El Informe Jurídico 0494/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la necesidad de formalizar un contrato entre las empresas de un grupo para la gestión de una base de datos centralizada de empleados. La consulta se centra en si es obligatorio que las empresas del grupo formalicen un contrato con la central donde se encuentra la base de datos, conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
La AEPD establece que, aunque las empresas del grupo puedan compartir una base de datos centralizada, cada una de ellas mantiene su personalidad jurídica independiente. Esto implica que cualquier comunicación de datos entre ellas debe considerarse una cesión de datos, que requiere el consentimiento de los afectados o una habilitación legal específica.
El informe destaca que la empresa central que aloja la base de datos actúa como encargado del tratamiento, siempre y cuando no decida sobre el contenido, finalidad y uso de los datos. En este caso, la empresa central debe limitarse a prestar servicios de alojamiento sin utilizar los datos para otros fines. Si la empresa central accede a los datos con una finalidad distinta, se convertiría en responsable del fichero, lo que implicaría una cesión de datos que necesitaría el consentimiento de los afectados.
Cada empresa del grupo debe notificar de manera independiente sus ficheros y obtener el consentimiento de los empleados para la incorporación de sus datos en la base de datos centralizada. Además, la empresa central debe cumplir con las especificaciones del artículo 12 de la Ley Orgánica 15/1999, que regula los tratamientos de datos por cuenta de terceros. Esto incluye la necesidad de un contrato escrito que defina claramente las responsabilidades y limitaciones del encargado del tratamiento.
El informe también subraya la importancia de las medidas de seguridad que deben adoptarse, las cuales deben ser equivalentes a las impuestas al responsable del fichero. Además, se menciona la posibilidad de subcontratación de servicios, siempre y cuando se cumplan ciertos requisitos y se formalice un contrato adecuado.
En resumen, la AEPD concluye que la gestión de una base de datos centralizada de empleados dentro de un grupo de empresas requiere la formalización de contratos claros y el cumplimiento estricto de la normativa de protección de datos, asegurando en todo momento el consentimiento de los afectados y la adopción de medidas de seguridad adecuadas.