El Informe 6/2007 de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad de la cesión de datos personales a entidades financieras, especialmente aquellas que operan en banca a distancia, con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. La consulta se centra en la comunicación de datos relacionados con la afiliación de clientes que desean establecer relaciones de negocio con dichas entidades, con el fin de cumplir con las medidas de prevención del blanqueo de capitales establecidas en el Real Decreto 54/2005.
La AEPD define la transmisión de datos como una cesión o comunicación de datos de carácter personal, conforme al artículo 3 i) de la Ley Orgánica 15/1999. Según el artículo 11.1 de dicha ley, los datos solo pueden ser comunicados a un tercero con el consentimiento del interesado, salvo que una norma con rango de ley lo permita, como establece el artículo 11.2 a).
El artículo 5.3 del Real Decreto 925/1995, modificado por el Real Decreto 54/2005, exige a las entidades financieras recabar información sobre la actividad profesional o empresarial de sus clientes y verificar su veracidad. Sin embargo, esta disposición carece del rango necesario para eximir del consentimiento del interesado. No obstante, el artículo 3.1 de la Ley 19/1993, modificado por la Ley 19/2003, impone a los sujetos obligados la obligación de identificar a sus clientes y verificar la información proporcionada, lo cual se considera suficiente para amparar la cesión de datos sin necesidad de consentimiento.
La AEPD concluye que las entidades financieras no necesitan recabar el consentimiento de los clientes para consultar datos relativos a su afiliación, siempre que estos datos se utilicen exclusivamente para verificar la actividad empresarial o profesional declarada. Además, las entidades no pueden informar a los clientes sobre el tratamiento de sus datos con fines de prevención del blanqueo de capitales, debido a la prohibición establecida en el artículo 3.6 de la Ley 19/1993. Sin embargo, deben informar a los clientes sobre la obligación legal de verificar sus datos, conforme al artículo 5.1 de la Ley Orgánica 15/1999.
La AEPD también recuerda que los datos solo pueden ser recogidos y tratados si son adecuados, pertinentes y no excesivos en relación con las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido, conforme al artículo 4.1 de la Ley Orgánica 15/1999. Por lo tanto, las entidades financieras solo pueden utilizar los datos cedidos para cumplir con el deber impuesto por el artículo 3.1 de la Ley 19/1993, sin aplicar los datos a ninguna otra finalidad.
En resumen, la AEPD considera que la cesión de datos de afiliación a entidades financieras para la prevención del blanqueo de capitales está amparada por la Ley 19/1993, por lo que no es necesario el consentimiento del interesado. Sin embargo, las entidades deben cumplir con las restricciones y obligaciones de información establecidas por la Ley Orgánica 15/1999 y la Ley 19/1993.