El Informe 325/2004 de la Agencia Española de Protección de Datos (AEPD) aborda la comunicación de datos personales entre empresas de un mismo grupo, previa obtención del consentimiento del afectado. La consulta plantea si es conforme a derecho que las empresas del grupo compartan datos para fines de publicidad y promoción, y se presenta un modelo de cláusula de consentimiento.
Según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, el tratamiento y cesión de datos personales requieren el consentimiento inequívoco del afectado. Este consentimiento debe ser libre, específico, informado e inequívoco. La AEPD subraya que el consentimiento debe permitir al afectado conocer claramente las finalidades y destinatarios de los datos, y no puede ser deducido de actos presuntos.
La cláusula de consentimiento debe cumplir con el artículo 5.1 de la Ley Orgánica, informando al afectado sobre la existencia del fichero, las finalidades del tratamiento, el carácter obligatorio o facultativo de la respuesta, las consecuencias de no proporcionar los datos, y los derechos de acceso, rectificación, cancelación y oposición. Además, debe especificar claramente los sectores de actividad de los destinatarios de los datos.
La AEPD analiza una cláusula propuesta y concluye que cumple con los requisitos legales, permitiendo así el tratamiento y comunicación de datos entre las empresas del grupo para fines comerciales. La cláusula incluye la identificación del responsable del fichero, las finalidades del tratamiento, la posibilidad de ejercitar derechos, y la delimitación de los destinatarios de los datos.
La AEPD también destaca la necesidad de establecer mecanismos internos para garantizar que cualquier solicitud de ejercicio de derechos o revocación del consentimiento sea comunicada de inmediato a todas las empresas del grupo que estén tratando los datos. Esto asegura el cumplimiento de la normativa de protección de datos y la defensa de los derechos de los afectados.
En resumen, el informe concluye que la comunicación de datos entre empresas de un mismo grupo es lícita si se obtiene un consentimiento válido y se establecen procedimientos internos para garantizar el cumplimiento de los derechos de los afectados.