RGPD y Registro Mercantil: Aspectos Corporativos
El Reglamento General de Protección de Datos (RGPD) impone obligaciones estrictas sobre tratamiento de datos personales. Aunque es normativa de privacidad, tiene conexiones con el Registro Mercantil que empresas, administradores y delegados de protección de datos deben conocer.
Principales Obligaciones RGPD
Artículo relacionado: Usufructo de Participaciones Sociales: Derechos del Usufructuario y Nudo Propietario
Las empresas que tratan datos personales deben cumplir principios de licitud, transparencia, minimización, exactitud, limitación de finalidad y conservación, integridad y confidencialidad.
Base Jurídica del Tratamiento
Todo tratamiento requiere base jurídica: consentimiento del interesado, ejecución de contrato, cumplimiento de obligación legal, interés vital, misión de interés público, o interés legítimo del responsable.
Derechos de los Interesados
Los interesados tienen derechos de acceso, rectificación, supresión, limitación, portabilidad, oposición y a no ser objeto de decisiones automatizadas. Las empresas deben implementar procedimientos para atender estos derechos.
Delegado de Protección de Datos
Ciertas organizaciones deben designar Delegado de Protección de Datos (DPO): autoridades públicas, empresas cuyas actividades principales requieren observación regular y sistemática de interesados a gran escala, o empresas que tratan datos sensibles a gran escala.
Nombramiento del DPO
El DPO puede ser empleado o contratado externamente. Su nombramiento debe comunicarse a la Agencia Española de Protección de Datos pero no se inscribe en el Registro Mercantil.
Funciones del DPO
El DPO informa y asesora al responsable sobre cumplimiento, supervisa el cumplimiento normativo, asesora sobre evaluaciones de impacto, y coopera con la autoridad de control.
Conexión con el Registro Mercantil
Aunque el RGPD no requiere inscripciones en el Registro Mercantil, existen importantes conexiones indirectas.
Identificación del Responsable
Los interesados que ejercitan derechos deben dirigirse al responsable del tratamiento. La información del Registro Mercantil (denominación social, domicilio, administradores) permite identificar correctamente al responsable.
Información Corporativa Pública
El Registro Mercantil contiene datos personales de administradores, apoderados y socios que son públicamente accesibles. Esta publicidad está justificada por interés legítimo en la transparencia corporativa y no requiere consentimiento de interesados.
Tratamiento de Datos en Grupos Empresariales
Los grupos empresariales frecuentemente comparten datos personales entre sociedades, lo que requiere justificación adecuada.
Identificación del Grupo
El Registro Mercantil permite identificar qué sociedades forman parte del grupo mediante inscripción de participaciones significativas. Esta información ayuda a determinar qué entidades pueden ser corresponsables o encargadas del tratamiento.
Legitimación del Intercambio
El intercambio de datos entre sociedades del grupo requiere base jurídica: consentimiento, ejecución de contrato, o interés legítimo debidamente justificado. No basta pertenecer al mismo grupo.
Due Diligence y RGPD
Las operaciones de fusión, adquisición o inversión implican due diligence que trata datos personales.
Tratamiento de Datos en Due Diligence
El comprador accede a información de empleados, clientes, y proveedores de la empresa objetivo. Este acceso debe basarse en interés legítimo en evaluar la inversión, adoptando medidas de confidencialidad estrictas.
Información del Registro Mercantil
Parte de la due diligence consiste en obtener información del Registro Mercantil, que siendo públicamente accesible, no plantea problemas de privacidad adicionales.
Transferencias Internacionales de Datos
Las empresas multinacionales transfieren datos fuera del Espacio Económico Europeo, requiriendo garantías adecuadas.
Grupos Multinacionales
El Registro Mercantil permite identificar filiales extranjeras de grupos españoles. Las transferencias de datos a estas filiales requieren mecanismos de protección: decisiones de adecuación, cláusulas contractuales tipo, o normas corporativas vinculantes.
Normas Corporativas Vinculantes
Los grupos multinacionales pueden aprobar normas corporativas vinculantes (Binding Corporate Rules) autorizadas por autoridades de protección de datos que permiten transferencias intragrupo.
Brechas de Seguridad
Las empresas que sufren brechas de seguridad afectando a datos personales deben notificarlas a la autoridad de control y, en casos graves, a interesados.
Notificación de Brechas
Las brechas deben notificarse a la AEPD dentro de 72 horas. Si generan alto riesgo para derechos y libertades, también deben comunicarse a interesados.
Impacto Reputacional
Las brechas graves dañan severamente la reputación. Stakeholders que conocen la brecha consultan el Registro Mercantil para analizar las cuentas y evaluar si la empresa tiene recursos para implementar medidas correctoras.
Sanciones y Responsabilidad
El RGPD permite sanciones administrativas de hasta 20 millones de euros o 4% de la facturación anual global, la cantidad que sea superior.
Responsabilidad Corporativa
La responsabilidad por incumplimiento recae en la persona jurídica (empresa) inscrita en el Registro Mercantil, no personalmente en administradores salvo actuación dolosa o negligente grave.
Cuentas Anuales y Sanciones
Las sanciones RGPD significativas deben reflejarse en las cuentas anuales depositadas en el Registro Mercantil como gastos extraordinarios o provisiones.
Evaluaciones de Impacto
Los tratamientos que entrañan alto riesgo para derechos y libertades requieren evaluación de impacto sobre protección de datos.
Tratamientos de Alto Riesgo
Requieren evaluación: evaluaciones sistemáticas y exhaustivas de aspectos personales basadas en tratamiento automatizado, tratamiento a gran escala de datos sensibles, y observación sistemática a gran escala de zonas de acceso público.
Consulta a la Autoridad
Si la evaluación concluye que existe alto riesgo residual, debe consultarse a la AEPD antes de iniciar el tratamiento.
Cumplimiento Proactivo
El RGPD exige enfoque de accountability: las empresas deben implementar medidas técnicas y organizativas apropiadas y demostrarlo.
Políticas de Privacidad
Las empresas deben adoptar políticas de privacidad, procedimientos de respuesta a ejercicio de derechos, registro de actividades de tratamiento, y medidas de seguridad.
Auditorías de Cumplimiento
Es recomendable realizar auditorías periódicas de cumplimiento RGPD. Los resultados de auditorías favorables pueden mencionarse en la memoria de cuentas anuales depositadas en el Registro Mercantil, reforzando confianza.
Información No Financiera y Privacidad
Las grandes empresas deben incluir en sus cuentas estado de información no financiera que puede abordar políticas de privacidad.
Políticas de Protección de Datos
El estado de información no financiera depositado en el Registro Mercantil puede describir políticas y procedimientos de protección de datos, certificaciones obtenidas (ISO 27001, ISO 27701), y recursos dedicados a cumplimiento.
Fusiones y Sucesión de Responsabilidad
En fusiones inscritas en el Registro Mercantil, la sociedad resultante sucede en todas las obligaciones RGPD de las sociedades fusionadas.
Sucesión Universal
La fusión implica sucesión universal: la absorbente asume responsabilidades RGPD de la absorbida, incluyendo tratamientos en curso, obligaciones contractuales con encargados, y posibles procedimientos sancionadores pendientes.
Conclusión
Aunque el RGPD no genera inscripciones directas en el Registro Mercantil, ambos ámbitos interactúan: el Registro identifica responsables del tratamiento, refleja estructuras de grupo relevantes para transferencias de datos, contiene información corporativa pública, y recoge sanciones significativas en cuentas anuales.
Las empresas deben integrar cumplimiento RGPD en su gobierno corporativo, documentar adecuadamente políticas y procedimientos, y reflejar en información depositada en el Registro Mercantil su compromiso con la protección de datos.
¿Necesitas identificar al responsable del tratamiento de una empresa? Consulta la nota simple del Registro Mercantil en nuestra plataforma para obtener denominación social, domicilio y administradores actualizados.