El contrato como base legitimadora en relación con servicios online

Tal y como explicaba en mi anterior artículo sobre bases legitimadoras, un tratamiento de datos solo podrá ser lícito si se basa en alguna de las seis situaciones establecidas en el artículo 6.1 del Reglamento General de Protección de Datos (RGPD o GDPR). Entre ellas, se incluye en el apartado b) del citado artículo 6.1 que el tratamiento de datos será lícito cuando sea necesario para la ejecución de un contrato o la aplicación de medidas contractuales.

A tal efecto, el Comité Europeo de Protección de Datos o European Data Protection Board (EDPB) ha adoptado un borrador de guía para el tratamiento de datos basado en esta base legitimadora en el contexto de la prestación de servicios en línea. Esta guía pretende aclarar los límites de la utilización de la base legitimadora incluida en el artículo 6.1.b del RGPD (si bien se trata de un borrador presentado para someterlo a consulta pública, por lo que su texto definitivo podría ser modificado en el futuro). Por tanto, a continuación, se recogen de forma resumida los puntos esenciales que apunta el EDPB en su guía.

1 Principio de necesidad

Resulta necesario aclarar que la base legitimadora del art. 6.1.b RGPD cubre dos situaciones diferentes. Por un lado, cubriría el caso en el que un tratamiento fuera necesario para la ejecución de un contrato en el que el interesado es parte. Asimismo, también cubriría, tal y como indica el propio artículo, la situación en la que el tratamiento fuera necesario para la aplicación, a petición del interesado, de medidas precontractuales, es decir, actividades previas al contrato que son necesarias para que éste se pueda materializar. A tal efecto, debe tenerse en cuenta que, de acuerdo con el EDPB, existe un “principio de necesidad” que sería igualmente aplicable en ambos supuestos (ejecución del contrato y aplicación de medidas precontractuales).

En este sentido, según indica el EDPB, el artículo 6.1.b del RGPD indica claramente que el tratamiento ha de ser estrictamente necesario para la ejecución del contrato o la aplicación de medidas contractuales. Esto significa que para cualquier otro supuesto donde pueda considerarse que un tratamiento, incluso estando vinculado a un contrato, no fuera completamente necesario para el mismo, el artículo 6.1.b no sería una base legitimadora válida (debiendo el responsable buscar alternativas para legitimar ese tratamiento). Asimismo, un tratamiento que tuviera lugar de manera posterior a la terminación del contrato tampoco podría basarse en esta base legitimadora.

Por tanto, tal y como puede observarse, el EDPB interpreta este “principio de necesidad” de manera rigurosa. Esto lleva al EPDB a excluir supuestos en los que, aunque el propio contrato prevea una actividad concreta, ésta no fuera absolutamente necesaria para la ejecución del mismo o para la aplicación de medidas contractuales. Por ejemplo, se considera que si un individuo adquiere un producto online y este producto le va a ser entregado en su domicilio, el artículo 6.1.b podría amparar el tratamiento de la dirección postal de este consumidor. Sin embargo, si el producto fuera a ser entregado, por ejemplo, en un establecimiento del vendedor (una tienda), esta base legitimadora no cubriría que se solicite y trate la dirección postal del usuario.

2 Aplicación del artículo 6.1.b en supuestos concretos

Uno de los puntos más interesantes que incluye esta guía es la referencia a situaciones concretas en las que no resultaría claro si esta base legitimadora podría llegar a ser aplicable. A continuación, se recoge un resumen de los supuestos recogidos por el EPB y las conclusiones que se recogen sobre los mismos:

2.1. Tratamiento de datos para la mejora del servicio. A pesar de que es un tratamiento bastante habitual, el EDPB considera que no cumpliría con el principio de necesidad expuesto anteriormente y, por tanto, no podría ampararse en esta la base legitimadora del artículo 6.1.b. Como alternativas, el EDPB hace referencia tanto al consentimiento (art. 6.1.a RGPD) como al interés legítimo (art. 6.1.f).

2.2. Tratamiento de datos para la prevención del fraude. Siendo otro tratamiento de datos relacionado con el contrato y bastante habitual, el EDPB de nuevo considera que no podría ampararse en la base legitimadora que nos ocupa. Como alternativas se hace referencia al cumplimiento de una obligación legal (art. 6.1.c, cuando proceda) o el interés legítimo.

2.3. Tratamiento para publicidad segmentada por comportamiento (behavioural advertising). El EDPB indica que, como regla general, el art. 6.1.b no constituiría una base legitimadora válida para este tipo de publicidad, ya que difícilmente podría considerarse necesaria para el contrato. A tal efecto, se indica que esta base legitimadora no sería válida incluso en los casos en los que dicha publicidad sufrague indirectamente los costes del servicio. Asimismo, se recuerda que, de acuerdo con los requisitos en materia de ePrivacy y el Dictamen del Grupo de Trabajo del Art. 29 sobre behavioural advertising (Dictamen 2/2010), será necesario obtener el consentimiento previamente a la instalación de cookies con finalidad de realizar este tipo de publicidad.

2.4. Tratamiento para la personalización de contenido. A este respecto, el EDPB considera que el artículo 6.1.b podría ser aplicable cuando la personalización del contenido pueda considerarse necesaria para cumplir con la finalidad del contrato. Por ejemplo:

– Un servicio consistente en mostrar al usuario noticias provenientes de distintas formas, en una sola plataforma y automáticamente seleccionada según sus intereses: en este caso, el tratamiento de datos necesario para identificar sus intereses y personalizar el contenido del servicio se consideraría legitimado por la ejecución del contrato.

– Una agencia de viajes online tiene en cuenta las reservas realizadas anteriormente por el usuario para ofrecerle recomendaciones para próximos viajes: en este caso, no se consideraría que este tratamiento fuera realmente necesario para la finalidad esencial del servicio, que es la gestión de reservas de hoteles y viajes, por lo que no se consideraría el art. 6.1.b como base legitimadora aplicable a este supuesto.

3 Conclusión

En conclusión, el EDPB recoge una interpretación bastante estricta de esta base legitimadora. Esto da lugar a que, de acuerdo con esta guía, no serán demasiados los supuestos en los que el artículo 6.1.b podrá aplicarse con seguridad para amparar un tratamiento. A pesar de ello, los ejemplos incluidos en la guía considero que puede ser bastante útiles para solucionar numerosos problemas interpretativos a este respecto, por lo que al menos la misma aporta un cierto valor añadido. Por último y, en cualquier caso, no debe olvidarse que, al tratarse de una versión borrador sometida a consulta pública, será interesante observar posibles cambios en el texto definitivo que se apruebe tras la misma.

Compartir:
Escrito por Jose Caballero Gutierrez
Abogado especializado en tecnología, medios y privacidad. Associate en Promontory (UK). Antes en PwC y ECIJA. Escribo sobre Derecho, internet, estrategia e innovación.