El flujo de datos de usuarios entre empresas es un tema que lleva años en la palestra. Pero ni siempre es perjudicial para el usuario, ni es un “todo vale” para las compañías. Veamos cuáles son las implicaciones de cada una de las partes en cuanto a gestión de datos.
No siempre que una empresa traspasa una base de datos a otra estaremos hablando de una cesión de datos (a efectos legales). De hecho, cabe distinguir dos situaciones cuando se trata de comunicar datos a terceros.
Cesión de datos
En el caso de que una empresa reciba unos datos de otra y tenga la libertad de decidir sobre su objeto y finalidad, estaremos hablando de una cesión de datos.
Un ejemplo de un caso de cesión de datos sería una empresa de perfumes que quiere mandar comunicaciones vía email a los clientes de una empresa de maquillaje, ya que pertenecen a su mismo público objetivo. Entonces, la primera empresa le compra o le alquila la base de datos a la segunda empresa para enviar dichas comunicaciones, siendo la primera el cesionario y la segunda el cedente.
Acceso a datos para la prestación de un servicio
Esto se da cuando el receptor de los datos simplemente efectúa operaciones sobre los mismos, sin decidir nada sobre su finalidad o su uso.
Sería el caso de, por ejemplo, una empresa gestora de las nóminas de otra. Una comunicará los datos personales y privados de sus trabajadores, siendo la empresa gestora únicamente encargada de tratarlos con un fin, que en este caso será pagarles las nóminas. Estos datos no habrán sido cedidos y ninguna de las dos partes lo considerará así.
¿Qué se necesita saber y hacer para gestionar el tratamiento de datos con terceros?
Ahora que ya conoces los dos tipos de flujo de datos (legales) entre empresas, debes saber que en ambos casos existen unos requerimientos. Un mundo en el que nuestros datos circularan en libertad, probablemente, sería bastante molesto. O al menos sería un mundo en el que se nos acabaría el espacio en el email cada dos días.
En el caso de la cesión de datos, la ley dicta lo siguiente:
- Lo primero que debe preocupar a las dos compañías implicadas es conseguir el consentimiento específico, inequívoco y, sobre todo, previo de los titulares de estos datos. En resumen, igual que no podemos dar el teléfono de un amigo a otro sin preguntarle antes, no podemos ceder información de nuestros usuarios sin que previamente nos informen de si quieren que lo hagamos, o no.
- La segunda especificación legal con la que nos encontramos es que la cesión de los datos debe ser claramente necesaria para la ejecución o el desarrollo de una relación contractual.
- Para quien cede los datos, esta cesión debe constituir una obligación legal.
- Debe obedecer a intereses legítimos prevalentes del responsable o de los terceros a quienes se va a comunicar estos datos. El motivo debe estar especificado de forma transparente. ¡Aquí no vale la palabrería!
- Antes, las partes deberán preguntarse si esta acción sirve para salvaguardar el interés vital del interesado o de otras personas, como sería el caso de comunicaciones de carácter solidario.
Si nos encontramos ante un caso de prestación de servicios con acceso a datos, las obligaciones son, cuanto menos, más sencillas de llevar a cabo.
- Se requiere un contrato en el que se especifiquen las obligaciones de la persona o empresa que va a tratar estos datos. Es decir, si seguimos con el ejemplo del pago de nóminas, deberá existir un contrato en el que se detalle que esa gestoría únicamente tratará los datos para el pago de dichas nóminas.
- La empresa responsable de los datos tiene la obligación de elegir un encargado de los datos que le ofrezca garantías en cuanto al cumplimiento del RGPD. De hecho es recomendable que exista una declaración por escrito de esta pretensión de cumplimiento y de la realización del mismo.
Estas son las nociones básicas que necesitas tener en cuenta en el caso de que te empresa se vea en la situación de un flujo de datos. Como siempre, cumpliendo el RGPD se llega a todas partes, y, de la misma forma, desde casi todas partes se llega al RGPD.