionista-y-numeracioo-n-de-las-acciones-de-cada-accionista.pdf 3 datos con arreglo a criterios determinados. Por ello, el fichero debe contar con algún criterio de ordenación que permita recuperar los datos de una persona determinada. (iv) Consentimiento del interesado El consentimiento en materia de protección de datos es una manifestación de voluntad libre, inequívoca, específica e informada, en virtud de la cual el afectado acepta el tratamiento de los datos que le conciernen. No resulta admisible deducir el consentimiento de los meros actos realizados por el afectado, siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento. (v) Tratamiento de datos de carácter personal Por tratamiento entendemos cualquier operación o procedimiento técnico que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Por ejemplo, se entiende por tratamiento de datos: (vi) - Comunicar o entregar los datos a un tercero, por ejemplo, la comunicación o entrega de datos que realice la entidad encargada del registro de los valores a la entidad emisora. - Obtener los datos de los accionistas a través de la entidad encargada del registro de los valores. - Guardar los datos de los accionistas en una carpeta del servidor de la entidad emisora. - Utilizar los datos de los accionistas para convocarles a la Junta General de accionistas. Responsable del fichero Responsable del fichero es cualquier persona física o jurídica, de naturaleza pública o privada que decide sobre la finalidad y contenido del tratamiento de los datos, así como sobre el uso que se va a dar a los datos de carácter personal resultantes del tratamiento. Por ejemplo, la entidad emisora es responsable de todos los ficheros de datos personales de los accionistas, de sus trabajadores, de sus proveedores, etc. 4 (vii) Encargado del tratamiento El encargado del tratamiento es aquella persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, siguiendo las instrucciones del responsable del fichero, trata aquellos datos personales a los que el responsable del fichero autoriza el acceso. Por ejemplo, aquellos prestadores de servicios auxiliares contratados por la entidad emisora para la prestación del servicio puntual de envío de notificaciones para la convocatoria de la Junta General. (viii) Cesión o comunicación de datos La cesión es toda revelación de datos realizada por una persona distinta del interesado. Por ejemplo, la cesión de datos de los accionistas que realiza la entidad encargada del registro de los valores a la entidad emisora. 4.2. Cesión de datos realizada por la entidad encargada del registro de los valores representados por medio de anotaciones en cuenta a las entidades emisoras Actualmente el artículo 497 de la LSC recoge el derecho de las sociedades emisoras a conocer la identidad de sus accionistas en los siguientes términos: “Las entidades que, de acuerdo con la normativa reguladora del mercado de valores, hayan de llevar los registros de los valores representados por medio de anotaciones en cuenta están obligadas a comunicar a la sociedad emisora, en cualquier momento que lo solicite y con independencia de que sus acciones tengan o no que ser nominativas por disposición legal, los datos necesarios para la identificación de los accionistas, incluidas las direcciones y medios de contacto de que dispongan, para permitir la comunicación con aquellos. Reglamentariamente se podrán concretar los aspectos técnicos y formales necesarios para el ejercicio de este derecho por parte de la sociedad emisora.” 3[El subrayado y la negrita son nuestras]. De conformidad con el precepto legal citado, las entidades emisoras pueden recabar cierta información con respecto a sus accionistas. Dicha previsión legal se debe enlazar 3 El Anteproyecto de la LSC para la mejora del gobierno corporativo plantea la reforma del precepto reproducido en los párrafos precedentes. La reforma prevista pretende ampliar el derecho de información de forma que toda entidad emisora, las asociaciones de accionistas y los accionistas que individual o conjuntamente tengan una participación de, al menos, el tres por ciento del capital social, tengan derecho a obtener en cualquier momento de las entidades que lleven los registros de valores los datos correspondientes a los accionistas, incluidos direcciones y medios de contacto de que disponga. 5 con lo dispuesto en la normativa de protección de datos, porque la información que se va a obtener por la entidad emisora son datos de carácter personal (e.g.:nombre, apellidos, dirección postal, número de acciones, etc.). A la luz de la normativa de protección de datos, la LSC exige que las entidades encargadas de llevar los registros de valores representados por medio de anotaciones en cuenta deben ceder los datos de contacto de los accionistas si las entidades emisoras se los requieren. El artículo 11.2.a) de la LOPD contempla que cuando “la cesión está autorizada por una ley” no es necesario contar con el consentimiento de los afectados toda vez que, como ya quedó puesto de relieve con el propio precepto transcrito, la cesión deriva de un mandato legal y, por ende, queda autorizada legalmente. Asimismo, tampoco será necesario informar al accionista de dicha cesión, porque el artículo 27.2 de la LOPD no impone la obligación de informar sobre la cesión “cuando la cesión venga impuesta por ley”, como ocurre en el caso que nos ocupa. La finalidad de esta cesión será facilitar la comunicación de la sociedad emisora con sus propios accionistas. En consecuencia, los datos que se cederán son únicamente los necesarios para el adecuado desarrollo de la actividad societaria que requiere de cierta información del socio. En este sentido, el artículo 497 LSC prevé expresamente solo la cesión de datos personales de “identificación, direcciones y medios de contacto de que se dispongan”. Así, la relación que surge entre la entidad encargada del registro de los valores y la entidad emisora es de cedente y cesionario respectivamente. La cesión de datos queda habilitada por el artículo 497 LSC, por lo que el depositario de valores tiene la obligación de ceder toda información identificativa de los accionistas a la entidad encargada de la llevanza del registro de los valores representados por medio de anotaciones en cuenta, y ésta, a la sociedad emisora para que, a su vez, pueda comunicarse con los accionistas a los meros efectos del adecuado desarrollo de la relación societaria. 4.3. Depuración o actualización de datos de ficheros preexistentes en las entidades emisoras Una de las obligaciones del responsable del fichero es garantizar que los datos de carácter personal sean exactos y puestos al día de forma que se correspondan con veracidad a la situación actual del afectado (artículo 4.3 de la LOPD). Con esta práctica se cumple con el principio de calidad del dato. Por este motivo, una vez la entidad encargada del registro de los valores ceda los datos requeridos, la sociedad emisora ha de confrontar esa nueva información con la que disponía en sus ficheros para depurar aquellos datos de los accionistas que ya no han de constar en sus registros e incluir los nuevos que van a pasar a nutrir su fichero. De este modo evitará tratar datos que no sean pertinentes y adecuados. 6 La actualización de datos analizada con anterioridad nada tiene que ver con el tipo de depuración que contempla el artículo 47 del RLOPD. Dicho precepto hace referencia a la venta cruzada. A través de este procedimiento se contrastan bases de datos de clientes de varios responsables del fichero (por ejemplo: de varias empresas de un mismo grupo) para conocer las personas que ya son clientes de una de ellas, pero todavía no lo son del resto y sin embargo son potenciales clientes nuevos 4. Esta depuración de datos con fines comerciales constituye una cesión de datos, que normalmente va a requerir del consentimiento informado del afectado. 4.4. Implicaciones de la recogida de los datos de los accionistas para la nueva finalidad comercial en relación al fichero de accionistas La entidad emisora en su condición de responsable del fichero tiene el deber de notificar, con anterioridad al uso de los datos de carácter personal incluidos en un fichero, el tratamiento que efectuará sobre los datos y su finalidad ante el Registro General de Protección de Datos (en adelante el “RGPD”) de la Agencia Española de Protección de Datos (en adelante la “AEPD”). De igual manera, deberá asegurarse que los datos declarados ante el RGPD se encuentren actualizados, por lo que cada modificación al respecto debe ser notificada al mismo Registro. El RGPD es