De la lectura de los últimos artículos, habrán deducido que el tratamiento de datos personales sólo se permite cuando existe una base legal para ello, que encontramos en el artículo 6.1 del RGPD.
En los artículos precedentes analizamos el interés legítimo y el cumplimiento de una obligación legal. En este artículo analizaremos el supuesto de la letra b) del artículo 6.1 del RGPD, que establece que será lícito el tratamiento de datos cuando éste «sea necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación a petición de éste de medidas precontractuales». De forma que se plantean dos escenarios:
1º.- Ejecución de un contrato
El responsable del tratamiento y el interesado han de suscribir un contrato cualquiera, que conlleve el tratamiento de datos personales de este último.
El contrato no tiene por que ser necesariamente escrito, pues la norma no exige tal formalidad, si bien es recomendable formalizarlos por escrito para evitar conflictos.
Por ejemplo, en el ámbito laboral el empresario (responsable del tratamiento) puede ampararse en la ejecución del contrato de trabajo para el tratamiento de los datos personales del trabajador, como sus datos bancarios, a los efectos abonar sus retribuciones.
El tratamiento de datos personales se limitará a lo estrictamente necesario para asegurar la ejecución del contrato y no se aplicará al resto de incidentes que pudieran derivarse de la relación inter partes. En tales casos, habrá que pedir un consentimiento explícito adicional al contrato.
Pongamos por caso una tienda online que justifica el tratamiento de datos personales de sus clientes para ejecutar las ventas. El tratamiento estaría justificado en base al artículo 6.1.b) del RGPD. Ahora, pongamos por caso que la misma tienda quiere elaborar, a partir del historial de compras y listas de deseos, un perfil de sus usuarios. En tal caso, el tratamiento ya no podría ampararse en la ejecución del contrato y el responsable tendría que buscar otra base legal.
2º.- Ejecución de medidas precontractuales
Las medidas precontractuales, que obligan al tratamiento de datos, serán a petición del interesado, y no a iniciativa del responsable del tratamiento.
El ejemplo, por antonomasia, es la petición de un presupuesto. El interesado solicita un presupuesto a un proveedor, quien para elaborar el mismo se ve obligado a tratar los datos personales del solicitante.
Una vez ejecutado el contrato o cumplidas las medidas precontractuales desaparece la justificación para el tratamiento, de forma que, los datos tratados en virtud de esta base legal deberán bloquearse hasta cumplirse el plazo máximo de conservación.