Ejecución de contrato

Ejecución de contrato y RGPD: ¿Truco o trato?

 

La base legítima “Ejecución de contrato” se va a poner  de moda muy pronto, si hacemos caso de lo que se va sabiendo de las iniciativas de la autoridad de cumplimiento irlandesa contra las grandes tecnológicas domiciliadas en sus verdes valles con altos acantilados y baja tributaciones.

Como dice el refrán, a cada cerdo le llega su San Patricio, así que vamos a intentar no hacernos pupita en la piel de toro.

Este post puede enmarcarse en esa tradición de posts que los lees y clamas al cielo diciendo: “Éramos pocos y parió la abuela”.

Porque no todo el mundo está de acuerdo conmigo en esto, pero precisamente por eso me parece interesante poner el pastel en la puerta. Para que se opine.

 

Contrato, medidas precontractuales

 

La segunda de las bases legítimas de tratamiento es la famosa, ubicua y teóricamente fácil de aplicar: el tratamiento de datos “necesario para la ejecución de un contrato en el que el interesado sea parte, o para la aplicación a petición de este de medidas precontractuales”.

Está chupado aplicar esto, ¿no?. No tan rápido compañeros.

Esta base, junto con la de “obligación legal” es una de las favoritas de los responsables de tratamiento: no en vano resultan bastante literales, y aparentemente no requieren juicios de ponderación ni cosas raras y complicadas para su aplicación.

Toda rosa tiene su espina, mi pequeño padawan” y el contrato en la protección de datos no iba a ser una excepción. En este caso los problemas están en la cierta tendencia de las organizaciones a:

  • Por una parte, utilizar las bases de aplicación más sencillas en supuestos donde no son aplicables.
  • Por otra, estirarlas como un chicle, para dar cobertura a tratamientos que no pueden ni deben entrar por ahí.

Afortunadamente, tenemos reglas para no hacernos preguntas. En el caso de la ejecución de contrato, tres.

Me disculpo de antemano por lo que viene a continuación: nunca había escrito nada que se pareciera más a lo de “la parte contratante de la primera parte” de los Marx, pero no he encontrado otra manera. Espero que puedan perdonarme (y como dice el epitafio de Groucho, disculpe si no me levanto).

 

Primera norma: “Contrato no es lo mismo que consentimiento”.

 

Un contrato “eh-lo-que-eh”, aunque sea de adhesión. Y no debe confundirse con el consentimiento, cuando se aceptan unos “términos y condiciones”.

Y esto viene a cuento porque hay mucha “confusión interesada” sobre lo que es un contrato. Y no lo digo yo, el EDPB lo avisa en sus guidelines del 2019:

Ejecución de contrato

 

Pero esta historia será contada en otra ocasión, porque este post va por otro sitio.

Sin entrar en el meollo -porque no termino-, una idea a retener es la siguiente: la “ejecución de contrato” no se recoge entre las excepciones que permiten tratar datos de categoría especial. Como sabemos, el principio general es que su tratamiento está prohibido.

Pues bien, donde no aplique otra de las excepciones del 9.2 RGPD, habrá que pedir un consentimiento explícito adicional al contrato. Volveremos sobre esto.

 

Segunda norma: Para poder aplicar la base “ejecución de contrato”, el responsable tiene que tener, valga la rebuznancia, contrato en vigor precisamente con el titular de los datos cuyo tratamiento se propone legitimar.

 

No, no vale un contrato con un tercero.

Para que no quede ninguna duda: si tienes un contrato con otra empresa y no lo puedes ejecutar sin dar o recibir los datos de una persona física -con la que no tienes contrato-, no puedes legitimar ese tratamiento por la vía contractual.

Porque no tienes contrato con el titular de los datos que quieres tratar.

Ojo que no digo que no puedas tratarlos, sólo que no sobre la base del 6.1.b) RGPD.

 

Tercera norma: la ejecución del contrato solo puede legitimar los tratamientos de datos indispensables… para ejecutar el contrato. Nada más.

 

Nada más, insisto.

Sí amiguitos: si el contrato vincula al interesado con un tercero, y no con la organización que pretende legitimar su tratamiento como responsable con dicho interesado, este responsable necesita buscarse otra base legal, porque no puede ampararse en un contrato ajeno.

¿Y todo este peñazo, qué importancia tiene? Un par de ejemplos

 

Ejemplo 1:

Si tu empresa se traslada a un edificio que tiene medidas de seguridad como el control de acceso por huella dactilar, o para el caso, sistema de videovigilancia, o lo que sea, tu empresa no podrá justificar ese tratamiento de tus datos (deditos, imagen) en su propio contrato de arrendamiento con la empresa arrendadora de la oficina (y que dispone los controles de seguridad como parte de sus servicios).

Porque esa empresa (dueña del edificio) no tiene un contrato contigo, sino con tu empresa (la que te emplea a ti).