público y puede ser consultado por todo aquel que quiera conocer la finalidad del fichero y los datos que en él se incluyen, de ahí la importancia de que lo que allí se notifique se corresponda con la realidad material 5. Además, la base de datos del RGPD se encuentra disponible en Internet en la siguiente dirección: http://www.agpd.es/portalwebAGPD/ficheros_inscritos/index-ides-idphp.php Así, por ejemplo, si se ha declarado un fichero denominado “Accionistas” en el que se indica que los datos a tratar son el D.N.I. /N.I.F., nombres y apellidos, dirección y teléfono, pero en realidad, además de estos datos se tratan los números de acciones que corresponden al accionista y esto no ha sido declarado, el responsable del fichero estaría incumpliendo con su deber de notificación. Por esta razón, es importante realizar un examen jurídico interno en cada una de las sociedades emisoras para determinar qué ficheros declarados afectan al tratamiento de los datos de los accionistas. Con ello se examinará si el alcance de los ficheros inscritos es suficiente o requiere de alguna modificación (e.g.: la tipología de datos, la finalidad del tratamiento, etc.). 4 5 Informe del Gabinete Jurídico de la AEPD: 0257/2011 http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestiones/common/pdfs/2 011-0257_tratamiento-de-datos-en-campa-n-as-publicitarias..pdf El artículo 14 de la LOPD dispone : “Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de datos, la existencia de tratamiento de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita.” 7 En lo que respecta a la nueva finalidad comercial, además de comprobar que existe un fichero que soporte ese nuevo tratamiento, es necesario conocer si el accionista o interesado ha manifestado su negativa u oposición a que sus datos sean objeto de tratamiento con fines de publicidad o prospección comercial. También será necesario verificar que el interesado no haya solicitado su inclusión en ficheros comunes de exclusión (las denominadas listas “Roobinson”). Dichos ficheros pueden ser de carácter general o sectorial y permiten al afectado manifestar su negativa u oposición a recibir publicidad. La consulta de este tipo de ficheros permite evitar el tratamiento de datos de los afectados que hubieran manifestado su oposición o negativa a ese tratamiento (artículos 48 y 49 del RLOPD). 4.5. Necesidad de recabar el consentimiento informado del afectado para el uso de sus datos con fines comerciales 4.5.1. Consentimiento tácito o expreso La AEPD ha señalado que el consentimiento, salvo cuando el tratamiento se refiere a los datos especialmente protegidos (como los datos de salud, ideología, origen racial, etc.), podrá obtenerse de forma expresa o tácita 6, es decir, tanto como consecuencia de una afirmación específica del afectado en ese sentido (expreso), como mediante la falta de manifestación contraria al tratamiento (tácito) 7. Como ya hemos mencionado en el epígrafe 4.1 de este documento, al contar con la habilitación legal del artículo 497 LSC, no es preciso recabar el consentimiento de los accionistas para acceder a sus datos y tratarlos con la finalidad de comunicarse con ellos a los meros efectos del desarrollo de la relación societaria. No obstante, si el propósito es enviarles además publicidad o realizar promociones comerciales será necesario contar con su consentimiento inequívoco, ya que este tratamiento excede de la finalidad con la que se recabaron inicialmente los datos. El envío de mensajes comerciales sin consentimiento previo está prohibido por la legislación española 8. Con ello se trata de equilibrar el respeto a la intimidad personal con las técnicas de publicidad. 6 7 8 Informe del Gabinete Jurídico AEPD 0201/2010 http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/2010 -0201_Cesi-oo-n-datos-trabajadores-a-base-datos-com-uu-n.-Lista-negra.