Cesión de datos personales

Regulación y concepto.

LOPD. Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.

Artículo 11. Comunicación de datos:

1. Los datos de carácter personal objeto del tratamiento solo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
2. El consentimiento exigido en el apartado anterior no será preciso:
   1. Cuando la cesión esté autorizada en una ley.
   2. Cuando se trate de datos recogidos de fuentes accesibles al público.
   3. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación solo será legítima en cuanto se limite a la finalidad que la justifique.
   4. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
   5. Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
   6. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.
4. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
5. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.
6. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

Artículo 10. Supuestos que legitiman el tratamiento o cesión de los datos:

1. Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello.
2. No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:
   1. El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
   2. El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.
   3. Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado. No obstante, las Administraciones Públicas solo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley
3. Los datos de carácter personal podrán tratarse sin necesidad del consentimiento del interesado cuando:
   1. Se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario.
   2. Se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento.
   3. El tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del apartado 6 del artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre.
4. Será posible la cesión de los datos de carácter personal sin contar con el consentimiento del interesado cuando:
   1. La cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos. En este caso la comunicación solo será legítima en cuanto se limite a la finalidad que la justifique.
   2. La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley les atribuya expresamente.
   3. La cesión entre Administraciones Públicas.
5. Los datos especialmente protegidos podrán tratarse y cederse en los términos previstos en los artículos 7 y 8 de la Ley Orgánica 15/1999, de 13 de diciembre. En particular, no será necesario el consentimiento del interesado para la comunicación de datos personales sobre la salud, incluso a través de medios electrónicos, entre organismos, centros y servicios del Sistema Nacional de Salud cuando se realice para la atención sanitaria de las personas, conforme a lo dispuesto en el Capítulo V de la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.

De conformidad con lo dispuesto en el artículo 3.i) de la LOPD, la comunicación o cesión de datos personales supone la puesta a disposición de un tercero, que no sea el titular de los datos, de cualquier tipo de dato personal.

Con el fin de determinar el concepto de cesión, también conocido como comunicación de datos, es importante destacar lo manifestado por parte de la Audiencia Nacional en la Sentencia de 18-05-2006, Sala de lo Contencioso-Administrativo, sección primera, en la que se dispone que el concepto de cesión regulado en nuestra normativa de protección de datos, tal y como se desprende de los preceptos anteriores, no puede ser más amplio, entendiéndose por tal toda revelación de datos realizada a una persona distinta del interesado.

Deber de información.

Aclarado el concepto de comunicación o cesión de datos personales, debe tenerse en cuenta que cualquier tipo de cesión de datos personales debe venir precedida de la información adecuada y pertinente al titular de los datos personales.

Concretamente, es el responsable del fichero (el cedente de los datos) el que debe, antes de proceder a llevar a cabo la cesión de datos a favor del cesionario, garantizar que el titular de los datos obtiene la información adecuada respecto a los siguientes aspectos:

1. Que sus datos van a ser cedidos.
2. Cuál es la finalidad del fichero para el que van a ser cedidos.
3. Cuál es la naturaleza de los datos que han sido objeto de cesión.
4. Cuál es la denominación y datos de contacto del cesionario.
5. La posibilidad de ejercitar los derechos de ARCO.

No obstante, la normativa prevé una serie de casos en los que el responsable del fichero (o cedente) está exento de la obligación de informar sobre la cesión de datos de carácter personal al sujeto afectado, siempre y cuando se dé alguna de las siguientes circunstancias:

1. Cuando la cesión venga impuesta expresamente en una ley.
2. Cuando la cesión corresponda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.
3. Cuando la cesión que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas, o la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
4. Cuando se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
5. Cuando la cesión se produzca previo procedimiento de disociación.

Al igual que el cedente de los datos debe cumplir con la obligación de informar de forma previa, en aquellos casos en los que el cedente no hubiera cumplido con esta obligación, el cesionario deberá informar a los titulares respecto a los siguientes aspectos:

1. De la denominación y datos de identificación de la entidad que recibe sus datos personales (el cesionario).
2. De la existencia de un fichero o tratamiento de datos.
3. De la finalidad para la que serán tratados dichos datos personales.
4. De otros destinatarios, si los hubiera, de dichos datos personales.
5. De la posibilidad de ejercitar los derechos de ARCO.

Al igual que en el caso del cedente, la normativa también prevé la posibilidad de aplicar una serie de excepciones a la obligación de informar la titular de los datos respecto a la cesión. Concretamente, no será obligatorio en los siguientes casos:

1. Cuando lo establezca expresamente una ley.
2. Cuando el tratamiento tenga fines históricos, estadísticos o científicos.
3. Cuando resulte imposible o exija esfuerzos desproporcionados cumplir con la obligación de información del titular de los datos, quedando siempre a criterio de la AEPD la necesidad de aplicar esfuerzos desproporcionados o no, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
4. Cuando los datos hayan sido obtenidos de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado, se informará de:
   1. El origen de los datos.
   2. La identidad del responsable del tratamiento (cesionario).
   3. Los derechos que le asisten.

Deber de obtener el consentimiento.

De conformidad con lo dispuesto en el artículo 11.1 de la LOPD, los datos de carácter personal objeto de tratamiento solo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

Como es evidente, el consentimiento debe obtenerlo el cedente (responsable del fichero o tratamiento) que posee el fichero con los datos que se pretenden ceder, debiendo ser dicho consentimiento (en tanto el artículo 11 no indica el tipo de consentimiento que se requiere) de conformidad con lo dispuesto en el artículo 3.h) de la LOPD:

1. Libre, lo que supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.
2. Específico, es decir, referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la LOPD.
3. Informado, es decir, que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. Precisamente por ello el artículo 5.1 de la LOPD impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen.
4. Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento.

