¿Es suficiente con que la matriz del grupo de empresas cumpla con la LOPD?

Recientemente han llegado a nuestro Departamento de Soporte varias consultas solicitando información sobre si los grupos de empresas, o los bufetes de abogados como profesionales autónomos que comparten instalaciones, personal, incluso clientes, están obligados al cumplimiento de la normativa sobre protección de datos cada uno de forma independiente o es suficiente con que se adecúe la matriz o uno de sus miembros.

CADA EMPRESA O AUTÓNOMO DENTRO DE UN GRUPO ES UNA ENTIDAD PROPIA

La AEPD ha adoptado un criterio uniforme y ha reiterado en diversas ocasiones que la existencia de un grupo de empresas o de profesionales autónomos, no afecta para que cada una de las sociedades que forman el mismo mantenga diferenciada y plena su personalidad jurídica debiendo cumplir toda la normativa aplicable y en el caso que nos ocupa, la LOPD.

Por tanto, cada empresa o cada profesional, deberá cumplir con la LOPD, notificando de manera independiente sus propios ficheros y cumpliendo el resto de obligaciones que impone la ley: elaborar el documento de seguridad, sus cláusulas informativas, contratos con encargados, confidencialidad de usuarios, etc…

CÓMO REGULAR LAS RELACIONES ENTRE SUS MIEMBROS

Respecto a la forma de acceso a los datos entre las diferentes sociedades que componen el grupo o el despacho, puede ser de dos formas:

• Constituiría una cesión de datos que requerirá el consentimiento del afectado o la habilitación legal, si cada entidad utiliza esos datos con fines propios.
• Ahora bien, si el tratamiento se lleva a cabo como consecuencia de un encargo, estaremos ante un acceso a datos por cuenta de terceros regulado por el artículo 12 de la citada LOPD, siendo preciso que la actuación del encargado del tratamiento se limite a la prestación de los servicios objeto de la contratación.