Por Andrea Pulgar, abogada especializada en Nuevas Tecnologías y Protección de Datos Personales.
Hoy en día es muy frecuente que las empresas se reorganicen a fin de crecer, posicionarse o subsistir en el mercado. Esta reorganización, desde el punto de vista del derecho a la protección de datos personales, nos hace preguntarnos si un caso de reorganización empresarial, de cuyo resultado se generará una persona jurídica distinta, habilita la posibilidad de transferir datos personales sin el consentimiento de sus titulares a favor de la nueva persona jurídica.
La Ley General de Sociedades – Ley 26887 – contempla la posibilidad que las sociedades reguladas por dicha ley puedan transformarse, fusionarse o escindirse, lo cual podría tener impacto en el derecho a la protección de datos personales, dependiendo del supuesto de que se trate.
Teniendo en cuenta que en el caso de transformación no se produce un cambio en la personalidad jurídica, el mismo no generará mayor implicancia respecto al derecho bajo comentario; sin embargo, en los casos de fusión (reunión de dos o más sociedades) o escisión (fraccionamiento del patrimonio de una sociedad en dos o más bloques para transferirlos íntegramente a otras sociedades o para conservar uno de ellos), ocurre lo contrario, ya que obviamente el resultado de dichas operaciones generará el nacimiento de una o más personas jurídicas distintas que adquirirán todo o parte de los bancos de datos personales de la sociedad original.
Sobre el particular, nos preguntamos lo siguiente: ¿La nueva sociedad es un encargado del tratamiento o un nuevo titular del banco de datos? La interrogante resulta importante si tenemos en cuenta que los casos de transferencia requieren el consentimiento del titular y que, por el contrario, el tratamiento por encargo no requiere su consentimiento.
La respuesta es que nos encontramos ante un caso de nuevo titular del banco de datos personales y que la entrega de datos personales a esta nueva sociedad calificará como su transferencia. Ahora bien, nos preguntamos si debemos aplicar la regla general del principio del consentimiento o nos encontramos ante un supuesto de excepción al mismo.
En principio, al no constituir un supuesto de excepción conforme al artículo 14 de la Ley de Protección de Datos Personales, la regla debería ser el principio del consentimiento; sin embargo, obviamente resultaría desproporcionado que las decisiones de reorganización empresarial deban pasar por tal requerimiento, por lo que considero que no se puede aplicar el principio general del consentimiento. Esta situación ha tratado de ser salvada en otras legislaciones al amparo de la excepción al consentimiento consistente en tratarse de una actuación en legítimo interés del responsable del tratamiento; sin embargo, en el Perú no tenemos un supuesto similar.
La Ley de Protección de Datos Personales – Ley 29733 – no es clara respecto a que sucede en los casos de fisiones o escisiones. Cabe señalar que si bien el Decreto Legislativo N° 1353 publicado el 7 de enero del presente año, que modificó la Ley de Protección de Datos Personales, ha introducido un cambio que hace referencia a estos supuestos, dicha modificación no resulta clara y se presta a interpretaciones erradas.
En efecto, el referido Decreto Legislativo que modifica entre otros, el artículo 18 de la Ley de Protección de Datos Personales señala:
“(…)
Si con posterioridad al consentimiento se produce la transferencia de datos personales por fusión, adquisición de cartera, o supuestos similares, – hasta aquí todo parecería claro – el nuevo titular del banco de datos debe establecer un mecanismo de información eficaz para el titular de los datos personales sobre dicho nuevo encargado de tratamiento” – aquí se genera la confusión-. (Los comentarios agregados son míos)”
Como se puede advertir, si bien la modificación legislativa aparentemente tenía por objeto exceptuar del consentimiento en los casos en que se produzca una transferencia de datos personales en el marco de una fusión o absorción – aunque lo correcto hubiera sido que se incluya expresamente como supuesto de excepción en el artículo 14 de la Ley de Protección de Datos Personales –, lo cierto es que se incurre en error al calificar a la nueva sociedad como encargado del tratamiento[1], cuando lo cierto es que se trata, como se ha señalado, de un nuevo titular del banco de datos personales[2].
Ahora bien, sin perjuicio de ello, considero acertada la intención de la referida norma en intentar establecer como excepción al consentimiento los supuestos de reorganización empresarial bajo comentario; sin embargo, deberá corregirse el error (de ubicación y concepto) incurrido a fin de no generar interpretaciones equivocadas respecto a dicha materia.
[1] Artículo 2 inciso 7 de la Ley 29733.- Encargado de tratamiento de datos personales. Toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento sin la existencia de un banco de datos personales.
[2] Artículo 2 inciso 17 de la Ley 29733.- Titular del banco de datos personales. Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.