viernes, 17 de enero de 2020

Tratamiento de datos personales con base en la ejecución de un contrato o la aplicación de medidas precontractuales

       Entre los cinco documentos con Directrices acerca de la interpretación de normas del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) adoptados en 2019 por el Comité Europeo de Protección de Datos (más conocido por sus siglas en inglés EDPB), dos tienen una especial relevancia en relación con las actividades en línea. Por una parte, las Directrices 2/2019 sobre el tratamiento de datos personales en virtud del artículo 6(1)(b) RGPD en el marco de la prestación de servicios en línea a interesados. Como es conocido, el artículo 6(1)(b) RGPD establece la licitud del tratamiento de datos personales en la medida en que “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”. En consecuencia, la concreción del alcance de este fundamento de la licitud del tratamiento de datos personales resulta de especial importancia en relación con las actividades de contratación en línea. Por otra parte, el documento de Directrices más reciente, adoptado por el EDPB en diciembre, es el que contiene las Directrices 5/2019 sobre criterios relativos a la aplicación del derecho al olvido por motores de búsqueda (primera parte), que se centra en la interpretación del artículo 17 RGPD, relativo al derecho de supresión en aquellas situaciones en las que el llamado derecho al olvido se ejercita frente a motores de búsqueda. Por la relevancia de ambas materias resulta de interés hacer referencia a a estos documentos, disponibles en el sitio del Comité, de momento sólo en inglés y el segundo de ellos todavía en su versión para consulta pública, abierta hasta el 5 de febrero de 2020. Lo haré en dos entradas, dedicando esta primera al tratamiento de datos fundado en la ejecución de un contrato o la aplicación de medidas precontractuales.


            Las Directrices 2/2019 responden a la constatación de que la incertidumbre acerca de cuándo el tratamiento es “necesario” para la ejecución de un contrato con el interesado o la aplicación de medidas precontractuales, a los efectos de fundar la licitud del tratamiento en esta base jurídica, reviste especial trascendencia práctica con respecto a la prestación de servicios de la sociedad de la información (término al que en el documento se considera que va referida la expresión “servicios en línea”). Así es en un contexto en el que ha proliferado la prestación de este tipo de servicios en circunstancias en las que el usuario (afectado) no paga un precio sino que facilita, en ocasiones de manera que puede pasar inadvertida para él, datos personales, que resultan determinantes para la rentabilidad del servicio mediante la comercialización de publicidad dirigida al usuario. En la práctica el artículo 6(1)(b) RGPD es relevante en la medida en que en el caso concreto el tratamiento no se funde en otra base jurídica, como pueden ser especialmente el que el interesado haya dado su consentimiento al tratamiento en los términos del artículo 6(1)(a) RGPD o que el tratamiento sea necesario para la satisfacción de intereses legítimos conforme a su artículo 6(1)(f). Las Directrices destacan la exigencia de que para cumplir con sus obligaciones de transparencia, los responsables detallen la base jurídica del tratamiento, en la medida en que, por ejemplo, los requisitos aplicables al consentimiento del interesado a los efectos del artículo 6(1)(a) no son los mismo que operan con respecto a la aceptación de un contrato que pueda resultar relevante a los efectos del artículo 6(1)(b), lo que además presenta singular relevancia con respecto al tratamiento de categorías especiales de datos personales, ámbito en el que el artículo 6(1)(b) no puede operar como excepción a la prohibición de tratamiento en los términos del artículo 9 RGPD (vid. apdos. 20 y 21 de las Directrices).

Objetivo del documento es proporcionar las pautas acerca de cuándo concurren los presupuestos para que el tratamiento de datos personales pueda ser considerado lícito en virtud del artículo 6(1)(b) RGPD, en particular delimitando cuándo el tratamiento puede considerarse “necesario” a los efectos de esa disposición. En lo relativo a las situaciones en las que la licitud del tratamiento se pretende basar en su necesidad para la ejecución de un contrato, el Comité constata que la validez del contrato –que deberá determinarse conforme a las normas relevantes de la legislación aplicable a la validez del contrato en cuestión- constituirá típicamente un presupuesto necesario para que el tratamiento pueda fundarse en el artículo 6(1)(b). A modo de ejemplo, se reseña la importancia a estos efectos del régimen aplicable a la capacidad para contratar en relación con las transacciones con menores. También destacan las Directrices que la aplicación de los requisitos en materia de protección de datos personales opera en este ámbito de manera cumulativa con los que resultan de otros sectores del ordenamiento relevantes en relación con la contratación en línea, como es el caso del Derecho de la competencia y de la normativa de protección de los consumidores. En relación con este último aspecto, el Comité pone de relieve que un tratamiento de datos personales fundado en condiciones generales que no respeten los requisitos de transparencia establecidos en la Directiva 93/13/CEE no cumplirá típicamente los requisitos de licitud, lealtad y transparencia exigidos por el artículo 5(1)(a) RGPD (nota a pie de página núm. 10 de las Directrices).

