¿SI HAY UN INTERESADO EN CONTRATAR CONMIGO NECESITO SU CONSENTIMIENTO PARA PODER TRATAR SUS DATOS PERSONALES EN CUALQUIER CASO?

12 Nov ¿SI HAY UN INTERESADO EN CONTRATAR CONMIGO NECESITO SU CONSENTIMIENTO PARA PODER TRATAR SUS DATOS PERSONALES EN CUALQUIER CASO?

La respuesta es no. Y ello es así porque el artículo 7, letra b) del Reglamento (UE) 2016/679 de Protección de Datos (RGPD), dice bien clarito que tiene usted un fundamento jurídico (o justificación suficiente para el tratamiento de datos personales ajenos) en situaciones en las que «el tratamiento es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado».

O sea, que en tales situaciones no necesita usted el consentimiento expreso del interesado. ¡Bien! ¿no?

Pero… ¿cuáles son los casos en que un dato personal de la persona interesada, que usted tenga o este tratando, resulta “necesario” para el contrato de marras?

Según el Grupo 29 (que actualmente ha pasado a ser Comité Europeo de Protección de Datos (CEPD) habría dos escenarios diferentes:

1.  En primer lugar, situaciones en las que el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte . Esto podría incluir, por ejemplo, el tratamiento de la dirección del interesado, de manera que los bienes adquiridos online puedan ser entregados, o el tratamiento de los datos de la tarjeta de crédito con el fin de efectuar un pago. En el contexto laboral este fundamento jurídico puede permitir, por ejemplo, el tratamiento de la información salarial y de los datos de la cuenta bancaria, de manera que se pueda abonar el salario.

Ahora bien, eche el freno y no coja usted carrerilla, que esta disposición debe interpretarse de manera estricta:

Y es que hay que excluir las situaciones en las que el tratamiento no sea realmente necesario para la ejecución de un contrato, sino unilateralmente impuesto al interesado por parte del responsable del tratamiento. Además, el hecho de que el tratamiento de algunos datos esté cubierto por un contrato no quiere decir automáticamente que el tratamiento sea necesario para su ejecución. Por ejemplo, no sería un fundamento jurídico apropiado para elaborar un perfil de los gustos y las opciones de estilo de vida del usuario, basado en su recorrido por un sitio web y en los artículos adquiridos. Ello se debe a que el responsable del tratamiento de los datos no ha sido contratado para elaborar perfiles, sino para entregar bienes y ofrecer servicios concretos, por ejemplo. Incluso si estas actividades de tratamiento se mencionan de manera específica en la letra pequeña del contrato, este hecho por sí solo no las convierte en «necesarias» para la ejecución del contrato.

¿pero qué es estooo? ¿ni siquiera cuando lo he puesto en el contrato puedo tratar datos que me parecen necesarios?

Pues mire usted y afine bien, hombre, (ya, qué tiempos estos…):  Aquí no se trata de lo que le “parezca” necesario sino que existe una clara relación entre la valoración de la necesidad y el cumplimiento del principio de limitación de la finalidad. En otras palabras, es importante determinar la justificación exacta del contrato, es decir, su esencia y objetivo fundamental, ya que la evaluación para comprobar si el tratamiento de datos es necesario para su ejecución se realizará en función de esta información.

En algunas situaciones dudosas puede ser discutible, o puede requerirse más indagación específica con el fin de determinar si el tratamiento es necesario para la ejecución del contrato. Por ejemplo, la creación de una base interna de datos de contacto de los empleados de una empresa que contenga el nombre, la dirección laboral, el número de teléfono y la dirección de correo electrónico de todos los empleados, para permitir que los empleados puedan ponerse en contacto con sus compañeros de trabajo, puede en determinadas situaciones considerarse como necesario para la ejecución de un contrato en virtud del artículo 7, letra b), pero también podría ser lícito en virtud del artículo 7, letra f), si se demuestra que prevalece el interés del responsable del tratamiento y se toman todas las medidas adecuadas, incluida, por ejemplo, la consulta a los representantes de los empleados.

Otros casos, por ejemplo, la supervisión electrónica del uso del teléfono, del correo electrónico y de Internet por parte de los empleados, o la videovigilancia de los empleados, constituyen más claramente un tipo de tratamiento que es probable que exceda de lo que se estima necesario para la ejecución de un contrato de trabajo, aunque esto puede depender en este caso también de la naturaleza del empleo.

En resumen, no se haga usted trampita en el solitario y piense que la situación de la que estamos hablando solo se aplica a lo que es necesario para la ejecución de un contrato. No se aplica al resto de acciones desencadenadas por el incumplimiento o por los demás incidentes que se produzcan en la ejecución de un contrato.

Pero bueno, tampoco nos pongamos de morros todavía que le quedan a usted otras bases jurídicas o justificaciones perfectamente legales para el tratamiento de datos de aquellos con quienes ha contratado aún sin tener el consentimiento de los mismos, como es el interés legítimo.

¿Que es eso?, resumidamente, el que por ejemplo tiene usted como parte en un contrato, si por motivos del desarrollo del mismo y aun no previstos inicialmente, defiende usted sus intereses puestos en juego y ha de usar para ello esos datos adicionales. (se me ocurre por ejemplo el contexto de un incumplimiento y la indagación de datos de contacto del incumplidor, vías de localización o paradero, situación patrimonial, etc)

2. En segundo lugar, el artículo 7, letra b), también comprende el tratamiento que tiene lugar para la aplicación de medidas precontractuales. Esto abarca las relaciones precontractuales, siempre que las medidas se adopten a petición del interesado, y no a iniciativa del responsable del tratamiento o de un tercero.

Por ejemplo, si un individuo solicita a un minorista que le envíe una oferta de un producto, el tratamiento con estos fines, como el mantenimiento de los datos de la dirección y de la información sobre la que se ha hecho la solicitud, durante un periodo limitado de tiempo, será adecuado en virtud de este fundamento jurídico. De igual modo, si un individuo solicita un presupuesto de la empresa de seguros de su automóvil, esta puede procesar los datos necesarios, por ejemplo, el modelo y la antigüedad del vehículo, y otros datos pertinentes y proporcionados, con el fin de preparar el presupuesto.

Sin embargo, las verificaciones de antecedentes detalladas, por ejemplo, el tratamiento de datos de reconocimientos médicos antes de que la empresa de seguros ofrezca un seguro de vida o de asistencia sanitaria a un solicitante no se considerarían como medidas necesarias adoptadas a petición del interesado. Las verificaciones de referencias de crédito antes de la concesión de un préstamo tampoco se hacen a petición del interesado en virtud del artículo 7, letra b), sino en virtud del artículo 7, letra f), o de su letra c), en cumplimiento de la obligación legal de los bancos de consultar una lista oficial de deudores registrados.

La prospección a iniciativa del minorista o del responsable del tratamiento no será tampoco posible basándose en este fundamento jurídico. En algunos casos, el artículo 7, letra f), podría proporcionar un fundamento jurídico adecuado en vez de la letra b), sujeto a las garantías y medidas adecuadas y a la prueba de sopesamiento. En otros casos, incluidos aquellos que implican una elaboración de perfiles generalizada, información compartida, prospección en línea o publicidad basada en el comportamiento, se deberá considerar el consentimiento en virtud del artículo 7, letra a), del RGPD