-consentimiento-no-libre-deltrabajador.pdf Informe del Gabinete Jurídico de la AEPD: 0049/2007 http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/consentimiento/common/pdfs/20 07-0049_tratamiento-de-datos-a-traves-de-p-aa-ginas-web.pdf Procedimiento sancionador de la AEPD: 00463/2013 http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2014/common/pdfs/PS00463-2013_Resolucion-de-fecha-14-01-2014_Art-ii-culo-21.2-LSSI.pdf. 8 4.5.2. Procedimiento y formas de obtención del consentimiento El artículo 45 del RLOPD establece que para tratar los datos con fines publicitarios o de prospección comercial habrá que recabar el consentimiento de los afectados, habiéndoles informado “a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información y publicidad” 9. Cuando se señale el sector sobre el cual se enviará la publicidad o prospección comercial se debe tener en consideración la doctrina autorizada de la AEPD. En este sentido, se rechazan vocablos como “financiero”, ya que per se resulta demasiado genérico. Esa amplitud del término hace que no se pueda inferir que con esta información el afectado pueda prestar un consentimiento inequívoco. Por ello, se deberá recabar el consentimiento de los interesados especificando claramente el sector concreto de la actividad sobre el que va a recibir publicidad. Para que las sociedades emisoras puedan obtener el consentimiento de los accionistas afectados con fines publicitarios, el artículo 14 del RLOPD nos ofrece una vía. En atención a la misma se podría recabar el consentimiento tácito para el envío de publicidad a los accionistas en una primera comunicación remitida por la entidad emisora el accionista una vez conocidos sus datos de identificación. En esta misiva la sociedad emisora debería advertir a los accionistas que cuentan con un plazo mínimo de treinta días para manifestar su negativa al tratamiento de los datos con fines publicitarios 10, advirtiéndoles de que en caso de no pronunciarse a tal efecto se entenderá que consienten el tratamiento de sus datos de carácter personal (artículo 14.2 del RLOPD). Es importante tener en cuenta que si la sociedad emisora utiliza esta vía es necesario tener constancia de si la comunicación ha sido objeto de devolución por cualquier causa, en cuyo caso no se podría proceder al uso de los referidos datos con fines publicitarios o de prospección comercial. Asimismo, la sociedad emisora ha de facilitar a los accionistas un medio sencillo y gratuito para manifestar su negativa al tratamiento de los datos 11. En concreto, se podrían utilizar procedimientos como, por ejemplo, los envíos prefranqueados o el 9 10 11 Informe del Gabinete Jurídico de la AEPD: 0352/2009 http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/consentimiento/common/pdfs/ 2009-0352_Solicitud-de-consentimiento-para-env-ii-o-de-publicidad-de-terceros.pdf Archivo de actuaciones de la AEPD E/01295/2010 http://www.agpd.es/portalwebAGPD/resoluciones/archivo_actuaciones/archivo_actuaciones_2010/common/p dfs/E-01295-2010_Resolucion-de-fecha-16-06-2010_Art-ii-culo-11.1-LOPD.pdf Informe del Gabinete Jurídico AEPD: 0047/2009 http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/deber_informacion/common/pd fs/2009-0047_Deber-de-informaci-oo-n-en-el-caso-de-relaci-oo-n-contractual.-consentimiento-para-uso-de-losdatos-con-fines-comerciales.pdf 9 facilitar un número telefónico gratuito o el recurso a los servicios de atención dispuestos para los clientes (artículo 14.4 del RLOPD) 12. Ahora bien, si el accionista afectado comunica a la entidad emisora su oposición al tratamiento de los datos planteado, la sociedad emisora no podrá solicitarle nuevamente su consentimiento para enviarle publicidad de cualquier tipo hasta transcurrido un año desde la fecha del envío (artículo 14.5 del RLOPD). En esta nota se adjunta una propuesta de cláusula de cesión de datos que la entidad emisora podría remitir al accionista siguiendo el procedimiento expuesto (Vid. Anexo I). Dicho texto se podría, por ejemplo, insertar en una carta de bienvenida a la sociedad o en cualquier tipo de comunicación periódica que se pudiera remitir al accionista. Otra alternativa para recabar el consentimiento de los accionistas a la recepción de publicidad de la entidad emisora podría ser solicitar el consentimiento para el citado uso de sus datos en el propio contrato de depositaría y administración de valores que cada accionista suscribe con la entidad depositaria. Ahora bien, ello supondría que la entidad depositaria sería responsable del control de la recepción del consentimiento. En este sentido, no contemplamos en la presente nota esta posibilidad por entender que, a efectos prácticos, plantea importantes problemas de ejecución, lo que entendemos la hace escasamente viable. 4.5.3. Importancia de la prueba del consentimiento La entidad emisora que pretenda obtener el consentimiento de los afectados para tratar sus datos deberá valerse de los medios necesarios para que no quepa ninguna duda sobre el efectivo consentimiento prestado, es decir, que el tratamiento ha sido consentido de modo claro y expreso 13. Dichos medios deberán ser fiables y auditables 14. La sociedad emisora debe poder acreditar con algún medio de prueba válido en Derecho que ha obtenido el consentimiento de los afectados a fin de enviarles publicidad. Normalmente se efectuará acreditando que se ha ofrecido al accionista o interesado información clara y suficiente, así como evidenciando que ha gestionado 12 13 14 Informe del Gabinete Jurídico de la AEPD: 0291/2009 http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/derecho_acceso_rectificacion_c ancelacion_oposicion/common/pdfs/2009-0291_Derecho-de-oposici-oo-n-al-tratamiento-de-datos-paraactividades-de-publicidad-y-prospecci-oo-n-comercial.pdf. Sentencia Audiencia Nacional (Sala de lo Contencioso-Administrativo, Sección 1ª) de 17 de noviembre de 2011 (JUR\2011\429813). Informe del Gabinete Jurídico AEPD: 0047/2009 http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/deber_informacion/common/pd fs/2009-0047_Deber-de-informaci-oo-n-en-el-caso-de-relaci-oo-n-contractual.-consentimiento-para-uso-de-losdatos-con-fines-comerciales.pdf 10 adecuadamente el envío de la comunicación y la verificación de la entrega de la misma, así como que no obra respuesta negativa del afectado. Si las entidades emisoras generan información periódica o reiterada, la comunicación en la que se ofrece al afectado la información del tratamiento de datos y el plazo de oposición puede hacerse conjuntamente con la información o comunicaciones enviadas a los accionistas. Ahora bien, convendría reflejarlo de forma clara y visible, por ejemplo, como apunta la doctrina, resaltando el mensaje en otro color o ubicándolo de manera que el interesado lo visualice fácilmente. 4.5.4. Principio de información Además del principio del consentimiento, la normativa de protección de datos establece el principio de información, que en muchas ocasiones van anudados. En virtud de éste último, se reconoce al titular de los datos un derecho de información previo al otorgamiento del consentimiento. Concretamente, se establece que el titular debe ser informado (expresa, precisa e inequívocamente) acerca de los siguientes extremos: (i) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. (ii) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. (iii) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. (iv) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. (v) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. En la práctica, los dos últimos puntos señalados (iv y v) no se suelen incluir en las políticas de privacidad o en las cláusulas de protección de datos. Ello se debe a que normalmente ya se desprende esa información del resto de los términos contractuales (artículo 5.3 de la LOPD). En el caso del tratamiento de los datos de los accionistas por parte de las entidades emisoras para su uso exclusivo societario no es necesario informar (artículo 27.2 de la LOPD en relación al artículo 497 de la LSC). Sin embargo, si se desean explotar esos datos para fines comerciales sí es necesario informar en los términos planteados (artículo 45.1 del RLOPD). 11 4.6. Cesión de datos a filiales Como ya hemos definido en el epígrafe 4.1.viii de esta nota, cesión es toda revelación de datos realizada por una persona distinta del interesado. Así, la comunicación de los datos de los accionistas que pudiera realizarse entre las empresas del grupo al que pertenezca la emisora constituye una cesión. Con carácter general se exige el consentimiento previo del accionista para la comunicación de sus datos. Así, a tenor de lo dispuesto en el artículo 11.1 de la LOPD, “(…) los datos sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Previa a la cesión de cualquier dato a una de las empresas del grupo será necesario obtener el consentimiento informado del afectado o accionista en los términos exigidos por el artículo 11.3 de la LOPD. A tal efecto, se deberá informar al accionista de la finalidad para la cual el cesionario tratará sus datos, así como del tipo de actividad de éste último. La AEPD ha establecido que la comunicación de datos entre las empresas de un mismo grupo será lícita siempre y cuando se efectúe, en todo caso, dentro de los límites contenidos en la cláusula que se remita al afectado, y su consentimiento deberá entenderse en todo caso referido exclusivamente a los términos de dicha cláusula 15. 