El Informe 389/2003 de la Agencia Española de Protección de Datos (AEPD) aborda cuestiones relacionadas con la existencia de un contrato de franquicia y la obligación de las entidades franquiciadas de cumplir con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
La consulta plantea si las entidades franquiciadas están obligadas a cumplir con la mencionada ley o si es suficiente que las obligaciones sean cumplidas por las entidades franquiciadoras. Según el artículo 62.1 de la Ley 7/1996, de 15 de enero, de Ordenación del Comercio Minorista, la actividad comercial en régimen de franquicia implica un acuerdo entre una franquiciadora y una franquiciada, donde la primera cede a la segunda el derecho a explotar un sistema propio de comercialización de productos o servicios.
El informe destaca que, aunque las partes del contrato de franquicia tienen personalidades jurídicas distintas y son independientes en lo que respecta al régimen de personal y clientela, el único elemento en común es el sistema de comercialización cedido por la franquiciadora. Esta independencia implica que cada entidad debe cumplir por separado con sus obligaciones legales, incluyendo las previstas en la Ley Orgánica 15/1999, como la notificación de sus tratamientos para su inscripción en el Registro General de Protección de Datos.
Además, el informe argumenta que una tesis contraria, que implicaría la puesta en común de datos entre las dos partes, supondría una comunicación o cesión de datos personales. Según el artículo 3 i) de la Ley Orgánica 15/1999, esto requeriría el consentimiento del afectado, conforme al artículo 11.2 de la misma ley. Por lo tanto, cada entidad, tanto la franquiciadora como la franquiciada, está obligada a cumplir con la ley en relación con los ficheros de los que sea responsable.
En resumen, el Informe 389/2003 de la AEPD establece que las entidades franquiciadas deben cumplir de manera independiente con la Ley Orgánica de Protección de Datos, al igual que las franquiciadoras, debido a la distinta personalidad jurídica y la independencia en el manejo de datos personales. Esta independencia es crucial para evitar la necesidad de consentimiento adicional para la comunicación o cesión de datos entre las partes.