Cesión de datos personales y sus bases legales

/ Blog / Por
Acceso a base de datos
Cesión de datos personales a terceros

¿Cesión de datos a terceros, o ceder datos a terceros, qué significa?

¿La cesión de datos a terceros no te afecta? Si tienes un negocio u organización / asociación, tratas con datos personales si quieres o no, o al menos en el 99,9% de los casos, y lo más seguro que la cesión de datos a terceros es un asunto a tratar.

Una excepción puede ser una pequeña tienda que no emite factura y solo cobra en efectivos (un TPV también recoge datos), sin empleados, ni videovigilancia, ni Redes Sociales o página Web, ni cualquier otro medio que pueda recoger datos personales.

Para la cesión de datos personales a terceros, tenemos que distinguir entre dos supuestos:

  1. El acceso a datos personales para la prestación de un servicio.

Un ejemplo aquí es una asesoría, que se convierte en Encargado de Tratamiento de los datos de los empleados de todos sus clientes (los responsables del tratamiento de esos datos), tanto empresas como autónomos, asociaciones, federaciones, clubes, etc. Los responsables de los datos determinan en cualquier caso el tratamiento que pueda realizar la asesoría sobre dichos datos.

La base jurídica para el acceso a datos personales en este caso puede ser:

Ahora bien, para ceder datos de forma lícita su negocio deberá contar con el consentimiento previo, específico e inequívoco de los titulares de dichos datos.

  • Que la cesión sea necesaria para la ejecución o desarrollo de una relación contractual.
  • Que constituya una obligación legal para el cedente.
  • Que obedezca a intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
  • Que sirva para salvaguardar el interés vital del interesado o de otras personas.
  • La cesión de datos en el propio sentido de la palabra. Aquí cabe destacar que el tercero que recibe los datos puede aplicar sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento.

Un ejemplo aquí es un sorteo de forma digital, cuyo acceso está sujeto a varios consentimientos para la participación. Uno de ellos es la aprobación de la política de privacidad (donde se debe recoger toda información sobre responsables, findes de tratamiento y posibles cesiones), además de la aprobación voluntaria e inequívoca de envío de publicidad (tanto propia como por terceros) y cualquier otro tratamiento o cesión previsto, bajo su aprobación por el usuario.

El mismo principio de cesión de datos, definido para el Ciudadano, sería el derecho a la portabilidad de sus datos

La finalidad de este nuevo derecho es reforzar aún más el control de tus datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato.

No obstante, este derecho, por su propia naturaleza, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable.

Más información sobre los derechos del Ciudadano en la guía de la AEPD .

En caso de actuar de forma correcta, las multas dependen de la gravedad de la infracción, como muestra el siguiente ejemplo, que es un claro ejemplo de cesión de datos a terceros sin el consentimiento de la persona correspondiente.

Infracción Art. 6 (1) GDPR, Art. 15 GDPR  

¿Qué lo que indica la AEPD sobre el acceso a datos personales?

Artículo 2.4. Consentimiento de los interesados

El RGPD requiere que el consentimiento sea «inequívoco», lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que permitía la normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:

  • Puede ser para uno o varios fines.
  • Debe ser prestado de forma libre.
  • Revocable.
  • El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
  • Utilizar un lenguaje claro y sencillo.

Por otra parte, también debe ser tenido en cuenta lo siguiente:

  • Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.
  • Si se recaba el consentimiento para varias finalidades:
    • Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros).
    • Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo, tratamiento por quien recaba los datos y cesión a terceros).”

Para más información al respecto, contacte con nuestros técnicos.

Fuente:

https://www.aepd.es/es/preguntas-frecuentes/1-tus-derechos

https://www.aepd.es/es

Sylvia Fries – CEO de Data Protect Plus®

Sylvia Fries

Aplicación en un caso real, sobre cesión de datos personales
Auditoria Gratuita
Auditoria Gratuita