Recomendaciones del Comité Europeo de Protección de Datos para el tratamiento de datos personales en el contexto de servicios online

El Comité Europeo de Protección de Datos (CEPD) ha publicado un borrador de recomendaciones para el tratamiento de datos en el contexto de servicios online, con el objetivo de clarificar el Artículo 6 (1) (b) RGPD.

Cuando compramos una casa o un coche somos conscientes de la necesidad de generar un contrato para ello. Ahora bien, ¿qué ocurre cuándo se trata de servicios que se prestan online? No interactuar con el vendedor, seleccionar nosotros mismos los artículos del carrito de la compra o disfrutar de los servicios gratuitos que ofrecen algunas Apps puede hacernos creer que estas transacciones no se rigen por ningunos términos legales, pero nada más lejos de la realidad.

Las recomendaciones del CEPD no están dirigidas a proporcionar orientación en la validez de los contratos para los servicios online en general, sino a explicar el papel que la protección de datos desempeña como una de las principales normativas que afectan a estos servicios en particular. Conforme al RGPD, el tratamiento de datos personales solo puede encuadrarse en una de las seis bases legales descritas en el artículo 6 RGPD. En concreto, el artículo 6.1 establece que: “El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones […] el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”. Así por tanto, los responsables podrán tartar los datos si se da una base contractual, independientemente de la remuneración que se perciba por prestar tales servicios.

¿Qué escenarios cubre la base contractual?

Para que se aplique el artículo 6 (1) (b) tiene que darse alguna de las siguientes condiciones: el tratamiento en cuestión es necesario de manera objetiva para dar cumplimiento al contrato en vigor con el sujeto o el tratamiento es necesario para llevar a cabo algunos pasos precontractuales a solicitud del sujeto.  En consecuencia, se precisan dos elementos:

-El tratamiento se desarrolla en el contexto de un contrato válido con el sujeto.

-El tratamiento es necesario para que se pueda atender el contrato que se tiene con el sujeto.

¿Cómo se define el concepto “necesario” a estos efectos?

El concepto de “necesidad” tiene un significado independiente en el Derecho de la Unión Europea, pues debe reflejar los objetivos que persigue la protección de datos y además incluir los principios correspondientes, entre ellos la legitimidad y la limitación a la finalidad. Esto significa que, si pueden adoptarse alternativas menos intrusivas o si el tratamiento de datos es útil pero no objetivamente necesario para la prestación del servicio con base contractual, entonces el concepto de necesidad no justificaría el tratamiento.

El CEPD adopta la línea previamente asentada por el Grupo de Trabajo del Artículo 29, que establece que “la necesidad del tratamiento para el cumplimiento de un contrato del que es parte el sujeto deberá interpretarse de manera estricta y no cubre situaciones donde dicha necesidad se imponga de manera unilateral por el responsable del tratamiento”.

¿Cómo se debería evaluar tal “necesidad”?

Antes de dar comienzo al tratamiento de datos legitimado en el contrato como base, deberá realizarse una evaluación de aplicabilidad. Se habrá de tener en cuenta el objetivo, la finalidad y el propósito del servicio. Además, será conveniente considerar las expectativas y perspectivas de los interesados cuando suscriben el contrato. Additionally, one should consider the data subjects’ expectation and perspective when entering into the contract. El CEPD destaca las siguientes preguntas como guía en este sentido:

– ¿Cuál es la naturaleza del servicio? ¿Cuáles son sus características distintivas?

– ¿Cuál es la lógica exacta detrás del contrato (por ejemplo, su esencia y elemento principal)?

– ¿Cuáles son los elementos esenciales del contrato?

– ¿Cuáles son las expectativas y perspectivas mutuas de las partes? ¿Cómo se anuncia el servicio a los interesados? Considerando la naturaleza del servicio, ¿un usuario medio podría esperar que dicho tratamiento debe llevarse a cabo para satisfacer el fin del contrato?

Para aquellos casos en los que el contrato incluya diferentes partes del servicio, la aplicación del artículo 6 (1) (b) deberá evaluarse por separado.

Fin del contrato

Como norma general, el tratamiento deberá cesar cuando el contrato haya alcanzado su término, conforme al artículo 17 (1) (a) RGPD. Sin embargo, algunas veces es posible adherirse a una base legal diferente, por ejemplo cuando los interesados hayan dado su consentimiento para continuar el tratamiento una vez finalizado el contrato, o cuando el tratamiento sea necesario para cumplir con alguna exigencia legal. Esta información deberá ser proporcionada a los sujetos antes del comienzo del contrato.

Casos específicos

Mejoras y modificacionesdel servicio: dicho tratamiento no puede ser considerado como objetivamente necesario para el cumplimiento del contrato.

Prevención del fraude: dicho propósito podría extralimitar lo que se considera objetivamente necesario para el desempeño del contrato, pero el tratamiento sí podría cubrirse con alguna de las otras bases legales previstas en el artículo 6.

Publicidad comportamental: conforme al Grupo de trabajo del Grupo 29, la necesidad contractual no incluye la construcción de perfiles de usuario según los gustos y estilos de vida recogidos mediante los clicks y compras online. Además, en línea con los requerimientos del ePrivacy, será necesario consentimiento previo para las cookies que permiten este tipo de publicidad.

Personalización del contenido: cuando la función del servicio se relaciones directamente con contenido personalizado, entonces sí podrá considerarse que es objetivamente necesario para el cumplimiento del contrato. En caso contrario, dicho tratamiento tendrá que justificarse con una base legal diferente.

El CEPD ha abierto un plazo para la recepción de comentarios acerca de las recomendaciones. Las propuestas podrán enviarse a la dirección de correo EDPB@edpb.europa.eu antes del 24/05/2019.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

Cristina Contero Almagro

Latest posts by Cristina Contero Almagro (see all)

Leave a Comment

(0 Comentarios)

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *