Se pueden dar tres situaciones:

1. Si se trata de un encargo de tratamiento entre empresas del mismo grupo, es decir una de la empresas del grupo (la que sea) para prestar un  servicio a otra u otras empresas del grupo trata datos personales por cuenta de la misma o las mismas, se tendría que formalizar y firmar un contrato de ET conforme al art. 28.3 RGPD entre ellas, en este caso no se considera cesión de datos (art. 33.1 LOPDGDD).
2. Si se trata de un  tratamiento en que entre más de una empresa del grupo determinan conjuntamente los fines y los medios del tratamiento, se trataría de una corresponsabilidad y se debería formalizar y firmar un acuerdo de corresponsabilidad entre las empresas corresponsables conforme al art. 26 RGPD, tampoco habría cesión de datos.
3. Si se trata de una cesión de datos, porque no se dan ninguna de las otras dos circunstancias (ET o CT), tendrían que tener una base jurídica de las del art. 6.1. RGPD para poder llevarla a cabo de manera lícita, y podría ser:
• Interés legítimo (6.1.f RGPD) en la cesión de datos dentro de un grupo empresarial, pero solo para los para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados (Cdo. 48 GDPR)
• Para cualquier otro fin se precisaría otra base jurídica distinta, podría ser:
• Solicitar el consentimiento al interesado (art. 6.1.a RGPD)
• Que se hubiese establecido en el contrato de asistencia sanitaria y fuese necesario para ello (art. 6.1.b RGPD).