De la lectura de los últimos artículos, habrán podido deducir que el tratamiento de datos personales solo se permite cuando existe una base legal para ello, tal como se establece en el artículo 6.1 del RGPD.
En los artículos anteriores, analizamos el consentimiento, el interés legítimo y el cumplimiento de una obligación legal. En este, examinaremos el supuesto contemplado en la letra b) del artículo 6.1 del RGPD, que establece que el tratamiento de datos será lícito cuando «sea necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación a petición de éste de medidas precontractuales». De forma que se plantean dos escenarios:
1º.- Ejecución de un contrato
El responsable del tratamiento y el interesado deben celebrar un contrato válido —de cualquier tipo— que implique el tratamiento de datos personales del segundo.
Según las Directrices 2/2019 del EDPB, el tratamiento debe ser objetivamente necesario para cumplir con el objeto principal del contrato, evaluado no solo desde la perspectiva del responsable, sino también desde la de un interesado razonable.
El contrato no tiene por qué ser necesariamente escrito, ya que el RGPD no exige esta formalidad; no obstante, es recomendable formalizarlos por escrito para evitar conflictos.
Por ejemplo, en el ámbito laboral el empresario (responsable del tratamiento) puede ampararse en la ejecución del contrato de trabajo para el tratamiento de los datos personales del trabajador, como sus datos bancarios, a los efectos abonar sus retribuciones.
El tratamiento de datos personales se limitará a lo estrictamente necesario para garantizar la ejecución del contrato y no se extenderá a otros aspectos derivados de la relación entre las partes. En estos últimos casos, será preciso recabar un consentimiento explícito adicional o recurrir a otra base legal. De acuerdo con el EDPB, si existen alternativas realistas y menos intrusivas para lograr el mismo fin contractual, el tratamiento no se considera necesario.
Pongamos por caso una tienda en línea que justifica el tratamiento de datos personales de sus clientes para ejecutar las ventas (por ejemplo, procesar pagos o enviar productos). Este tratamiento estaría justificado en base al artículo 6.1.b) del RGPD. Ahora, pongamos que la misma tienda quiere elaborar un perfil de sus usuarios a partir del historial de compras y listas de deseos. Este tratamiento ya no podría ampararse en la ejecución del contrato y el responsable tendría que buscar otra base legal.
2º.- Ejecución de medidas precontractuales
Las medidas precontractuales que requieran el tratamiento de datos deben solicitarse a petición del interesado, y no por iniciativa del responsable del tratamiento. El EDPB enfatiza que esta base legal no cubre acciones como el marketing no solicitado.
El ejemplo clásico es la petición de un presupuesto: el interesado solicita un presupuesto a un proveedor, quien, para elaborarlo, se ve obligado a tratar los datos personales del solicitante. No importa si finalmente se celebra el contrato, siempre que la solicitud provenga del interesado en el contexto de una posible relación contractual.
