Ejecución de un contrato
Home » IdC » Legalidad: Elección de una base jurídica » Ejecución de un contrato

En ocasiones, los datos pueden tratarse sobre la base del artículo 6.1 (b) del RGPD:
El tratamiento de datos personales es lícito cuando es necesario para la ejecución de un contrato en el que el interesado es parte. El alcance de esta base jurídica está limitado por el criterio de “necesidad”, que requiere un vínculo directo y objetivo entre el tratamiento en sí y los fines de la ejecución contractual que se espera del interesado. En efecto, esta base jurídica sólo legitima el tratamiento que es efectivamente necesario para dicho objetivo. Por el contrario, si el tratamiento no es de hecho necesario para la ejecución de un contrato, dicho tratamiento sólo puede tener lugar si se basa en otra base jurídica adecuada.[1]

Así, la idea de necesidad es clave para determinar si esta base jurídica es aplicable al tratamiento o no. El Comité Europeo de Protección de Datos adoptó en 2019 sus Directrices sobre el tratamiento de datos personales con arreglo al artículo 6, apartado 1, letra b), del RGPD en el contexto de la prestación de servicios en línea a los interesados, que son especialmente pertinentes para esta cuestión.[2] Según estas Directrices, el uso de los datos podría ser necesario para la ejecución de un contrato con un sujeto de datos, o para tomar medidas precontractuales a petición de un sujeto de datos.

Es importante señalar que el concepto de lo que es “necesario para la ejecución de un contrato” no es simplemente una evaluación de lo que se permite o está escrito en los términos de un contrato. El concepto de necesidad implica varios requisitos.

  • En primer lugar, el encargado del tratamiento deberá identificar la finalidad concreta del tratamiento, ya que en el contexto de una relación contractual puede haber una variedad de fines para el tratamiento y no todos ellos son necesarios para la ejecución de un contrato o para realizar gestiones precontractuales. Así pues, las finalidades concretas que se legitimen a través de esta base jurídica deberán especificarse claramente y comunicarse al interesado, en consonancia con las obligaciones de limitación de la finalidad y de transparencia del responsable del tratamiento. Si, por ejemplo, estos fines son necesarios para otros fines comerciales del responsable del tratamiento, pero no para la ejecución específica del contrato con el interesado, podrían ser lícitos en virtud de la base jurídica del interés legítimo o del consentimiento, pero no en virtud de la ejecución de un contrato. Además, por supuesto, a veces el tratamiento no estaría amparado por ninguna base jurídica y, por tanto, debería evitarse.
  • En segundo lugar, hay que tener en cuenta que hay tres condiciones principales que deben cumplirse para evaluar que esta base jurídica se aplica en un contrato concreto, a saber (a) que exista un contrato, (b) que el contrato sea válido de acuerdo con la legislación nacional de contratos aplicable, y (c) que el tratamiento sea objetivamente necesario para la ejecución del contrato. Esta última parte es especialmente importante: objetivamente necesario significa que esta necesidad está relacionada con “un propósito que es integral para la prestación de ese servicio contractual al sujeto de los datos”. Aquí se incluye el tratamiento de los datos de pago para el cobro del servicio. El responsable del tratamiento debe poder demostrar cómo el objeto principal del contrato específico con el interesado no puede, de hecho, llevarse a cabo si no se produce el tratamiento específico de los datos personales en cuestión. La cuestión importante en este caso es el nexo entre los datos personales y las operaciones de tratamiento en cuestión, y la ejecución o no de la prestación del contrato”. [3] Es decir, el hecho de que el tratamiento de datos personales se incluya como una obligación en un contrato no lo convierte en “necesario para la ejecución de un contrato” en los términos de la legislación sobre protección de datos. Así, si el responsable del tratamiento introduce una condición en el contrato que obliga al interesado a permitir el tratamiento, aunque éste no sea estrictamente necesario para la ejecución del contrato, la base jurídica no es aplicable a este supuesto. Si existen alternativas realistas y menos intrusivas, el tratamiento no es “necesario””. [4]
  • Por último, pero no por ello menos importante, los responsables del tratamiento deben recordar siempre que tanto los principios de limitación de la finalidad como los de minimización de los datos son especialmente relevantes cuando un responsable del tratamiento utiliza la “ejecución de un contrato” como base jurídica para el tratamiento de datos, ya que los contratos de servicios en línea (que son los típicos servicios vinculados a los dispositivos de IdC) no suelen negociarse de forma individual.
Recuadro 5: ¿Puede considerarse que la elaboración de perfiles es necesaria para la ejecución de un contrato?

