¿Qué es la cesión de datos personales?
Cuando una administración, empresa o autónomo que trata datos personales (clientes, trabajadores, etc) los comunica a terceros ajenos, hablamos de cesión de datos personales. Por ejemplo, estamos ante una cesión de datos personales, cuando una empresa comunica a otra los datos personales de sus clientes o trabajadores.
La definición de lo que es una cesión de datos personales la encontramos regulada en el artículo 3 i) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que establece que la cesión de datos personales o comunicación de datos es: Toda revelación de datos realizada a una persona distinta del interesado.
Requisitos para poder realizar una cesión de datos:
Para poder llevar a cabo una cesión de datos personales o comunicación de datos, de conformidad con la normativa, es necesario:
Obtener el consentimiento del titular de los datos. El afectado por la cesión de los datos, debe ser informado y consentir expresamente la comunicación de los datos, para ello es necesario que sepa a quién se van a ceder y con qué finalidad. en este sentido, el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal regula la obtención y características del consentimiento del titular de los datos.
Obtener el consentimiento del titular de los datos, no será necesario en caso de que:
- La cesión de datos personales venga obligada por ley, es decir, que se cedan los datos porque una ley nos obliga a ello. Por ejemplo: Comunicación de datos a la policía, autoridades judiciales o administrativas..
- Cuando los datos hayan sido obtenidos de fuentes accesibles al público.
- Cuando el tratamiento de los datos personales sea necesario, por una relación contractual con el tercero que tendrá acceso. El ejemplo más claro es el de la gestoría laboral. En este caso, el empresario facilita los datos de sus trabajadores a la gestoría laboral para que le realice las nóminas. Ante esta situación, no es necesario que el trabajador consienta. No obstante, para cumplir con la normativa, deberá existir un contrato de tratamiento de datos entre la empresa responsable de los datos y el tercero que tendrá acceso a ellos (siguiendo el ejemplo anterior, sería la gestoría laboral). Dicho contrato, viene regulado en el artículo 12.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
- Cuando la cesión de datos sea a favor del Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas.
- Cuando la cesión se lleve a cabo entre Administraciones públicas y tenga como finalidad el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
- Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia.
- Cuando los datos personales se anonimicen o disasocien antes de realizar la cesión o comunicación de datos personales. En este caso, es evidente que si no se puede identificar al titular de los datos, porque estos han sido anonimizados, no es necesario que se solicite su consentimiento.
La necesidad de obtener el consentimiento del afectado y sus excepciones viene regulado en el artículo 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Ejemplo de cesión de datos irregulares:
Recientemente, hemos tenido conocimiento, a través de los medios de comunicación, de que hospitales públicos estaban cediendo los datos de sus pacientes a empresas privadas de ortopedia o fisioterapia, entre otras, para que éstas ofrecieran sus servicios o productos a pacientes que los necesitaban.
Dicha cesión es ilegal porque para poder llevarla a cabo correctamente, habría sido necesario obtener el consentimiento previo, informado y expreso del paciente, que es el titular de los datos y esto, según las denuncias presentadas por algunos de los pacientes, no se ha producido.
Sanción por realizar una cesión de datos personales sin cumplir con la normativa:
Si se realiza una cesión o comunicación de datos personales sin cumplir con la normativa, esto es, sin obtener el consentimiento del titular de los datos (habiéndolo informado correctamente previamente), se estará cometiendo una infracción muy grave (artículo 44.4 b) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal).
La sanción por la comisión de una infracción muy grave oscila entre los 300.001 a 600.000 euros (articulo 45.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal).