Parece obvio que, si un contrato ha sido válidamente celebrado conforme al Código Civil, no puede dar lugar a una sanción en el ámbito de la protección de datos. Parece que el criterio de la AEPD es susceptible de ser corregido. Sin perjuicio de que las verificaciones que apunta puedan ser consideradas como una buena práctica.
El exceso de celo de Agencia Española de Protección de Datos (AEPD) en la interpretación de la normativa de protección de datos, convirtiéndola en una obligación preeminente por encima de cualquier otra, llega a generar situaciones que bien podrían ser consideradas como una extralimitación en las competencias que corresponden a esta autoridad administrativa. Un ejemplo de ello lo encontramos en las exigencias que impone a las empresas para considerar lícito el tratamiento de los datos del titular de un contrato cuando los mismos son facilitados por un tercero que manifiesta actuar por cuenta de aquel.
La forma de contratación aludida es especialmente frecuente en relación con la prestación de servicios de suministro (electricidad, gas, telefonía, etc.), que se realiza habitualmente fuera del establecimiento de las empresas (puerta a puerta o por medios telefónicos) y donde la celeridad en la materialización de la contratación es un factor clave. En estos escenarios, las condiciones incitan a confiar, de buena fe, en la palabra de quien dice actuar por cuenta de un tercero, particularmente cuando concurren otras circunstancias como el parentesco, la residencia común o un contrato de arrendamiento con el representado y el hecho de que difícilmente podría alguien tener acceso a toda la información necesaria para la celebración del contrato si no hubiese una estrecha relación de confianza con el mismo: DNI, datos bancarios u otra información específica del tipo de contrato.
Acreditar el contenido de la representación
Sin embargo, la interpretación que la AEPD viene realizando respecto de la legitimación del tratamiento de los datos de la persona por cuya cuenta se actúa es que, para considerar dicho tratamiento como lícito, la entidad contratante debe poder acreditar el contenido de la representación u obtener el consentimiento expreso del representado, estimando que, en otro caso, no se habría cumplido suficientemente el deber de diligencia.
Esta exigencia, que podría ser considerada lógica en una interpretación aislada de la normativa de protección de datos, pierde sentido cuando se pone en contexto con el resto del ordenamiento jurídico, más en concreto, con lo dispuesto en el Código Civil, que contempla, entre otras, la figura del "mandato", regulada en los artículos 1709 a 1739 del mismo y que establecen que: "por el contrato de mandato se obliga a una persona a prestar algún servicio o hacer alguna cosa por cuenta o encargo de otra" y para el que se permite total libertad de forma, estableciendo que "el mandato puede ser expreso o tácito" y que, asimismo, "la aceptación puede ser también expresa o tácita, deducida esta última de los actos del mandatario".
En este supuesto, no parece que tan amplia libertad de forma sea compatible con la obtención de una evidencia de su existencia, más allá de las manifestaciones del mandatario. Igualmente, resulta poco comprensible que se requiera de un consentimiento separado para el tratamiento de sus datos o una confirmación del encargo por parte del mandante, dado que esto implicaría desnaturalizar el mandato, por cuanto sería absurdo que quien es designado para la celebración de un contrato no pueda facilitar los datos de la persona por cuya cuenta actúa, o que sea necesaria la confirmación separada de esta para autorizar dicha comunicación, puesto que la necesidad de dirigirse directamente al mandante haría inútil la intervención del mandatario.
Por el contrario, cabría interpretar que, en un principio, se estaría ante un contrato válido y que los datos del mandante son necesarios para su ejecución, lo que legitimaría su tratamiento. En esta línea, parece obvio que, si un contrato ha sido válidamente celebrado conforme al Código Civil, no puede dar lugar a una sanción en el ámbito de la protección de datos (siempre que entre las condiciones del mismo se incluya toda la información necesaria en relación con el tratamiento de los datos personales). Defender lo contrario supone un grave menoscabo de la seguridad jurídica.
Criterio susceptible de ser corregido
Las vicisitudes relativas a la vida del contrato deberían valorarse de forma independiente a licitud de los tratamientos de los datos contenidos en el mismo. Así, el tratamiento sería lícito, por ejemplo, aun en el supuesto de inexistencia de mandato o de extralimitación por el mandatario, escenarios para los que, de hecho, el ordenamiento jurídico contempla medios para la subsistencia del contrato celebrado, entre ellas, la posible ratificación posterior por parte del interesado, incluso de forma tácita (por ejemplo, el pago del suministro). La necesaria verificación previa, que la AEPD interpreta como necesaria, vaciaría de contenido estas previsiones legales para un contrato ya celebrado. Además, la AEPD no sería la autoridad competente para decidir sobre la validez de un contrato, por lo que debiera considerar que el mismo es válido salvo que se justifique que ha sido anulado por una autoridad competente.
Por todo ello, parece que el criterio de la AEPD es susceptible de ser corregido. Sin perjuicio de que las verificaciones que apunta puedan ser consideradas como una buena práctica.
Si quieres disponer de toda la información y la opinión jurídica para estar al día, no pierdas de vista a Actualidad Jurídica Aranzadi 
