LOPDGDD y contratos: cómo gestionar los datos personales entre partes

¿Qué datos personales circulan en un contrato?

Cuando dos partes firman un contrato —ya sea de servicios, alquiler o compraventa— intercambian datos de carácter personal: nombre, DNI, domicilio, teléfono, correo electrónico y a veces datos bancarios (IBAN). Estos datos quedan almacenados en el expediente del contrato de cada parte. Tanto la LOPDGDD (Ley Orgánica 3/2018) como el RGPD (Reglamento UE 2016/679) regulan cómo deben tratarse estos datos, incluso en el contexto de relaciones contractuales privadas entre particulares o entre empresas.

Base legal del tratamiento: el propio contrato

En la mayoría de los contratos, la base legal para tratar los datos personales de las partes es la ejecución del contrato (art. 6.1.b RGPD). Esto significa que no necesitas pedir consentimiento explícito para tratar los datos del nombre, DNI o dirección del otro contratante, porque es imprescindible para ejecutar el contrato. Sin embargo, si vas a usar esos datos para otros fines (enviar publicidad, elaborar perfiles, compartirlos con terceros), entonces sí necesitas otra base legal o el consentimiento específico.

Información que debes proporcionar a la otra parte

El RGPD obliga al responsable del tratamiento a informar al interesado sobre: quién es el responsable (identidad y datos de contacto), qué datos se tratan y para qué finalidades, cuánto tiempo se conservarán, si se cederán a terceros y los derechos que le asisten. En el contexto de un contrato, esta información puede incluirse en el propio contrato (en una cláusula de protección de datos) o en un documento adjunto. Lo importante es que quede constancia de que la información fue facilitada antes o en el momento de la firma.

Cláusula de protección de datos en el contrato: qué debe decir

La cláusula básica de protección de datos en un contrato de servicios debe indicar: la identidad del responsable del tratamiento (que puede ser el prestador del servicio, el cliente, o ambos según el caso), la finalidad del tratamiento (gestión de la relación contractual), la base legal (ejecución del contrato), el plazo de conservación (mientras dure el contrato y el período de prescripción de responsabilidades), y los derechos de acceso, rectificación, supresión, oposición y portabilidad que puede ejercer la otra parte y cómo hacerlo.

Encargado del tratamiento: cuándo aplica en un contrato de servicios

Si un proveedor de servicios (por ejemplo, un desarrollador de software o un proveedor de servicios cloud) va a acceder a datos personales del cliente en el marco del servicio contratado, no se convierte en responsable autónomo de esos datos, sino en encargado del tratamiento. En ese caso, el RGPD exige firmar un Acuerdo de Encargo de Tratamiento (DPA) que regule las instrucciones del responsable, las medidas de seguridad a aplicar, la obligación de confidencialidad, el tratamiento de brechas de seguridad y las condiciones de devolución o destrucción de los datos al finalizar el servicio.

Plazos de conservación y eliminación

Los datos personales que figuran en un contrato deben conservarse durante el tiempo necesario para cumplir la finalidad del tratamiento y las obligaciones legales: en general, el plazo de prescripción de las acciones derivadas del contrato (5 años para obligaciones personales según el Código Civil, 10 años para obligaciones mercantiles). Pasado ese plazo, los datos deben eliminarse o anonimizarse. Si el contrato incluye datos con plazos legales específicos (contabilidad: 6 años; facturación: 4 años según la Ley General Tributaria), esos plazos prevalecen.

Medidas de seguridad para contratos en papel y en digital

El RGPD no exige medidas concretas sino medidas apropiadas al riesgo. Para contratos con datos personales básicos (nombre, DNI, domicilio), las medidas razonables incluyen: almacenamiento físico bajo llave, acceso limitado a personas autorizadas, y si se conservan en digital, cifrado de los archivos y copias de seguridad. Evita enviar contratos con datos personales por correo electrónico sin cifrar o mediante plataformas de archivo no seguras. El incumplimiento de las medidas de seguridad puede derivar en sanciones de la AEPD.