La existencia de un contrato como base jurídica para el tratamiento de datos personales

Entre las diferentes bases legales que permiten el tratamiento de datos personales, analizadas en el artículo ¿Cuándo podemos tratar datos personales?, el nuevo Reglamento en materia de protección de datos personales sigue manteniendo el de la existencia de un contrato en que el interesado sea parte.

Como ya hemos visto, el tratamiento de datos personales, sólo se permite cuando existe una base legal para ello. El Reglamento general de protección de datos, RGPD, recoge en su Artículo 6, las diversas bases legales que lo permitirían. Hoy nos vamos a centrar en la letra b), que establece que será lícito el tratamiento cuando éste «sea necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación a petición de éste de medidas precontractuales ».

Se recogen en este apartado dos escenarios diferentes:

a) ejecución de un contrato
En primer lugar, esta disposición abarca aquellos supuestos en los que el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte.

Esto ocurre, por ejemplo, en el tratamiento de la dirección del interesado, para que los bienes adquiridos en línea puedan ser entregados, o el tratamiento de los datos de la tarjeta de crédito con el fin de efectuar un pago. En un contexto laboral permitiría, por ejemplo, el tratamiento de la información salarial y de los datos bancarios, de manera que se pueda abonar el salario.

Esta disposición debe interpretarse de manera estricta y no comprende las siguientes situaciones:

  • situaciones en las que el tratamiento no sea realmente necesario para la ejecución de un contrato
  • sea una condición impuesta unilateralmente al interesado por parte del responsable del tratamiento
  • elaboración de perfiles, basados en los sitios web visitados o artículos adquiridos.

Es clave atender a la necesidad del tratamiento, ya que, incluso si estas actividades de tratamiento se mencionan de manera específica en la letra pequeña del contrato, este hecho por sí solo no las convierte en necesarias para la ejecución del contrato.

El Artículo 6, letra b), sólo se aplica a lo que es necesario para la ejecución de un contrato. No se aplica al resto de acciones ni incidentes que se produzcan en la ejecución de un contrato. En la medida en que el tratamiento comprenda la ejecución normal de un contrato, podría entrar dentro de esta base jurídica.

Existe una clara relación entre la valoración de la necesidad y el cumplimiento del principio de limitación de la finalidad. Es importante determinar la esencia y objetivo fundamental del contrato, ya que la evaluación para comprobar si el tratamiento de datos es necesario para su ejecución se realizará en función de esta información.

b) medidas precontractuales

En segundo lugar, esta base legal, también comprende el tratamiento que tiene lugar para la aplicación de medidas precontractuales.

Esto abarca las relaciones precontractuales, siempre que las medidas se adopten a petición del interesado, y no a iniciativa del responsable del tratamiento o de un tercero.

Por ejemplo, si un individuo solicita un presupuesto a un proveedor de servicios, el tratamiento con estos fines, de datos personales como los datos de la dirección y de la información sobre la que se ha hecho la solicitud, durante un período limitado de tiempo, será adecuado en virtud de este fundamento jurídico.

Esta disposición debe interpretarse de manera estricta y no comprende las siguientes situaciones:

  • el tratamiento de datos de reconocimientos médicos antes de que la empresa de seguros ofrezca un seguro de vida o de asistencia sanitaria
  • las verificaciones de referencias de crédito antes de la concesión de un préstamo

Cuando esta base jurídica no sea aplicable (elaboración de perfiles generalizada, información compartida, prospección en línea o publicidad basada en el comportamiento), se deberá considerar el consentimiento o el interés legítimo del responsable del tratamiento como posibles bases jurídicas, siempre y cuando se cumplan las condiciones exigidas en la ley.

Más información:

Dictamen 06/2014 sobre el concepto de interés legítimo  del responsable de tratamiento de datos de 9 de abril de 2014 por el Grupo de Trabajo del Artículo 29.

El interés vital como base jurídica para el tratamiento de datos personales

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: