El Informe 0245/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la fusión de diversas empresas dentro de un grupo, manteniendo cada una su personalidad jurídica propia. La consulta plantea si es posible notificar un solo fichero de datos a la AEPD, así como elaborar un único documento de seguridad y realizar auditorías de seguridad comunes para todas las empresas del grupo, conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo.
El informe aclara que, aunque las empresas formen parte de un mismo grupo, cada una mantiene su personalidad jurídica independiente. Esto implica que la comunicación de datos entre ellas se considera una cesión de datos, que requiere el consentimiento del interesado, salvo en casos específicos previstos por la ley. La creación de una base de datos centralizada o común también necesitaría el consentimiento previo de los afectados.
Cada empresa del grupo es responsable de sus propios ficheros de datos y debe notificarlos de manera independiente a la AEPD. No existe una previsión legal que permita flexibilizar los requisitos para la legitimidad de la cesión de datos entre empresas del mismo grupo. Por lo tanto, cada empresa debe gestionar y notificar sus ficheros de datos de manera autónoma.
En cuanto al documento de seguridad, el informe indica que, aunque el artículo 88 del Reglamento permite la elaboración de un documento de seguridad único que abarque todos los ficheros o tratamientos, este documento debe ser específico de cada empresa del grupo. Debe identificar claramente al responsable del fichero y ser refrendado por el máximo responsable de la organización de la empresa.
Finalmente, respecto a las auditorías de seguridad, estas deben realizarse por cada responsable de los ficheros, es decir, por cada empresa del grupo. La auditoría tiene como objetivo verificar el cumplimiento de las medidas de seguridad cada dos años, identificar deficiencias y proponer medidas correctoras.
En resumen, el informe concluye que, aunque las empresas del grupo pueden compartir ciertas medidas de seguridad y auditorías, cada una debe gestionar y notificar sus ficheros de datos de manera independiente, cumpliendo con los requisitos legales establecidos por la LOPD y su Reglamento.