Protección de Datos

Consentimiento vs interés legítimo en el RGPD (art. 6.1)

Las 6 bases jurídicas del art. 6.1 RGPD: consentimiento (art. 4.11 y 7), ejecución contrato, obligación legal, intereses vitales, interés público e

Respuesta directa: el art. 6.1 RGPD establece 6 bases jurídicas alternativas para tratar datos personales: consentimiento (a), ejecución de contrato (b), obligación legal (c), intereses vitales (d), misión de interés público o ejercicio de poderes públicos (e) e interés legítimo (f). NO hay jerarquía entre ellas: el responsable debe identificar la que mejor se ajusta al tratamiento y NO puede cambiarla a posteriori. El consentimiento (arts. 4.11 y 7 RGPD) es manifestación libre, específica, informada e inequívoca mediante acción afirmativa clara, revocable en cualquier momento. El interés legítimo (art. 6.1.f RGPD + considerando 47) exige test de ponderación de tres pasos y NO puede ser invocado por autoridades públicas en ejercicio de sus funciones.

Marco normativo: RGPD + LOPDGDD

Norma Contenido
Art. 4.11 RGPD Definición de consentimiento: "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos"
Art. 6.1 RGPD Las 6 bases jurídicas del tratamiento
Art. 7 RGPD Condiciones para el consentimiento: prueba de su obtención, distinguible de otras manifestaciones, retirada con la misma facilidad, prohibición de condicionar contratos al consentimiento innecesario
Art. 8 RGPD Consentimiento del menor en servicios de la sociedad de la información: edad mínima 16 años (los Estados pueden bajarla hasta 13)
Art. 9 RGPD Categorías especiales (origen racial, opiniones políticas, religión, salud, vida sexual, datos biométricos, genéticos, afiliación sindical): prohibición general con 10 excepciones
Considerando 47 RGPD Interés legítimo: prevención del fraude, seguridad de red, marketing directo
Art. 6 LOPDGDD Consentimiento en España: requisitos y especificidades
Art. 7 LOPDGDD Consentimiento del menor en España: edad mínima 14 años
Art. 19 LOPDGDD Sistemas de morosidad: legitimación por interés legítimo
Art. 21 LOPDGDD Tratamiento por interés legítimo en redes sociales y SI

Fuente: RGPD — Reglamento (UE) 2016/679 y LO 3/2018 LOPDGDD.

Las 6 bases jurídicas del art. 6.1 RGPD (tabla comparativa)

Letra Base jurídica Cuándo se aplica Ejemplos
a) Consentimiento El interesado consiente expresamente Cuando no hay otra base más adecuada Newsletter marketing, cookies no técnicas, datos biométricos voluntarios
b) Ejecución de contrato El tratamiento es necesario para el contrato o precontractual Si sin ese dato NO se puede prestar el servicio Envío del producto comprado, gestión de nómina del trabajador
c) Obligación legal Una norma con rango de ley obliga al tratamiento El responsable cumple un mandato legal Comunicación de retenciones a Hacienda, alta en SS, cumplimiento PRL
d) Intereses vitales Proteger intereses vitales del interesado o de un tercero Riesgo para la vida o integridad Tratamiento médico urgente a paciente inconsciente
e) Misión interés público o poder público Responsable público en ejercicio de sus funciones AAPP en gestión de competencias Padrón municipal, sanción de tráfico, registro civil
f) Interés legítimo El responsable o un tercero tienen un interés legítimo prevalente sobre los derechos del interesado Tras superar test de ponderación; NO aplicable a autoridades públicas en sus funciones Prevención del fraude, marketing directo a clientes existentes, videovigilancia perimetral

Requisitos del consentimiento (art. 4.11 + art. 7 RGPD)

Requisito Significado Ejemplo de incumplimiento
Libre Sin coacciones; el interesado puede decir "no" sin perjuicio Condicionar prestación del servicio a aceptar marketing
Específico Para una finalidad concreta y delimitada "Acepto el tratamiento de mis datos" (genérico)
Informado Tras recibir la información del art. 13/14 RGPD Casilla sin enlace a política de privacidad
Inequívoco Mediante declaración o acción afirmativa clara Casilla pre-marcada; silencio; uso del servicio
Granular Si hay varias finalidades, una por una "Acepto todo" en bloque
Distinguible Separado de otros consentimientos contractuales Cláusula enterrada en T&C
Demostrable El responsable debe poder probarlo (art. 7.1 RGPD) Sin log ni acreditación
Revocable Retirable con la misma facilidad con que se otorgó (art. 7.3 RGPD) Aceptar con un clic, retirar enviando carta certificada

El test de ponderación del interés legítimo (3 pasos)

El CEPD/WP29 Dictamen 06/2014 estableció el test triple que el responsable debe documentar antes de invocar el art. 6.1.f RGPD:

  1. Test de finalidad legítima: el interés perseguido debe ser lícito, claramente articulado y real (no especulativo). Ejemplos válidos: seguridad, prevención del fraude, marketing directo a clientes existentes.
  2. Test de necesidad: el tratamiento debe ser idóneo y proporcionado; no debe existir una alternativa menos invasiva para alcanzar el mismo fin.
  3. Test de equilibrio: ponderación entre el interés del responsable y los derechos, libertades y expectativas razonables del interesado, atendiendo a la naturaleza de los datos, el contexto, las consecuencias y las salvaguardas.

Documentación obligatoria: el responsable debe conservar evidencia escrita del test (registro de actividades de tratamiento, art. 30 RGPD). La AEPD puede requerirlo.

Casos prácticos: qué base aplicar

Tratamiento Base más adecuada Por qué
Alta en nómina y cotización a SS de un trabajador c) Obligación legal Estatuto de los Trabajadores + LGSS
Datos del cliente que compra en e-commerce para enviar el producto b) Ejecución contrato Sin domicilio no se puede entregar
Newsletter de marketing a usuario que se ha registrado en la web a) Consentimiento Acción afirmativa con casilla específica
Marketing directo de productos similares a clientes existentes f) Interés legítimo Considerando 47 RGPD; debe ofrecerse oposición
Videovigilancia perimetral de empresa f) Interés legítimo Tras test de ponderación + información del art. 13 RGPD
Sistema de morosidad (asnef, badexcug) f) Interés legítimo Art. 19 LOPDGDD lo legitima expresamente
Padrón municipal e) Interés público / poder público Función de la Administración local
Multa de tráfico e) Ejercicio de poderes públicos Potestad sancionadora
Tratamiento médico de urgencia a paciente inconsciente d) Intereses vitales Imposibilidad de consentir, riesgo grave
Investigación científica con datos de salud anonimizados Distintas según anonimización; a) consentimiento o e) interés público Art. 9.2.j RGPD + DA 17ª LOPDGDD
Cookies analíticas en web (no esenciales) a) Consentimiento Art. 22.2 LSSI y Guía de cookies AEPD 2024
Cookies estrictamente técnicas NO requiere base del 6 (excepción art. 22 LSSI) Necesarias para prestar el servicio
Datos biométricos para fichaje horario a) Consentimiento explícito + 9.2.b ejecución obligación laboral Art. 9 RGPD (categoría especial)

Cuándo NO se puede usar el interés legítimo

Supuesto Por qué
Autoridades públicas en el ejercicio de sus funciones Art. 6.1.f párrafo 2 RGPD: les corresponde la letra e)
Tratamiento de categorías especiales del art. 9 (salud, biometría, opinión política, etc.) El art. 9 exige base específica del propio art. 9.2
Datos de menores sin garantías reforzadas Considerando 38 RGPD: protección especial
Cookies no estrictamente técnicas Art. 22.2 LSSI + Guía AEPD: requiere consentimiento
Marketing directo por canales electrónicos a no-clientes LSSI art. 21: requiere consentimiento previo expreso

Categorías especiales de datos (art. 9 RGPD)

Datos especialmente protegidos: origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos para identificación, salud, vida sexual u orientación sexual. Prohibición general salvo:

  1. Consentimiento explícito del interesado (art. 9.2.a).
  2. Necesario para cumplir obligaciones laborales / Seguridad Social.
  3. Intereses vitales si el interesado no puede consentir.
  4. Tratamiento por fundación, asociación u organismo sin ánimo de lucro y con fines legítimos.
  5. Datos manifiestamente públicos por el interesado.
  6. Defensa de reclamaciones o ejercicio de la justicia.
  7. Razones de interés público esencial con norma con rango de ley.
  8. Medicina preventiva o laboral.
  9. Salud pública (epidemias, calidad sanitaria).
  10. Archivo en interés público, investigación científica o histórica, estadística.

