El objeto de este estudio es analizar el tratamiento de los datos personales que se lleva a cabo en determinados grupos de empresas en los que la estructura societaria está muy centralizada, de tal modo que todos los procesos los controla la matriz y las filiales son meramente sociedades vehículo. Mientras la norma (y el criterio interpretativo de la AEPD) obligan a que cada sociedad del grupo aplique de forma independiente e individualizada la normativa de protección de datos, la realidad es que multitud de procesos son únicos para el grupo y en muchos casos no encuentran acomodo sencillo en los esquemas existentes para el intercambio de datos personales. Con la regulación actual, el consentimiento ya no es criterio principal para efectuar cesiones de datos; si bien esta mayor libertad para el responsable del tratamiento viene acompañada de un estándar más elevado a la hora de informar a los interesados. La cuestión es si con la regulación actual se podría simplificar la estructura de gestión de esos flujos de datos al mismo tiempo que facilitar una información clara y sencilla al interesado para que realmente comprenda quién y cómo está tratando sus datos.