El Informe 0078/2005 de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si una entidad de crédito puede utilizar los datos de su personal, obtenidos en el contexto de una relación laboral, para fines relacionados con la contratación de productos financieros. Este informe se enmarca en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
El artículo 6.1 de la Ley establece que el tratamiento de datos personales requiere el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. Sin embargo, el artículo 6.2 exime del consentimiento cuando los datos se refieren a las partes de un contrato o precontrato y son necesarios para su mantenimiento o cumplimiento. En este caso, los empleados mantienen una doble relación con la entidad: laboral y contractual como clientes.
El informe destaca que, aunque la entidad no necesite consentimiento para tratar datos necesarios para ambas relaciones, debe respetar los principios de proporcionalidad y finalidad del tratamiento de datos. El artículo 4.1 de la Ley establece que los datos solo pueden ser recogidos y tratados si son adecuados, pertinentes y no excesivos en relación con las finalidades determinadas. El artículo 4.2 añade que los datos no pueden usarse para fines incompatibles con aquellos para los que fueron recogidos, salvo excepciones específicas como fines históricos, estadísticos o científicos.
El Tribunal Constitucional ha interpretado que «fines incompatibles» se refiere a «fines distintos». Por lo tanto, el tratamiento de datos debe estar limitado a las finalidades para las que fueron recogidos. La entidad no puede utilizar datos obtenidos en el contexto laboral para fines contractuales, y viceversa, sin el consentimiento del afectado.
Además, el artículo 5.1 de la Ley exige que los interesados sean informados de la existencia de un fichero, la finalidad de la recogida de datos, el carácter obligatorio o facultativo de su respuesta, las consecuencias de la obtención de los datos, y sus derechos de acceso, rectificación, cancelación y oposición. En el caso analizado, la entidad no ha informado adecuadamente a los empleados sobre el uso de sus datos para fines contractuales, ni a los clientes sobre el uso de sus datos para fines laborales.
El informe concluye que, salvo en casos excepcionales donde exista una vinculación directa e insoslayable entre ambas relaciones contractuales (por ejemplo, si la entidad ofrece productos financieros específicos a sus empleados), la utilización de datos obtenidos en una relación para fines de la otra relación es contraria a la Ley Orgánica 15/1999, a menos que se cuente con el consentimiento del interesado.