El Informe 0248/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si la entrega de documentos como los modelos 347 y 415, o el libro mayor de contabilidad, a entidades financieras, es conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Estos documentos pueden contener datos personales de terceros, lo que plantea dudas sobre su protección.
La Ley Orgánica 15/1999 se aplica a los datos de carácter personal registrados en soporte físico y a su uso posterior por sectores público y privado. Sin embargo, esta protección no se extiende a las personas jurídicas ni a los empresarios individuales cuando los datos se refieren a ellos en su condición de comerciantes, industriales o navieros. Esto se deduce del artículo 2.1 de la Ley y del artículo 2.2 del Reglamento de desarrollo de la misma, que excluye a las personas jurídicas y a los ficheros que solo contienen datos de personas físicas que prestan servicios en ellas.
Para los empresarios individuales, la situación es más compleja. Si la información se refiere a profesionales o comerciantes individuales que no tienen organizada su actividad bajo la forma de persona jurídica, la protección de datos sí es aplicable. Esto se basa en la Resolución de la AEPD de 27 de febrero de 2001, que establece que la protección de datos no se aplica a los profesionales que organizan su actividad bajo la forma de empresa.
En cuanto a la comunicación de datos a entidades financieras, esta constituye una cesión de datos, definida como la revelación de datos a una persona distinta del interesado. Según el artículo 11 de la Ley Orgánica 15/1999, esta cesión solo puede verificarse con el consentimiento previo del interesado, salvo en casos excepcionales, como cuando la cesión está autorizada por una ley.
En el caso específico de las entidades financieras, la Ley 26/1988 sobre Disciplina e Intervención de las Entidades de Crédito impone a estas entidades la obligación de disponer de una estructura organizativa adecuada y procedimientos eficaces de gestión y control de riesgos. El incumplimiento de estas obligaciones se considera una infracción grave o muy grave. Por tanto, la comunicación de datos personales a las entidades financieras para determinar la solvencia de las empresas que solicitan créditos está amparada por la ley, ya que se trata del cumplimiento de un deber establecido en una norma con rango de ley.
En resumen, la entrega de documentos como los modelos 347 y 415, o el libro mayor de contabilidad, a entidades financieras no es contraria a la Ley Orgánica 15/1999, siempre y cuando se trate de datos referidos a la actividad empresarial y no a la esfera privada de las personas físicas. La protección de datos no se aplica a las personas jurídicas ni a los empresarios individuales en su condición de comerciantes, y la cesión de datos a entidades financieras está justificada por la necesidad de cumplir con las obligaciones legales de gestión y control de riesgos.