En lo que respecta al tipo de consentimiento requerido, es de vital importancia lo dispuesto por la Sentencia de la Audiencia Nacional de 6 de junio de 2012, en la que se reconoce que es doctrina reiterada de esta Sala (SSAN, Sec. 1.ª, de 20 de septiembre 2006 (Rec. 626/2004) y 1 de febrero 2006 (Rec. 250/2004), que la LOPD no exige que dicho consentimiento inequívoco se manifieste de forma expresa ni por escrito, sino que se puede producir de forma expresa (oral o escrita), o por actos reiterados del afectado que revelen que, efectivamente, ha dado ese consentimiento con los requisitos expuestos, es decir, por actos presuntos, o por el silencio del afectado, consentimiento tácito (o impropiamente llamado silencio positivo, como se dice en la SAN, Sec. 1.ª, de 14-4-2000 (Rec. 103/1999).

Reiterándose en la SAN, Sec. 1.ª, de 28-2-2007 (Rec. 236/2005), que “cualquiera que sea la forma que revista el procedimiento (expreso, presunto o tácito) este ha de aparecer como evidente, inequívoco (que no admite duda o equivocación) pues este y no otro es el significado del adjetivo utilizado para calificar el consentimiento...”.

Por último, debemos tener en consideración que la normativa establece en relación al consentimiento que:

1. El consentimiento será nulo para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.
2. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter revocable, siempre y cuando exista causa justificada para ello.

Excepciones al régimen general del consentimiento.

A pesar de que la regla general para poder llevar a cabo cesiones de datos es disponer del consentimiento inequívoco de forma previa a la realización de la comunicación o cesión de datos.

Debe tenerse en consideración que la LOPD prevé en su artículo 11.2 una serie de excepciones a la obtención del consentimiento:

1. Que la cesión esté prevista expresamente en una ley (por ejemplo: la normativa de prevención de riesgos laborales obliga a comunicar los datos personales de los trabajadores entre las empresas que estén llevando a cabo un proyecto conjuntamente con el fin de coordinar la actividad preventiva).
2. Que se trate de datos recogidos de fuentes accesibles al público.
3. Que la cesión sea para la satisfacción de un interés legítimo del cesionario, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la LOPD.
4. Que el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación solo será legítima en cuanto se limite a la finalidad que la justifique.
5. Que la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
6. Que la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
7. Que la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

Régimen aplicable a las comunicaciones de datos a otros estados.

Sin perjuicio de que en el presente módulo se haya destinado un espacio específico a las transferencias internacionales de datos, se considera relevante hacer referencia en este apartado a las obligaciones en materia de protección de datos relacionadas con las transferencias internacionales, cuando dicha transferencia es una cesión de datos a un tercero ubicado fuera del Espacio Económico Europeo (EEE).

Concretamente, debe diferenciarse entre aquellas comunicaciones entre países que se encuentran dentro del Espacio Económico Europeo (EEE) y comunicaciones a terceros países no pertenecientes al EEE, pero con un nivel de protección adecuado, pues el artículo 33 LOPD establece expresamente: “No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en esta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que solo podrá otorgarla si se obtienen garantías adecuadas.”

Comunicaciones de datos personales con destino a países miembros del EEE.

Es doctrina reiterada por parte de la Agencia Española de Protección de Datos considerar que las comunicaciones de datos personales a países miembros del EEE no recaen bajo la definición de transferencia internacional de datos de carácter personal, por lo que quedan fuera del alcance de lo anteriormente indicado por el artículo 33 LOPD.

No obstante, este hecho implica que cuando las citadas cesiones o comunicaciones se lleven a cabo para al cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, constituirán una comunicación de datos personales a los efectos de la aplicación de la normativa de protección de datos de carácter personal, debiendo darse cumplimiento a las obligaciones anteriormente dispuestas.

Comunicaciones de datos personales con destino a países con nivel de protección adecuado.

Los tratamientos de datos personales que suponen una transmisión de estos fuera del territorio del EEE, independientemente de que se lleven a cabo bajo la consideración de una comunicación o de un tratamiento de datos por cuenta de terceros, constituyen una transferencia internacional de datos.

Las transferencias internacionales de datos personales que tengan como destino un país fuera del Espacio Económico Europeo (EEE) que ofrezca un denominado nivel de protección de datos adecuado suponen una excepción al régimen general de autorización previsto por el artículo 34 LOPD, que rige las transferencias internacionales de datos y que se verá más en detalle en el apartado correspondiente a las transferencias internacionales de datos.

Comunicaciones de datos personales a terceros países sin nivel adecuado.

Siempre que se lleven a cabo comunicaciones de datos a otros Estados que no se encuentren comprendidos dentro del EEE y que no sean Estados cuyo nivel de seguridad sea equivalente al de la Unión Europea, tal y como se ha expuesto previamente, se considerará una cesión de datos personales a un país con un nivel no seguro.

Este hecho conlleva necesariamente que, si se desean realizar comunicaciones de datos a entidades ubicadas en dichos Estados, será obligatorio que, además de obtener el consentimiento anteriormente exigido, se dé cumplimiento a las obligaciones establecidas en el artículo 33 de la LOPD, así como a las particularidades ampliamente expuestas en la unidad correspondiente a las transferencias internacionales de datos del presente módulo.