Diferencia clave: en el art. 9 el consentimiento debe ser EXPLÍCITO (no sólo inequívoco como en el art. 6).

Diferencias con figuras vecinas (trampas habituales)

Figura Norma Diferencia
Información en capas (art. 13 RGPD) Información que se ofrece NO es base de licitud; es deber de transparencia
Aceptación de términos y condiciones Contractual Acepta el contrato (base b), no es consentimiento RGPD para tratamiento adicional
Cláusula de protección de datos en formularios Práctica empresarial Si solo informa, es transparencia; si pide aceptar marketing, debe ser consentimiento específico
Cesión de datos a tercero Tratamiento adicional Necesita base de licitud propia (no se "hereda" del original)
Consentimiento del menor Art. 8 RGPD + art. 7 LOPDGDD España: 14 años; menores: titulares de patria potestad
Interés público Art. 6.1.e Para AAPP; el interés legítimo (f) es para privados

6 trampas frecuentes del examen CNP / oposiciones / AGE

  1. "Siempre hay que pedir consentimiento para tratar datos"FALSO: el art. 6.1 RGPD da 6 bases jurídicas alternativas. Si el tratamiento se ampara en otra (contrato, obligación legal, interés vital, interés público, interés legítimo), pedir consentimiento puede ser incluso engañoso.
  2. "Una casilla pre-marcada vale como consentimiento"FALSO: la STJUE 1/10/2019 (Planet49) confirmó que el consentimiento requiere acción afirmativa clara. La casilla pre-marcada NO vale.
  3. "En España el consentimiento del menor exige 16 años"FALSO: el art. 7 LOPDGDD lo rebajó a 14 años. El art. 8 RGPD permite el rango 13-16 y España fijó 14.
  4. "Las autoridades públicas pueden invocar interés legítimo"FALSO: el art. 6.1.f párrafo 2 RGPD excluye expresamente a las autoridades públicas en el ejercicio de sus funciones (deben usar la letra e).
  5. "El consentimiento para datos de salud es igual que el del art. 6"FALSO: el art. 9.2.a RGPD exige consentimiento EXPLÍCITO (no sólo inequívoco) y además debe concurrir alguna otra circunstancia del art. 9.2.
  6. "El interés legítimo prevalece automáticamente sobre los derechos del interesado"FALSO: requiere el test de ponderación de tres pasos (finalidad, necesidad, equilibrio) documentado en el registro de actividades, y el interesado siempre tiene derecho de oposición (art. 21 RGPD).

Reformas y reglas recientes a recordar

  • STJUE 1/10/2019 (Planet49 C-673/17): las casillas pre-marcadas no equivalen a consentimiento válido para cookies.
  • STJUE 11/11/2020 (Orange Romania): el responsable debe probar el consentimiento; las firmas-modelo o "marca aquí" no bastan.
  • Directrices 05/2020 CEPD sobre consentimiento: actualizan el concepto y la prueba.
  • Guía de cookies AEPD 2024: aclara que los muros de cookies son válidos sólo en condiciones muy estrictas.
  • LO 3/2018 LOPDGDD: arts. 6-10 (consentimiento), 19-22 (legitimaciones específicas en España).
  • Reglamento DSA y DMA (2022-2024): nuevas reglas sobre consentimiento informado en publicidad dirigida.

Clave de examen

Primero memoriza la regla troncal y después las excepciones. En test, el fallo habitual no está en desconocer el tema, sino en confundir órgano, plazo, efecto jurídico o norma aplicable cuando el enunciado cambia una palabra.

Fuentes oficiales

Para repasar conectado

Fecha de revisión: 2026-05-27.

Preguntas frecuentes

¿Cuáles son las 6 bases jurídicas del art. 6.1 RGPD para tratar datos personales?

(a) Consentimiento del interesado; (b) ejecución de un contrato o medidas precontractuales solicitadas por el interesado; (c) cumplimiento de una obligación legal; (d) protección de intereses vitales del interesado o de un tercero; (e) misión realizada en interés público o ejercicio de poderes públicos; (f) interés legítimo del responsable o de un tercero, siempre que no prevalezcan los derechos del interesado. No hay jerarquía entre ellas; el responsable debe identificar la más adecuada para cada tratamiento y documentarla.

¿Qué requisitos debe cumplir el consentimiento conforme al art. 4.11 y 7 RGPD?