En virtud de su artículo 3 y del carácter imperativo de su ámbito de aplicación territorial, el RGPD puede ser aplicable con respecto al tratamiento de datos personales en relación con contratos regidos por un ordenamiento de un tercer Estado, de modo que se admite expresamente (vid. apdo. 13 Directrices 2/2019), que la licitud del tratamiento con base en el artículo 6(1)(b) RGPD puede resultar de la existencia de un contrato regido por la ley de un tercer Estado. En todo caso, con respecto a la validez del contrato como presupuesto de aplicación del artículo 6(1)(b) habrá que estar a la legislación –incluso si es de un tercer Estado- que resulte aplicable conforme a las normas relevantes de Derecho internacional privado, bien sea en el caso concreto, por ejemplo, la ley aplicable al contrato (incluido su consentimiento y existencia) o a su forma conforme al Reglamento (CE) 593/2008 (Roma I) o la ley aplicable a la capacidad para contratar (artículo 9.1 del Codigo civil, en el caso de España). Con respecto a este último aspecto, excluido del Reglamento Roma I –conforme a su artículo 1(2)(a), la ausencia de unificación de las normas de conflicto en el seno de la UE puede resultar un factor adicional de distorsión.

Como cuestión previa al análisis del artículo 6(1)(b) RGPD, destaca el Comité la especial importancia que en relación con los contratos relativos a servicios en línea presentan los principios de “limitación de la finalidad” y de “minimización de datos”, establecidos en el artículo 5(1)(b) y (c) RGPD. El que normalmente son contratos cuyo contenido no es negociado individualmente y que el desarrollo tecnológico facilita la recogida y tratamiento de una cantidad de datos cada vez mayor son circunstancias que el Comité vincula con el especial riesgo de que los responsables del tratamiento incluyan cláusulas sobre tratamiento de datos en términos amplios, para maximizar la recogida de datos sin detallar de manera suficientemente precisa los fines para los que son recogidos. Por eso, en las Directrices se destaca que en la medida en que tales cláusulas contractuales prevean que la recogida tiene lugar con fines vagos o generales, como “la mejora de la experiencia de los usuarios”, “fines comerciales” o “de investigación futura”, deberá concluirse que no se cumple con la exigencia de que su recogida tenga lugar con “fines determinados” a los efectos del artículo 5(1)(b) RGPD (apdo. 16 de las Directrices).

Dos tipos de situaciones contempla el artículo 6(1)(b) RGPD: por una parte, la ejecución de un contrato en el que el interesado es parte; de otra, la aplicación a petición del interesado de medidas precontractuales. Esta última posibilidad abarca situaciones en las que el tratamiento de datos resulta necesario para llevar a cabo ciertas actividades antes de que se concluya un contrato, con independencia de que finalmente se celebre. Por ejemplo, de cara a ofrecer cierta información al interesado o verificar si cumple ciertos requisitos necesarios para la celebración del contrato. Como se trata de medidas que deben adoptarse a petición del interesado, el suministro de información comercial o cualquier actividad comercial a iniciativa del responsable no queda comprendida en el artículo 6(1)(b) RGPD (apdos 45 a 47 de las Directrices).

Con respecto al primer grupo de situaciones contempladas en el artículo 6(1)(b), las Directrices constatan que en todo caso es presupuesto para la aplicación del artículo 6(1)(b) que el tratamiento tenga lugar en el marco de un contrato válido (apdo. 26). Por consiguiente, se requiere la existencia de un contrato, que –como ha quedado señalado- dependerá de la(s) legislación(es) nacional(es) aplicable(s). En consecuencia, cabe entender que aquellas situaciones en las que tan solo una parte asume unilateralmente un compromiso frente a la otra, sin que se haya celebrado un contrato, no pueden quedar comprendidas en el artículo 6(1)(b). Con carácter cumulativo a la existencia y validez de un contrato en el que el interesado sea parte, la aplicación del primer inciso del artículo 6(1)(b) requiere que el tratamiento sea “necesario” para la ejecución del contrato. El término “necesario” a estos efectos debe ser objeto de una interpretación autónoma a la luz del fundamento y objetivos de la legislación sobre datos personales.