4.6.1. Diferencia entre cesión y acceso a datos Dado que las entidades emisoras efectuarán cesiones y autorizarán el acceso a los datos de los accionistas bajo determinadas circunstancias, por las consecuencias que se derivan de uno y de otro tratamiento es importante diferenciar ambas figuras. No se considera cesión de datos el acceso de un tercero a los datos cuando dicho acceso es necesario para la prestación de un servicio al responsable del fichero o del tratamiento. El acceso de datos es una excepción al régimen legal establecido para los supuestos de cesión o comunicación de datos, y como tal, debe ser objeto de interpretación restrictiva. La figura del acceso a datos tiene cabida en aquellos casos en que la entidad receptora de los datos se limita a efectuar determinadas operaciones sobre los mismos, sin decidir sobre su finalidad. 15 Informe del Gabinete Jurídico de la AEPD: 0325/2004 http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/20 04-0325_Comunicaci-oo-n-de-datos-entre-empresas-de-un-mismo-grupo..pdf 12 Existe cesión cuando quien recibe los datos puede aplicar los mismos a sus propios y particulares intereses, decidiendo sobre el objeto y finalidad del tratamiento, convirtiéndose en responsable del fichero o del tratamiento 16. Por ejemplo, si otras empresas del grupo al que pertenece la entidad emisora quieren también remitir su propia publicidad al accionista, serán esas nuevas destinatarias quienes decidan como van a gestionar los datos de los accionistas. En consecuencia, estaríamos ante una cesión. Ahora bien, si la entidad emisora subcontrata el envío de la publicidad a los accionistas a una agencia, pero el contenido de dicha acción comercial y los destinatarios de la misma son marcados por la entidad emisora estaremos ante un acceso a datos, no una cesión. 4.6.2. Relación de la entidad emisora con el encargado del tratamiento o prestador de servicios auxiliares. Contrato de acceso a datos Teniendo en cuenta lo expuesto, entendemos que las entidades emisoras tienen necesidad de contar con la prestación de servicios para llevar a cabo ciertos tratamientos (e.g.: para el envío de las comunicaciones dirigidas a sus accionistas). Esta relación entre la entidad emisora y su prestador de servicios auxiliares o encargado del tratamiento debe incardinarse dentro de los parámetros previstos por el artículo 12 de la LOPD. De ahí que es necesario contar con el denominado contrato de acceso a datos. Para una mayor referencia, a continuación sintetizaremos los aspectos o requisitos que con carácter mínimo deberían reflejarse en el contrato de acceso a datos a suscribir entre la entidad emisora y el encargado del tratamiento 17: 16 17 (i) El emisor responsable del fichero debe ser diligente en la elección del encargado del tratamiento y en la supervisión de la prestación del servicio (artículo 9.1 de la LOPD y artículos 20, 88.5 y 96.1 del RLOPD). (ii) El contrato debe constar por escrito o en alguna forma que permita acreditar su celebración y contenido (artículo 12.2 de la LOPD). (iii) El encargado del tratamiento o prestador de los servicios únicamente tratará los datos conforme a las instrucciones del responsable del fichero (artículo 4 Informe del Gabinete Jurídico de la AEPD: 0227/2010 http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/conceptos/common/pdfs/20100227_Condici-oo-n-de-encargado-del-tratamiento-de-empresa-contratada-para-destruir-documentaci-oo-n.pdf Informe del Gabinete Jurídico de la AEPD: 0177/2010 (http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/ambito_aplicacion/common/pd fs/2010-0177_La-externalizaci-oo-n-de-determinados-servicios-puede-estar-excluida-de-la-LOPD-o-constituirun-contrato-de-encargado-del-tratamiento..pdf). Informe del Gabinete Jurídico de la AEPD: 0620/2009 (http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/medidas_seguridad/common/p dfs/2009-0620_Adopci-oo-n-de-medidas-de-seguridad-por-el-encargado-del-tratamiento.pdf ). 