Protección de datos: ¿Cuándo y cómo puede la empresa facilitar datos a terceros?

 

En el entorno empresarial actual, el flujo de información es constante. Sin embargo, como responsable del tratamiento, no puedes disponer de los datos personales de tus clientes o empleados de forma arbitraria. La normativa de protección de datos establece reglas estrictas sobre la cesión de datos (cuando un tercero los usa para sus propios fines) y el acceso a datos (cuando un tercero actúa como prestador de servicios).

1. La cesión de datos: El consentimiento como pilar La regla general es clara: para ceder datos a un tercero con fines que no sean estrictamente necesarios para la ejecución del contrato original, se requiere el consentimiento expreso, libre e informado del interesado.

• El ejemplo publicitario: Si tu empresa desea facilitar su base de datos de clientes a un partner para que este les envíe publicidad de sus propios servicios, necesitas una autorización específica. Sin ella, la cesión es ilícita.

• La revocación: El interesado tiene derecho a cambiar de opinión en cualquier momento. Si un afectado revoca su consentimiento, dispones de un plazo máximo de 10 días para comunicar esta revocación a todos los terceros a los que cediste sus datos. A partir de ahí, el tratamiento debe cesar de inmediato.

2. La excepción: El acceso por cuenta de terceros No todas las comunicaciones de datos requieren consentimiento. No se considera "cesión" cuando facilitas información a un tercero para que este te preste un servicio necesario para tu actividad (figura del Encargado del Tratamiento).

• Casos comunes: La gestoría que realiza las nóminas, la empresa de mantenimiento informático que accede a tus servidores o el servicio de almacenamiento en la nube.

• En estos casos, no necesitas el permiso del empleado o cliente, pero sí es obligatorio firmar un contrato de encargo de tratamiento que garantice que ese tercero no usará los datos para nada más que para el servicio contratado.

3. El deber de información: ¿Qué debes comunicar? La transparencia no es opcional. El responsable debe facilitar al interesado toda la información relativa a los riesgos, normas y salvaguardias. Para que el tratamiento sea legítimo, debes informar por escrito (o medios electrónicos) de:

• Identificación completa: Quién es el responsable y cómo contactar con el Delegado de Protección de Datos (DPD).

• Finalidad y Conservación: Para qué se usan los datos y cuánto tiempo se guardarán (o los criterios para determinar ese plazo).

• Derechos ARSULIPOT: La posibilidad real de ejercer los derechos de Acceso, Rectificación, Supresión, Limitación, Oposición y Portabilidad.

• Transferencias internacionales: Si los datos van a salir fuera del Espacio Económico Europeo.

• Base legal: Si la entrega de datos es un requisito legal o contractual y las consecuencias de no facilitarlos.

Si los datos no han sido obtenidos directamente del afectado (por ejemplo, a través de una compra de base de datos lícita), la obligación de informar aumenta, debiendo detallar la fuente de procedencia y las categorías de datos tratadas.

Confundir una prestación de servicios con una cesión de datos, o no informar adecuadamente sobre los destinatarios de la información, puede derivar en sanciones económicas de cuantía elevada y, lo que es peor, en una pérdida de confianza irreparable por parte de tus clientes.