ejecución de contrato

Ejecución de contrato y RGPD: ¿Truco o trato?

 

La base legítima “Ejecución de contrato” se va a poner  de moda muy pronto: se habla de tres sanciones de más de dos mil millones en Irlanda, con sus verdes valles, sus altos acantilados y sus bajas tributaciones.

Como dice el refrán, a cada cerdo le llega su San Patricio. Este post trata de que nadie se haga pupita aquí en la piel de toro.

 

Intentaré resumir lo que hacía Meta hasta ahora con un solo meme:

 

ejecución de contrato

Contrato, medidas precontractuales

 

La segunda de las bases legítimas de tratamiento del 6 RGPD es el famoso, ubicuo y chupao de aplicar: tratamiento “necesario para la ejecución de un contrato en el que el interesado sea parte, o para la aplicación a petición de este de medidas precontractuales”.

Está tirado aplicar esto, ¿no?. Por eso mismo esa base ha sido tradicionalmente abusada. Así que… no tan rápido compañeros.

Esta base, junto con la de “obligación legal” es una de las favoritas de los responsables de tratamiento: no en vano resultan bastante literales, y aparentemente no requieren juicios de ponderación ni cosas raras y complicadas para su aplicación.

Toda rosa tiene su espina, mi pequeño padawan” y el contrato en la protección de datos no iba a ser una excepción. En este caso los problemas están en la cierta tendencia de muchas organizaciones a ir a lo fácil:

  • Por una parte, aplicar las bases de aplicación más sencillas en los supuestos más complicados.
  • Por otra, estirarlas como un chicle, para dar cobertura a tratamientos excesivos.

Afortunadamente, tenemos reglas para no hacernos preguntas. En el caso de la ejecución de contrato, tenemos tres.

 

Primera norma: “Contrato no es lo mismo que consentimiento”.

 

Un contrato “eh-lo-que-eh”, aunque sea de adhesión. Y no debe confundirse con el consentimiento, cuando se aceptan unos “términos y condiciones”.

Y esto viene a cuento porque hay mucha “confusión interesada” sobre lo que es un contrato. Hola, Facebook!!

Y no es que venga yo de listo ahora, el EDPB lo avisó ya en sus guidelines del 2019:

Ejecución de contrato

 

 

 

Segunda norma: Para poder aplicar la base “ejecución de contrato”, el responsable tiene que tener, valga la rebuznancia, contrato precisamente con el titular de los datos cuyo tratamiento se propone legitimar.

 

No, Juanito SA no puede invocar su contrato con Jorgito SL para legitimar su tratamiento de datos de Jaimito.

Ojo que no digo que no puedas legitimarlos de otra manera (ya saben), sólo que no sobre la base del 6.1.b) RGPD.

Encontrarás ejemplos y los antecedentes oficiales que soportan al final del post.

De momento, te dejo este otro meme, porque las cosas importantes hay que recordarlas. Sea como sea.

 

ejecución de contrato

 

 

Tercera norma: la ejecución del contrato solo puede legitimar los tratamientos de datos indispensables… para ejecutar ese contrato. Nada más.

 

Nada más, insisto.

Sí amiguitos: lo cierto es que para aplicar con rigor la base «contrato» sí que te tocará hacer una mini (o maxi, depende) ponderación «rollo interés legítimo» para determinar qué tratamientos y cuáles no están suficientemente vinculados al cumplimiento del contrato, o qué parte del tratamiento sí y qué parte no. Esto es muy frecuente cuando ese contrato del que usted me habla es… laboral.

¿Alguien ha dicho «meme»? Lo quieres, lo tienes. Estoy particularmente orgulloso de este último. No está mal hacerle un poco de justicia al bueno de Valderrama cuarenta años después.

 

 

ejecución de contrato

 

Quier unos cuantos ejemplos para entender mejor todo esto

 Ejemplo 1: acceso al edificio que alberga tu oficina

 

Si tu empresa se traslada a un edificio que tiene medidas de seguridad como el control de acceso por huella dactilar, o para el caso, sistema de videovigilancia, o lo que sea, tu empresa empleadora no puede justificar el tratamiento de tus datos (deditos, reconocimiento facial, aun tu nombre en una tarjeta) en su propio contrato de arrendamiento con la empresa arrendadora de la oficina (y que dispone los controles de seguridad como parte de sus servicios).

Porque esa empresa (dueña del edificio) no tiene un contrato contigo, sino con tu empresa (la que te emplea a ti). De nuevo: no digo que no lo pueda legitimar, sólo que no a través de la base del 6.1.b) RGPD.

 

Ejemplo 2: The Meta-Zuck

 

El de los tratamientos adicionales perpetrados por Facebook, Instagram y WhatsApp: cuando aceptas sus términos y condiciones, lo que haces es adherirte a un contrato cuyo objeto es que

1.- tú nutres de contenidos las plataformas de social media de Mark Zuckerberg, (Facebook para puretas, Instagram para millenials) compartiéndolo así con «tus contactos».

2.- permites que Mark que espíe y estudie y te enseñe anuncios a cascoporro entre post y foto.

En el caso de WhatsApp, el objeto del contrato para el usuario es poder usar un eficar plataforma de mensajería instantánea.

Lo que nunca estuvo claro es que Mark, para ejecutar su parte en estos contratos, o sea, hacer accesibles tus contenidos (fotos de pies en la playa, tus diatribas chorras…) necesite perfilarte detalladamente  desmenuzando tu personalidad en cientos de atributos para poder vender a terceros su servicio de publicidad personalizada.

Puede que esa personalización de la publicidad sea el tratamiento clave para Mark, pero lo cierto es que no es indispensable para que sus plataformas presten el servicio que prestan al usuario. ¿Recuerdan que no es lo mismo…

(1) el contrato entre Facebook y el usuario (objeto: permitir el uso de una red social para compartir contenidos) que

(2) el contrato entre Facebook y las empresas anunciantes (objeto: poner sus anuncios sólo ante las narices de su público target ideal -al menos teóricamente, porque ¿adivinan? esto tampoco es necesariamente verdad-). 

Por dejar en paz el magullado y ensangrentado cuerpo de Meta (parece que las tres sanciones navideñas pueden superar los 2.000 millones de euros) sólo recordar que su desprecio por el compliance en materia de protección de datos ha sido olímpico desde el primer día: en la madrugada del 25 de mayo de 2018 cambió sus términos y condiciones abandonando el consentimiento como base clave de legitimación, para cambiarlo por el contrato. Y de esos polvos, estos lodos.

Ejemplo 3: Apple y sus tratamientos conexos

 

Este no os lo esperabais, bandidos:

Vean la cristalina videocaptura del bueno de Pat Walshe, -@privacymatters en twitter- que formateó su Mac, y al configurarlo de nuevo, y entrar en su market de apps, tuvo a bien destacar tres fragmentos interesantes de la información “manzanera” sobre los tratamientos de datos personales que allí iban a acontecer.

Pincha en el enlace y revisa el hilo:

 

Sí, estás aceptando un acuerdo de uso de plataforma, licencia de software, etc… con Apple.

Sí, ese acuerdo implica unos tratamientos necesarios de datos peeero… ¿qué es eso? ¿Y eso otro?. ¿Dónde están los checks no premarcados que se deben aceptar activa e inequívocamente para que tus consentimientos granulares y adicionales legitimen  los tratamientos no imprescindibles para la ejecución del contrato, antes de que se realicen?.

No están.

Sólo puedes oponerte a posteriori. Pero a esas alturas, el pájaro -tus datos- ya han volado fuera del nido.

Como se ve por la fecha del hilo de Pat, no es un ejemplo de ahora, es de finales del 19. Lo que sí es de ahora es esta noticia: el instructor de la CNIL propone 6 millones de sanción contra la manzana por esta infracción.