13 LOPD y artículo 18 del RLOPD). Por ello, no podrá aplicarlos, ni utilizarlos para un fin distinto al pactado. Son ilícitas en relación al tratamiento encomendado las delegaciones genéricas o que no delimiten las actuaciones concretas que debe realizar el encargado del tratamiento. (iv) Enlazando con lo señalado en el párrafo anterior, la finalidad de dicho contrato debe ser real, específica y determinada. La actuación del encargado del tratamiento debe limitarse a la prestación de los servicios objeto de la contratación (artículo 12.1 de la LOPD y artículo 20.1 del RLOPD). (v) El contrato debe fijar la duración y el período de vigencia del encargo. (vi) Se debe prohibir al encargado del tratamiento dar acceso, ceder o comunicar los datos que se le suministran a terceros, ni siquiera para su conservación (artículo 12.2 de la LOPD). En este sentido, resulta conveniente enunciar las consecuencias que se originarían por la extralimitación del encargado del tratamiento (artículo 12.4 de la LOPD). (vii) El contrato ha de recoger las medidas de seguridad que el encargado del tratamiento deberá aplicar en el tratamiento de los datos a los que acceda. En principio, serán las mismas que aquéllas impuestas al responsable del fichero (artículos 9 y 12.2 de la LOPD y el artículo 82 del RLOPD). (viii) El encargado del tratamiento y, por ende, sus empleados deben observar el deber de secreto profesional (artículo 10 de la LOPD y artículo 82.1 del RLOPD). (ix) Se ha de pactar si los derechos de acceso, rectificación, cancelación y/u oposición han de ser o no tramitados por el encargado del tratamiento bajo instrucciones del responsable del fichero (artículo 26 del RLOPD). (x) Si el emisor autoriza la subcontratación se deben reflejar los requisitos normativos previstos para ello en el artículo 21 del RLOPD. En caso contrario se debe prohibir expresamente la subcontratación. (xi) En cuanto a la devolución, destrucción o bloqueo de los datos, una vez finalizado el servicio, el encargado del tratamiento debe seguir las instrucciones dictadas por el responsable del fichero (artículo 12.3 LOPD y artículo 22.1 y 2 del RLOPD). Como regla general, el encargado del tratamiento no deberá conservar los datos relacionados con la prestación del servicio, a menos que ello fuera 14 necesario para atender a las responsabilidades derivadas de su contrato y para esta exclusiva finalidad, en cuyo caso debería bloquearlos. Fuera de los requisitos intrínsecos del contrato de acceso a datos, es importante tener en cuenta que deberá incluirse una cláusula en la que se informe a los apoderados de las partes del contrato: de la existencia de un fichero, del responsable del mismo, de la tipología de datos tratados, de la finalidad de la recogida y de la posibilidad que tienen de ejercer sus derechos de acceso, rectificación, cancelación y/u oposición (artículo 5 de la LOPD). En definitiva, los servicios que la sociedad emisora contrata con cualquier prestador de servicios auxiliares se enmarca dentro del contrato de acceso a datos, dado que se trata de un encargo puntual. En la medida en que la entidad emisora siga ostentando la capacidad de disposición sobre los datos y el prestador de servicios auxiliares se limite a ejecutar el mandato encomendado, siempre siguiendo los parámetros fijados por la sociedad emisora, estaremos ante un acceso a datos. 5. CONCLUSIONES A la luz del análisis realizado, indicamos a continuación las siguientes conclusiones: (i) La cesión de datos entre la entidad encargada del registro de los valores representados por anotaciones en cuenta y la entidad emisora se encuentra amparada por el artículo 497 LSC. Por esta razón, desde el punto de vista de la normativa de protección de datos, no será necesario el consentimiento informado de los interesados siempre que se enmarque dentro de la finalidad señalada en el precepto apuntado, es decir, se podrá utilizar para comunicarse con el accionista en el ámbito de la relación societaria que une a la entidad emisora con aquél. (ii) Para el tratamiento de datos de los accionistas con la finalidad de enviar publicidad o prospección comercial será necesario contar con el consentimiento expreso o tácito informado de los afectados. El consentimiento inequívoco requiere especificar el sector concreto de la actividad sobre el que se desea recibir publicidad. (iii) Si la entidad emisora se acoge a la posibilidad del consentimiento tácito, deberá salvar el espinoso problema de acreditar tanto la recepción de la comunicación, como que no ha habido oposición expresa al envío de la publicidad en el plazo de treinta días. En este sentido, se requerirá de un protocolo detallado de actuación que incluya control de envíos, control de devoluciones, etc. 15 (iv) La comunicación de datos a empresas del grupo de la entidad emisora para que éstas puedan a su vez remitir publicidad constituye una cesión de datos, que exige del consentimiento informado del accionista. (v) Cuando la entidad emisora subcontrate a un tercero un servicio que implique la necesidad de acceder a los datos de los accionistas (por ejemplo: si cuenta con una sociedad que se encarga del envío postal de las comunicaciones con los accionistas) deberá suscribir con dicho tercero un contrato de acceso a datos. Valencia, a 6 de marzo de 2014 Área Mercantil 16 ANEXO I De acuerdo con lo dispuesto en la normativa de protección de datos, le informamos que sus datos identificativos y relativos a sus acciones [por favor completad en su caso] han sido incorporados a un fichero del que es responsable [por favor, indicad la razón social de sociedad emisora que corresponda] con la finalidad de gestionar y desarrollar la relación que mantenemos con Usted dada su condición de socio de [por favor, indicad la razón social de sociedad emisora que corresponda]. [OPCIÓN 1: Sin cesión a otras empresas del grupo Si lo desea le remitiremos información comercial y publicidad comportamental, incluso por medios electrónicos, sobre nuestros productos y servicios. A tal efecto, si no marca con una X la casilla que figura a continuación otorga su consentimiento para que [por favor indicad la razón social de sociedad emisora que corresponda] trate sus datos para la finalidad descrita en este párrafo ☐]. [OPCIÓN 2: Con cesión a otras empresas del grupo Si lo desea [por favor indicad la razón social de sociedad emisora que corresponda] tratará sus datos para remitirle información comercial y publicidad comportamental, incluso por medios electrónicos, sobre nuestros productos y servicios; y cederá tales datos a otras empresas del grupo [por favor completad], cuyas actividades se relacionan con los sectores [por favor completad], con la finalidad de que le informen, incluso por medios electrónicos, de los productos que comercialicen, que se ajuste a su perfil. La razón social y el domicilio para el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición de las sociedades del grupo la puede hallar en www.* [por favor completad]. A tal efecto, si no desea ser informado de nuestros productos y servicios, incluso teniendo en cuenta sus preferencias, y/o de los de las otras empresas del grupo hágalo constar marcando las casillas que se muestran a continuación: No consiento la recepción información comercial y publicidad comportamental, incluso por medios electrónicos, relativa a los productos y servicios de [por favor indicad la razón social de sociedad emisora que corresponda] ☐. No consiento la recepción información comercial y publicidad comportamental, incluso por medios electrónicos, relativa a los productos y servicios de las empresas del grupo mencionadas ☐]. Le advertimos que si en un plazo de treinta (30) días desde la recepción de la presente comunicación no se opone al tratamiento y cesión de sus datos para los fines anteriormente citados consentirá dicho tratamiento y cesión. Usted puede manifestar su negativa a la 17 comunicación de sus datos y al tratamiento de los mismos para todos o alguno de los fines distintos de los directamente relacionados con el mantenimiento, desarrollo y gestión de la relación derivada de su condición de socio, remitiendo este escrito con la casilla correspondiente marcada a la siguiente dirección: [convendría indicar la msima dirección concreta inscrita a tal efecto ante el Registro General de Protección de Datos]. Asimismo, le informamos que podrá ejercitar sus derechos de acceso, cancelación, rectificación y/u oposición ante la antedicha dirección. 18