El Informe 0070/2013 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad del uso de datos personales contenidos en recibos domiciliados por una entidad financiera para ofrecer seguros, en comparación con el uso exclusivo para el abono de dichos recibos. La consulta se centra en si este uso es conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo.
La entidad financiera en cuestión recibe información de recibos domiciliados para el abono de primas de seguros, remitidos por un mediador, con la intención de ofrecer seguros adicionales a los clientes. La AEPD analiza si este uso de datos es compatible con la finalidad original para la que fueron recogidos, es decir, el abono de los recibos.
El informe destaca que el tratamiento de datos personales para finalidades distintas a las originales implica un nuevo tratamiento de datos, que debe estar cubierto por el consentimiento inequívoco del interesado, conforme al artículo 6.1 de la Ley Orgánica 15/1999. Además, cualquier cesión de datos a terceros, como operadores de bancaseguros o entidades aseguradoras, también requiere el consentimiento previo del interesado, según el artículo 11.1 de la misma ley.
La AEPD subraya que el consentimiento debe ser libre, inequívoco, específico e informado, conforme al artículo 3 h) de la Ley Orgánica. Si el cliente consiente explícitamente que sus datos sean utilizados para recibir comunicaciones comerciales o cedidos a otras entidades del grupo, este tratamiento se considera legítimo y no incompatible con la finalidad original.
El informe concluye que el tratamiento de datos relacionados con los recibos domiciliados por las entidades financieras para fines comerciales, o su cesión a otras empresas del grupo, es posible siempre y cuando se cuente con el consentimiento del interesado, que debe ser informado y específico sobre las finalidades del tratamiento y las posibles cesiones. Además, si las finalidades son comerciales, el interesado debe ser informado sobre los sectores específicos de actividad respecto de los cuales podrá recibir información o publicidad, conforme al artículo 45.1 b) del Reglamento de desarrollo de la Ley Orgánica.
En resumen, la AEPD establece que el uso de datos personales para fines distintos a los originales es posible siempre que se obtenga el consentimiento adecuado y se cumplan todas las exigencias legales en materia de protección de datos.