Buenos días,

En primer lugar, me extraña que la AEPD te haya recomendado o dicho que puedes realizar una sola adaptación LOPD que te sirva para las tres empresas. Eso lo puedes hacer si las tres operan bajo el mismo CIF, sino es así tienes que realizar tres adaptaciones, una por cada CIF, es decir, tres. Por lo tanto, deberías realizar 3 documentos de Seguridad y adaptar a las tres por separado y, a su vez, conjuntamente, a las obligaciones de la normativa en protección de datos, así como notificar los ficheros independientemente, aunque haya apartados que coincidan y sean aplicables para las tres empresas.

Si las tres empresa pueden acceder a los datos de las otras indistintamente, te encuentras ante una cesión de datos, en todos los sentidos. Así mismo, la empresa que administras a las otras dos, sería un encargo de tratamiento.

A Posteriori, habría que ver el tema del servidor, cómo se encuentra gestionado, quién puede acceder, etc. Habría que ver que relaciones mercantiles teneís entabladas con terceras empresas y cuáles de ellas tratan datos personales de las tres empresas y bajo qué parámetros.

Finalmente, habría que estudiar las medidas de seguridad establecidas y el nivel de sensibilidad de los datos para determinar el nivel de aquellos. Por su parte, debería redactarse unas funciones y obligaciones del personal que trabaja para el grupo separadamente en función de la empresa a la que pertenezcan, es decir, con la que tengan entablada la relación laboral.

Esto es unos comentarios por encima, pero como podrás intuir necesita de un estudio mucho más pormenorizado y minucioso.

Antes de nada tienes que saber si las tres empresa operan bajo el mismo CIF o si este es independiente, uno para cada una de las empresa que conforman el grupo, por lo que puedes tener un CIF del grupo empresarial y tres CIF para las tres empresas. Si disponenen de CIF difernete debes adaptar a las empresas por separado, es decir, tres o cuatro adaptaciones LOPD.

Espero que te haya servido.

Un saludo.