Transferencia de datos en grupos de empresas según el GDPR
Independientemente de dónde se transmitan los datos, esto constituye siempre un tratamiento de datos en el sentido del RGPD. Esto también debe estar permitido en el sentido del GDPR. En la práctica, esto puede plantear problemas difíciles, especialmente para los grupos de empresas.
Los grupos de empresas son agrupaciones de empresas que operan todas bajo el paraguas del grupo, pero que suelen ser jurídicamente independientes. La naturaleza de las cosas hace que a menudo haya que transferir datos entre las distintas empresas. En caso de infracción, también se aplican multas elevadas.
La pregunta que surge es: ¿Existen normas en el GDPR que faciliten este proceso?
¿Existe un privilegio de grupo?
Para anticipar la respuesta: A diferencia de otros ámbitos del Derecho, en el RGPD no existe un verdadero privilegio de grupo.
En este contexto, los grupos empresariales no sólo tienen la tarea de observar la protección de datos en una empresa, sino que deben supervisarla en varias empresas al mismo tiempo y también adaptarla en las empresas individuales al planteamiento de todo el grupo empresarial. Esto requiere mucha comunicación y coordinación.
Sin embargo, el denominado "privilegio del pequeño grupo" del RGPD ayuda en este caso. De conformidad con el artículo 37 II del RGPD, un grupo de empresas en el sentido del artículo 4 nº 19 del RGPD puede designar un responsable central de la protección de datos para todas las empresas del grupo. Además de todos los demás requisitos del GDPR para un responsable de protección de datos, este responsable de protección de datos también debe ser fácilmente accesible desde las sucursales. Así, desde el punto de vista del legislador, éste debería poder cooperar mejor con las sucursales, así como con las autoridades locales de protección de datos. Sin embargo, sobre todo en el caso de las grandes empresas que también tienen sucursales internacionales, se trata de un requisito que no puede cumplirse en la práctica debido a las barreras de tiempo, espacio y, si es necesario, idioma.
En la práctica, los responsables corporativos de protección de datos suelen contar con el apoyo de coordinadores locales de protección de datos (también llamados gestores de privacidad). Están familiarizados con la legislación y el idioma locales, pero no han sido designados responsables de la protección de datos. Sólo actúan como intermediarios. De hecho, el artículo 37 II del RGPD no exige que el responsable corporativo de la protección de datos esté siempre disponible in situ, lo que simplifica este tipo de soluciones. De lo contrario, la aplicabilidad también quedaría en nada en la práctica. Debe bastar con que se pueda contactar rápidamente con él o ella por medios técnicos y que, al menos dentro de la UE, se pueda concertar rápidamente una cita in situ.
Conflictos internacionales
Las grandes empresas, en particular, operan predominantemente a escala internacional, incluso fuera del ámbito de aplicación del RGPD, lo que les plantea el reto de tener que cumplir diversas normativas de protección de datos.
Aquí es esencial el procedimiento ya explicado a través de los coordinadores de protección de datos.
Si los datos se transfieren a un país no perteneciente a la UE, debe asegurarse siempre que allí se garantice un nivel de protección que se corresponda con la norma del GDPR. Además, el proceso de transferencia también debe estar debidamente protegido para que los datos no puedan llegar a manos de personas no autorizadas.
Por supuesto, el cumplimiento de las disposiciones del GDPR también debe ser verificable de acuerdo con la rendición de cuentas. Por lo tanto, se recomienda que todo tratamiento de datos esté plenamente documentado.
Antes de llevar a cabo un procedimiento, siempre debe consultarse en la planificación al responsable de protección de datos correspondiente.