Ejemplo 2:

Vean la cristalina video captura del amigo Pat, -@privacymatters en twitter- que formateó su Mac, y al configurarlo de nuevo, y entrar en su market de apps, tuvo a bien destacar tres fragmentos interesantes de la información “manzanera” sobre los tratamientos de datos personales que allí iban a acontecer.

 

Sí, estás aceptando un acuerdo de uso de plataforma, licencia de software, etc… con Apple.

Sí, ese acuerdo implica unos tratamientos necesarios de datos peeero… ¿qué es eso? ¿Y eso otro?. ¿Dónde están los checks no premarcados que se deben aceptar activa e inequívocamente para autorizar los tratamientos no imprescindibles para la ejecución del contrato, antes de que se realicen?.

No están.

Sólo puedes oponerte a posteriori. Pero a esas alturas, el pájaro -tus datos- ya han volado fuera del nido.

 

Pero amoavé, ¿Y todo esto de dónde viene?

Ya sé, ya sé que el RGPD no dice expresamente lo del vínculo directo entre responsable de tratamiento e interesado (sólo dice literalmente que el interesado debe ser “parte”), peeero:

Siempre me ha parecido de sentido común, pero reconozco que no es la primera vez que veo que, efectivamente, la literalidad del Reglamento transita caminos distintos de los de mi calvorota.

Se podría argumentar que el art 6 del RGPD tampoco se refiere expresamente en el resto de las bases al “responsable” (no dice “el interesado dio su consentimiento al responsable”, ni “el tratamiento del responsable es necesario para proteger intereses vitales del interesado…”). Y no hace ninguna falta.

Sobre todo: se podría decir que medio mundo tiene un contrato con el otro medio. Si el hecho de que alguien tenga un contrato con alguien me sirve a mí para tratar los datos de alguien a quien no conozco de nada porque “lo necesito” para cumplir mi contrato con no sé quién, por ese boquete cabe prácticamente todo.

Y no miro a nadie, GAFAM.

No miro tampoco a esas simpáticas plataformas de RTB o subastas de publicidad online en tiempo real.

Pero lógicamente, esto no me lo he sacado de la manga. Mi morro no alcanza tales cotas. Entoavía.

 

“Eres tú”

Los señores de la ICO sí lo dejan claro y meridiano en sus guidelines sobre las bases legales de tratamiento. En su web, se lee esto:

 

Ejecución de contrato

En la misma línea las recientes guidelines sobre bases legales de la Autoridad Irlandesa.

Veamos:

Ejecución de contrato

Si necesitas tratar los datos personales de alguien para ejecutar un contrato, pero ese contrato no lo tienes con ese alguien, no puedes ampararte en la base legal “contrato”.

En el mismo sentido, el propio EDPB:

 

Ejecución de contrato

 

El tratamiento debe ser objetivamente necesario para la ejecución del contrato

 

Sigamos: asumiendo que sí, que el responsable tiene contrato con el interesado, pasamos a esto otro: las Guidelines del EDPB sobre la base contractual en el contexto de servicios online, se tomaban su tiempo para desarrollar este tema.

De hecho, imponen al responsable la obligación de hacer un “mini juicio de ponderación” (mencanta MUAHAHA) sobre tres cuestiones:

  • ¿Cuál es la naturaleza y principales características del servicio que se va a prestar al titular de los datos?
  • ¿Cuál es el objeto y elementos sustanciales del contrato?
  • ¿Cuáles son las respectivas expectativas de las dos partes?
  • ¿Entraría dentro de las expectativas razonables del cliente medio que, a la vista del servicio que se va a prestar, el responsable realizara el tratamiento de datos que se propone legitimar sobre esta base?

 

Ejemplo: el EDPB señala que una tienda online necesitará procesar los datos del medio de pago del cliente para ejecutar (cobrar) la venta, pero que necesitará otra base legítima si pretende analizar mediante un perfil de usuario, su conducta, gustos, preferencias, etc…

Lo mismo se dice respecto al tratamiento de datos de clientes a efectos de presentarles publicidad comportamental.

 

Adicionalmente el EDPB nos insiste sobre algún clásico más:

  • Sostener que un tratamiento es “necesario” significa justificar y documentar que no hay alternativas menos intrusivas en los derechos que el interesado para alcanzar el mismo objetivo.
  • Que el contrato prevea el tratamiento de datos entre sus cláusulas no es suficiente: el tratamiento tiene que ser necesario para la ejecución de la prestación contractual por parte del responsable.
  • En sentido contrario: aunque el clausulado del contrato no prevea expresamente el tratamiento en cuestión, si este es imprescindible, podrá ampararse en esta base legítima. ¡¡Es la necesidad, estúpido!!
  • Esta base legítima de tratamiento debe interpretarse restrictivamente.
  • Muy importante: los datos tratados en virtud de esta base legítima deberán bloquearse una vez ejecutado el contrato -desaparece tu justificación para el tratamiento-, salvo que concurra una obligación legal u otro motivo que así lo justifique (p. ej.: una garantía contractual).

 

Muy buena semana.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos.