El tratamiento de los datos personales en el marco de una fusión y escisión | Helar Niño

1956
0
Compartir

I. Introducción

Los efectos que se generan como consecuencia de una transformación societaria, de manera específica por fusión o escisión, no se limitan a aspectos puramente corporativos. Estos procedimientos también comprenden una serie de situaciones relacionadas con los Bancos de Datos Personales que son de titularidad de las empresas involucradas.

En el presente artículo se desarrollan los principales puntos que, según la normativa de protección de datos personales, deben ser observados en el marco de una escisión o fusión.

II. Régimen normativo

La Ley N° 29733 – Ley de Protección de Datos Personales (LPDP) no establece un régimen especial para los procedimientos de transformación societaria; específicamente, se refiere a ellos como supuestos o tipos de transferencia de datos personales. En efecto, el artículo 18° de la LPDP precisa que “si con posterioridad al consentimiento se produce la transferencia de datos personales por fusión, adquisición de cartera, o supuestos similares, el nuevo titular del banco de datos debe establecer un mecanismo de información eficaz para el titular de los datos personales sobre dicho nuevo encargado de tratamiento”.

Una transferencia es toda comunicación (entrega o suministro) de datos personales a una persona distinta del titular de los datos para el cumplimiento de fines directamente relacionados con funciones del emisor o del receptor[1]. Esta figura ha sido definida en el numeral 18 del artículo 2° de la LPDP, como toda “(…) transmisión, suministro o manifestación de datos personales, de carácter nacional o internacional, a una persona jurídica de derecho privado, a una entidad pública o a una persona natural distinta del titular de datos personales”.

Al respecto, el Reglamento[2] de la LPDP, en su artículo 19°, dispone que toda “(..) transferencia de datos personales requiere el consentimiento de su titular, salvo las excepciones previstas en el artículo 14 de la Ley”. Efectivamente, el artículo 14° de la LPDP establece una lista de supuestos en los que no será necesario contar con el consentimiento del titular de los datos para realizar su tratamiento; de esta manera, cuando la transferencia de datos se realice motivada en el cumplimiento de cualquiera de los casos previstos en el referido artículo, el emisor podrá hacerlo sin contar con la autorización del titular de los datos. Ahora bien, ninguna de las excepciones al consentimiento reguladas en la norma comprende a los supuestos de transformación societaria.

De manera complementaria a la obligación de obtener el consentimiento, el sujeto que realiza la transferencia deberá informar al titular de los datos personales sobre todos los aspectos referidos al tratamiento de los datos (finalidad, destinatarios, transferencias, entre otros temas), tal como lo dispone el artículo 18° de la LPDP.

Estas obligaciones resultan ser de fácil cumplimiento para los casos en los que el número de titulares de datos personales representa un volumen menor, en los que a través de una comunicación (física o virtual) se pueda recabar el consentimiento y a la vez informarle sobre los aspectos principales del tratamiento de los datos. Sin embargo, si el número de datos representa una cantidad elevada, el envío de una comunicación para recabar consentimiento y cumplir con el deber de información resulta demasiado oneroso para la entidad que la realiza por dos razones puntuales: i) la imposibilidad de obtener una respuesta expresa que consienta la transferencia de los datos y ii) por los costos económicos en los que incurriría la empresa para realizar comunicaciones a todos los titulares de los datos.

III. Incidencias respecto de la titularidad de los bancos de datos

Los Bancos de Datos transferidos como consecuencia de una escisión deberán ser inscritos por el receptor ante el Registro Nacional de Protección de Datos Personales. Por su parte, la entidad que transfiere los datos personales tendrá que cumplir con la presentación del (los) formulario (s) de cancelación de los bancos de datos que ha transferido, a efectos de evitar la duplicidad en el registro.

En los supuestos de fusión, la sociedad absorbente o incorporante también tendrá que cumplir con el registro correspondiente de los bancos de datos personales respecto de los cuales pasa a ser titular. Antes de la realización de la fusión, la entidad que se extinguirá deberá cancelar los bancos de datos transferidos.

En consecuencia, en cualquiera de los casos, se produce un cambio de titularidad de los bancos datos. En virtud de dicha modificación, la nueva sociedad asume el rol de responsable de tratamiento, por lo que deberá cumplir con la obligación de implementar las medidas de seguridad necesarias (legales, organizativas y técnicas)[3] que garanticen que el tratamiento de los datos personales se realiza en estricto cumplimiento del deber de confidencialidad y del principio de seguridad.

IV. ¿Son los procedimientos de fusión o escisión supuestos de una transferencia de datos personales?

Si bien es cierto para la LPDP el régimen aplicable es el de una transferencia de datos, cabe resaltar que en la práctica ello solo es atribuible para el caso de una escisión. Cuando se lleva a cabo una escisión societaria, materialmente llega a realizarse una transferencia de datos personales conforme a los términos establecidos en la LDPD; es decir, con la presencia de un emisor que comunica los datos personales y con la participación de un receptor que se convierte en el nuevo titular del banco de datos transferido.

Según lo dispuesto en el artículo 367° de la Ley N° 26887, Ley General de Sociedades (en adelante, LGS), la escisión implica que una sociedad “(…) fracciona su patrimonio en dos o más bloques para transferirlos íntegramente a otras sociedades o para conservar uno de ellos”. Los bloques patrimoniales escindidos son transferidos a otras sociedades de nueva creación o son absorbidas por sociedades ya existentes; de esta manera, la sociedad original se separa en dos entidades distintas que intercambian activos y pasivos, lo cual incluye a los Bancos de Datos Personales.

El caso de las fusiones representa una serie de problemas de carácter conceptual que, en principio, dificultan la aplicación de la figura de la transferencia de datos personales. Por la fusión, de acuerdo con lo dispuesto en el artículo 344° de la LGS, “(…) dos a más sociedades se reúnen para formar una sola”; pudiendo adoptar la forma de una fusión por incorporación o la de fusión por absorción. La fusión por incorporación es la reunión dos o más sociedades para constituir una nueva sociedad, provocando la extinción de la personalidad jurídica de las sociedades involucradas y la transmisión en bloque, y a título universal de sus patrimonios a la nueva sociedad. La fusión por absorción es aquélla donde una sociedad existente absorbe una o más sociedades, provocando la extinción de la personalidad jurídica de las sociedades absorbidas, asumiendo a título universal, y en bloque, sus patrimonios.

De lo explicado, se puede apreciar que independientemente del tipo de fusión que se lleve a cabo, en cualquiera de los casos se genera la extinción de las sociedades incorporadas o absorbidas para dar paso a una nueva entidad, la misma que adquiere todos los derechos y obligaciones de aquellas. De esta forma, a diferencia de la dualidad de partes que se presenta en la escisión (sociedad escindida y la sociedad a la que se transfiere el bloque patrimonial), en la fusión no se produce propiamente una transferencia sino una subrogación de la nueva sociedad en lugar de la sociedad incorporada o absorbida.

En ese orden de ideas, es posible afirmar que el tratamiento de los datos personales realizado en el proceso de una fusión no se constituye como una transferencia de datos[4]. Es decir, la fusión no supone una entrega (suministros o comunicación) de datos personales a un tercero (receptor), sí una sustitución respecto de la titularidad de los bancos de datos[5]. Esta conclusión es de suma importancia en la medida que, al no ser considerada la fusión como una transferencia, no se aplicarían las obligaciones que son propias de ésta última figura.


Este artículo es una actualización de uno previo titulado «El tratamiento de los datos personales en el marco de una fusión y escisión societaria, a propósito de las modificaciones realizadas por el Decreto Legislativo Nº 1353»

FUENTE DE IMAGEN: http://www.datacenter.com.co/


[1]      CÁRDENAS, Ignacio, Memento experto. Protección de Datos. Ed. Francis Lefebvre, Madrid, 2012, pág. 92.

[2]     Aprobado con el Decreto Supremo N° 003-2013-JUS.

[3]     Conforme a los parámetros establecidos en la Directiva de Seguridad de Información, aprobada por Resolución Directoral Directoral Nº 019-2013-JUS/DGPDP.

[4]     Seguimos a COUDERT, Fanny, “Relaciones con otras empresas”, en ALMUZARA ALMAIDA, Cristina (Coord.), Estudio práctico sobre la protección de datos de carácter personal, Ed. Lex Nova, Valladolid, 2007, pág. 329.

[5]     Ver COUDERT, Fanny, Loc. cit., ídem.

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here