Apple quiere pagar menos, pero sobre todo, sobre todo, quiere que no se haga pública la sanción. Incoherencia en el «rey de la transparencia».

 

ejecución de contrato

 

«No estoy de acuerdo con toda esta morralla y quiero saber de dónde te la sacas»

Ya sé, ya sé que el RGPD no dice expresamente lo del vínculo directo entre responsable de tratamiento e interesado (sólo dice literalmente que el interesado debe ser “parte”).

Se podría argumentar que el art 6 del RGPD tampoco se refiere expresamente en el resto de las bases al “responsable” (no dice “el interesado dio su consentimiento al responsable”, ni “el tratamiento del responsable es necesario para proteger intereses vitales del interesado…”). Y no hace ninguna falta.

Sobre todo: se podría decir que medio mundo tiene un contrato con el otro medio. Si el hecho de que alguien tenga un contrato con alguien me sirve a mí para tratar los datos de alguien a quien no conozco de nada porque “lo necesito” para cumplir mi contrato con no sé quién, por ese boquete cabe prácticamente todo.

No: estas cosas las leo en papeles ajenos.

 

“Eres tú”

Los señores de la ICO sí lo dejan claro y meridiano en sus guidelines sobre las bases legales de tratamiento. En su web, se lee esto:

 

Ejecución de contrato

En la misma línea las guidelines sobre bases legales de la Autoridad Irlandesa.

Veamos:

Ejecución de contrato

En el mismo sentido, el propio EDPB:

 

Ejecución de contrato

 

El tratamiento debe ser objetivamente necesario para la ejecución del contrato

 

Sigamos: asumiendo que sí, que el responsable tiene contrato con el interesado, pasamos a esto otro: las Guidelines del EDPB sobre la base contractual en el contexto de servicios online, se tomaban su tiempo para desarrollar este tema.

De hecho, imponen al responsable la obligación de hacer un “mini juicio de ponderación” (mencanta MUAHAHA) sobre tres cuestiones y su corolario:

  • ¿Cuál es la naturaleza y principales características del servicio que se va a prestar al titular de los datos?
  • ¿Cuál es el objeto y elementos sustanciales del contrato?
  • ¿Cuáles son las respectivas expectativas de las dos partes?
  • ¿Entraría dentro de las expectativas razonables del cliente medio que, a la vista del servicio que se va a prestar, el responsable realizara el tratamiento de datos que se propone legitimar sobre esta base?

 

Ejemplo: el EDPB muy cucamente, sin hablar de Facebook, señala que una tienda online necesitará procesar los datos del medio de pago del cliente para ejecutar (cobrar) la venta, pero que necesitará otra base legítima si pretende analizar mediante un perfil de usuario, su conducta, gustos, preferencias, etc…

Lo mismo se dice respecto al tratamiento de datos de clientes a efectos de presentarles publicidad comportamental.

 

Adicionalmente el EDPB nos insiste sobre algún clásico más:

  • Sostener que un tratamiento es “necesario” significa justificar y documentar que no hay alternativas menos intrusivas en los derechos que el interesado para alcanzar el mismo objetivo.
  • Que el contrato prevea el tratamiento de datos entre sus cláusulas no es suficiente: el tratamiento tiene que ser necesario para la ejecución de la prestación contractual por parte del responsable.
  • En sentido contrario: aunque el clausulado del contrato no prevea expresamente el tratamiento en cuestión, si este es imprescindible, podrá ampararse en esta base legítima. ¡¡Es la necesidad, estúpido!!
  • Esta base legítima de tratamiento debe interpretarse restrictivamente.
  • Muy importante: los datos tratados en virtud de esta base legítima deberán bloquearse una vez ejecutado el contrato -desaparece tu justificación para el tratamiento-, salvo que concurra una obligación legal u otro motivo que así lo justifique (p. ej.: una garantía contractual).

 

Muy buena semana.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos.