Protección de datos en caso de insolvencia
Especialmente en tiempos en que la economía se ve afectada por las leyes y normativas para contener la propagación del virus Covid 19, muchas empresas se enfrentan al problema de la insolvencia.
Aunque hubo un "periodo de gracia" a través de la Ley COVID-19 de suspensión de la insolvencia debido al retraso en el desembolso de las ayudas de emergencia de Corona, volverá a haber muchas solicitudes de insolvencia cuando expire a finales de abril de 2021.
Pero, ¿qué tiene eso que ver con la protección de datos? Aquí encontrará información básica.
¿Qué ocurre en caso de insolvencia?
Si una empresa se declara insolvente o está sobreendeudada, está obligada a solicitar la declaración de insolvencia al tribunal de insolvencia conforme al artículo 15a InsO. El tribunal puede entonces abrir un procedimiento de insolvencia. El objetivo es realizar los activos restantes de la mejor manera posible y distribuirlos equitativamente entre los acreedores. El tribunal puede exigir toda la información (patrimonial) necesaria a la empresa (el deudor).
El objeto del procedimiento de insolvencia es la masa de la insolvencia. Según el artículo 35 InsO, se trata de todos los bienes que pertenezcan al deudor en el momento de la apertura del procedimiento y que adquiera durante el mismo. El deudor ve ahora limitado su poder de disposición al respecto. En su lugar, el tribunal nombra a un administrador concursal para que realice la masa de la insolvencia (artículo 56 I InsO).
En la sociedad actual, los datos forman parte desde hace tiempo de los bienes jurídicos realizables económicamente y, por lo tanto, de la masa de la insolvencia que debe ejecutarse. De conformidad con el artículo 36 II nº 1 InsO, se embarga la masa de la insolvencia. Inicialmente, todos los datos (personales) tratados por el deudor se transfieren a la masa de la insolvencia, independientemente de si se trataron para él o para terceros y de la forma en que se encuentren en el deudor. Si no se trata de datos sobre los que el deudor tenga cierta titularidad, es decir, que sólo se traten para terceros (art. 4 nº 8, art. 28 GDPR), se procederá a su posterior clasificación.
No sólo se ven afectados los datos de los acreedores (por ejemplo, los clientes de una empresa), sino también los del deudor en cuestión.
Y aquí es donde entra en juego la ley de protección de datos.
¿Qué puede hacer el administrador concursal?
La tarea del administrador concursal consiste en realizar la masa de la insolvencia para la mejor y más equitativa satisfacción de los acreedores. Para ello, toma posesión del patrimonio existente (art. 148 I InsO) y se le transfieren todos los derechos de administración y disposición (art. 80 I InsO). Como ya se ha mencionado, esto incluye también todos los datos que contiene, por lo que se plantean cuestiones de seguimiento en virtud de la ley de protección de datos:
¿Es el administrador concursal el responsable del tratamiento en el sentido del artículo 4 nº 7 del RGPD?
El administrador concursal podría ser un responsable del tratamiento en el sentido del artículo 4 n.º 7 del RGPD con respecto a los datos personales de la masa de la insolvencia. En este caso, todas las personas afectadas por el tratamiento de datos tendrían los derechos correspondientes en virtud del artículo 12 y siguientes. GDPR contra el administrador concursal.
Una vez que el administrador concursal ha sido nombrado por el tribunal, tiene amplios poderes sobre la masa de la insolvencia. Todo el tratamiento de datos en curso en la empresa del deudor se le atribuye ahora a él y ya no al deudor. Por último, a partir de este momento, el deudor carece de la posibilidad de ejercer influencia para seguir siendo el responsable. El deudor es entonces sólo un tercero de acuerdo con el Art. 4 Nº 10 GDPR.
Por naturaleza, la masa de la insolvencia no sólo contiene datos del deudor, sino también datos de los acreedores que pueden convertirse en dinero (por ejemplo, una cartera de clientes). La medida en que el GDPR entra en juego aquí debe evaluarse por separado:
...hacia el deudor en relación con datos sobre el deudor?
Con el nombramiento del administrador concursal por parte del tribunal, el deudor pierde todo poder de decisión sobre su empresa y todo lo que le pertenece. A falta de acuerdo contractual entre el administrador concursal y el deudor, debe considerarse al administrador concursal como la persona responsable con arreglo a la legislación sobre protección de datos. Está sujeto a las obligaciones correspondientes.
...hacia acreedores o clientes en relación con sus datos?
Naturalmente, el administrador concursal también tiene acceso a los datos de terceros, que figuran en la masa del concurso como bienes jurídicos realizables económicamente. Suelen ser datos de la base de clientes.
Si la empresa se vende como parte de un acuerdo de activos para satisfacer a los acreedores con los ingresos, estos datos se transfieren al comprador de la empresa.
En este caso, los interesados pueden hacer valer claramente sus derechos en virtud del artículo 12 y siguientes. GDPR. Deben ser informados sobre el tratamiento, poder obtener información y que sus datos sean rectificados, suprimidos o limitados en su tratamiento. De no ser así, el administrador concursal, en su calidad de responsable del tratamiento, se expone a multas o reclamaciones por daños y perjuicios en virtud del artículo 82 f. GDPR.
En el caso de una transacción de activos, el adquirente se considera un tercero en el sentido del artículo 4 nº 10 del RGPD. Si se le transfieren datos de acreedores, esto constituye una transferencia de conformidad con el art. 4 n.º 2 del RGPD. Si esto es permisible (Art. 6 I del GDPR) debe evaluarse en función de si se ha dado el consentimiento o si está legalmente permitido de otro modo. Si se trata de la transferencia de datos del acreedor de una relación contractual en curso, el adquirente deja de ser un tercero a partir de la transferencia del contrato (requiere un acuerdo entre acreedor, deudor y adquirente) y puede tratar los datos. En conclusión, la transferencia también es admisible.
En la práctica, esto puede ser muy largo (por ejemplo, puede ser necesario un ajuste del CCC y esperar el consentimiento de todos los acreedores), por lo que es aconsejable evitarlo concediendo al acreedor un plazo razonable de objeción (así también DSK y BayLDA).
No obstante, el consentimiento es necesario si el tratamiento de datos va más allá de la relación contractual previa.
La transferencia y el tratamiento de los datos de los empleados están permitidos de todos modos en virtud del artículo 613a del Código Civil.
Si no se transfieren contratos existentes, sino sólo datos individuales, debe darse un consentimiento voluntario e informado, que debe cumplir normas estrictas. Sin consentimiento, la transferencia sólo está permitida en virtud del art. 6 I 1 lit. f DSGVO si existe un interés legítimo. Esto también debe sopesarse cuidadosamente con los intereses del interesado, que deben determinarse caso por caso, por lo que este procedimiento es muy arriesgado en la práctica.
¿Puede el administrador concursal reclamar información relativa al deudor?
La posición como responsable del tratamiento de datos no otorga, por supuesto, al administrador concursal ningún derecho exhaustivo a la información. Al fin y al cabo, no es un interesado en el sentido del artículo 15 del RGPD. Este derecho a la información se considera un derecho personalísimo y no se transmite con la masa de la insolvencia, ya que no puede conducir directamente a la satisfacción de los acreedores. Así lo confirma también la jurisprudencia (OVG Lüneburg, sentencia de 26 de junio de 2019, 11 LA 274/1).
A lo sumo, sería concebible que el deudor, en el ámbito de sus deberes de cooperación frente al administrador concursal con arreglo al artículo 97 InsO, estuviera obligado a autorizar al administrador concursal en consecuencia, de modo que éste pudiera obtener por sí mismo la información requerida en nombre del deudor.
Relación entre el GDPR y el Código de Insolvencia (InsO)
El RGPD no contiene disposiciones especiales sobre los procedimientos de insolvencia. El administrador concursal se encuentra regularmente en un estado de tensión entre sus obligaciones en virtud del Código de insolvencia y sus obligaciones en virtud del RGPD.
Para todos los afectados, es indispensable el asesoramiento de expertos en este complejo tema.