Cinco requisitos esenciales: libre (sin coacción), específico (finalidad concreta), informado (tras información del art. 13/14), inequívoco (mediante declaración o acción afirmativa clara) y revocable con la misma facilidad con que se otorgó. Además: granular si hay varias finalidades, distinguible de otros consentimientos contractuales, y demostrable (el responsable debe probarlo). Una casilla pre-marcada NO sirve (STJUE Planet49 C-673/17). El silencio o la inactividad tampoco constituyen consentimiento.

¿En qué consiste el test de ponderación del interés legítimo (art. 6.1.f RGPD)?

Es un test de tres pasos establecido por el Dictamen 06/2014 del WP29 (hoy CEPD) que el responsable debe documentar. (1) Test de finalidad legítima: el interés debe ser lícito, claramente articulado y real. (2) Test de necesidad: el tratamiento debe ser idóneo y proporcionado, sin alternativa menos invasiva. (3) Test de equilibrio: ponderación entre el interés del responsable y los derechos, libertades y expectativas razonables del interesado. El test debe constar en el registro de actividades del art. 30 RGPD.

¿Pueden las autoridades públicas invocar el interés legítimo como base de licitud?

No, en el ejercicio de sus funciones. El art. 6.1.f párrafo segundo RGPD excluye expresamente a las autoridades públicas en el ejercicio de sus funciones de la base del interés legítimo. La base que les corresponde es la letra e) (misión de interés público o ejercicio de poderes públicos), que requiere fundamento en una norma del Derecho de la UE o nacional. Solo cuando una AAPP actúa fuera de sus funciones públicas (por ejemplo, como empleador en aspectos no obligatorios) podría utilizar el interés legítimo.

¿Desde qué edad puede un menor consentir el tratamiento de sus datos en España?

Desde los 14 años, conforme al art. 7 LOPDGDD. El art. 8 RGPD fija la edad mínima general en 16 años pero permite a los Estados miembros rebajarla hasta los 13. España optó por los 14 años. Por debajo de esa edad, el consentimiento lo prestan los titulares de la patria potestad o tutela. La regla rige específicamente para los servicios de la sociedad de la información ofrecidos directamente al menor.

¿Qué diferencia hay entre el consentimiento del art. 6 y el del art. 9 RGPD?

El art. 6.1.a RGPD exige consentimiento INEQUÍVOCO. El art. 9.2.a RGPD, para categorías especiales (origen racial, opinión política, religión, sindicato, salud, vida sexual, biometría, genéticos), exige consentimiento EXPLÍCITO, un estándar reforzado que implica una manifestación expresa y declarada del interesado (no basta una acción afirmativa "implícita"). Además, los datos del art. 9 sólo pueden tratarse cuando concurre además otra circunstancia del propio art. 9.2 (obligación laboral, intereses vitales, interés público esencial con norma con rango de ley, etc.).

También te conviene repasar

Ver todas las guías de Protección de Datos →
Brecha de seguridad de datos: plazo de 72 horas del RGPD

Brecha de seguridad de datos personales en el RGPD: definición del art. 4.12, modelo CIA (confidencialidad, integridad, disponibilidad), notificación a la

AEPD: funciones, poderes y régimen sancionador

AEPD como autoridad administrativa independiente: arts. 44-78 LOPDGDD + 51-58 y 83 RGPD, poderes correctivos, procedimientos (12/6/3 meses), prescripción

Protección de datos en el sector público: claves RGPD

Protección de datos en el sector público para oposiciones: RGPD, LOPDGDD, principios, derechos, bases jurídicas y obligaciones básicas.

Bases jurídicas del tratamiento de datos: art. 6 RGPD

Las 6 bases del art. 6.1 RGPD detalladas (consentimiento, contrato, obligación legal, intereses vitales, interés público, interés legítimo), doble candado

Derechos ARSULIPO del interesado: arts. 15-22 RGPD

Derechos del interesado del RGPD (acceso, rectificación, supresión-olvido, limitación, portabilidad, oposición, decisiones automatizadas): arts.

Derechos digitales del Título X LOPDGDD: arts. 79-97

Los 19 derechos digitales del Título X LO 3/2018 LOPDGDD por bloques: ciudadanía digital (79-84), rectificación/actualización (85-86), laborales (87-91)

Regístrate y sigue repasando gratis

Accede a más de 100 esquemas y reglas mnemotécnicas para preparar tu oposición.

Crear cuenta gratis
+100 recursos gratis Esquemas y mnemotecnia Registro