A partir de ese criterio, el Comité señala que es preciso valorar si el tratamiento resulta objetivamente necesario para la ejecución del contrato, lo que debe ser objeto de interpretación restrictiva, de modo que no basta con que el tratamiento resulte útil para la ejecución del contrato y es preciso que no existan alternativas reales menos invasivas (apdos. 23-29 de las Directrices). Cuando la prestación de un servicio en el marco de un contrato se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato no cabe recurrir al artículo 6(1)(b) RGPD como base para el tratamiento sino que típicamente será necesario haber obtenido el consentimiento del interesado para su tratamiento, conforme al artículo 6(1)(a) y 7 RGPD. El que la actividad de tratamiento aparezca mencionada en el contrato no es determinante al apreciar su necesidad para la ejecución del mismo, sino que ha de estar al fundamento y objetivos del contrato. Corresponde al responsable acreditar que a la luz de los objetivos del concreto contrato la ejecución del mismo no puede tener lugar sin el tratamiento de los datos personales en cuestión. El fundamento, el objeto y los elementos esenciales del contrato son, junto con las expectativas de las partes a la luz de su contenido, circunstancias relevantes a esos efectos, que deben apreciarse antes de llevar a cabo el tratamiento (apdos. 30-35 de las Directrices).

Algunos de los ejemplos incluidos en las Directrices pueden resultar especialmente relevantes de cara a la aplicación práctica de este criterio. Así, si el contrato va referido a la prestación de servicios a cambio de un precio, los datos precisos para que el cobro pueda tener lugar quedan comprendidos en el artículo 6(1)(b) (apdo. 30 de las Directrices).  Por el contrario, el tratamiento de datos con fines de mejora del servicio o de desarrollo de nuevas funciones del mismo se considera que no quedaría comprendido en el artículo 6(1)(b) (apdos. 48-49 de las Directrices). La misma conclusión se impone con respecto al tratamiento de datos con fines de facilitar publicidad comportamental en línea, incluso si dicha publicidad resulta determinante para financiar la prestación del servicio objeto del contrato con el interesado (apdos. 51-56 de las Directrices). En la medida en que el tratamiento de los datos personales con esa finalidad publicitaria no se considere necesaria para la ejecución del contrato, su tratamiento únicamente será lícito si se ampara en otra base jurídica, como la obtención del consentimiento del afectado conforme al artículo 6(1)(a) RGPD, sin perjuicio de la posibilidad del interesado de oponerse en los términos del artículo 21 RGPD. Con respecto al tratamiento de datos para la personalización de los servicios prestados al interesado a través del contrato en cuestión, las Directrices admiten que pueda subsumirse en el artículo 6(1)(b), pero únicamente en la medida en que la personalización del servicio sea objetivamente necesaria a la luz de la función del contrato de que se trate, pero no si tiene lugar simplemente a los efectos de realizar sugerencias o recomendaciones de contenido al interesado de cara a incrementar su interacción con el servicio (apdo. 57 de las Directrices).

Pese a la relevancia de las Directrices de cara a una interpretación uniforme y previsible del artículo 6(1)(b), algunos de sus planteamientos pueden ser fuente de incertidumbre, en aspectos tan relevantes como el tratamiento del domicilio del comprador en línea de un producto. El documento pone de relieve que el tratamiento de ese dato personal no estará justificado si el comprador ha designado en el contrato un punto de entrega diferente a su domicilio (ejemplo 1, incluido en el apdo. 35 de las Directrices). Ahora bien, el domicilio de la contraparte puede ser un dato necesario –incluso cuando se trata de servicios no solo contratados sino también prestados exclusivamente en línea- en relación con el alcance de ciertas obligaciones del comerciante así como muy especialmente con respecto a actuaciones necesarias y previsibles en el marco del desarrollo de una relación contractual, que las propias Directrices consideran cubiertas por el artículo 6(1)(b), como sucede con las reclamaciones relativas a impagos la corrección de ciertos errores (apdo. 38 de las Directrices).  

        Habida cuenta de que el fundamento del tratamiento en el marco del artículo 6(1)(b) va referido a la necesidad para la ejecución del contrato, el criterio general es que una vez terminado el contrato debe cesar el tratamiento de datos personales, excepto en la medida en que resulte necesario para gestionar la propia terminación del contrato, como la devolución de bienes o la realización de pagos derivada de la terminación (apdo. 42). Las Directrices admiten que ciertos datos puedan continuar siendo tratados y no sean suprimidos, por ejemplo, en la medida en que resulten necesarios para el cumplimiento de requisitos legales o en relación con la formulación o la defensa de reclamaciones, de acuerdo con lo previsto en el artículo 17(3)(b) y (e) RGPD. Ahora bien, el Comité considera que en tal caso el responsable antes de iniciar el tratamiento de los datos debe informar de esas otras bases jurídicas indicar con claridad el tiempo que conservará los datos personales tras la terminación del contrato (apdo. 43).