El Comité Europeo de Protección de Datos reconoció que la personalización de los contenidos puede constituir un elemento esencial o esperado de ciertos servicios y, por lo tanto, puede considerarse necesaria para la ejecución del contrato con el usuario del servicio en algunos casos. El hecho de que dicho tratamiento pueda considerarse un aspecto intrínseco de un servicio dependerá de la naturaleza del servicio prestado, de las expectativas del interesado medio a la luz no sólo de las condiciones del servicio, sino también de la forma en que éste se promociona entre los usuarios, y de si el servicio puede prestarse sin personalización. Cuando la personalización de los contenidos no sea objetivamente necesaria para los fines del contrato subyacente, por ejemplo, cuando la entrega de contenidos personalizados tenga por objeto aumentar la participación del usuario en un servicio, pero no forme parte integrante de la utilización del servicio, los responsables del tratamiento deberán considerar una base jurídica alternativa cuando proceda.

En cambio, la publicidad basada en el comportamiento y el seguimiento y la elaboración de perfiles de los interesados no pueden basarse en la ejecución de un contrato, ni siquiera cuando dicha publicidad financia indirectamente la prestación del servicio. Dicho tratamiento es independiente de la finalidad objetiva del contrato entre el usuario y el proveedor de servicios y, por tanto, no es necesario para la ejecución del contrato en cuestión. Por lo tanto, los responsables del tratamiento deben utilizar otra base jurídica, como el consentimiento o el interés legítimo, si están dispuestos a proceder de ese modo.

Fuente: Directrices 2/2019 del Comité Europeo de Protección de Datos sobre el tratamiento de datos personales con arreglo al artículo 6, apartado 1, letra b), del RGPD en el contexto de la prestación de servicios en línea a los interesados Adoptadas el 9 de abril de 2019, en: https://edpb.europa.eu/sites/default/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf
Lista de control: ejecución de un contrato

☐ Los responsables del tratamiento pueden demostrar que, tras evaluar las circunstancias en juego, han llegado a la conclusión de que la ejecución de un contrato es la base jurídica más adecuada para el tratamiento.

☐ Los responsables del tratamiento pueden demostrar que el tratamiento es objetivamente necesario para la ejecución del contrato. Para ello, han respondido a estas preguntas:

  • ¿Cuál es la naturaleza del servicio que se presta al interesado? ¿Cuáles son sus características distintivas?
  • ¿Cuál es la razón exacta del contrato (es decir, su sustancia y objeto fundamental)?
  • ¿Cuáles son los elementos esenciales del contrato?
  • ¿Cuáles son las perspectivas y expectativas mutuas de las partes del contrato? ¿Cómo se promociona o publicita el servicio al interesado? ¿Un usuario ordinario del servicio esperaría razonablemente que, teniendo en cuenta la naturaleza del servicio, el tratamiento previsto tuviera lugar para ejecutar el contrato del que es parte?

☐ Los responsables del tratamiento han informado a los interesados de la necesidad de tratar sus datos sobre esta base jurídica.

☐ Si es necesario tratar categorías especiales de datos, los responsables del tratamiento han identificado una excepción al veto incluido en el artículo 9.1 el RGPD en el artículo 9.2.

☐ Cuando se utiliza el consentimiento amplio, el responsable del tratamiento es, en particular, los sujetos de los datos tienen la oportunidad de retirar su consentimiento y de elegir si quieren participar en determinadas investigaciones y partes de las mismas.

☐ Los responsables del tratamiento no amplían esta base jurídica al tratamiento de datos que no sean estrictamente necesarios para la ejecución del contrato.

☐ Los responsables del tratamiento son conscientes de que la inclusión de una condición para firmar el contrato que implique un tratamiento de datos no justifica que este tratamiento sea necesario para la ejecución del contrato.

 

  1. Directrices del Grupo de Trabajo del Artículo 29 sobre el consentimiento en virtud del Reglamento 2016/679 (WP259), refrendadas por el Comité Europeo de Protección de Datos, página 19.
  2. Directrices 2/2019 sobre el tratamiento de datos personales con arreglo al artículo 6, apartado 1, letra b) del RGPD en el contexto de la prestación de servicios en línea a los interesados Adoptadas el 9 de abril de 2019, en: https://edpb.europa.eu/sites/default/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf
  3. Directrices 2/2019 sobre el tratamiento de datos personales con arreglo al artículo 6, apartado 1, letra b) del RGPD en el contexto de la prestación de servicios en línea a los interesados Adoptadas el 9 de abril de 2019, en: https://edpb.europa.eu/sites/default/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf
  4. Directrices 2/2019 sobre el tratamiento de datos personales con arreglo al artículo 6, apartado 1, letra b) del RGPD en el contexto de la prestación de servicios en línea a los interesados Adoptadas el 9 de abril de 2019, en: https://edpb.europa.eu/sites/default/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf

 

Ir al contenido